*

Okt
14

Biometrische Verfahren und Datenschutz

Autor: Detlef Fröhlich, externer Datenschutzbeauftragter Berlin (IHK)

Zur Identifikation einer Person bedienen sich biometrische Verfahren physiologischer Merkmale wie zum Beispiel des Fingerabdrucks, der Gesichtskonturen, dem Muster der Iris oder auch verhaltensbedingter Besonderheiten (Stimme, Sprech-, Schreib- oder Tippverhalten …). Dabei werden zunächst die ausgewählten Merkmale einer Person vermessen und mittels eines Algorithmus in einen Datensatz umgeformt. Dieser ist dann die Grundlage für den Abgleich aktuell erfasster und berechneter Messwerte mit den gespeicherten Merkmalen.

  

Welche biometrischen Verfahren gibt es?

Im Wesentlichen gibt es zwei verschiedene biometrische Verfahrensarten, die unterschiedliche Ziele verfolgen.

Bei der Verifikation wird geprüft, ob es sich bei der Person um diejenige handelt, für die sie sich ausgibt. Dazu muss sich die Person zunächst mittels einer Benutzerkennung, eines Passwortes, einer Chipkarte o. ä. dem Verfahren zu erkennen geben. Anschließend erfolgt dann der Abgleich der biometrischen Datensätze mit dem Ziel der Bestätigung oder Verneinung der Deckung.

Im anderen Fall, der Identifikation, wird geklärt, um welche Person es sich handelt. Das heißt, dass anhand der gespeicherten Merkmalssätze aller erfassten Personen dasjenige Individuum herausgefiltert wird, dessen Merkmale aktuell dem System präsentiert werden. Im Ergebnis des Checks werden dann der Name, die Benutzerkennung oder auch andere Angaben ausgewiesen.

Typische Einsatzgebiete biometrischer Verfahren sind Zugangssicherung für geschützte Räume, Fahrzeuge und Bankautomaten oder die Legitimation beim Zugriff auf Hardwarekomponenten oder das Internetbanking.

  

Schwachstellen biometrischer Verfahren

Doch selbst aktuelle biometrische Verfahren gewährleisten keine uneingeschränkte Sicherheit in der Erkennung. Altersbedingte Veränderungen, Verletzungen, Erkrankungen, aber auch veränderte Frisuren können zu Veränderungen der physischen Merkmale und damit zu Messfehlern führen. Bei Personen mit Behinderungen oder Erkrankungen können die im biometrischen Verfahren verwendeten Merkmale ganz oder teilweise nicht vorhanden oder nicht hinreichend ausgeprägt sein, sodass sie nicht in das Verfahren einbezogen werden können.

Darüber hinaus kommt es auch vor, dass Personen vom Verfahren fälschlicherweise zurückgewiesen oder für eine andere Person gehalten und zugelassen werden.

Eine besondere Bedeutung kommt im biometrischen Verfahren dem Lebendbeweis zu, also der Beleg dafür, dass sich die Person tatsächlich im Verfahren zeigt. 

  

Datenschutzrechtliche Bedeutung biometrischer Verfahren

Bei biometrischen Daten handelt es sich um personenbezogene oder wenigstens auf eine bestimmte natürliche Person beziehbare Daten, sodass die datenschutzrechtlichen Bestimmungen zu berücksichtigen sind.

Eine Erhebung, Verarbeitung und Nutzung biometrischer Daten ist dementsprechend nur dann zulässig, wenn eine Rechtsgrundlage vorliegt oder der Betroffene in die Datenverarbeitung eingewilligt hat (§ 4 Absatz 1 Bundesdatenschutzgesetz). Ebenso sind die Grundsätze der Erforderlichkeit, der Datenvermeidung und -sparsamkeit, der Direkterhebung sowie der Zweckbindung zu beachten. Dementsprechend sind die Datenerhebung und -verarbeitung auf ein Minimum zu begrenzen und die unter Umständen nötigen Protokolldaten schnellmöglich zu löschen, dürfen die Daten nur bei der Person selbst und mit deren Kenntnis erhoben sowie die erhoben Daten nicht für andere Zwecke als für die sie erhoben wurden verwendet werden.

Zudem sind zum Schutz des Verfahrens und der Daten geeignete technisch-organisatorisch Maßnahmen zu treffen.

Aus denen im biometrischen Verfahren erfassten persönlichen Charakteristika ist es durchaus möglich, über den Verwendungszweck hinaus weitere Erkenntnisse über persönliche Merkmale und Eigenschaften des betroffenen zu ziehen (z. B. gesundheitlicher Zustand). Auch können biometrische Verfahren dazu geeignet sein, beispielsweise Bewegungsprofile der Betroffenen zu erstellen. Derart gestaltete automatisierte Verfahren bergen besondere Risiken für die Rechte und Freiheiten des Betroffenen in sich. Der Einsatz biometrischer Verfahren wird daher regelmäßig einer Vorabkontrolle bedürfen (§ 4 d Absatz 5 Bundesdatenschutzgesetz).

  

Risiken wirksam minimieren

An den Schutz der im biometrischen Verfahren erhobenen Daten und damit der Persönlichkeitsrechte des Betroffenen sind hohe Anforderungen zu stellen. Geeignete Maßnahmen sind unter anderem die Vermeidung von Überschussinformationen, Verfahren, die einer aktiven Mitwirkung des Betroffenen bedürfen, eine dezentrale Speicherung der Daten, der Schutz der Daten vor unberechtigter Kenntnisnahme, der Einsatz von Verschlüsselungen sowie die Transparenz von Verfahren und Sicherheitsvorkehrungen.

  

Resümee

Biometrische Verfahren können zu einer Erhöhung der Datensicherheit beitragen. Sie bergen aber auch besondere Risiken für die Rechte und Freiheiten der Betroffenen in sich. Beim Einsatz biometrischer Verfahren sollten Sie deshalb die datenschutzrechtlichen Gesichtspunkte immer im Auge behalten und geeignete Maßnahmen zum Schutz der sensiblen Daten treffen.

Ihr betrieblicher oder externer Datenschutzbeauftragter sollte frühzeitig in die Planung, Einführung und die Überwachung des laufenden Betriebs biometrischer Verfahren mit einbezogen werden. So kann er Sie umfassend beraten und unterstützen. Die im Regelfall erforderliche Vorabkontrolle ist von betrieblichen Datenschutzbeauftragten vorzunehmen.

  

  

Externer-Datenschutzbeauftragter24.de - ...Ihre Experten für betrieblichen Datenschutz in Berlin und Brandenburg

Benutzername:
User-Login
Ihr E-Mail