Biometrische Daten und Datenschutz Grafik
21. Oktober 2022

Biometrische Daten und Datenschutz: Gilt die DSGVO auch für Fingerabdruck & Co.?

DNA, Gesichtsgeometrie, Zahnabdruck – biometrische Daten sind messbare biologische Merkmale. Sie erlauben die eindeutige Identifizierung einer natürlichen Person. Ebenfalls ist es möglich, durch biometrische Daten die Identität einer natürlichen Person zuverlässig zu bestätigen. Daher werden sie häufig für Verifikations- bzw. Authentifizierungsverfahren, aber auch für kriminalistische Verfahren und im Rahmen der Verbrechensbekämpfung genutzt.

Dass diese besondere Kategorie personenbezogener Daten wichtig ist, liegt auf der Hand. Kein Wunder also, dass die Europäische Datenschutz-Grundverordnung (kurz: DSGVO) diesbezüglich einen umfassenden Schutz vorsieht, der auch den Einsatz biometrischer Verfahren im Alltag beeinflusst. Denn wo Chancen sind, sind auch Risiken. So bringt die Verwendung biometrischer Daten vor allem das Risiko des Identitätsdiebstahls mit sich. Verschaffen sich Hacker Zugang, können die Daten verwendet werden, um über die missbräuchliche Nutzung Vermögens- oder Informationsvorteile zu erlangen. Nicht zuletzt ist es daher auch für Unternehmen von hoher Bedeutung, dass sich Mitarbeitende mit dem Schutz von personenbezogenen Daten auskennen.

Was sind biometrische Daten? | Definition

Juristisch werden biometrische Daten als „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen“ definiert. Die Definition ergibt sich aus Art. 4 Nr. 14 DSGVO

Was zählt zu den biometrischen Daten?

Die DSGVO nennt Gesichtsbilder oder sogenannte daktyloskopische Daten als typische Beispiele für biometrische Daten. Dazu zählen vor allem die Abdrücke von Fingern, Handflächen und Füßen. Daneben zählen auch folgende Informationen dazu:

  • Geometrie des Gesichts und anderer Körperteile;
  • Körpergröße;
  • Klangfarbe der Stimme;
  • Form der Ohren;
  • Zahn- oder Gebissabdruck;
  • individuelle Körpergerüche;
  • Handschrift;
  • Unterschrift oder
  • Regenbogenhaut und Augenhintergrund.

Wichtig ist in diesem Zusammenhang, dass auch biometrische Daten nicht grundsätzlich unveränderbar sind. Durch Körpermodifikationen wie Piercings oder Tätowierungen können die oben genannten Informationen verändert werden. 

Was zählt nicht zu den biometrischen Daten?

Alle Daten und Informationen von natürlichen Personen, die nicht auf biologischen Messwerten bzw. physischen Merkmalen beruhen, zählen nach dem Anwendungsbereich von Art. 4 DSGVO nicht zu den biometrischen Daten. 

Achtung: Auch personenbezogene Daten, die nicht als biometrische Daten i.S.d. Datenschutzgrundverordnung gelten, fallen in den Schutzbereich der DSGVO. Damit diese im Unternehmen und auch im Arbeitsalltag Beachtung findet, müssen sich Mitarbeitende mit dem Schutz von personenbezogenen Daten auskennen. 

Je nach Tätigkeitsbereich ergeben sich hierbei unterschiedliche Schwerpunkte. Mit den interaktiven Online-Schulungen von lawpilots haben Sie die Möglichkeit, Ihre Beschäftigten nachhaltig zum Thema Datenschutz zu sensibilisieren. Das gilt für alle Mitarbeitenden in Ihrem Unternehmen. Mit unserem E-Learning „Datenschutz für Führungskräfte“ können Sie zudem auch Beschäftigte in Führungspositionen innovativ schulen und gezielt für die damit verbundenen Anforderungen sensibilisieren.

Datenschutz für biometrische Daten

Aus Art. 9 DSGVO geht hervor, dass biometrische Daten zu den besonderen Kategorien personenbezogener Daten gehören. Diese unterliegen gegenüber Art. 6 DSGVO erhöhten Rechtmäßigkeitsvoraussetzungen und dürfen nach Absatz 1 der Vorschrift grundsätzlich nicht verarbeitet werden. Von diesem generellen Verarbeitungsverbot für die abschließend aufgeführten sensitiven Datenkategorien sieht Absatz 2 spezifische Ausnahmen vor.

Warum werden biometrische Daten erhoben?

