Biometrische Zutrittskontrollen: Tipps zum Datenschutz
Biometrische Daten werden für die Zugangs- und Zutrittskontrolle neben der Multi-Faktor-Authentifizierung (MFA) als Sicherheitsfaktor immer wichtiger. Hier sind Datenschutzbeauftragte gefragt. Denn biometrische Daten brauchen einen besonderen Schutz.
Wie helfen biometrische Daten der IT-Sicherheit?
Fingerabdruck, Iris-Scan oder Stimm-Erkennung sollen als biometrische Merkmale zum Beispiel Bezahlvorgänge, Anmelde-Verfahren oder Zutrittskontrollen sicherer machen. Betrachtet man die aktuelle Entwicklung auf dem Markt, finden sich zunehmend IT-Lösungen und IT-Services, die biometrische Verfahren nutzen.
Biometrie hilft somit in der IT-Sicherheit bei der Absicherung sensibler Daten und Zugänge. Auch bei der Zutrittskontrolle für sensible Bereiche wie ein Rechenzentrum kommen biometrische Faktoren zum Einsatz. So können Unternehmen zur Öffnung einer Tür neben Chipkarte und PIN-Eingabe auch einen Nachweis von Fingerabdruck oder Irismuster zur Identitätskontrolle verlangen.
Was sagt die DSGVO zur Biometrie?
Doch die biometrischen Daten sind selbst sensibel. Aus gutem Grund nennt die Datenschutz-Grundverordnung (DSGVO) „biometrische Daten“ ausdrücklich.
Die DSGVO definiert sie als „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“.
Für die DSGVO fallen biometrische Daten unter die besonderen Kategorien personenbezogener Daten. Art. 9 DSGVO macht Vorgaben, wann die Verarbeitung biometrischer Daten erlaubt sein kann.
Was empfehlen die Aufsichtsbehörden zu biometrischen Daten?
Die Aufsichtsbehörden für den Datenschutz haben sich in mehreren Veröffentlichungen mit Fragen der Biometrie befasst. Darunter in den folgenden Papieren der Datenschutzkonferenz (DSK):
- Positionspapier zur biometrischen Analyse, April 2019
- Entschließung „Einsatz von Videokameras zur biometrischen Gesichtserkennung birgt erhebliche Risiken“, März 2017
- Entschließung „Biometrische Gesichtserkennung durch Internetdienste – Nur mit Wahrung des Selbstbestimmungsrechts Betroffener!“, März 2014
Die Veröffentlichungen betrachten Einsatzmöglichkeiten wie
- hoheitliche Authentifizierungsverfahren,
- Reisepässe, Personalausweise,
- Aufenthaltstitel mit den biometrischen Charakteristika des Ausweisinhabers,
- staatliche Identifikationsverfahren wie den Abgleich von Täterfotos,
- die biometrische Zutritts- und Zugangskontrolle,
- die Mensch-Maschine-Interaktion und -Steuerung wie die Anpassung der Maschine an das Nutzerverhalten sowie
- Werbung, Marketing und Reichweitenmessung.
Was müssen DSB bzw. Verantwortliche vor Einführung einer biometrischen Zutrittskontrolle prüfen?
Zulässigkeit der Verarbeitung biometrischer Daten
Die DSGVO nennt in Artikel 9 als datenschutzrechtliche Voraussetzungen insbesondere:
- Die betroffene Person hat in die Verarbeitung für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt.
- Die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann.
- Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich, und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben.
Andernfalls gilt: „Die Verarbeitung von (…) biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person (…) ist untersagt.“
Will ein Unternehmen also biometrische Verfahren für die Zugangskontrolle oder Zutrittskontrolle einsetzen, muss es zuerst die datenschutzrechtlichen Voraussetzungen klären.
Neben der Zulässigkeit der Verarbeitung biometrischer Daten gilt es, die Schutzmaßnahmen und Risiken für die biometrischen Daten im Rahmen einer Datenschutz-Folgenabschätzung (DSFA) zu überprüfen.
Datenschutz-Folgenabschätzung und passende Sicherheitsmaßnahmen
Verfahren wie eine biometrische Zutrittskontrolle gehören zu den Verfahren, für die in aller Regel eine Datenschutz-Folgenabschätzung nötig ist, so die Aufsichtsbehörden in ihrer „Muss-Liste“.
