Die biometrische Authentisierung mittels Iris-Scan, Fingerabdruck, Venenmuster und so weiter haben einen grossen Vorteil – im Gegensatz zum Passwort kann der User die Daten nicht vergessen. Auf der anderen Seite lassen biometrische Daten Rückschlüsse auf die Person zu und sind somit datenschutzrelevant. Aber deshalb darauf zu verzichten, ist nicht nötig. Was Sie beim Einsatz von biometrischen Verfahren beachten müssen, beleuchten wir in diesem Beitrag.
Biometrische Daten im Auftrag Ihrer Sicherheit
Bei der Biometrie resp. bei biometrischen Verfahren werden zur Authentisierung einer Person natürliche, charakteristische, physiologische oder verhaltenstypische Merkmale von Menschen herangezogen. Biometrische Verfahren sind nicht neu: Die Unterschrift und die persönliche Gesichtskontrolle werden schon seit langem eingesetzt. In Strafverfahren spielt die Daktyloskopie (Analyse der Fingerabdrücke) beispielsweise bereits seit über hundert Jahren eine wichtige Rolle.
Im Vergleich zu anderen Authentisierungsmethoden wie PINs und Passwort, bieten biometrische Daten ein Plus an Sicherheit, denn personenbezogene, biometrische Daten können nicht vergessen oder verloren gehen. Auch eine «Weitergabe» (PIN, Passwort) an andere Personen ist nicht möglich. Die Vorteile für den Benutzer sowie deren Verwendung im Zusammenhang mit IAM-Lösungen (Identity & Access Management) für das Unternehmen liegen also auf der Hand.
Auf der anderen Seite lassen sich biometrische Daten nicht wie ein Passwort ändern, falls diese «kompromittiert» wurden; sprich in die falschen Hände geraten sind. Zudem lassen sie ggf. weitere Rückschlüsse auf die entsprechende Person zu (worauf wir später zurückkommen). Aus diesen Gründen werden durch das Schweizerische Datenschutzgesetz (DSG) und die europäische Datenschutz-Grundverordnung (DSGVO) hohe Anforderungen in Bezug auf Datensicherheit und Datenschutz gestellt.
Biometrische Daten sagen viel über die Person aus
Biometrische Merkmale lassen sich derzeit nur ausnahmsweise und mit erheblichem Aufwand verändern, z.B. durch plastische Gesichtschirurgie. Deshalb sind biometrische Daten nicht nur personenbezogen, sondern auch personengebunden. Die daraus gewonnenen Rohdaten sind – gemäss Begriffsdefinition – für jeden Menschen einmalig und können nahezu «immer und überall» einer bestimmten Person zugeordnet werden. Dabei unterscheidet man zwischen zwei Gruppen:
- Physiologische Merkmale: Gesichtszüge, Fingerabdrücke, Handumriss, Iris, Venenstruktur einer Hand oder eines Fingers etc.
- Verhaltensspezifische Merkmale: Unterschrift, Stimmbild, Gangart, Art des Tastenschreibens (keystroke) etc.
Des Weiteren unterscheidet man zwei Arten von biometrischen Daten:
- Biometrische Rohdaten (biometrischer Abdruck): Entspricht der physischen oder digitalen Repräsentation eines biometrischen Charakteristikums, das von einem biometrischen Erkennungssystem verwendet werden kann.
- Biometrisches Template (biometrisches Muster): Entspricht einer Anzahl von Messpunkten / Merkmalen, die aus den biometrischen Rohdaten gezogen werden. Ein Template entspricht somit einer Untermenge der Rohdaten.
Grundsätzlich enthalten die von den Sensoren erfassten biometrischen Rohdaten viel mehr Informationen als das daraus gewonnene Template. Aus diesem Grund und dem Grundsatz der Datensparsamkeit (nur wirklich notwendige Daten) ist die Ablage resp. Speicherung von biometrischen Templates zu bevorzugen.
Kurzum: Biometrische Daten sind in der Regel untrennbar mit einer bestimmten Person verknüpft. Daraus erstellte Rohdaten und Templates sind deshalb Personendaten; auch ohne weiteren Personenbezug wie beispielsweise den Namen. Üblicherweise werden sie aber auch noch mit zusätzlichen Identifizierungs- resp. Adressierungsinformationen wie Name, Vorname, Geschlecht, Geburtsdatum usw. verknüpft.
