Die biometrische Authentisierung mittels Iris-Scan, Fingerabdruck, Venenmuster und so weiter haben einen grossen Vorteil – im Gegensatz zum Passwort kann der User die Daten nicht vergessen. Auf der anderen Seite lassen biometrische Daten Rückschlüsse auf die Person zu und sind somit datenschutzrelevant. Aber deshalb darauf zu verzichten, ist nicht nötig. Was Sie beim Einsatz von biometrischen Verfahren beachten müssen, beleuchten wir in diesem Beitrag.
Bei der Biometrie resp. bei biometrischen Verfahren werden zur Authentisierung einer Person natürliche, charakteristische, physiologische oder verhaltenstypische Merkmale von Menschen herangezogen. Biometrische Verfahren sind nicht neu: Die Unterschrift und die persönliche Gesichtskontrolle werden schon seit langem eingesetzt. In Strafverfahren spielt die Daktyloskopie (Analyse der Fingerabdrücke) beispielsweise bereits seit über hundert Jahren eine wichtige Rolle.
Im Vergleich zu anderen Authentisierungsmethoden wie PINs und Passwort, bieten biometrische Daten ein Plus an Sicherheit, denn personenbezogene, biometrische Daten können nicht vergessen oder verloren gehen. Auch eine «Weitergabe» (PIN, Passwort) an andere Personen ist nicht möglich. Die Vorteile für den Benutzer sowie deren Verwendung im Zusammenhang mit IAM-Lösungen (Identity & Access Management) für das Unternehmen liegen also auf der Hand.
Auf der anderen Seite lassen sich biometrische Daten nicht wie ein Passwort ändern, falls diese «kompromittiert» wurden; sprich in die falschen Hände geraten sind. Zudem lassen sie ggf. weitere Rückschlüsse auf die entsprechende Person zu (worauf wir später zurückkommen). Aus diesen Gründen werden durch das Schweizerische Datenschutzgesetz (DSG) und die europäische Datenschutz-Grundverordnung (DSGVO) hohe Anforderungen in Bezug auf Datensicherheit und Datenschutz gestellt.
Biometrische Merkmale lassen sich derzeit nur ausnahmsweise und mit erheblichem Aufwand verändern, z.B. durch plastische Gesichtschirurgie. Deshalb sind biometrische Daten nicht nur personenbezogen, sondern auch personengebunden. Die daraus gewonnenen Rohdaten sind – gemäss Begriffsdefinition – für jeden Menschen einmalig und können nahezu «immer und überall» einer bestimmten Person zugeordnet werden. Dabei unterscheidet man zwischen zwei Gruppen:
Des Weiteren unterscheidet man zwei Arten von biometrischen Daten:
Grundsätzlich enthalten die von den Sensoren erfassten biometrischen Rohdaten viel mehr Informationen als das daraus gewonnene Template. Aus diesem Grund und dem Grundsatz der Datensparsamkeit (nur wirklich notwendige Daten) ist die Ablage resp. Speicherung von biometrischen Templates zu bevorzugen.
Kurzum: Biometrische Daten sind in der Regel untrennbar mit einer bestimmten Person verknüpft. Daraus erstellte Rohdaten und Templates sind deshalb Personendaten; auch ohne weiteren Personenbezug wie beispielsweise den Namen. Üblicherweise werden sie aber auch noch mit zusätzlichen Identifizierungs- resp. Adressierungsinformationen wie Name, Vorname, Geschlecht, Geburtsdatum usw. verknüpft.
Im aktuellen Schweizer Datenschutzgesetz (DSG) werden biometrische Daten nicht explizit erwähnt, dafür aber im Leitfaden des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Darin werden zahlreiche Empfehlungen zum Schutz dieser Daten und zum Schutz der Persönlichkeit der betroffenen Personen im Sinne des Datenschutzgesetztes ausgesprochen. So wird beispielsweise erwähnt, dass aus biometrischen Merkmalen wie Fingerabdrücken, der Hand- und Gesichtsgeometrie, dem digitalen Scan der Iris sowie der Stimmerkennung Rückschlüsse auf die ethnische Herkunft und den Gesundheitszustand einer Person möglich sind. Ethnische Herkunft und Gesundheitszustand entsprechen besonders schützenswerten Personendaten (gem. Art. 3 Bst. c DSG), deren Bearbeitung erhöhten Restriktionen und Anforderungen genügen muss.
Auch in der europäischen Datenschutz-Grundverordnung (DSGVO) gelten biometrische Daten (gem. Art. 4 Nr. 14 DSGVO) als «besondere Kategorie personenbezogener Daten» (gem. Art. 9 DSGVO), wenn sie «zur eindeutigen Identifizierung einer natürlichen Person» verwendet werden. Dies ist bei biometrischen Authentisierungsmethoden selbstredend der Fall. Die Verarbeitung dieser Datenkategorie ist gemäss Abs. 1 grundsätzlich untersagt (– es sei denn, es liegt ein explizit in Abs. 2 aufgeführter Ausnahmegrund vor). Folgende Leitprinzipien sollten eingehalten werden:
Besonderes Augenmerk ist darauf zu richten, dass die bearbeiteten Daten im Hoheitsbereich der betroffenen Person bleiben und dass eine zweckwidrige Datenbearbeitung ausgeschlossen wird.
Wie bei der Bearbeitung von anderen Personendaten auch, sind in biometrischen Verfahren entsprechende Sicherheitsmassnahmen zu ergreifen wie beispielsweise Verschlüsselung, Schutz vor Manipulation an Hard- und Software sowie an den Daten selbst, Schutz bei der Erfassung und Bearbeitung, digitale Signatur, Zugriffs- und Zutrittsrechte usw. Die technische Absicherung des biometrischen Verfahrens allein genügt jedoch nicht. Folgendes müssen Sie beim Einsatz von biometrischen Authentisierungsmethoden und -systemen zudem beachten:
Mit all diesen Vorgaben und Rahmenbedingungen, stellt sich Ihnen nun sicher die Frage, ob Zutrittssysteme auf Basis von biometrischen Authentisierungsverfahren überhaupt zulässig sind. Wir sind klar der Meinung – Ja! Allerdings gilt es dabei ein paar Punkte zu beachten.
So zeigt sich auch der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) beim Einsatz von Erkennungssystemen auf der Basis von biometrischen Merkmalen im Arbeitsbereich eher kritisch. Insbesondere, da der Arbeitgeber dadurch in die Persönlichkeitsrechte der Mitarbeitenden eingreift. Damit solche biometrischen Daten bearbeitet werden dürfen, muss ein Rechtfertigungsgrund vorhanden sein. Das alleine genügt jedoch nicht. Überdies muss sichergestellt sein, dass das Erkennungssystem, das angewendet werden soll, datenschutzkonform ist. Auch hierzu liefert der bereits erwähnte Leitfaden wertvolle Dienste.
Daraus wird auch klar: Wann immer möglich, sollten diejenigen biometrische Daten erfasst werden, die keine Spuren hinterlassen und deren Erfassung ohne das Wissen der betroffenen Person nicht möglich ist – beispielsweise ein Handumriss oder Handvenenmuster. Zudem sollten die biometrischen Daten dezentral auf einem Sicherheitsmedium verschlüsselt gespeichert und sicher aufbewahrt werden.
Sie sehen: Es gilt einiges zu berücksichtigen, damit Sie Zutrittskontrollen auf Basis von biometrischen Merkmalen einsetzen dürfen. Haben Sie dazu Fragen? Wir beraten Sie gerne!
Der Einsatz von biometrischen Verfahren bei der Authentisierung von Benutzern bringt enorme Vorteile. Es gilt aber, die Anforderungen an die datenschutzfreundliche Gestaltung biometrischer Verfahren zu beachten. Wenn Sie diese sechs Punkte berücksichtigen, steht dem Einsatz nichts mehr im Weg:
Wenn die genannten datenschutzrechtlichen Rahmenbedingungen eingehalten werden, wird der Einsatz biometrischer Verfahren nicht zu einer Gefahr für das Recht auf informationelle Selbstbestimmung, sondern trägt zu einer Erhöhung der Datensicherheit durch eine unmittelbare und echte Verifikation bzw. Authentifizierung bei.
Jedes Unternehmen, das biometrische Daten nutzt, muss sich der möglichen Auswirkungen auf die Prozesse und Infrastruktur bewusst sein. Diese sollten unter den beschriebenen Gesichtspunkten umfassend überprüft werden. Eine umfassende Gap-Analyse – entweder gemäss Schweizer Datenschutzgesetz (DSG) oder der europäischen Datenschutzgrundverordnung (DSGVO) – nach den Datenkategorien Ihres Unternehmens, ist hierfür der erste Schritt. Holen Sie sich dabei Unterstützung! Unsere Datenschutz-Experten unterstützen Sie in allen Belangen – von Fragestellungen rund um die Datenschutzvorgaben, der GAP-Analyse, technischen Sicherheitsüberprüfungen, Strategiedefinition und Konzeption über die Sensibilisierung bis hin zur Umsetzung. Mehr Informationen rund um unsere Datenschutz-Services finden Sie hier: