Mitbestimmung bei Zugang mit Passwort und biometrischer Abfrage

Choupette · **Gestern** um 20:01

Hallo zusammen,

bei uns an der Uni (Bayern) soll ein neues Zugangssystem eingeführt werden:

Man kann sich an seinem Rechner/Notebook nur noch mit einem Passwort und zusätzlich mit einer biometrischen Abfrage einloggen.

Das mit der biometrischen Abfrage ist neu. Ein Testballon wurde bereits ohne unsere Zustimmung gestartet.

Sind wir hier in der Mitbestimmung? Der Rechenzentrumsleiter sagt nein.

Wir sind uns unsicher, da das System nicht zur Leistungskontrolle genutzt wird.

Herzlichen Dank

Choupette

Petar T. · **Gestern** um 20:30

Ich sehe hier durchaus eine Mitbestimmung.

Es ist nicht entscheidend, ob die technische Einrichtung tatsächlich zur Überwachung genutzt wird. Maßgeblich ist die Eignung. Der Schutzzweck der gesetzlichen Regelung besteht im vorbeugenden Schutz vor Überwachung.

Der Test ist daher höchstwahrscheinlich unzulässig.

Zudem handelt es sich grundsätzlich um hochsensible personenbezogene Daten.
Ich würde an eurer Stelle auch ganz genau hinschauen, ob datenschutzrechtlich alles sauber gelöst und dokumentiert ist.

NelsonMuntz · **Gestern** um 21:11

Die Möglichkeit einer Leistungskontrolle ist bereits über die klassische Kombi "User und Passwort" gegeben.

Auswertungen über Anwesenheit und Leistung sind dabei natürlich mitbestimmungspflichtig.

Bei der Art der Authentifizierung an einem System kann man natürlich streiten - sofern die biometrischen Daten aber über Hasches abgeglichen werden, ist kaum von einem Abfluss personenbezogener Daten auszugehen, wenn das die Authentifizierung durchführende System kompromittiert wurde.

Die eigentliche Frage lautet daher: Warum möchtest Du/Ihr das ablehnen?

Faunus · **Gestern** um 21:16

Gemäß Art. 9 Abs. 1 DSGVO gibt es für biometrische Daten ein grundsätzliches Verarbeitungsverbot.
Wobei es Ausnahmereglungen gibt, aber ich "glaube", dass dann eine Zustimmung der Betroffenen eingeholt werden muss.
Setzt Euch mal mit dem Personalrat in Verbindung. Der sollte eingeschaltet werden und euch da weiterhelfen können.

NelsonMuntz · **Gestern** um 21:48

Zitat von: Faunus in Gestern um 21:16Gemäß Art. 9 Abs. 1 DSGVO gibt es für biometrische Daten ein grundsätzliches Verarbeitungsverbot.
Wobei es Ausnahmereglungen gibt, aber ich "glaube", dass dann eine Zustimmung der Betroffenen eingeholt werden muss.
Setzt Euch mal mit dem Personalrat in Verbindung. Der sollte eingeschaltet werden und euch da weiterhelfen können.

Der "Killer" ist die Verarbeitung(!) biometrischer Daten - Wenn die Authentifizierung bspw. über eine lokale App erfolgt und die Daten verhasht abgeglichen werden, ist kaum von einer Verarbeitung oder gar Übertragung von biometrischen Klar-Daten auszugehen.

Wenn der Anmeldeserver also gar keine biometrischen Daten erhält, dann ist hier kein Problem nach DSGVO - ansonsten wäre Online-Banking per Fingerabdruck auch grundsätzlich unzulässig.

Ist aber eine eher technische Frage, weniger eine der grundsätzlichen Mitbestimmung (die natürlich bei der Einhaltung technisch sauberer Standards durchaus greift).

Schokobon · **Gestern** um 22:19

Wichtig ist, dass der PR jede technische Neuerung rigoros bekämpft und ein endloses Verfahren der Einführung daraus macht, das die Behörde langsam, rückständig und teuer hält.

ElBarto · **Heute** um 08:28

Da fehlen ein paar Zusatzinformationen.

Wird z.B. der Fingerabdruck mitverwendet und das im Rahmen der Windows Bordmittel, erfolgt die Speicherung nicht zentral sondern ggfs. nur gerätebezogen im TPM-Chip. Das heißt man müsste für einen anderen PC den Fingerabdruck wieder extra einlesen.

Eine (Weiter-)Verarbeitung der Daten findet da aber nicht statt.

Lasst Euch erstmal über die technischen Hintergründe aufklären.

Rowhin · **Heute** um 09:00

Zitat von: Schokobon in Gestern um 22:19Wichtig ist, dass der PR jede technische Neuerung rigoros bekämpft und ein endloses Verfahren der Einführung daraus macht, das die Behörde langsam, rückständig und teuer hält.

Da gibt es bei den PR sehr viel Unterschied... Ich war schonmal soweit, die Frage "wie offen ist euer Personalrat für (technische/sonstige) Veränderungen" in meinen Katalog fürs Bewerbungsgespräch aufzunehmen...

Ansonsten ist es so, wie ElBarto sagt - kommt hier sehr auf die konkrete technische Umsetzung an, imo.

highperformer · **Heute** um 09:38

Zitat von: Schokobon in Gestern um 22:19Wichtig ist, dass der PR jede technische Neuerung rigoros bekämpft und ein endloses Verfahren der Einführung daraus macht, das die Behörde langsam, rückständig und teuer hält.

Wobei man die Anmeldung auch anderweitig verkomplizieren kann, bspw. mit Smartcard. Dann kann man sich beim Personalrat bedanken, wenn man statt seines Fingers auch noch so ne Plastikkarte mit rumschleppen darf.

Illunis · **Heute** um 09:45

Zitat von: highperformer in Heute um 09:38Dann kann man sich beim Personalrat bedanken, wenn man statt seines Fingers auch noch so ne Plastikkarte mit rumschleppen darf

Die Plastikkarte tauscht man halt deutlich einfacher als den Finger

Faunus · **Heute** um 10:51

Zitat von: Rowhin in Heute um 09:00Da gibt es bei den PR sehr viel Unterschied... Ich war schonmal soweit, die Frage "wie offen ist euer Personalrat für (technische/sonstige) Veränderungen" in meinen Katalog fürs Bewerbungsgespräch aufzunehmen...

Ansonsten ist es so, wie ElBarto sagt - kommt hier sehr auf die konkrete technische Umsetzung an, imo.

Wir haben einen sehr guten Personalrat, der auch alles andere als entwicklungsfeindlich ist. Daher auch meine Empfehlung, da die die ersten sein sollten, die bei Veränderungen in der Regel zu involvieren sind.