Betriebsvereinbarung Zugangskontrolle
mit biometrischer Personenerkennung

In diesem Dokument sind wichtige Punkte aufgeführt, auf die bei lokalen Regelungen zur Zugangskontrolle mit biometrischen Elementen, hier Gesichtskontolle, geachtet werden sollte. Abweichungen von den vorgeschlagenen Punkten sollten unter Vereinbarungspflicht gestellt werden.

Die Technik

Die Zugangskontrolltechnik besteht aus an den Eingangsstellen (Drehkreuze, Speedgates oder andere Vereinzelungseinrichtungen) angebrachten Kameras mit einer Verbindung zu einem Hintergrundsystem, hier der Einfachheit halber Biometrie-Server genannt. Als biometrisches Merkmal wird meist die Gesichtserkennung verwendet.

Bekannte Hersteller sind die Firmen Alcatraz, Princeton, NEC und BioConnect.

Der Biometrie-Server befindet sich meist in einer von der Herstellerfirma oder einem ihrer Servicepartner betriebenen Cloud. Diese Cloud sollte in der Vereinbarung benannt werden.

Nach Stand der aktuellen Technik registriert das Zugangskontrollgerät das Gesicht der die Station passierenden Person, verwandelt es in einen sog. Hash-Code und sendet das so erhaltene Signal zusammen mit weiteren Informationenen an den Biometrie-Server. Diese weiteren Informationen enthalten in der Regel eine Werksausweisnummer und Informationen über die Zugangskontrolleinrichtung, z.B. deren Standort.

Der Biometrie-Server vergleicht die von den Zugangsstationen übersendeten Hashcode mit dem hinterlegten Hashcode der zugangsberechtigten Personen und sendet das Ergebnis dieser Prüfung an einen Berechtigungsserver, der bei festgestellter Berechtigung ein Signal zur Türöffnung an die Zugangsstation sendet. Der Berechtigungsserver ist entweder ein eigener (virtueller) Server oder eine in dem Biometrieserver enthaltene Softwarefunktion. Die Details sollten mit der Herstellerfirma geklärt werden.

Berechtigungs-Verfahren

Es muss ein Verfahren für die Feststellung der Berechtigung festgelegt werden. Dies umfasst die Hinterlegung eines Bildes, aus dem der HashCode erzeugt wird, der gemeinsam mit der Ausweisnummer zentral auf dem Biometrie-Server hinterlegt wird. Das Bildmaterial muss nach Erzeugung des Hashcodes nicht gespeichert werden. Die Bilder für die Hashcodes müssenl auch nicht identisch mit den Bildern auf dem Werksausweis sein. Ein Werksausweis wird als zusätzliche Alternative zur Berechtigunsüberprüfung verwendet. Verzichtet man darauf, so riskiert man Handlungsunfähigkeit für den Fall, dass die digitale Technik ausfällt. Dies ist aus einer Reihe von Gründen möglich.

Ausgewählte Kameras

In der örtlichen Regelung sollten die für den Einsatz ausgewählten Kameras mit ihrem Produktnamen und dem Hersteller benannt werden. Die folgenden Eigenschaften sollten festgelegt werden:

  • Die Kameras sind an den Eingangsstellen fest montiert und werden nur für den alleinigen Zweck der Zugangskontrolle verwendet.
  • Sie werden so konfiguriert, dass sie nicht schwenkbar, nicht manuell steuerbar sind und über keine Zoom-Funktion verfügen. Sie sind ebenfalls nicht mit Softwarefunktionen ausgestattet, die automatisiert sog. abweichendes Verhalten erkennen (z.B. eventuelle KI-Funktionen).
  • Sie sind im Regelfall nicht mit einer Bewegungsmelde-Funktion ausgestattet. Wenn dies beabsichtigt ist, bedarf es einer gesonderten Regelung, ebenfalls bei geplanter Nutzung einer Tailgating-Funktion.
  • Es findet keine Speicherung von Bildern oder Videosequenzen statt. Die Kamera erzeugt lediglich aus dem erkannten Gesichtsbild einen Hash-Code, der mit einem Identifikationscode der Zugangsstelle zur weiteren Prüfung an den Biometrie-Server gesendet wird. Ausnahmen von diesem Verfahren müssen gesondert vereinbart werden.
  • Die Reichweite der Kamera sollte festgelegt werden (meist zwischen einem und zwei Metern).
  • Eine (kurze) Produktbeschreibung kann in einer Anlage zur örtlichen Vereinbarung hinterlegt sein und muss auf dem aktuellen Stand gehalten werden.
  • Die Anzahl und der Ort der mit der Gesichtserkennung versehenden Zugangs-Stationen werden in einem Lageplan als Anlage zur örtlichen Regelung vereinbart.

