Es ist ja so bequem: Statt Benutzername und Passwort oder PIN einfach den Fingerabdruck benutzen. Beim Bezahlen, beim Geld abheben, beim Login am Rechner, beim Öffnen einer Sicherheitsschleuse usw.

Oder noch einfacher: Einfach in eine Kamera lächeln – die Gesichtserkennungs-software wird mich schon zweifelsfrei erkennen und der Zugang zu meinen Daten ist absolut sicher.

Auch wunderbar angenehm: Meine Stimme benutzen und per mündlicher Anweisung das Gewünschte veranlassen.

Sich keine Passwörter mehr merken oder sich neu ausdenken müssen, nichts mehr vergessen. Der Fingerabdruck, die Gesichtsmerkmale, die Stimme sind ja schließlich eindeutige Erkennungsmerkmale zur Identifikation eines Menschen.

Es kann also nichts schiefgehen. Nur ich kann also mit meinem Fingerabdruck z. B. an mein Geld kommen, oder etwa nicht? Also alles gut - eine Verwechslung oder ein Missbrauch sind also ausgeschlossen?

Der Chaos-computer-club Hamburg (ccc) hat z. B. problemlos nachgewiesen, dass bereits ein Foto der Bundeskanzlerin von einem Wahlplakat genügt, um einer Gesichtserkennungssoftware vorzutäuschen, dass die echte lebendige Angela Merkel Einlass begehrt.

Die Möglichkeiten, mit einfachen Mitteln das Vorliegen echter biometrischer Daten nur vorzutäuschen sind also enorm. Der Fantasie sind eigentlich kaum Grenzen gesetzt, und das ganze erinnert ein wenig an James Bond und Spionagefilme.

Neben dieser Art von Täuschungsversuchen gibt es allerdings eine noch weit größere Gefahr:
Die nicht durch Täuschung sondern auf legalem Weg direkt von den Betroffenen erlangten biometrischen Daten - z. B. Fingerabdrücke von Kunden einer Bank oder eines Online-Shops – müssen ja zum Abgleich bei der Verwendung durch die Betroffenen in elektronischer Form gespeichert werden.

Es dürfte sich inzwischen herumgesprochen haben, dass eigentlich jede Datei gehackt werden kann, und auch schon gehackt wurde. Dies gilt eben auch für Dateien, in denen biometrische Daten gespeichert sind.

In dem Spiegel-online Artikel wird beschrieben, dass bei einer Sicherheitsfirma u. A. Fingerabdrücke unverschlüsselt zugänglich waren.

„Das Team konnte nach Angaben von vpnMentor auf mehr als eine Million Fingerabdrücke zugreifen sowie auf Daten zur Gesichtserkennung. "Kombiniert mit den persönlichen Daten, Anwendernamen und Passwörtern ist das Potenzial für kriminelle Aktivitäten und Betrug riesig", heißt es im Bericht.“

Wird eine Datei mit Passwörtern oder PINs gehackt ist das schlimm genug, aber Passwörter kann man bekanntlich nachträglich ändern und damit den Zugang z. B. zum Email-Account wieder neu einrichten – mühsam, aber machbar.

Aber ändern Sie doch mal Ihren Fingerabdruck, Ihr Gesicht oder ihre Stimme.

Schwierig, nicht wahr? Wenn Ihre biometrischen Daten einmal in die falschen Hände gelangt sind, ist ein Idenditätsdiebstahl oder eine andere Form des Missbrauchs für alle Zukunft nicht mehr auszuschließen.

Überall dort, wo Ihr Fingerabdruck etc. zur Identifikation ausreicht, kann der Identitätsdieb sich nun für Sie ausgeben und zwar in besonders infamer Weise:

Gerade weil die biometrischen Merkmale als einzigartig im Sinne von „Weltweit nur auf eine einzige bestimmte natürliche Person zutreffend“ gelten wird argumentiert, wenn bestimmte Merkmale irgendwo auftauchen oder eingesetzt werden, muss es sich auch zwingend um eine bestimmte Person handeln.

