Biometrie und Datenschutz | Die Landesbeauftragte für den Datenschutz Niedersachsen
  • AA

Biometrie und Datenschutz

Der Begriff Biometrie ist griechischen Ursprungs und leitet sich aus den Worten bios (= Leben) und metrein (= messen) her. Heutzutage bezeichnet Biometrie die Wissenschaft der Körpermessung am Lebewesen. Biometrische Verfahren nutzen physiologische Charakteristika (Fingerabdruck, Gesicht, Muster der Iris) oder verhaltensbedingte Merkmale (Schreibverhalten, Lippenbewegung, Stimme) zum Zweck der Identifikation einer Person. Dazu werden bei erstmaliger Aufnahme in ein biometrisches Verfahren (so genanntes Einlernen oder Enrolment) ausgewählte Merkmale der betroffenen Person vermessen und mittels eines Algorithmus in einen Datensatz (so genanntes Template) umgewandelt. Bei Kontrollen werden die aktuell präsentierten und errechneten Messwerte mit dem gespeicherten Datensatz verglichen.

Arten der Erkennung

Grundsätzlich kann zwischen zwei Arten der biometrischen Erkennung, die jeweils einen anderen Zweck verfolgen, unterschieden werden: zum einen die Personenverifikation und zum anderen die Personenidentifikation.
Bei der Verifikation wird lediglich die Identität einer Person bestätigt, also geprüft, ob es sich bei einer Person um diejenige handelt, für die sie sich ausgibt. Dafür ist es zunächst erforderlich, dass sich die zu überprüfende Person gegenüber dem Verfahren zu erkennen gibt, etwa durch eine Benutzerkennung, ein Passwort oder einen Ausweis. Der Abgleich der Daten geschieht dann zwischen den aktuell errechneten Messwerten und dem zuvor im System zentral oder auf einem Speichermedium abgelegten Datensatz. Es erfolgt also ein 1:1-Vergleich, dessen Ergebnis entweder die Bestätigung der Identität oder aber deren Nichtbestätigung sein kann.
Bei der Identifikation hingegen wird die Frage geklärt, um welche Person es sich handelt. Die aktuell errechneten Daten werden dabei mit allen im System gespeicherten Messwerten abgeglichen. Die überprüfte Person wird dann als dasjenige Individuum identifiziert, dessen Referenzdatensatz mit den aktuellen Messwerten übereinstimmt. Es erfolgt daher ein 1:n-Vergleich, der zwingend voraussetzt, dass die Daten aller Nutzer in einer zentralen Datenbank gespeichert werden. Das Ergebnis der Überprüfung ist die Ausgabe des Namens, der Nutzerkennung o.ä. der betroffenen Person.

Mögliche Anwendungsfälle der Biometrie sind die Zugangssicherung von Rechenzentren, Haustüren, Autos, Bankautomaten etc. bzw. die Zugriffsberechtigung zum PC oder zum Internetbanking. Aktuell wird das Thema beherrscht von der Debatte um die Einführung biometrischer Ausweisdokumente (Reisepass und Personalausweis). Während es in letzterem Fall um eine Verifikation der Identität einer Person geht, ist es hingegen möglich, die Biometrie gestützte Identifikation für das automatische Erkennen gesuchter Personen einzusetzen.

Allerdings bietet auch die moderne Biometrie keine absolute Erkennungssicherheit. Messfehler können durch altersbedingte Veränderung der körperlichen Merkmale, aber auch äußere Einflüsse wie Verletzung, Krankheiten oder Änderung der Frisur auftreten. Dabei kann es zu zwei verschiedenen Fehlerraten kommen. Die "False Rejection Rate" (FRR) bezeichnet prozentual die Anzahl der Personen, die vom System fälschlicherweise zurückgewiesen werden. Die "False Acceptance Rate" (FAR) dagegen gibt Aufschluss über die Prozentzahl der Personen, die das System fälschlicherweise für eine andere erkennt und zulässt.