Biometrische Daten werden regelmäßig dann erhoben, wenn die Zuverlässigkeit einer Identifikation im Vordergrund steht. Dementsprechend breit ist der praktische Anwendungsbereich: Ihre Verwendung hat in den letzten Jahren immer mehr an Bedeutung gewonnen und wird mittlerweile auch für den Schutz vertraulicher Dokumente eingesetzt.

Wo werden biometrische Daten erhoben und verarbeitet?

Biometrische Daten werden im Rahmen von biometrischen Verfahren erhoben und verarbeitet. Diese können unterschiedlichste Ziele verfolgen. Dazu gehören zum Beispiel:

  • Identitätsüberprüfung: Ob per Gesichtserkennungssoftware (zum Beispiel für die Identifikation von Mitarbeitenden) oder ausschließlich analog – mit einem Passfoto ist der Nachweis erbracht, dass ein bestimmtes Ausweispapier zu der identifizierten Person gehört. Dies ist beispielsweise bei Grenzkontrollen an Flughäfen wichtig, aber auch bei Personenkontrollen und anderen Grenzübergängen sowie bei Ausweiskontrollen, die vor der Betretung eines Geländes oder eines Gebäudes durchgeführt werden.
  • Verbrechensaufklärung: Muss ein Verbrechen durch Ermittlungen und Beweiserhebungen aufgeklärt werden, können biometrische Daten Indizien liefern, die zur Überführung der Beschuldigten führen. Hierbei nutzen die Ermittlungsbehörden in der Regel die volle Bandbreite an biometrischen Daten. Diese können auch genutzt werden, um die Identität des Opfers festzustellen.
  • Zugangskontrollen: Nicht nur Tresorräume in Unternehmen oder Regierungsgebäuden sind mit einer Zugangskontrolle versehen. Auch alltägliche Vorgänge können mit einer Zugangskontrolle ausgestattet sein – wie zum Beispiel das Entsperren des eigenen Mobiltelefons. Hier kann ein Fingerabdruck-Scan den Zugang zum Smartphone ermöglichen, aber auch die Identifizierung über die sogenannte Face ID.

Wo werden biometrische Daten gespeichert?

Die Speicherung biometrischer Daten wird entweder durch Unternehmen oder durch Regierungseinrichtungen durchgeführt. Dabei kommt es regelmäßig in den folgenden Situationen zum Speichern dieser Daten:

  • Festnahme durch eine Ordnungsbehörde inklusive geeigneter Maßnahmen zur Identitätsfeststellung;
  • Einsatz von DNA-Analysen und Entnahme geeigneter Proben;
  • Nutzung von Computern oder mobilen Endgeräten, die über Gesichtserkennung oder den Fingerabdruck den Zugang ermöglichen;
  • Nutzung einer App zur Bildbearbeitung;
  • Zutrittskontrollen bei der Arbeit über den Fingerabdruck oder Netzhautabgleich;
  • Autorisierung von Zahlungsdienstleistern über den Fingerabdruck;
  • Nutzung von Sprachassistenten wie Siri, Alexa oder Google Home;
  • Überschreiten von Grenzübergängen oder Ankunft an Flughäfen;
  • Autorisierung von In-App-Käufen per Fingerabdruck;
  • Anmeldung im eigenen Bankkonto über die Face ID oder auch
  • Installation und Nutzung von Sicherheitskameras im Rahmen der Verbrechensbekämpfung.

Hier stellt sich schnell die Frage, inwiefern eine Speicherung biometrischer Daten durch private Firmen, die nach den Grundsätzen der DSGVO eine Verarbeitung darstellt, überhaupt zulässig ist. Maßgeblich ist dafür der Schutzbereich der Datenschutzgrundverordnung..

Schützt die DSGVO auch biometrische Daten?

Dreh- und Angelpunkt für den Schutz von biometrischen Daten ist die Frage, wann die durch Art. 9 Abs. 2 DSGVO normierten Ausnahmetatbestände in Betracht kommen. Grundsätzlich gilt ein Verarbeitungsverbot. Damit ist es auch nicht zulässig, diese Daten zu speichern. 

