Seit August 2021 besteht die Pflicht, bei Beantragung eines neuen Personalausweises zwei Fingerabdrücke abzugeben. Abgesehen von rechtlichen Bedenken an der Regelung kam bei vielen ein gewisses Unbehagen auf ganz persönlicher Ebene auf, dass ohne konkreten Anlass biometrische Daten wie Fingerabdrücke Dritten zur Verfügung gestellt werden sollten.
Allerdings – tun wir das nicht bereits jeden Tag?
Biometrische Daten auf Smartphones
Kürzlich beschäftigte uns in der Beratungspraxis zunächst die ganz praktische Frage, wie eigentlich mit Fingerabdrücken und 2D/3D-Gesichtsscans umgegangen wird, die wir zum Entsperren von Smartphones verwenden – und in der Folge die Konsequenzen für die datenschutzrechtliche Beurteilung, wenn diese als Sicherheitsmaßnahme von Drittanbieter-Apps eingesetzt werden.
Die Funktion selbst hat mittlerweile alle modernen Smartphones erreicht: Anstatt einen Code oder ein Muster zum Entsperren des Geräts zu nutzen, können ein oder mehrere Fingerabrücke hinterlegt oder ein biometrischer Scan des eigenen Gesichts aufgenommen werden. Zunächst waren diese Möglichkeiten nur zum Entsperren oder zur Nutzung einiger nativer Funktionen der Betriebssysteme (beispielsweise zur Autorisierung von Zahlungen in den jeweiligen Stores) bestimmt. Mittlerweile bieten beispielsweise auch Banken und Zahlungsdienstleister oder Versicherungen als besonderes Sicherheitsfeature für ihre eigenen Apps an, dass anstelle des Logins per Passwort oder App-PIN die Fingerabdruck- oder Gesichtserkennungsfunktion des Telefons genutzt werden kann. Sogar beim Messenger-Dienst WhatsApp ist dieses Feature mittlerweile angekommen.
Kennt meine Bank eigentlich meinen Fingerabdruck?
Wie genau läuft aber diese Datenverarbeitung ab und wer ist Verantwortlicher? Um das herauszufinden, mussten wir uns zunächst näher mit den technischen Hintergründen der Smartphone-Hersteller selbst vertraut machen.
Es bestanden für beide großen Betriebssysteme gewisse Startschwierigkeiten in der sicheren Nutzung der biometrischen Funktionen: In 2015 wurde beispielsweise bekannt, dass auf bestimmten Android-Geräten vollständige Fingerabdrücke einfach als Bitmap-Dateien abgelegt wurden (und dementsprechend leichte Beute für Hacker darstellten).
Bei Android-Betriebssystemen gibt es laut Google mittlerweile aber Vorgaben für alle Hersteller, die das Operating System auf ihren Smartphones einsetzen, wie der Umgang mit Daten aus Fingerabdruckscans zu gestalten ist. Aufnahme und Erkennung des Fingerabdrucks haben danach in einem sog. Trusted Execution Environment (TEE) zu erfolgen und die Speicherung der Daten muss verschlüsselt innerhalb des Hardwaresensors oder zertifizierten Speichers stattfinden, um diese entsprechend zu sichern.
Als Apple in 2017 die Nutzung von Face ID für Drittanbieter-Apps öffnete, führte dies ebenfalls zunächst zu Bedenken. Es war unklar, ob der Schutz für Nutzer vor der Möglichkeit, dass App-Entwickler Zugriff auf deren biometrischen Gesichtserkennungsdaten nehmen konnten, von Apple ausreichend umgesetzt wurde (vgl. hier und hier).