Biometrie-Server

  • Der Standort des Servers muss ein Ort innerhalb des Geltungsbereichs der europäischen Datenschutz-Grundverordnung (EU-DSGVO) liegen. Ist dies nicht der Fall, bedarf es einer Überprüfung, ob eine anderes mit den europäischen Datenschutzregelungen gleichwertiges Verfahren zur Verfügung steht. Ist dies nicht möglich, gibt es ein ernstes rechtliches Problem.
  • Der Biometrie-Server prüft nur die von den Zugangsstationen erhaltenen Hash-Codes mit den für die zugangsberechtigten Personen hinterlegten Hash-Codes und gibt nur das Ergebnis (Berechtigung ja/nein) und die Identifikation der Zugangsstation an den Berechtigungsserver weiter. Er ist mit keinen anderen Softwaresystemen verbunden.

Registrierung

  • Die Teilnahme an dem Zugangskontroll-Verfahren mit Gesichtserkennung ist freiwillig.  Das für die Einwilligung verwendete Formular ist in der Anlage zur örtlichen Regelung hinterlegt.
  • Aus der Nichtteilnahme entstehen den Mitarbeitenden keine Nachteile.
  • Das bisher angewendete Werksausweissystem bleibt weiter bestehen.
  • Die für einen möglichen Einsatz ausgewählten Systeme verfügen über mehrere unterschiedliche Registrierungsmethoden (aktiv, passiv oder Self-Service). Das ausgewählte Verfahren sollte in der örtlichen Vereinbarung festgelegt werden.

Werksausweise

  • Die Werksausweise bleiben erhalten. Sie erlauben eine zur Gesichtserkennung alternative Zugangskontrolle und darüber hinaus die bisher praktizierten Funktionen (z.B. Zeiterfassung, Bezahlfunktionen für die Kantine/das Casino).
  • Die Stationen für den Zugang ohne Gesichtserkennung sind ebenfalls in dem Lageplan vermerkt. Sie sind so gewählt, dass den Benutzern dieses Verfahrens keine (unzumutbaren) Nachteile entstehen.

Weitere klärungsbedürftige Punkte

Zu klären ist, was an den Stationen mit Gesichtserkennung geschehen soll, wenn die Zugangsbarriere wegen festgestellter Nichtberechtigung geschlossen bleibt. Insbesondere ist zu prüfen und ggf. zu regeln, ob in diesen Fällen ein Bild der betroffenen Person erfasst und an eine andere Stelle gesendet werden kann (z.B. an die Pförtnerstation).

Pilotversuche

Wenn die Erprobung eines Gesichtserkennungssystems in einem Pilotversuch vorgenommen werden soll, könnten besonders zu beachtende Punkte vorab in einer Art Checkliste festgehalten werden. Ein Thema der Beobachtung sollte auch die Benutzerfreundlichkeit (sog. usability) und der reibungslose Ablauf des Vorgangs sein.

  • Der Zeitrahmen und insbesondere die Dauer des Pilotversuchs werden festgelegt.
  • Nach Abschluss des Pilotversuchs (bei längerer Dauer eventuell auch zwischenzeitlich) findet zwischen Unternehmen und Betriebsrat ein Erfahrungsaustausch mit gemeinsamer Bewertung statt.
  • Das weitere Verfahren richtet sich nach dem Betriebsverfassungsgesetz und eventuellen bisher geltenden anderen Vereinbarungen.

 

 

Karl Schmitz • Januar 2025