Eine Ausnahme vom generellen Verarbeitungsverbot ist nach dem Wortlaut der Vorschrift aber dann gegeben, wenn:

  1. auf Seiten der Betroffenen eine eindeutige, freiwillige und informierte Einwilligung vorliegt, die die Verarbeitung der Daten erlaubt;
  2. die Verarbeitung notwendig wird, weil der Verantwortliche seinen arbeits- und sozialrechtlichen Pflichten nachkommt. Dazu zählt in der Praxis vor allem die Verarbeitung von Gesundheitsdaten, wenn sich Beschäftigte krankmelden;
  3. die Verarbeitung erforderlich ist, um lebenswichtige Interessen der Betroffenen oder anderer Personen zu schützen;
  4. die Daten selbst durch die Betroffenen öffentlich gemacht wurden;
  5. die Verarbeitung zur Geltendmachung, Ausübung oder zur Verteidigung von Rechtsansprüchen erforderlich ist oder bei Handlungen der Gerichte im Rahmen ihrer Tätigkeit;
  6. ein erhebliches öffentliches Interesse an der Verarbeitung besteht. 

Als sogenannte sensible personenbezogene Daten sind biometrische Daten besonders schutzwürdig. Demnach sind die strengen Anforderungen aus Art. 9 DSGVO uneingeschränkt anzuwenden, wenn es um die Verarbeitung jener Daten geht. Hier gilt die Faustregel: Liegt kein Erlaubnistatbestand nach Absatz 2 vor, ist die Verarbeitung in jedem Fall als unzulässig zu bewerten.

Schutz von biometrischen Daten im Arbeitsverhältnis

Besondere Brisanz erfährt der Schutz biometrischer Daten im Arbeitsverhältnis. Auch hier greifen die genannten Erlaubnistatbestände. Allerdings ist regelmäßig auf die Umstände im konkreten Einzelfall abzustellen und dabei vor allem auf die Frage, ob die Einwilligung durch die Beschäftigten tatsächlich das Merkmal der Freiwilligkeit erfüllt. Drohen den Beschäftigten arbeitsrechtliche Sanktionen, wenn eine Einwilligung verweigert wird, ist eine freiwillige Einwilligung nicht mehr gegeben. 

Wichtig zu wissen: Eine zwischen Betriebsrat und Unternehmen geschlossene Betriebsvereinbarung kann als rechtliche Grundlage für eine Datenverarbeitung dienen. Dies gilt auch dann, wenn sensible Daten nach Art. 9 Abs. 1 DSGVO aufseiten des Unternehmens für Zwecke des Beschäftigungsverhältnisses verarbeitet werden sollen. Die Interessen der Belegschaft an einem möglichst weitreichenden Datenschutz werden hierbei durch das Mitbestimmungsrecht des Betriebsrates in die Betriebsvereinbarung eingebracht.

Warum ist der Schutz biometrischer Daten besonders wichtig?

Biometrische Daten erlauben den Rückschluss und die Identifizierung von natürlichen Personen. Damit ist auch klar, dass – mehr noch als bei anderen personenbezogenen Daten – ein Schutzbedürfnis besteht. Besonders wichtig ist der Schutz von biometrischen Daten, da durch einen Missbrauch von biologischen Merkmalen im schlechtesten Fall sogar die eigene Identität gefährdet ist. Identitätsdiebstahl ist nur eine Möglichkeit, mit der Cyberkriminelle biometrische Daten nutzen, um Vermögens- oder Informationsvorteile zu erlangen. 

Ebenfalls bedeutend ist der Schutz von biometrischen Daten, wenn diese selbst als Sicherungsmaßnahme eingesetzt werden. Das ist beispielsweise beim Online-Banking der Fall, wenn dieses über Fingerabdruck-Scan zugänglich ist. Hier haben Sicherheitsprofis schon mehrfach gezeigt, dass Fingerabdrücke durch spezielle Apps sogar virtuell abgegriffen werden können oder der Abdruckscanner selbst gehackt werden kann.  

Problematisch ist dabei aber auch, dass biometrische Daten nur begrenzt veränderbar sind. Während bei Cyberangriffen die vollumfängliche Änderung von Passwörtern und Zugangsdaten fester Bestandteil von Gegenmaßnahmen ist, kann ein Fingerabdruck oder ein Gesichts-Scan nicht ohne weiteres geändert werden. Hacker können also auch künftig immer wieder darauf zurückgreifen und so Zugang zum jeweiligen System erlangen.

Wie sicher sind biometrische Daten?

Da biometrische Daten nicht nur von offiziellen Stellen, sondern auch durch Unternehmen erhoben und gesammelt werden, stellt sich zwingend die Frage nach der Sicherheit dieser Daten bei privaten Firmen. Das gilt vor allem vor dem Hintergrund möglicher Sicherheitslücken rund um biometrische Datenbanken. Die Bedrohungen für die IT-Sicherheit werden jährlich mehr – und gleichzeitig nimmt auch die Zahl von erfolgreichen Angriffen auf Unternehmen zu. 