Und auch wenn die Rechtsgrundlage für die Verarbeitung biometrischer Daten sichergestellt ist, müssen Verantwortliche die Risiken, die sie in der DSFA erkennen, mit angemessenen Schutzmaßnahmen beantworten.
Zu Recht erinnern die Aufsichtsbehörden daran, wie umfangreich ein biometrisches System ist. Dahinter stecken u.a.
- biometrische Erfassungsgeräte,
- die Verarbeitungslogik,
- Ausgabegeräte,
- eine Referenzdatenbank,
- die Berechtigungsdatenbank,
- Eingabeschnittstellen, Ausgabeschnittstellen, Wartungsschnittstellen,
- Verbindungen zwischen den Komponenten sowie
- Systembetreiber, Wartungsunternehmen, Hersteller und ggf. Stellen, die dem System Daten zur Verfügung stellen oder Daten daraus erhalten.
Für jede Komponente gilt es, die Risiken zu bestimmen und die passenden Sicherheitsmaßnahmen zu ergreifen.
Beachten Sie bei einer Datenschutz-Folgenabschätzung nicht nur für eine biometrische Zutrittskontrolle darüber hinaus:
- Da sich biometrische Daten für die Identifizierung von Personen nutzen lassen, bedeutet der Diebstahl und Missbrauch biometrischer Daten gleichzeitig, dass Identitätsdiebstahl und Identitätsmissbrauch möglich sind. So könnten Unbefugte in ein Gebäude gelangen, das über biometrische Zutrittskontrollen geschützt wird, oder sie könnten Zugang zu einem geschützten Smartphone erhalten, wenn es über einen biometrischen Zugangsschutz abgesichert wird.
- Werden biometrische Daten mit weiteren personenbezogenen Daten verknüpft, lassen sich die biometrischen Zutrittskontrollen und Zugangskontrollen dazu missbrauchen, heimlich Nutzerprofile anzulegen, zum Beispiel für die Verhaltenskontrolle von Beschäftigten.
- Da bei der Zutrittskontrolle Videoüberwachung eine große Rolle spielt und die biometrische Zutrittskontrolle darum ergänzt werden könnte, denken Sie daran, dass sich die Aufsichtsbehörden bereits kritisch zu der Kombination aus Biometrie und Videoüberwachung geäußert haben.
- Gerade in Verbindung einer Auswertung biometrischer Daten mittels Unterstützung durch KI (Künstliche Intelligenz) sind die rechtlichen Grenzen und Verbote zu beachten. So fordert zum Beispiel das EU-Parlament im Rahmen des sogenannten KI-Gesetzes (AI Act der EU) ein Verbot biometrischer Erkennungssysteme in Echtzeit in öffentlich zugänglichen Räumen.
Checkliste zur Prüfung biometrischer Zutrittskontrollen
Die folgenden Fragen helfen Ihnen dabei, die nötigen Prüfungen vor der Einführung von biometrischen Zutrittskontrollen durchzuführen:
- Wurde geprüft, ob eine Datenschutz-Folgenabschätzung erforderlich ist?
- Wurden die Funktionen des Systems ermittelt (z.B. mögliche Kombination aus Videoüberwachung und biometrischer Zutrittskontrolle)?
- Wurden die datenschutzrechtlichen Voraussetzungen für die Verarbeitung biometrischer Daten überprüft?
- Wurden der Umfang und Zweck der Datenerhebung geprüft?
- Findet keine Zweckänderung statt?
- Werden die Daten sicher gespeichert?
- Werden Datensicherheitsmaßnahmen gegen möglichen Missbrauch eingesetzt?
- Werden auch Zuverlässigkeit und Verfügbarkeit der Lösung hinterfragt?
- Werden mögliche Änderungen / Erweiterungen der Biometrie-Lösung vorab überprüft?
WICHTIG
Zu prüfen, ob ein Verantwortlicher z.B. für die Zutrittskontrolle biometrische Daten überhaupt verarbeiten darf, ob also eine Rechtsgrundlage vorhanden ist, ist wichtig – unerlässlich ist es aber auch, die biometrischen Daten vor Missbrauch und Ausspähung zu schützen.
Vielfach betrachtet die Biometrie-Diskussion nur den Teil, ob eine Einwilligung erforderlich ist, nicht aber die Fragen der Sicherheit. So kann Biometrie nur dann der Schlüssel zum Zutritt oder ein Passwortersatz sein, wenn auch die biometrischen Daten selbst sicher sind.