Zum Inhalt springen Zur Navigation springen
Biometrische Daten: Einsatzfälle, Risiken und Datenschutz

Biometrische Daten: Einsatzfälle, Risiken und Datenschutz

Artikel von Dr. Datenschutz·15. Oktober 2024

Der als Reaktion auf den Anschlag von Solingen veröffentlichte Gesetzentwurf des „Sicherheitspakets“ der Bundesregierung sieht weitreichende Befugnisse der Behörden zur Nutzung biometrischer Daten vor. Aus diesem Anlass erläutert der Beitrag, was biometrische Daten sind, wozu sie verwendet werden dürfen und wie ihr Schutz datenschutzrechtlich ausgestaltet ist.

Definition: Was sind biometrische Daten?

Die Biometrie nutzt einzigartige Merkmale von Lebewesen, um diese zu erkennen. Dazu werden die als einzigartig betrachteten Merkmale und Eigenschaften ausgewertet und die Ergebnisse meist digital gespeichert. Durch Vergleich der Parameter kann festgestellt werden, ob das Wesen das einzigartige Merkmal oder die einzigartige Eigenschaft besitzt.

Konsequent an diesen Nutzen anknüpfend definiert die DSGVO biometrische Daten als

Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer (.) Person, die die eindeutige Identifizierung (…) ermöglichen oder bestätigen (…) (Art. 4 Nr. 14 DSGVO).

Beispiele für biometrische Daten

Eine Vielzahl von Parametern können zur biometrischen Auswertung herangezogen werden. Beispiele hierfür sind:

  • die Geometrie des Gesichts und anderer Körperteile;
  • die Körpergröße;
  • die Klangfarbe der Stimme;
  • die Handschrift;
  • die Unterschrift oder
  • die Regenbogenhaut und der Augenhintergrund.
  • der Zahn- oder Gebissabdruck;
  • Der Fingerabdruck

Sind auch Fotos biometrische Daten?

Viele dieser Parameter erheben und verarbeiten wir auch im Alltag, zum Beispiel beim Fotografieren. Die DSGVO unterwirft Fotos jedoch grundsätzlich nicht den Regelungen für biometrische Daten,

da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichem (Erwägungsgrund 51 S. 3 DSGVO).

Heißt, neben der Einzgartigkeit des Parameters bedarf es der Absicht diesen zur Erkennung der Person auszuwerten.

Biometrische Daten als besonders sensible Daten nach DSGVO

Die Verarbeitung biometrischer Daten zur eindeutigen Erkennung einer Person ist nach Art. 9 Abs. 1 DSGVO prinzipiell verboten. Eine solche liegt vor, wenn der Zweck im Vordergrund steht, die Person zu erkennen. Deutlich spricht die englische Fassung der DSGVO, von „the purpose of uniquely identifying a (.) person“. Teils gibt es kontextual ferner Überschnedungen zu anderen zuordnenen sensiblen Inhalten nach Art. 9 Abs. 1 DSGVO, wie genetischen Daten.

Weiter einschränkend ist nach der Stellungnahme der DSK erforderlich, dass die Verarbeitung in besonders risikoreicher Weise erfolgt. Grundlage des erhöhten Risikos soll nach Auffassung der DSK der Einsatz automatisierter, Verfahren sein. Dem liegt die Überlegung zugrunde, dass nur im Rahmen solcher skalierbarer Verfahren ein erhöhtes Risiko besteht, zum gläsernen Bürger zu werden und daher von sensiblen Daten im Sinne des Art. 9 Abs. 1 DSGVO gesprochen werden könne.

Wozu wird Biometrie typischerweise eingesetzt?

Im Grunde kann Biometrie überall nützlich sein, wo es darum geht, eine bestimmte Person zuzuordnen oder zu erkennen. Grob unterteilt dienen die hierzu genutzten Verfahren entweder zur Verifikation oder Identifikation einer konkreten Person.