Auf den ersten Blick scheinen biometrische Daten sicherer zu sein als herkömmliche Passwörter. Zum einen können die Daten nicht vergessen werden oder verloren gehen. Zum anderen ist es vergleichsweise schwieriger (aber nicht unmöglich!), in den Besitz dieser Daten zu gelangen. 

Schaut man genauer hin, ergeben sich aber auch rund um biometrische Daten typische Sicherheitsrisiken. Diese sind umso schwerwiegender, je größer die dahinterliegende Datenbank ist. Eine Sicherheit kann nur dann angenommen werden, wenn diese vollumfänglich gegen Angriffe von außen geschützt wird.

Wie lassen sich biometrische Verfahren datenschutzkonform durchführen?

Eine datenschutzkonforme Durchführung von biometrischen Verfahren setzt voraus, dass Risiken für die Rechte und Freiheiten der Betroffenen vermieden bzw. weitgehend reduziert werden. Zur Einschätzung der Risiken spielen lt. Empfehlung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (kurz: BfDI) folgende Fragen eine Rolle:

  1. Welche Schäden können durch eine Verarbeitung entstehen?
  2. Durch welches Ereignis kann es zu diesen Schäden kommen?
  3. Durch welche Umstände kann es zum Eintritt dieses Ereignisses kommen?

Darüber hinaus helfen die folgenden Tipps, um auch rund um biometrische Verfahren die Vorgaben des Datenschutzes vollumfänglich zu beachten:

  • Die Verarbeitung muss rechtmäßig erfolgen.
  • Die Verarbeitung folgt dem Erfordernis der Zweckbindung: Eine Verarbeitung zu anderen Zwecken ist unzulässig.
  • Der Grundsatz der Verhältnismäßigkeit wird durch die Verarbeitung gewahrt.
  • Das biometrische Verfahren ist geeignet, um die Richtigkeit und Qualität der biometrischen Daten zu gewährleisten.
  • Die durch die DSGVO normierten Betroffenenrechte sind uneingeschränkt garantiert. Dazu zählt insbesondere das Recht auf Korrektur oder das Recht auf Löschung.
  • Die technischen und organisatorischen Maßnahmen gewährleisten die Sicherheit der biometrischen Daten.

Bin ich zur Herausgabe biometrischer Daten gezwungen?

Die Erhebung biometrischer Daten ist in der Regel dort unumgänglich, wo staatliche Stellen diese vorsehen. Gab es beim Personalausweis beispielsweise zunächst noch eine Wahlmöglichkeit, gilt dort seit August 2021 eine Fingerabdruck-Pflicht. Gleiches gilt für Reisepässe, die ebenfalls verpflichtend einen Fingerabdruck vorsehen. 

Ebenfalls unumgänglich ist das Sammeln biometrischer Daten im Rahmen von Strafverfolgungs- und Ermittlungsverfahren sowie im Rahmen von staatlich angeordneten öffentlichen Überwachungen.

Fazit

Die Identifizierung und Authentifizierung von Menschen anhand biometrischer Merkmale bieten gegenüber der Nutzung von Passwörtern oder Authentifizierungs-Token große Vorteile – bringen aber auch viele Risiken mit sich. Je größer der Einsatz biometrischer Daten im Unternehmensumfeld wird, desto höher ist die Notwendigkeit einer datenschutzkonformen Verarbeitung und nicht zuletzt auch das Risiko, Opfer von Cyberattacken zu werden. 

Um dies zu verhindern, ist es wichtig, die eigenen Mitarbeitenden und Führungskräfte nachhaltig zu schulen. Mit unseren E-Learnings zu rechtlich-regulatorischen Themen lernen sie anhand einfach verständlicher Praxisbeispiele, die rechtlich-regulatorischen Herausforderungen der Digitalisierung und den Schutz personenbezogener Daten erfolgreich zu meistern. Sensibilisieren sie ihre Mitarbeitenden für die immer relevanter werdenden Bereiche Datenschutz, Compliance, IT-Sicherheit und Arbeitsschutz – und zwar im digitalen Format, welches sich flexibel im Arbeitsalltag einsetzen lässt. Somit werden alle Mitarbeitenden, aber auch das Unternehmen im Ganzen, fit für die digitale Zukunft.

04. November 2022
Daten verschlüsseln – wie geht das und was steckt dahinter?
07. Oktober 2022
Deepfake Phishing: neue Gefahren für Unternehmen und Organisationen
lawpilots GmbH hat 4,64 von 5 Sternen 2330 Bewertungen auf ProvenExpert.com