34a Prüfungsfragen 2026

Einfache Erklärung

Das Prinzip des "Verbots mit Erlaubnisvorbehalt" ist der Grundpfeiler des modernen Datenschutzes in der Europäischen Union, verankert in der Datenschutz-Grundverordnung (DSGVO). Es bedeutet im Kern: Jede Verarbeitung personenbezogener Daten ist grundsätzlich untersagt, es sei denn, es liegt eine ausdrückliche gesetzliche Erlaubnis oder eine wirksame Einwilligung des Betroffenen vor. Ohne einen solchen "Erlaubnistatbestand" ist die Datenspeicherung rechtswidrig.

In der Sicherheitsbranche (gemäß § 34a GewO) stützen wir uns meist auf folgende Rechtsgrundlagen nach Art. 6 DSGVO:

1. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Der Betroffene erlaubt uns die Speicherung freiwillig.

2. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Wir benötigen die Daten, um einen Bewachungsvertrag mit dem Kunden zu erfüllen (z. B. Kontaktdaten für Alarmmeldungen).

3. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Dies ist die wichtigste Grundlage für Sicherheitsdienste. Wir dürfen Daten verarbeiten, wenn unser Interesse (z. B. Schutz des Eigentums durch Videoüberwachung) das Schutzinteresse des Betroffenen überwiegt. Hierbei muss immer eine sorgfältige Interessenabwägung stattfinden.

Warum sind die anderen Antworten falsch?

- Antwort A: "Wir machen, was wir wollen" verstößt gegen das Rechtsstaatsprinzip und das Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG).

- Antwort C: Der Datenschutz gilt universell, sobald personenbezogene Daten verarbeitet werden; es gibt keine datenschutzfreien Zonen im Sicherheitsdienst.

- Antwort D: Eine interne Erlaubnis durch den Vorgesetzten ist keine gesetzliche Rechtsgrundlage im Sinne der DSGVO.

- Antwort E: Es gibt sehr wohl Gesetze, insbesondere die DSGVO und das Bundesdatenschutzgesetz (BDSG).

- Antwort F: Heimliche Speicherung verstößt gegen das Transparenzgebot (Art. 5 DSGVO) und ist nur in extremen Ausnahmefällen (z. B. durch Ermittlungsbehörden nach der StPO) zulässig, nicht aber im Regelfall für private Sicherheitsdienste.

Einfache Erklärung

Im Datenschutzrecht gilt der fundamentale Grundsatz des Verbots mit Erlaubnisvorbehalt. Das bedeutet, dass die Verarbeitung personenbezogener Daten (wie das Erstellen, Speichern oder Nutzen eines Fotos) grundsätzlich verboten ist, es sei denn, es liegt eine ausdrückliche gesetzliche Erlaubnis oder eine Einwilligung vor. Die zentrale Rechtsgrundlage hierfür ist die Datenschutz-Grundverordnung (DSGVO).

Wenn Sie einen Besucher fotografieren, um einen Besucherausweis zu erstellen, stützen Sie sich primär auf die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Der Besucher muss also freiwillig und informiert zustimmen, dass sein Bild angefertigt und für diesen Zweck gespeichert wird. Da es im privaten Sicherheitsgewerbe (gemäß § 34a GewO) meist keine gesetzliche Pflicht gibt, Besucher zu fotografieren, ist die Einwilligung der sicherste Weg.

Warum sind die anderen Antworten falsch?

• Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d DSGVO): Diese Rechtsgrundlage greift nur in extremen Notsituationen, in denen es um Leben oder Tod geht (z. B. wenn ein Bewusstloser identifiziert werden muss, um medizinische Hilfe zu leisten). Ein normaler Besuchsvorgang rechtfertigt dies nicht.
• Öffentliches Interesse (Art. 6 Abs. 1 lit. e DSGVO): Diese Grundlage ist in der Regel Behörden oder Stellen vorbehalten, die hoheitliche Aufgaben wahrnehmen. Ein privater Sicherheitsdienst handelt im Auftrag eines Kunden, nicht im öffentlichen Interesse des Staates.
• Gesetzliche Pflicht zur Terrorabwehr: Es gibt kein allgemeines Gesetz, das Sicherheitsdienste pauschal verpflichtet, Fotos von jedem Besucher zur Terrorabwehr zu speichern. Solche Eingriffe in das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) bräuchten eine sehr spezifische gesetzliche Grundlage (z. B. im Luftsicherheitsgesetz), die hier nicht gegeben ist.
• Vertragserfüllung mit der Polizei: Sicherheitsmitarbeiter stehen in einem privatrechtlichen Verhältnis zu ihrem Arbeitgeber oder dem Kunden. Es besteht kein direkter Vertrag mit der Polizei, der das Fotografieren von Besuchern rechtfertigen würde.
• Gewohnheitsrecht: Im modernen Datenschutzrecht gibt es kein Gewohnheitsrecht nach dem Motto "Das haben wir schon immer so gemacht". Jede Datenverarbeitung benötigt eine aktuelle und gültige Rechtsgrundlage aus der DSGVO oder dem Bundesdatenschutzgesetz (BDSG).

Einfache Erklärung

Im Falle einer Datenschutzverletzung (Data Breach) regelt die Datenschutz-Grundverordnung (DSGVO) sehr genau, wie Unternehmen und Sicherheitsdienstleister reagieren müssen. Eine Datenschutzpanne liegt vor, wenn personenbezogene Daten verloren gehen, gestohlen werden oder unbefugte Dritte Zugriff darauf erhalten (z. B. Verlust eines Dienst-Tablets oder Diebstahl von Kundenlisten).

Die wichtigsten gesetzlichen Regelungen sind:

1. Meldung an die Aufsichtsbehörde (Art. 33 DSGVO): Sobald der Verantwortliche (z. B. der Sicherheitsunternehmer) von einer Verletzung erfährt, muss er diese unverzüglich, möglichst binnen 72 Stunden, der zuständigen Aufsichtsbehörde melden. Dies gilt immer dann, wenn die Panne voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

2. Benachrichtigung der betroffenen Personen (Art. 34 DSGVO): Wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte der Betroffenen zur Folge hat (z. B. bei Bankdaten oder Gesundheitsdaten), müssen auch die betroffenen Personen selbst informiert werden, damit sie sich schützen können (z. B. Passwörter ändern).

Warum sind die anderen Antworten falsch?

• Antwort B (Presse): Es gibt keine gesetzliche Pflicht nach der DSGVO, sofort die Presse zu informieren. Die Kommunikation erfolgt primär mit Behörden und Betroffenen.
• Antwort D (Keine Meldepflicht): Dies ist falsch. Die DSGVO sieht bei Risiken zwingende Meldepflichten vor. Ein Verstoß kann gemäß Art. 83 DSGVO zu extrem hohen Bußgeldern führen.
• Antwort E (Löschung von Backups): Das Löschen von Sicherheitskopien (Backups) wäre kontraproduktiv und würde den Datenverlust nur verschlimmern. Ziel ist die Wiederherstellung der Datensicherheit.
• Antwort F (4 Wochen): Die Frist von 4 Wochen ist viel zu lang. Das Gesetz verlangt eine Meldung innerhalb von 72 Stunden.

Für Mitarbeiter im Sicherheitsgewerbe gemäß § 34a GewO bedeutet dies in der Praxis: Jede Datenpanne muss sofort dem Vorgesetzten gemeldet werden, damit das Unternehmen die gesetzlichen Fristen einhalten kann.

Einfache Erklärung

Wenn eine Person (der sogenannte Betroffene) wissen möchte, welche personenbezogenen Daten ein Unternehmen über sie gespeichert hat, macht sie von ihrem Recht auf Auskunft gemäß Art. 15 DSGVO (Datenschutz-Grundverordnung) Gebrauch. Dieses Recht ist eines der zentralen Instrumente der DSGVO, um Transparenz zu schaffen und dem Bürger die Kontrolle über seine eigenen Daten zu ermöglichen.