Apple versichert mittlerweile, dass bei der Nutzung der Fingerabdruckfunktion „Touch ID“ keine Bilder, sondern lediglich mathematische Darstellungen der eigenen Fingerabdrücke gespeichert werden. Diese Daten sollen es technisch nicht zulassen, dass aus ihnen der echte Fingerabdruck rekonstruiert wird. Zudem soll auch das Betriebssystem selbst keinen Zugriff auf die Fingerabdruckdaten haben und keine Speicherung der Daten auf Apple Servern oder in der iCloud stattfinden. Stattdessen werden die Daten in der „Secure Enclave“, einem sog. System on Chip, gespeichert. Laut Angaben von Apple im sehr umfassenden Platform Security Guide aus 2021 (S. 20 & S. 27) soll jederzeit sichergestellt sein, dass an Drittanbieter-Apps lediglich die Mitteilung weitergegeben wird, dass eine Übereinstimmung vorlag, die Authentifizierung per biometrischem Verfahren also erfolgreich war. Es bestehe aber kein Zugriff auf Fingerabdruck- oder Gesichtserkennungsdaten selbst.
Konsequenzen für Drittanbieter-Apps
Nehmen wir aufgrund dieser Angaben also einmal optimistisch an, dass tatsächlich ein ausreichender technischer Schutz seitens der Smartphone-Hersteller geboten wird, um Zugriffe von App-Betreibern auf Fingerabdruck- und Gesichtserkennungsdaten zuverlässig auszuschließen. Gehen wir zudem davon aus, dass seitens der Nutzer gegenüber Google oder Apple jeweils wirksam nach Art. 9 Abs. 2 lit. a DSGVO in die Erhebung der biometrischen Daten i. S. d. Art. 4 Nr. 14 DSGVO eingewilligt wurde.
Trotzdem bleibt die Frage offen, ob zusätzlich auch durch die Drittanbieter, die für ihre Apps die Authentifizierungsfunktionen über Fingerabdruck oder Gesichtserkennung nutzen, biometrische Daten im Sinne des Art. 4 Nr. 14 DSGVO verarbeitet werden (und deshalb entsprechende Informationen erfolgen und Einwilligungen eingeholt werden müssten).
Was sind biometrische Daten?
Biometrische Daten werden in der DSGVO definiert als „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“.
Bei näherer Betrachtung von Erwägungsgründen und diversen Kommentierungen verfestigt sich der Eindruck: Schwerpunkt zur Beurteilung, ob es sich um eine Verarbeitung eines biometrischen Datums handelt, ist hier das Verfahren und dessen Zweck der eindeutigen Identifizierung einer Person, nicht unbedingt bzw. zumindest nicht ausschließlich das Datum selbst.
So heißt es in Erwägungsgrund 51 der DSGVO, dass „Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen“.
Nach Einschätzung in der Literatur (Taeger/Gabel/Arning/Rothkegel, 4. Aufl. 2022, DS-GVO Art. 4 Rn. 398; Kühling/Buchner/Weichert, 3. Aufl. 2020, DS-GVO Art. 4 Abs. 14 Rn. 9) kommt es für die Einordnung eines Datums als biometrisch i. S. d. Art. 4 Nr. 14 DSGVO zudem nicht darauf an, ob es sich um das Rohdatum selbst oder um ein sog. Template handelt, das verarbeitet wird. Ein Template wäre dabei z. B. die von Apple verwendete mathematische Darstellung eines Fingerabdrucks.
Entscheidend für die Drittanbieter ist nun, ob auch die gewissermaßen nächst-niederschwelligere Verarbeitungsform des von den Smartphoneherstellern erhobenen biometrischen Datums auch noch ein solches darstellt: Nämlich die technische Information, die an die jeweilige App mitgeteilt wird, dass das biometrische Authentifizierungsverfahren erfolgreich war, also die Identität durch das Smartphone bestätigt wird.
Es könnte sich in diesem Stadium auch nur noch um ein reines „elektronische[s] Identifizierungsverfahren mit digitalen Identifikatoren“ handeln, das nach Kühling/Buchner/Weichert (a. a. O.) gerade kein biometrisches Verfahren mehr darstellt. Ausschlaggebend dürfte die jeweils konkrete Art der an den Drittanbieter im Zuge der Authentifizierung übermittelten Information sein: Entspricht diese technisch eher einem Template, das noch bestimmte Merkmalsdaten enthält, oder eher einem digitalen Identifikator wie beispielsweise einer Device ID?