Zudem kommt es vor, dass Personen das in einem biometrischen Identifikationsverfahren verwendete Merkmal nicht besitzen (z.B. aufgrund von Erkrankungen oder Behinderungen) bzw. das Merkmal so gering ausgeprägt ist, dass es das System nicht mathematisch erfassen kann. Diese als "failure to enrol rate" (FER) bezeichnete Messfehlerrate zeigt daher an, welcher Prozentsatz an Personen nicht in das System eingelernt werden kann. Die verschiedenen biometrischen Verfahren wie Gesichtserkennung, Fingerabdruck, Handgeometrie oder Iriserkennung haben dabei jeweils ihre Vor- und Nachteile bezogen auf Erkennungsleistung, Praxistauglichkeit, Fehleranfälligkeit, Überwindungssicherheit und Bedienerfreundlichkeit.

Datenschutzrechtliche Relevanz

Aus Datenschutzsicht sind biometrische Verfahren deshalb so interessant, weil es sich bei den biometrischen Daten um personenbezogene Daten, zumindest aber um personenbeziehbare Daten handelt, die bestimmten natürlichen Personen zugeordnet werden können, mit der Konsequenz, dass die datenschutzrechtlichen Regelungen Anwendung finden. Mithin ist eine Erhebung, Speicherung und Verarbeitung von biometrischen Daten nur zulässig, wenn entweder eine gesetzliche Grundlage oder eine freiwillige und informierte Einwilligung des Betroffenen vorliegt, (vgl. § 4 Abs. 1 BDSG bzw. § 4 Abs. 1 NDSG). Des weiteren müssen die datenschutzrechtlichen Prinzipien beachtet werden. Nach dem Grundsatz der Erforderlichkeit, ergänzt durch die Grundsätze der Datenvermeidung und Datensparsamkeit (§ 3a BDSG bzw. § 9 NDSG) muss die Datenerhebung und -verarbeitung auf das notwendige Minimum beschränkt werden. So dürfte es bei den meisten Zugangsberechtigungssystemen nicht erforderlich sein, die anfallenden Ablaufdaten zu speichern. Eventuell notwendige Protokolldateien sind schnellstmöglich zu löschen. Nach dem Grundsatz der Zweckbindung (§ 14 BDSG und § 10 NDSG) dürfen biometrische Daten nur für den Zweck verwendet werden, zu dem sie erhoben worden sind, also beispielsweise für die Zugangskontrolle. Nicht zulässig ohne erneute Einwilligung wäre eine Nutzung für weitere Zwecke wie beispielsweise die Nutzung der für die Zugangsberechtigung erhobenen Daten für eine Überwachung auf dem gesamten betroffenen Gelände. Der Grundsatz der Direkterhebung erfordert zudem, dass die biometrischen Daten bei der Person selbst und mit deren Kenntnis, ggf. deren Mitwirkung zu erheben sind. Eine unbemerkte Erfassung der biometrischen Daten ist ohne gesetzliche Grundlage bzw. Einwilligung des Betroffenen unzulässig. Schließlich enthalten § 9 BDSG sowie § 7 NDSG die Forderung nach Systemdatenschutz. Durch technisch-organisatorische Maßnahmen sind im konkreten Einsatzfall durch ein zuvor zu erstellendes Konzept der Datenschutz und die Datensicherheit zu gewährleisten.