Was beinhaltet dieses Recht genau?

Nach Art. 15 DSGVO muss das Unternehmen dem Anfragenden nicht nur bestätigen, ob Daten verarbeitet werden, sondern auch detaillierte Informationen liefern über:

1. Die Verarbeitungszwecke (Warum speichern wir das?).

2. Die Kategorien der Daten (z. B. Name, Adresse, Geburtsdatum).

3. Die Empfänger, an die die Daten weitergegeben wurden.

4. Die geplante Speicherdauer.

5. Eine kostenlose Kopie der Daten.

Warum sind die anderen Antworten falsch?

- Antwort A (Recht auf Vergessenwerden / Art. 17 DSGVO): Hierbei geht es um die endgültige Löschung von Daten, nicht um die bloße Information darüber. Der Kunde im Beispiel möchte erst einmal nur wissen, *was* da ist.

- Antwort C (Recht auf Berichtigung / Art. 16 DSGVO): Dieses Recht greift erst, wenn Daten nachweislich falsch oder unvollständig sind und korrigiert werden müssen.

- Antwort D (Widerspruchsrecht / Art. 21 DSGVO): Dies erlaubt es einer Person, einer bestimmten Datenverarbeitung (z. B. für Werbezwecke) zu widersprechen.

- Antwort E (Recht auf Datenübertragbarkeit / Art. 20 DSGVO): Dies ist das Recht, seine Daten in einem maschinenlesbaren Format zu erhalten, um sie zu einem anderen Anbieter mitzunehmen (z. B. beim Wechsel der Versicherung).

- Antwort F (Recht auf Einschränkung / Art. 18 DSGVO): Hierbei wird die Verarbeitung der Daten vorübergehend gestoppt (gesperrt), etwa wenn die Richtigkeit der Daten bestritten wird.

In der Praxis des Sicherheitsgewerbes (gemäß § 34a GewO) ist es wichtig, solche Anfragen sofort an den Datenschutzbeauftragten oder die Geschäftsleitung weiterzuleiten, da für die Beantwortung gesetzliche Fristen (in der Regel ein Monat) gelten. Ein Ignorieren dieser Anfrage kann zu hohen Bußgeldern führen.

Einfache Erklärung

Die Videoüberwachung (Videoüberwachung) stellt einen erheblichen Eingriff in das allgemeine Persönlichkeitsrecht der betroffenen Personen dar, welches durch das Grundgesetz (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) geschützt ist. Daher ist sie im öffentlichen Raum streng reglementiert. Die wichtigste Rechtsgrundlage für private Sicherheitsdienste ist hierbei § 4 BDSG (Bundesdatenschutzgesetz).

Gemäß § 4 Abs. 2 BDSG ist der Umstand der Beobachtung und der Name sowie die Kontaktdaten des Verantwortlichen durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen. Das bedeutet in der Praxis: Es besteht eine zwingende Kennzeichnungspflicht. Ein Hinweisschild (Piktogramm einer Kamera) muss so platziert werden, dass ein Besucher bereits vor dem Betreten des überwachten Bereichs entscheiden kann, ob er diesen betreten möchte oder nicht. Zusätzlich müssen nach Art. 13 DSGVO (Datenschutz-Grundverordnung) weitere Informationen bereitgestellt werden, wie der Zweck der Überwachung, die Speicherdauer (in der Regel 48 bis 72 Stunden) und die Rechte der Betroffenen (Auskunft, Löschung).

Warum sind die anderen Antworten falsch?

• Antwort A (Tonaufnahmen): Tonaufnahmen sind bei der Videoüberwachung grundsätzlich verboten. Das heimliche Aufnehmen des nicht öffentlich gesprochenen Wortes ist sogar eine Straftat gemäß § 201 StGB (Verletzung der Vertraulichkeit des Wortes).
• Antwort B (Versteckte Kameras): Versteckte Kameras sind in öffentlich zugänglichen Räumen unzulässig. Eine Überwachung muss immer transparent sein. Heimliche Überwachung ist nur in extremen Ausnahmefällen (z.B. zur Aufklärung schwerer Straftaten durch Ermittlungsbehörden) unter strengsten Auflagen erlaubt, nicht aber im regulären Sicherheitsdienst.
• Antwort C (Keine Kennzeichnung): Dies widerspricht direkt dem Transparenzgebot des Datenschutzes und dem § 4 BDSG.
• Antwort E & F: Es gibt sehr wohl klare gesetzliche Pflichten, die im BDSG und der DSGVO verankert sind. Ein Verstoß kann hohe Bußgelder nach sich ziehen.