Bei einem Verbrechen oder einem Tatort-Krimi, wo der Täter an Hand seiner genetischen Merkmale (DNA-Test) die am Ort des Geschehens gefunden werden „zweifelsfrei“ identifiziert wird, ist diese Gefahr oft ein dramaturgisches Motiv. Der eigentliche Täter deponiert ein Haar einer anderen Person am Tatort und lenkt damit den Verdacht auf eben diese. Der zu Unrecht Verdächtigte kann sich nicht entlasten, da ja genetisch eindeutig das Haar von ihm stammt.

Hier verkehrt sich der Sicherheitsgedanke nun also ins Gegenteil: Da mein Fingerabdruck als „absolut sicheres“ Identifikationsmerkmal gilt, hat der missbräuchliche Benutzer es ganz besonders einfach gegenüber Dritten vorzutäuschen, dass er ich ist und kann somit leicht meine Identität anzunehmen.

Als Datenschützer kann ich also nur davor warnen, den Verlockungen der Bequemlichkeit zu erliegen und leichtfertig biometrische Daten zur Verwendung für alles Mögliche preiszugeben.

Natürlich kann man dagegen einwenden:

„Die Entwicklung ist sowieso nicht mehr aufzuhalten. In China ist beispielsweise ist bereits jeder Bürger mit mehreren biometrischen Merkmalen erfasst. Das kommt bestimmt auch zu uns.“

Als Antwort auf eine solche Einstellung bleibt eigentlich nur der Hinweis, dass in unserer rechtstaatlichen Verfassung der Umgang mit personenbezogenen Daten
gesetzlich geregelt ist – nämlich in der DSGVO bzw. im BDSG neue Fassung.

Die DSGVO betrachtet biometrische Daten als besonders schützenswert und knüpft an deren Verarbeitung enge Voraussetzungen – siehe Art. 9 DSGVO „Verarbeitung besonderer Kategorien personenbezogener Daten“.

Diese Vorschrift geht davon aus, dass i. d. Regel eine ausdrückliche Einwilligung der betroffenen Person zur Verarbeitung solcher Daten erforderlich ist - Art. 9 DSGVO Abs. 1.

Solange also die rechtsstaatliche Ordnung gegeben ist, hat jeder es selbst in der Hand, wem er seine Einwilligung erteilt und damit auch wo seine Fingerabdrücke etc. genutzt und gespeichert werden. Niemand ist gezwungen, z. B. bei der Bank in ein Fingerabdruckidentifikationsverfahren einzuwilligen nur weil es bequem ist.

Eine weiter zulässige Verarbeitung wäre nach dieser Vorschrift möglich, wenn

der Betroffene die Daten selbst veröffentlicht hat - Art. 9 DSGVO Abs. 2 lit(e):

…„die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,…

Je mehr Bilder etc. also ein Betroffener selbst verbreitet, umso leichter ist es für Dritte Personen, solche Daten zunächst legal zu nutzen. Aber der Missbrauch ist dann nur noch ein weiterer Schritt.

Auch den Unternehmen, die beabsichtigen biometrische Daten zu verwenden, oder dies bereits tun, kann ich nur abraten, die Büchse der Pandora ohne große Not allzu weit zu öffnen, also die Anwendung von biometrischen Daten für alles und jedes einzuführen. Je mehr Anwendungsbereiche für biometrische Daten erschlossen werden, umso mehr Missbrauchsmöglichkeiten eröffnen sich eben auch dem Idenditätsdieb. Vergleichbar ist diese Situation damit, dass ein Superuser der viele legitime Berechtigungen im Unternehmen besitzt ( z.B. IT‘ler, Revision) für alle Berechtigungen dasselbe, eben nur ein Passwort verwendet.

Wer sich dieses beschafft hat dann entsprechend auch alle Zugriffsmöglichkeiten - für Hacker paradiesische Zustände.

Die DSGVO knüpft an die Verarbeitung von biometrischen Daten eine Reihe von Folgeverpflichtungen deren Missachtung besonders im Fall einer Datenpanne zu erheblichen Bußgeldern führen können.

Art. 35 DSGVO Datenschutz-Folgenabschätzung:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.“

Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

…umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 …

Bei der beabsichtigten Verwendung von biometrischen Daten ist als grundsätzlich vorab eine Datenschutzfolgeabschätzung durchzuführen. Hierbei ist das Risiko für die Betroffenen abzuwägen, und zu definieren, mit welchen Mitteln (technisch organisatorische Maßnahmen) das Risiko minimiert werden kann.