Personendaten gilt es zu schützen
Im aktuellen Schweizer Datenschutzgesetz (DSG) werden biometrische Daten nicht explizit erwähnt, dafür aber im Leitfaden des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Darin werden zahlreiche Empfehlungen zum Schutz dieser Daten und zum Schutz der Persönlichkeit der betroffenen Personen im Sinne des Datenschutzgesetztes ausgesprochen. So wird beispielsweise erwähnt, dass aus biometrischen Merkmalen wie Fingerabdrücken, der Hand- und Gesichtsgeometrie, dem digitalen Scan der Iris sowie der Stimmerkennung Rückschlüsse auf die ethnische Herkunft und den Gesundheitszustand einer Person möglich sind. Ethnische Herkunft und Gesundheitszustand entsprechen besonders schützenswerten Personendaten (gem. Art. 3 Bst. c DSG), deren Bearbeitung erhöhten Restriktionen und Anforderungen genügen muss.
Auch in der europäischen Datenschutz-Grundverordnung (DSGVO) gelten biometrische Daten (gem. Art. 4 Nr. 14 DSGVO) als «besondere Kategorie personenbezogener Daten» (gem. Art. 9 DSGVO), wenn sie «zur eindeutigen Identifizierung einer natürlichen Person» verwendet werden. Dies ist bei biometrischen Authentisierungsmethoden selbstredend der Fall. Die Verarbeitung dieser Datenkategorie ist gemäss Abs. 1 grundsätzlich untersagt (– es sei denn, es liegt ein explizit in Abs. 2 aufgeführter Ausnahmegrund vor). Folgende Leitprinzipien sollten eingehalten werden:
- Die Bearbeitung von Personendaten muss rechtmässig erfolgen.
- Der Zweck muss für die betroffenen Personen erkennbar sein und durch das Unternehmen strikt eingehalten werden (Zweckbindung: keine Bearbeitung der biometrischen Daten zu anderen Zwecken, z.B. Analyse des Gesundheitszustands auf Basis des Stimmenprofils).
- Die Verhältnismässigkeit muss gegeben sein.
- Biometrische Erkennungssysteme sind so zu konzipieren und ggf. anzupassen, dass die Richtigkeit und Qualität biometrischer Daten gewährleistet ist.
- Die Rechte der betroffenen Personen sind zu gewährleisten, z.B. das Recht auf Einsicht oder die Korrektur von nicht korrekten Daten.
- Die Datensicherheit muss durch die Implementation geeigneter technischer und organisatorischer Massnahmen gewährleistet sein.
Besonderes Augenmerk ist darauf zu richten, dass die bearbeiteten Daten im Hoheitsbereich der betroffenen Person bleiben und dass eine zweckwidrige Datenbearbeitung ausgeschlossen wird.
Biometrische Authentisierungsmassnahmen – was es zu beachten gilt
Wie bei der Bearbeitung von anderen Personendaten auch, sind in biometrischen Verfahren entsprechende Sicherheitsmassnahmen zu ergreifen wie beispielsweise Verschlüsselung, Schutz vor Manipulation an Hard- und Software sowie an den Daten selbst, Schutz bei der Erfassung und Bearbeitung, digitale Signatur, Zugriffs- und Zutrittsrechte usw. Die technische Absicherung des biometrischen Verfahrens allein genügt jedoch nicht. Folgendes müssen Sie beim Einsatz von biometrischen Authentisierungsmethoden und -systemen zudem beachten:
- Es dürfen nur technisch ausgereifte biometrische Verfahren verwendet werden, deren Trefferquote sich möglichst einer 100%-iger Wahrscheinlichkeit annähern.
- Es sind technische Sicherheitsmassnahmen zu treffen, welche die Fehlerraten und negativen Folgen von technischen Mängeln reduzieren.
- Biometrische Daten gehören möglichst in den Hoheitsbereich der betroffenen Person und nicht des Systembetreibers.
- Die aus dem Grundsatz der Verhältnismässigkeit fliessenden Anforderungen (möglichst wenige Personendaten; unsensible und dezentral gespeicherte Personendaten; Anonymisierung oder Pseudonymisierung; Vernichtung) sind bei der Bearbeitung biometrischer Daten wie auch von Randdaten biometrischer Systeme zu beachten.