Während bei der Verifikation die Identität der Person im Voraus formal bekannt ist und das System nur die Eingabe mit dem hinterlegten biometrischen Parameter vergleicht („Bist du es“?), wird bei der Identifikation der Input einer unbekannten Person mit allen hinterlegten Parametern verglichen („Wer bist du“?). Typische Anwendungen für ersteres Verfahren sind Zugangssperren zu Ressourcen (Handys, Konten etc.), die über Gesichts-, Stimm- oder Fingerabdruckserkennung entsperrt werden. Zweitere Verfahren betreffen oft datenbanklastige Prozesse z.B. zum Gesichterabgleich aus öffentlichen Daten.

Wie funktioniert die biometrische Authentifizierung?

Bei biometrischen Identifikationsverfahren kann der Prozess noch feiner in zwei Schritte unterteilt werden: Authentisierung und Authentifizierung. Authentisierung beschreibt den ersten Schritt der Identifizierung einer Person durch die Vorlage von Informationen, die nur einer Person oder einem bestimmten Personenkreis bekannt sein bzw. vorliegen sollten, wie z.B. Benutzernamen, Passwörter oder Ausweise. Im zweiten Schritt werden die Informationen auf ihre Richtigkeit (Authentizität) überprüft. Abgesehen von technischen Spielereien basieren biometrische Identifikationsverfahren auf dem gleichen Prozess, mit dem Unterschied, dass die Datenqualität für die IT-Sicherheit eine größere Rolle spielt. Dies liegt daran, dass die biometrischen Merkmale als Muster nicht auf Gleichheit, sondern nur auf hinreichende Ähnlichkeit geprüft werden.

Welche Vorteile und welche Nachteile hat der Einsatz von Biometrie?

Der größte Vorteil biometrischer Verfahren dürfte darin liegen, dass sie bei ausreichender Datenqualität und IT-Sicherheit eine technisch hohe Reliabilität und Validität aufweisen können. Auch das lästige Merken von Passwörtern kann teilweise entfallen.

Allerdings sind diese Daten und damit die geschützten Systeme teilweise auch schlechter vor unberechtigtem Zugriff geschützt. So kann z.B. ein Fingerabdruck schnell von der Oberfläche entfernt oder ein Foto unbemerkt aufgenommen werden. Geschieht dies, ist das biometrische Datum IT-sicherheitstechnisch irreversibel „verbrannt“.

IT-Sicherheit: Biometrische Daten dem Risiko nach schützen

Daher schätzen auch die DSK und das BSI in diesem Fall die Gefährdung des biometrisch geschützten Systems und das Schadensausmaß eher hoch ein. Insofern verwundert es nicht, dass beide strikt hohe Anforderungen an die TOM stellen, ohne jedoch aufgrund der Vielfalt der Verfahren schematische Vorgaben zu machen. Orientiert man sich daher hilfsweise am Standard-Datenschutzmodell, so ist jede TOM daraufhin zu prüfen, inwieweit sie folgende Aspekte verwirklicht

  • Datenminimierung,
  • Verfügbarkeit,
  • Integrität,
  • Vertraulichkeit,
  • Nichtverkettung
  • Transparenz und
  • Intervenierbarkeit

Heißt z.B. für Rechte und Rollenkonzepte, dass sie gemessen am Stand der Technik technisch und rechtlich erweislich verfügbar, integer, vertraulich, nichtverkettbar, transparent und intervenierbar ausgestaltet werden sollten.

Biometrie im Wechselspiel zwischen Recht und Technik!

Die Verwendung biometrischer Daten zur Identifizierung von Personen durch private und staatliche Akteure hat sich in vielen Bereichen etabliert. So kann der Fingerabdruck bei vielen Mobiltelefonen als Passcode verwendet werden, und der Staat nutzt biometrische Fotos für Personalausweise. Es ist davon auszugehen, dass solche Verfahren insbesondere in Verbindung mit dem Einsatz von KI weiter, wenn nicht sogar verstärkt, eingesetzt werden. Insofern gilt es, den Stand der Technik im Auge zu behalten, an dem sich das Recht zu orientieren hat. Dies gilt nicht nur für den Gesetzentwurf der Bundesregierung, sondern überall dort, wo Biometrie digital genutzt werden soll.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.