Gefährdungen begegnen

Möglichen Gefährdungen durch den Einsatz von Biometrie kann durch geeignete Gestaltung der Verfahren wirksam begegnet werden. So lassen sich systembedingt aus Rohdaten der Biometrie über den eigentlichen Verwendungszweck hinaus weitere Rückschlüsse auf persönliche Merkmale und Eigenschaften ziehen. Zum Beispiel kann aus dem Augenhintergrund auf Krankheiten wie Diabetes oder Bluthochdruck geschlossen werden. Die Datenschutzbeauftragten setzen sich daher dafür ein, dass beim Einsatz von Biometrie ausschließlich auf mathematische Komprimate (Templates) zurückgegriffen werden darf, um den Zugang zu derartigen überschießenden Informationen aus Rohdaten und einen eventuellen Missbrauch zu vermeiden. Die datenschutzrechtliche Bewertung der Biometrie hängt auch in großem Umfang vom Einsatzzweck und von der technischen Ausgestaltung des Verfahrens ab. Datenschutzprobleme entfallen weitgehend, wenn auf eine zentrale Speicherung verzichtet wird und die Betroffenen das Speichermedium der biometrischen Merkmale, z.B. eine Chipkarte, selbst verwalten. Denn die zentrale Speicherung birgt ein erhebliches Missbrauchs- und Schadenspotential, wenn etwa durch Hacking Daten in die Hände Unbefugter gelangen. Sollten Referenzdaten dennoch aus zwingenden Gründen zentral gespeichert werden, müssen die Zugriffsberechtigungen eindeutig festgelegt und verlässliche Sicherungsmechanismen nach dem aktuellen Stand der Technik (z. B. durch sichere Verschlüsselung oder Codierung/ Signatur) definiert und umgesetzt werden. Beim Einsatz biometrischer Auswertungsprogramme besteht außerdem die Gefahr, dass eine automatisierte Identifikation ohne Kenntnis der Betroffenen durchgeführt wird und dass daraus Bewegungs- und Verhaltensprofile gebildet werden. Diese Gefahr besteht insbesondere bei der Beobachtung öffentlicher oder privater Plätze unter Nutzung von Videotechnik, die mit einem biometrischen Erkennungssystem gekoppelt ist. Zudem sollten nur die personenbezogenen Daten weitergegeben werden, die zum eindeutigen Identifizieren erforderlich und von den Kommunikationspartnern autorisiert worden sind. Mit heutiger Technik lassen sich bereits Ausweise realisieren, die eine Überprüfung zulassen, ohne die Identität des Betroffenen zu offenbaren. Denkbare Einsatzfelder für derartige pseudonyme Nutzung sind eCommerce und eGovernment. Abschließend ist darauf hinzuweisen, dass die Einführung biometrischer Verfahren am Arbeitsplatz, beispielsweise als Zutrittskontrolle oder Zugriffberechtigung zum Arbeitsplatz-PC nicht nur der Einwilligung der Betroffenen bedarf, sondern auch mitbestimmungspflichtig nach dem BetrVG bzw. PersVG ist.

Anforderungen an die datenschutzfreundliche Gestaltung

Die Anforderungen an die datenschutzfreundliche Gestaltung biometrischer Verfahren lassen sich daher wie folgt zusammenfassen:

  • Keine Verwendung von Rohdaten, sondern Schrumpfung zu Referenzdaten (Templates), um Überschussinformationen auszuschließen,
  • Wahl von Verfahren, die eine aktive Mitwirkung des Nutzers erfordern und eine unbemerkte Erfassung ausschließen,
  • Dezentrale Speicherung der Templates, möglichst in der alleinigen Verfügungsgewalt des Nutzers (z.B. Chipkarte) vorzugswürdig gegenüber zentraler Speicherung in einer Datei,
  • Schutz der biometrischen Daten vor unbefugter Kenntnisnahme,
  • Einsatz von Verschlüsselung,
  • Transparenz der Verfahren und der Sicherheitsmechanismen.

Wenn die genannten datenschutzrechtlichen Rahmenbedingungen eingehalten werden, wird der Einsatz biometrischer Verfahren nicht zu einer Gefahr für das Recht auf informationelle Selbstbestimmung, sondern trägt im Gegenteil zu einer Erhöhung der Datensicherheit durch eine unmittelbare und echte Verifikation bzw. Authentifizierung bei.



Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon 0511 120-4500
Fax 0511 120-4599
E-Mail an Ansprechpartner schreiben

zum Seitenanfang
zur mobilen Ansicht wechseln