Die Biometrie spielt neben der passwortbasierten Authentifizierung bei Online-Dienste eine immer größere Rolle. Wir haben uns mit diesem Phänomen bereits an mehreren Stelle befasst. Aber wie ist es um den Datenschutz bestellt, wenn man sich z.B. mittels einer Iris- oder Gesichtserkennung bei Amazon anmeldet?

Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation unter Leitung der Berliner Beauftragten für Datenschutz und Informationssicherheit hat im November 2016 ein Arbeitspapier zur Biometrie in der Online-Authentifizierung und zu deren Auswirkungen auf die Privatsphäre veröffentlicht.

Um dem Datenschutz und der Datensicherheit gerecht zu werden, bedarf es einer Zugangskontrolle (Identifikation, Authentifizierung und Autorisierung), damit nur berechtigte Nutzer Zugang zu IT-Systemen mitsamt den dort gespeicherten Daten erhalten. Wie so oft im Datenschutzrecht, muss allerdings zunächst der Sicherheitsaspekt gegenüber der Privatsphäre abgewogen werden. Jede für eine bestimmte Aufgabe gewählte Authentifizierungsmethode wirkt sich auf das System wie auch auf die Privatsphäre der Nutzer aus.

Um Mängel der passwortbasierten Authentifizierung zu beheben, wird diese vermehrt durch eine sogenannte mehrstufige Authentifizierung ergänzt. Als biometrische Erkennungsdaten können dies – wie bereits von Mastercard angekündigt – demnächst in einigen europäischen Ländern Selfies oder Fingerabdrücke bei Online-Bezahlvorgängen sein. Amazon hat bereits ähnliche Pläne verlautbaren lassen.

Wird eine Datenschutz-Folgenabschätzung erforderlich?

Wichtig – insbesondere vor dem Hintergrund der im Mai 2018 in Kraft tretenden Datenschutz-Grundverordnung (DSGVO) – ist die Dokumentation biometrischer Faktoren bei der Online-Authentifizierung in einer Datenschutz-Folgeabschätzung gem. Art. 35 DSGVO. Dort heißt es in Art. 35 Abs. 3 a) DSGVO:

„Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; …“

Die Vorschrift belässt den Aufsichtsbehörden einen Ermessensspielraum, wann die Unternehmen zu einer Datenschutz-Folgeabschätzung verpflichtet sind. Daher verweist die Arbeitsgruppe in ihrem Papier auf Datenschutzrisiken, die bei der biometrischen Online-Authentifizierung gegeneinander abzuwägen sind. Eine Gesichtserkennung kann bei Personen ohne deren Kenntnis vorgenommen werden, während ein Fingerabdruck nur aktiv von der beteiligten Person erbracht werden kann. Im letzteren Fall wäre das Datenschutzrisiko im Rahmen der Datenschutz-Folgeabschätzung als geringer einzustufen.

Nicht vernachlässigen sollte man auch die Tatsache, dass biometrische Daten im Gegensatz zu Passwörtern keine Geheimnisse darstellen und nicht verändert oder widerrufen werden können. Die Aufnahme einer Stimme oder eines Gesichts lässt sich – wie dies auch die Arbeitsgruppe zum Datenschutz in der Telekommunikation festgestellt hat – schwerlich verhindern. Nicht zuletzt trifft ein biometrisches System nur eine Wahrscheinlichkeitsaussage zur Authentifizierung, deren Qualität Schwankungen unterliegt.

Die Arbeitsgruppe hält darüber hinaus eine gesetzliche Regelung für den Einsatz biometrischer Systeme für erforderlich, um den spezifischen Datenschutzrisiken gerecht zu werden. Die biometrischen Systeme sollten von den Herstellern u.a. so gestaltet werden, dass die biometrischen Rohdaten nach Generierung der biometrischen Templates gelöscht werden. Ebenso sollten die Templates nicht in zentralen Datenbanken, sondern nur lokal gespeichert werden. Hervorgehoben wird außerdem, dass die Nutzer nicht zur Verwendung eines bestimmten biometrischen Systems gezwungen werden, sondern die für sie passende Authentifizierungsmethode selbst wählen können.

Fazit

Für den Einsatz einer biometrischen Authentifizierung sind, abhängig von der technischen Entwicklung vielfältige Szenarien vorstellbar. Was die Vereinbarkeit des Datenschutzes mit der Datensicherheit angeht, so bleibt abzuwarten, wie sich die Aufsichtsbehörden ab Mai 2018 zur Erforderlichkeit einer Datenschutzfolgeabschätzung nach Art. 35 DSGVO positionieren werden. Insbesondere für eine Authentifizierung durch eine Gesichtserkennung sollte es eine eindeutige gesetzliche Regelung geben, die auch Aussagen zur Speicherfrist der erhobenen Daten und zu einer etwaigen Datenweitergabe an Dritte trifft.

Die relativ allgemein gefasste Regelung des Art. 35 Abs. 3 DSGVO hilft für die rechtliche Bewertung biometrischer Systeme an dieser Stelle nur bedingt weiter. Zu groß wäre das Risiko, dass sich aufgrund einer unterschiedlichen Aufsichtspraxis der europäischen Datenschutzbehörden zu Art. 35 DSGVO ein unterschiedlicher Datenschutzstandard bei internationalen Online-Diensten entwickelt. Hier wäre ein konzertiertes Vorgehen der europäischen Aufsichtsbehörden im Sinne der Rechtssicherheit und Transparenz wünschenswert.

Wir halten Sie auf jeden Fall gerne über die weitere rechtliche Entwicklung zum Einsatz biometrischer Systeme auf dem Laufenden.