Mitbestimmung bei Zugang mit Passwort und biometrischer Abfrage

[Choupette]

Hallo zusammen,

bei uns an der Uni (Bayern) soll ein neues Zugangssystem eingeführt werden:

Man kann sich an seinem Rechner/Notebook nur noch mit einem Passwort und zusätzlich mit einer biometrischen Abfrage einloggen.

Das mit der biometrischen Abfrage ist neu. Ein Testballon wurde bereits ohne unsere Zustimmung gestartet.

Sind wir hier in der Mitbestimmung? Der Rechenzentrumsleiter sagt nein.

Wir sind uns unsicher, da das System nicht zur Leistungskontrolle genutzt wird.

Herzlichen Dank

Choupette

[Petar T.]

Ich sehe hier durchaus eine Mitbestimmung.

Es ist nicht entscheidend, ob die technische Einrichtung tatsächlich zur Überwachung genutzt wird. Maßgeblich ist die Eignung. Der Schutzzweck der gesetzlichen Regelung besteht im vorbeugenden Schutz vor Überwachung.

Der Test ist daher höchstwahrscheinlich unzulässig.

Zudem handelt es sich grundsätzlich um hochsensible personenbezogene Daten.
Ich würde an eurer Stelle auch ganz genau hinschauen, ob datenschutzrechtlich alles sauber gelöst und dokumentiert ist.

[NelsonMuntz]

Die Möglichkeit einer Leistungskontrolle ist bereits über die klassische Kombi "User und Passwort" gegeben.

Auswertungen über Anwesenheit und Leistung sind dabei natürlich mitbestimmungspflichtig.

Bei der Art der Authentifizierung an einem System kann man natürlich streiten - sofern die biometrischen Daten aber über Hasches abgeglichen werden, ist kaum von einem Abfluss personenbezogener Daten auszugehen, wenn das die Authentifizierung durchführende System kompromittiert wurde.

Die eigentliche Frage lautet daher: Warum möchtest Du/Ihr das ablehnen?

[Faunus]

Gemäß Art. 9 Abs. 1 DSGVO gibt es für biometrische Daten ein grundsätzliches Verarbeitungsverbot.
Wobei es Ausnahmereglungen gibt, aber ich "glaube", dass dann eine Zustimmung der Betroffenen eingeholt werden muss.
Setzt Euch mal mit dem Personalrat in Verbindung. Der sollte eingeschaltet werden und euch da weiterhelfen können.

[NelsonMuntz]

Gemäß Art. 9 Abs. 1 DSGVO gibt es für biometrische Daten ein grundsätzliches Verarbeitungsverbot.
Wobei es Ausnahmereglungen gibt, aber ich "glaube", dass dann eine Zustimmung der Betroffenen eingeholt werden muss.
Setzt Euch mal mit dem Personalrat in Verbindung. Der sollte eingeschaltet werden und euch da weiterhelfen können.

Der "Killer" ist die Verarbeitung(!) biometrischer Daten - Wenn die Authentifizierung bspw. über eine lokale App erfolgt und die Daten verhasht abgeglichen werden, ist kaum von einer Verarbeitung oder gar Übertragung von biometrischen Klar-Daten auszugehen.

Wenn der Anmeldeserver also gar keine biometrischen Daten erhält, dann ist hier kein Problem nach DSGVO - ansonsten wäre Online-Banking per Fingerabdruck auch grundsätzlich unzulässig.

Ist aber eine eher technische Frage, weniger eine der grundsätzlichen Mitbestimmung (die natürlich bei der Einhaltung technisch sauberer Standards durchaus greift).

[Schokobon]

Wichtig ist, dass der PR jede technische Neuerung rigoros bekämpft und ein endloses Verfahren der Einführung daraus macht, das die Behörde langsam, rückständig und teuer hält.