An die Technischen und organisatorischen Maßnahmen zum Schutz dieser Daten sind höchste Anforderungen zu stellen. Dies betrifft insbesondere die gewählte Art der Verschlüsselung, die Regelung der Zugriffsrechte als auch die technische Übermittlung der Daten (z. B. am Geldautomaten).

Schließlich drohen neben Image- und Vertrauensverlusten auch unkalkulierbare Schadensersatzforderungen von betroffenen Nutzern und Auftraggebern, wenn die Dateien gehackt werden und die biometrischen Daten im www. verfügbar sind.

Auftraggeber könnten im Rahmen von Auftragsdatenverarbeitungsverträgen zu hohen Schadensersatzsummen herangezogen werden. Begüterte Betroffene
könnten hohe finanzielle Verluste geltend machen.

Dies gilt auch für zukünftig mögliche oder zu erwartende Schäden:

BGH, Urteil vom 16.01.2001, Az. VI ZR 381/99 Leitsatz:
Wird die Feststellung der Pflicht zum Ersatz künftigen Schadens aus einer bereits eingetretenen Rechtsgutsverletzung beantragt, so reicht für das Feststellungsinteresse die Möglichkeit eines Schadenseintritts aus, die nur verneint werden darf, wenn aus der Sicht des Klägers bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines Schadens wenigstens zu rechnen.

Die Verwendung biometrischer Daten stellt einen erheblichen Eingriff in das informationelle Selbstbestimmungsrecht von natürlichen Personen dar und ist sowohl für die betroffenen Nutzer, als auch für die Unternehmen, die die Daten verarbeiten, mit erheblichen durchaus auch existentiellen Risiken verbunden.

Es stellt sich daher die Frage, ob eine Einwilligung in diese Verarbeitung wie die derzeitige Gesetzeslage erlaubt, tatsächlich als Rechtsgrundlage ausreichend sein soll. Schließlich ist anerkannt, dass Betroffene durch Einwilligung auch nicht auf die Ausübung ihrer Rechte auf Auskunft, Löschung usw. verzichten können, da sie sich selbst in ihren Grundrechtspositionen zu sehr schwächen würden.

Zumindest ist diskussionswürdig, ob an eine wirksame Einwilligung in die Verarbeitung biometrischer Daten nicht höhere Anforderungen als bisher gestellt werden sollten.

Eine „informierte Einwilligung“ als Mindestvoraussetzung für die Verarbeitung

So könnte man beispielsweise im Sinne eines besseren Schutzes der Betroffenen (ähnlich wie beim Thema Verbraucherschutz) von den Verarbeitern der biometrischen Daten verlangen, die Betroffenen eingehend über Risiken und über eventuelle Konsequenzen bei Datenpannen schriftlich aufzuklären und ein entsprechendes Zusatzdokument unterzeichnen zu lassen in dem sinngemäß auch auf das Folgende hingewiesen wird:

Da man die eigenen biometrischen Merkmale nicht einfach nachträglich ändern kann, ist bei Datenverlusten für alle Zukunft mit Missbrauch zu rechnen und dieser kaum zu verhindern.

Der Betroffene wird die Hergabe seiner Einwilligung sowie seiner biometrischen Daten dann vielleicht nochmals überdenken.

Aus dem Blickwinkel des Datenschutzes ist also grundsätzlich von der Verwendung biometrischer Daten abzuraten, auch wenn andere Gesichtspunkte durchaus für deren Anwendung sprechen sollten. Die Betroffenen sollten vor der Hergabe dieser besonders sensibler und tief in das informationelle Selbstbestimmungsrecht hineinreichender Daten stärker über die Risiken informiert werden müssen!!!

Die dacuro GmbH unterstützt ihre Kunden in allen Bereichen des Datenschutzes – nicht nur im Rhein-Neckar-Kreis sondern auch in Karlsruhe, Stuttgart, Solingen und in Nord- und Ostdeutschland. Ob es um Verzeichnisse der Verarbeitungstätigkeiten, Prüfung von Verträgen zur Auftragsverarbeitung, Sensibilisierung der Mitarbeiter durch Schulungen, Prüfung der technisch-organisatorischen Maßnahmen oder externe Schulungen für interne Datenschutzbeauftragte oder Geschäftsführer geht – die dacuro GmbH ist der zuverlässige Partner an Ihrer Seite.