Einfache Erklärung

Die Videoüberwachung in öffentlich zugänglichen Räumen ist in Deutschland streng durch den § 4 Bundesdatenschutzgesetz (BDSG neu) geregelt. Grundsätzlich ist eine Überwachung nur zulässig, wenn sie einem legitimen Zweck dient (z. B. Schutz von Eigentum oder Wahrnehmung des Hausrechts gemäß § 903 BGB) und wenn die Interessen des Betreibers schwerer wiegen als die Persönlichkeitsrechte der gefilmten Personen.

In diesem Fall greift jedoch ein absolutes Verbot: Es gibt sogenannte Intimbereiche oder Tabu-Zonen. Dazu gehören Toiletten, Umkleidekabinen, Schlafräume und eben auch deren direkte Vorräume. In diesen Bereichen überwiegt das allgemeine Persönlichkeitsrecht (geschützt durch Art. 1 und 2 Grundgesetz - GG) und die Intimsphäre der Menschen absolut. Eine Abwägung findet hier kaum noch statt, da der Eingriff in die Privatsphäre als zu massiv erachtet wird. Selbst wenn dort Diebstähle passieren könnten, rechtfertigt dies keine Kamera.

Warum sind die anderen Antworten falsch?

- A: Diebstahlprävention ist zwar ein Grund für Kameras, darf aber niemals die Intimsphäre verletzen. Es ist eben nicht „überall“ erlaubt.

- C: Ein Hinweisschild ist zwar nach § 4 Abs. 2 BDSG Pflicht, macht aber eine an sich unzulässige Überwachung (in der Toilette) nicht rechtmäßig.

- D: Auch Kamera-Attrappen können unzulässig sein, wenn sie einen sogenannten „Überwachungsdruck“ erzeugen, aber die Frage zielt auf die generelle Zulässigkeit der Überwachung ab.

- E: Die Uhrzeit spielt keine Rolle; das Schutzbedürfnis der Intimsphäre gilt rund um die Uhr.

- F: Sicherheitsmitarbeiter müssen das Gesetz kennen und umsetzen, sie stehen aber nicht über dem Datenschutzrecht.

Einfache Erklärung

Die Videoüberwachung (optisch-elektronische Überwachung) stellt einen erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung dar, welches aus dem Allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz - GG) abgeleitet wird. Daher ist der Umgang mit den aufgezeichneten Daten streng reglementiert.

Gemäß § 4 BDSG (Bundesdatenschutzgesetz) ist die Videoüberwachung öffentlich zugänglicher Räume nur zulässig, wenn sie einem konkreten Zweck dient (z. B. Schutz von Eigentum oder Wahrnehmung des Hausrechts). Sobald dieser Zweck erreicht ist oder nicht mehr erreicht werden kann, müssen die Daten gelöscht werden. Die Rechtsprechung und die Datenschutzbehörden haben hierfür eine Regelfrist von 48 bis 72 Stunden (2 bis 3 Tage) festgelegt. Dieser Zeitraum wird als angemessen erachtet, um beispielsweise nach einem Wochenende einen Einbruch oder Vandalismus festzustellen und die entsprechenden Sequenzen zu sichern.

Warum sind die anderen Antworten falsch?

- A (Mindestens ein Jahr): Dies würde gegen den Grundsatz der Datenminimierung und Speicherbegrenzung verstoßen. Eine so lange Speicherung ohne konkreten Anlass ist rechtswidrig.