Sind Zutrittskontrollen mit biometrischen Daten überhaupt zulässig?
Mit all diesen Vorgaben und Rahmenbedingungen, stellt sich Ihnen nun sicher die Frage, ob Zutrittssysteme auf Basis von biometrischen Authentisierungsverfahren überhaupt zulässig sind. Wir sind klar der Meinung – Ja! Allerdings gilt es dabei ein paar Punkte zu beachten.
So zeigt sich auch der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) beim Einsatz von Erkennungssystemen auf der Basis von biometrischen Merkmalen im Arbeitsbereich eher kritisch. Insbesondere, da der Arbeitgeber dadurch in die Persönlichkeitsrechte der Mitarbeitenden eingreift. Damit solche biometrischen Daten bearbeitet werden dürfen, muss ein Rechtfertigungsgrund vorhanden sein. Das alleine genügt jedoch nicht. Überdies muss sichergestellt sein, dass das Erkennungssystem, das angewendet werden soll, datenschutzkonform ist. Auch hierzu liefert der bereits erwähnte Leitfaden wertvolle Dienste.
Daraus wird auch klar: Wann immer möglich, sollten diejenigen biometrische Daten erfasst werden, die keine Spuren hinterlassen und deren Erfassung ohne das Wissen der betroffenen Person nicht möglich ist – beispielsweise ein Handumriss oder Handvenenmuster. Zudem sollten die biometrischen Daten dezentral auf einem Sicherheitsmedium verschlüsselt gespeichert und sicher aufbewahrt werden.
Sie sehen: Es gilt einiges zu berücksichtigen, damit Sie Zutrittskontrollen auf Basis von biometrischen Merkmalen einsetzen dürfen. Haben Sie dazu Fragen? Wir beraten Sie gerne!
Unsere 6 Tipps für den Einsatz von biometrischen Authentisierungsverfahren im Alltag
Der Einsatz von biometrischen Verfahren bei der Authentisierung von Benutzern bringt enorme Vorteile. Es gilt aber, die Anforderungen an die datenschutzfreundliche Gestaltung biometrischer Verfahren zu beachten. Wenn Sie diese sechs Punkte berücksichtigen, steht dem Einsatz nichts mehr im Weg:
- Keine Verwendung von Rohdaten, sondern Reduktion zu Referenzdaten (Templates), um Überschussinformationen auszuschliessen.
- Geeignete Wahl des Verfahrens unter aktivem Einbezug des Nutzers; keine Spuren hinterlassen und eine unbemerkte Erfassung ausschliessen.
- Dezentrale Speicherung der Templates, möglichst in der alleinigen Verfügungsgewalt des Nutzers (z.B. Chipkarte) oder einem dedizierten Rechner (offline).
- Schutz der biometrischen Daten vor unbefugter Kenntnisnahme und Bearbeitung.
- Konsequenter Einsatz von Verschlüsselungen der biometrischen Daten.
- Transparenz der Verfahren und der Sicherheitsmechanismen.
Wenn die genannten datenschutzrechtlichen Rahmenbedingungen eingehalten werden, wird der Einsatz biometrischer Verfahren nicht zu einer Gefahr für das Recht auf informationelle Selbstbestimmung, sondern trägt zu einer Erhöhung der Datensicherheit durch eine unmittelbare und echte Verifikation bzw. Authentifizierung bei.
Lücken zur Datenschutz-Konformität erkennen und beheben
Jedes Unternehmen, das biometrische Daten nutzt, muss sich der möglichen Auswirkungen auf die Prozesse und Infrastruktur bewusst sein. Diese sollten unter den beschriebenen Gesichtspunkten umfassend überprüft werden. Eine umfassende Gap-Analyse – entweder gemäss Schweizer Datenschutzgesetz (DSG) oder der europäischen Datenschutzgrundverordnung (DSGVO) – nach den Datenkategorien Ihres Unternehmens, ist hierfür der erste Schritt. Holen Sie sich dabei Unterstützung! Unsere Datenschutz-Experten unterstützen Sie in allen Belangen – von Fragestellungen rund um die Datenschutzvorgaben, der GAP-Analyse, technischen Sicherheitsüberprüfungen, Strategiedefinition und Konzeption über die Sensibilisierung bis hin zur Umsetzung. Mehr Informationen rund um unsere Datenschutz-Services finden Sie hier: