Ermittlung der am besten geeigneten Rechtsgrundlage
Home » Biometrik » Einleitung und Geltungsbereich des Abschnitts Leitlinien » Vorbereitungsphase » Ermittlung der am besten geeigneten Rechtsgrundlage

Einer der wichtigsten Schritte unter dem Gesichtspunkt des Datenschutzes ist die Ermittlung der Rechtsgrundlage für die Verarbeitung personenbezogener Daten, die in Artikel 6 DSGVO aufgeführt sind. Wie bereits erwähnt, ist die Verarbeitung biometrischer Daten jedoch untersagt und kann nur im Falle der Anwendbarkeit bestimmter Ausnahmen erfolgen. Diese sind in Artikel 9 Absatz 2 DSGVO vorgesehen und lassen sich in zwei Arten unterteilen. Solche, die sofort gültig und anwendbar sind, und solche, die zusätzliche Rechtsvorschriften der Union oder der Mitgliedstaaten erfordern, bevor sie zur Rechtfertigung einer Verarbeitung biometrischer Daten herangezogen werden können.

Verfügbare Rechtsgrundlagen für die Verarbeitung biometrischer Daten gemäß der DSGVO
Erfordert zusätzliches Unionsrecht oder Recht der Mitgliedstaaten
Ausdrückliche Einwilligung
Arbeitsrecht, Recht der sozialen Sicherheit und Sozialschutz
Lebenswichtige Interessen
Tätigkeiten von Vereinigungen oder sonstigen Organisationen ohne Gewinnerzielungsabsicht
Die Daten wurden von der betroffenen Person öffentlich gemacht
Rechtsansprüche oder Handlungen der Gerichte
Erhebliches öffentliches Interesse
Versorgung im Gesundheits- oder Sozialbereich
Öffentliches Interesse im Bereich der öffentlichen Gesundheit
Archivzwecke, Forschungszwecke oder statistische Zwecke

Wenn eine dieser Ausnahmen zutrifft, kann der Verantwortliche eine der in Artikel 6 DSGVO aufgeführten Rechtsgrundlagen wählen und die personenbezogenen Daten entsprechend verarbeiten.

Von den zehn Ausnahmen nach Artikel 9 Absatz 2 DSGVO sind zwei für das vorliegende Dokument besonders relevant. Die erste ist die Anforderung einer „ausdrücklichen Einwilligung“. Im Zusammenhang mit der Verarbeitung biometrischer Daten muss die Einwilligung der betroffenen Personen „ausdrücklich“ sein, d. h. es muss sich um eine klare, auf den konkreten Fall bezogene und unmissverständliche Erklärung handeln, dass die betroffenen Personen in die Verarbeitung ihrer biometrischen Daten für die von dem Verantwortlichen angegebenen Zwecke einwilligen.[1] Bei der Verarbeitung biometrischer Daten, die aus Bildern gewonnen werden, reicht es beispielsweise nicht aus, die Einwilligung der betroffenen Personen in die Verarbeitung dieser Bilder einzuholen. Vielmehr müssen die betroffenen Personen darüber informiert werden, dass biometrische Merkmale extrahiert und verarbeitet werden, und es muss deren ausdrückliche Einwilligung eingeholt werden.

Beispiel: Einwilligung versus ausdrückliche Einwilligung
Einwilligung Ausdrückliche Einwilligung
„Bitte stellen Sie ein Lichtbild von sich bereit, das in einer gut beleuchteten Umgebung von vorne aufgenommen wurde. Das Bild wird verwendet, um biometrische Merkmale für die Entwicklung eines neuen biometrischen Erkennungssystems zu gewinnen”. „A: Bitte stellen Sie ein Lichtbild von sich bereit, das in einer gut beleuchteten Umgebung von vorne aufgenommen wurde.

B: Das Bild wird verwendet, um biometrische Merkmale für die Entwicklung eines neuen biometrischen Erkennungssystems zu extrahieren.

C: Bitte kreuzen Sie vor dem Absenden des Lichtbilds das folgende Kästchen an, um anzuzeigen, dass Sie als betroffene Person darin einwilligen, dass Ihr Bild zum Zweck der Gewinnung biometrischer Merkmale verarbeitet wird, die zu dem unter Punkt B beschriebenen Zweck verarbeitet werden.

Markieren Sie das Kästchen ☐”

Wenn es um die Einwilligung im Zusammenhang mit der Forschung geht, ist es auch wichtig, zwischen der Einwilligung zur Teilnahme an der Studie und der Einwilligung zur Verarbeitung personenbezogener Daten zu unterscheiden. Es handelt sich um zwei verschiedene Arten von Einwilligungen, die unabhängig voneinander erhoben werden müssen[2]. Das Forschungsteam kann sich auf eine einzige Einwilligungserklärung stützen, vorausgesetzt, diese unterscheidet klar zwischen den beiden Arten der Einwilligung und fasst sie nicht in einer einzigen Vereinbarung zusammen (weitere Informationen finden Sie im Dokument „Issuesandgapsanalysis on informedconsent in thecontextof ICT researchandinnovation“).

Eine weitere Ausnahmeregelung in Bezug auf die Verarbeitung besonderer Kategorien personenbezogener Daten, die für den Zweck dieses Dokuments von Bedeutung ist, ist die Ausnahme hinsichtlich der für Forschungstätigkeiten erforderlichen Verarbeitung. Damit diese Ausnahmeregelung Anwendung findet, müssen zwei Kriterien erfüllt sein. Erstens muss die Verarbeitung geeigneten technischen und organisatorischen Garantien gemäß Artikel 89 Absatz 1 DSGVO unterliegen. Zweitens sollte das Unionsrecht oder das Recht der Mitgliedstaaten Vorschriften vorsehen, die eine Rechtsgrundlage für die Verarbeitung im Zusammenhang mit einer Forschungstätigkeit bieten. Dieses letzte Kriterium bedeutet, dass die Ausnahmeregelung für Forschungszwecke möglicherweise nicht überall anwendbar ist. Daher müssen die Forscher die nationalen Rechtsvorschriften aller Staaten, in denen die Forschung durchgeführt werden soll, dahingehend überprüfen, ob solche Vorschriften vorgesehen sind (siehe Anhang III „Comparative study of national reports“ im Dokument „Guidelines on Data ProtectionEthicaland Legal Issues in ICT Research and Innovation“).
 

Quellenangaben


1In Erwägungsgrund 33 der DSGVO wird eingeräumt, dass der Zweck der Verarbeitung zum Zeitpunkt der Erhebung der personenbezogenen Daten möglicherweise nicht vollständig angegeben werden kann und dass es den betroffenen Personen daher erlaubt sein sollte, ihre Einwilligung für bestimmte „Bereiche wissenschaftlicher Forschung“ zu geben. Der in Erwägungsgrund 33 angesprochene Punkt und eine Reihe von Auslegungsproblemen wurden in dem Dokument „Issues and gaps analysis on informed consent in the context of ICT researchandinnovation“ untersucht.

2Siehe: Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Mai 2020, 30; Europäischer Datenschutzausschuss, Stellungnahme 3/2019 zu den Fragen und Antworten zum Zusammenspiel der Verordnung über klinische Prüfungen und der Datenschutz-Grundverordnung (DSGVO) (Artikel 70 Absatz 1 Buchstabe b), 2019.

 

Skip to content