- B (Nur wenige Sekunden): Eine Speicherung von nur wenigen Sekunden wäre zwecklos, da Sicherheitsmitarbeiter oder Eigentümer keine Zeit hätten, Vorfälle zu sichten oder zu sichern.

- C (Unbegrenzt): Eine zeitlich unbegrenzte Speicherung ist im deutschen Datenschutzrecht absolut unzulässig.

- D & F (Keine Vorgaben/Fristen): Das Gesetz schreibt zwar keine sekundengenaue Frist vor, verlangt aber die „unverzügliche“ Löschung, sobald die Daten nicht mehr erforderlich sind. Die 48-72 Stunden haben sich als rechtssicherer Standard etabliert.

Zusammenfassend gilt: Eine Speicherung „auf Vorrat“ ist verboten. Nur wenn ein konkreter Vorfall (z. B. eine Straftat nach dem StGB) dokumentiert wurde, dürfen diese spezifischen Aufnahmen als Beweismittel länger aufbewahrt werden, bis sie den Strafverfolgungsbehörden (Polizei/Staatsanwaltschaft gemäß StPO) übergeben wurden.

Einfache Erklärung

In der Datenschutz-Grundverordnung (DSGVO) gibt es strikte Regeln für die Speicherung von Daten. Die Aussage Ihres Chefs verstößt gegen den Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO. Dieser besagt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Sobald dieser Zweck erfüllt ist und keine gesetzlichen Aufbewahrungsfristen (z. B. aus dem Steuerrecht) mehr bestehen, müssen die Daten gelöscht werden. Ergänzend zu den EU-Regeln konkretisiert das deutsche Recht in § 35 BDSG (Bundesdatenschutzgesetz) die Pflichten zur Löschung von Daten. Auch der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO verbietet das unnötige Horten von Daten.

Warum die anderen Antworten nicht korrekt sind:

- Antwort B ist falsch, da jede Datenverarbeitung eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO benötigt; ein unbegrenztes Speichern ohne Zweck ist unzulässig.

- Antwort C ist falsch, da der sachliche Anwendungsbereich nach Art. 2 Abs. 1 DSGVO sowohl die automatisierte Verarbeitung (Datenbanken) als auch nicht-automatisierte Daten in Dateisystemen (Papierakten) umfasst.

- Antwort D ist falsch, da Verantwortliche gemäß Art. 17 Abs. 1 lit. a DSGVO proaktiv zur Löschung verpflichtet sind, wenn die Daten für die Zwecke nicht mehr notwendig sind; ein Antrag des Betroffenen ist dafür nicht zwingend erforderlich.

- Antwort E ist falsch, da die Weitergabe oder der Verkauf von Daten ohne entsprechende Rechtsgrundlage gegen die Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) verstößt.

- Antwort F ist falsch, da eine Speicherdauer von 100 Jahren bei Besucherdaten den Grundsatz der Verhältnismäßigkeit und die Speicherbegrenzung massiv verletzt.

Einfache Erklärung

Im Datenschutzrecht ist genau geregelt, was passiert, wenn personenbezogene Daten verloren gehen, gestohlen werden oder unbefugte Dritte Zugriff darauf erhalten. Dies nennt man eine Datenschutzverletzung (oder umgangssprachlich Datenpanne). Wenn ein solches Ereignis eintritt, sieht die Datenschutz-Grundverordnung (DSGVO) klare Meldewege vor.

1. Meldung an die Aufsichtsbehörde (Art. 33 DSGVO): Sobald eine Datenpanne bekannt wird, muss der Verantwortliche (in der Regel Ihr Arbeitgeber) dies der zuständigen Aufsichtsbehörde (dem Landesdatenschutzbeauftragten) melden. Dies muss unverzüglich geschehen, spätestens jedoch innerhalb von 72 Stunden. Eine Ausnahme besteht nur dann, wenn die Panne voraussichtlich zu keinem Risiko für die Rechte und Freiheiten der betroffenen Personen führt (z. B. wenn die Daten auf einem verlorenen USB-Stick so stark verschlüsselt sind, dass niemand sie lesen kann).