Im Fall von Apple handelt es sich um eine sog. „Boolean response“, die an die Drittanbieter-App übermittelt wird, also tatsächlich nur die Meldung true/false: Identifizierung erfolgreich/nicht erfolgreich. Hier könnte man mit guten Argumenten davon ausgehen, dass kein biometrisches Datum mehr durch den App-Betreiber verarbeitet wird.
Am wichtigsten: Transparente Information der App-Nutzer
Je nach der technischen Ausgestaltung kann man im Hinblick auf die Frage nach der Verarbeitung biometrischer Daten durch Drittanbieter sicherlich zu verschiedenen Ergebnissen kommen. Einige Punkte sollten aber in jedem Fall beachtet werden, wenn man sich als App-Betreiber entscheidet, biometrische Identifikationsverfahren zu nutzen:
- Neben der biometrischen Authentifizierung sollte ein alternatives Verfahren angeboten werden, um die Nutzung der App abzusichern – beispielsweise ein eigenes App-Passwort oder eine App-PIN – um die Freiwilligkeit der Nutzung biometrischer Verfahren zu gewährleisten. Zudem sollte direkt in der App die Option enthalten sein, nach Aktivierung der Nutzung biometrischer Verfahren diese auch wieder zu beenden und stattdessen Passwort oder PIN zu nutzen.
- Es sollte in den Datenschutzinformationen der App ein eindeutiger Hinweis auf die Verwendung biometrischer Authentifizierungsverfahren enthalten sein. Hier kann – sofern zutreffend – auch direkt klargestellt werden, dass der App-Betreiber über die Angabe zum Erfolg der Identifikation hinaus keine Daten vom Smartphone-Hersteller erhält. Es sollten in diesem Fall die entsprechenden Datenschutzinformationen von Apple / Google verlinkt werden, sodass Nutzer sich näher informieren können. An dieser Stelle kann zudem darauf hingewiesen werden, dass es sich um originäre Funktionalitäten des Smartphones handelt, die freiwillig auch für die Nutzung der jeweiligen App eingesetzt werden können.
- Rechtssicherste Option wäre es, wenn Nutzer vor Nutzung der biometrischen Authentifizierungsfunktionen in einem Pop-Up o. Ä. eine Checkbox anklicken müssten, in dem sie ihren Wunsch, diese Verfahren zu nutzen, bestätigen. Sofern seitens einer Aufsichtsbehörde in diesem Fall davon ausgegangen würde, dass es sich auch bei der technischen Information, ob die biometrische Identifikation erfolgreich war, selbst noch um ein biometrisches Datum handelt, läge auf diese Weise die erforderliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO vor und die Rechenschaftspflicht zu deren Dokumentation nach Art. 5 Abs. 2 DSGVO wäre zudem erfüllt.
T.H.
31. März 2022 @ 11:46
Ob ein Bild vom Fingerabdruck, oder nur eine mathematische Abstraktion davon (Stichwort Minutien) verwendet wird, ist im Bezug auf personenbezogene Daten rechtlich gesehen irrelevant. Beides wird als biometrisches Datum betrachtet. Dazu gab es 2020 ein Gerichtsurteil, wo es um die Zeiterfassung mittels Fingerabdruck ging: https://www.iww.de/quellenmaterial/id/217914
JKU
29. März 2022 @ 15:26
Biometrische Daten sind in Art. 4 Nr. 14 DSGVO legal definiert. Die Information, ob sich eine Person biometrisch authentifiziert hat oder nicht, unterfällt nicht dieser Legaldefinition. D.h. in die Verarbeitung im Handy muss eingewilligt werden. Die weitere Verarbeitung des personenbezogenen Datums „Authentifiziert ja/nein“ kann m.E. auf Art. 6 DSGVO gestützt werden.