2. Benachrichtigung der betroffenen Personen (Art. 34 DSGVO): Wenn die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen zur Folge hat (z. B. bei Diebstahl von Kreditkartendaten, Gesundheitsdaten oder wenn durch ein verlorenes Wachbuch Einbruchsrisiken für Kunden entstehen), müssen auch die betroffenen Personen selbst informiert werden. Dies soll ihnen ermöglichen, selbst Schutzmaßnahmen zu ergreifen (z. B. Passwörter ändern oder Konten sperren).

Warum sind die anderen Antworten falsch?

- Die lokale Zeitung (B): Es gibt keine gesetzliche Pflicht, die Presse zu informieren. Dies würde oft eher den Ruf des Unternehmens schädigen, ohne den Betroffenen direkt zu helfen.

- Der Hausmeister (D): Er hat keine datenschutzrechtliche Funktion oder Entscheidungsbefugnis in diesem Prozess.

- Die Feuerwehr (E): Diese ist für die Gefahrenabwehr bei Bränden oder Unfällen zuständig, nicht für digitale oder dokumentenbasierte Datenpannen.

- Der Papst (F): Dies ist eine rein private oder religiöse Instanz ohne jede juristische Relevanz im deutschen Datenschutzrecht.

Als Sicherheitsmitarbeiter gemäß § 34a GewO ist es Ihre Pflicht, solche Vorfälle sofort Ihrem Vorgesetzten zu melden, damit dieser die gesetzlichen Fristen der DSGVO einhalten kann.

Einfache Erklärung

Im Datenschutzrecht wird strikt zwischen gewöhnlichen personenbezogenen Daten und besonders sensiblen Daten unterschieden. Biometrische Daten gehören gemäß Art. 9 Abs. 1 DSGVO (Datenschutz-Grundverordnung) zu den „besonderen Kategorien personenbezogener Daten“, da sie tief in die Privatsphäre eingreifen.

Die gesetzliche Definition findet sich in Art. 4 Nr. 14 DSGVO. Demnach sind biometrische Daten Informationen, die mit speziellen technischen Verfahren aus den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person gewonnen wurden und die eindeutige Identifizierung dieser Person ermöglichen. Ein Irisscan oder ein Fingerabdruck (Antwort C) sind klassische Beispiele hierfür, da sie unverwechselbare körperliche Merkmale nutzen, um eine Person zweifelsfrei zu identifizieren.

Warum sind die anderen Antworten falsch?

- Ein Passwort (A) und eine PIN-Nummer (D): Diese Identifikationsmittel basieren auf „Wissen“. Sie sind nicht untrennbar mit dem Körper verbunden und können an Dritte weitergegeben werden. Sie fallen daher nicht unter die Definition von Art. 4 Nr. 14 DSGVO.

- Ein RFID-Chip (B): Dies ist ein Identifikationsmittel auf Basis von „Besitz“. Der Chip ist ein externer Gegenstand und kein körperliches Merkmal.

- Eine Unterschrift auf Papier (E): Eine einfache Unterschrift auf Papier gilt meist nicht als biometrisches Datum, da hier kein spezielles technisches Verfahren zur Analyse von Verhaltensmerkmalen (wie Druck oder Schreibgeschwindigkeit) angewendet wird. Es handelt sich lediglich um ein statisches Schriftbild.

- Ein Barcode (F): Ein Barcode ist lediglich ein optischer Datenträger für Informationen (z. B. eine Kundennummer) und besitzt keinen Bezug zu körperlichen Merkmalen.

Da die Verarbeitung dieser Daten nach Art. 9 Abs. 1 DSGVO grundsätzlich untersagt ist, benötigt ein Sicherheitsunternehmen für deren Nutzung (z. B. Biometrie-Scanner am Werkstor) fast immer eine ausdrückliche schriftliche Einwilligung der betroffenen Person gemäß Art. 9 Abs. 2 lit. a DSGVO oder eine spezifische gesetzliche Grundlage wie § 26 Abs. 3 BDSG im Beschäftigtenverhältnis.