Biometrisches Ticketing verspricht eine bequeme und schnelle Methode, um Zutritt zu Veranstaltungen, öffentlichen Verkehrsmitteln oder anderen Bereichen zu gewähren. Durch den Einsatz von Fingerabdrücken, Gesichtserkennung oder Handflächenmustern soll das mühsame Hantieren mit physischen Tickets der Vergangenheit angehören. Doch wie viele personenbezogenen Daten müssen wir für diesen Komfort preisgeben? Und wie viel Datenschutz sind wir bereit, für mehr Bequemlichkeit zu opfern?
Der Inhalt im Überblick
- Was ist Biometrisches Ticketing?
- Gesichtserkennung an Eingängen (Go-Ahead-Entry-System)
- Fingerabdruck und handflächenbasiertes Ticketing
- Was kann biometrische Gesichtserkennung noch?
- Schön und gut, aber was ist mit dem Datenschutz?
- Was passiert bei den Olympischen Spielen in Paris?
- Ist es das Biometrische Ticketing nun wert?
Was ist Biometrisches Ticketing?
Biometrisches Ticketing ist eine Technologie, die biometrische Merkmale einer Person zur Identifizierung und Zugangskontrolle verwendet. Anstatt physische Tickets oder elektronische Tickets auf einem Smartphone vorzuzeigen, identifiziert das System den Nutzer anhand seiner biometrischen Daten, wie Fingerabdruck, Gesichtserkennung oder Iris-Scan.
Biometrisches Ticketing kann in verschiedenen Bereichen eingesetzt werden, darunter öffentlicher Nahverkehr wie Busse und Bahnen, Veranstaltungen wie Konzerte und Sportereignisse, Flughäfen im Boarding-Prozess sowie zur Zutrittskontrolle zu Gebäuden oder bestimmten Bereichen.
Das Biometrische Ticketing verspricht eine Vielzahl an Vorteilen. Nutzer müssen kein physisches Ticket oder Smartphone vorzeigen, was den Zugang zu Veranstaltungen, öffentlichen Verkehrsmitteln oder anderen Bereichen beschleunigt und vereinfacht. Ein 2023 durchgeführtes Go-Ahead-Entry-Pilotprojekt im Citizens Bank Ballpark in Philadelphia ergab, dass sich die biometrischen Warteschlangen um 68 % schneller bewegten und 2,5 Mal mehr Personen durchgelassen wurden als die schnellste Warteschlange mit physischen oder Smartphone-basierten Tickets. Zudem wird die Sicherheit durch biometrisches Ticketing erhöht, da biometrische Daten schwer zu fälschen sind, was auch das Risiko vermindert, dass Tickets verloren gehen oder gestohlen werden.
Gesichtserkennung an Eingängen (Go-Ahead-Entry-System)
Eine Methode des Biometrischen Ticketings ist das „Go-Ahead-Entry-System“. Diese Technologie wird an den Eingängen eines Veranstaltungsortes platziert und authentifiziert Gäste, indem eine Kamera das Gesicht des Gastes scannt und damit das Ticket identifiziert und verifiziert. Für diesen Vorgang benötigt der Gast eine App auf seinem Smartphone, mit der er ein Foto von seinem Gesicht erstellt. Dieses wird sodann in der Datenbank des Veranstalters gespeichert. Betritt der Gast am Tag der Veranstaltung das Gelände soll ein „hands-free“- Betreten ohne dass der Gast am Schalter angehalten wird oder sein Handy herausholen muss ermöglichen. So wird es bei Baseball-Spielen der MLB in den USA bereits praktiziert.
Bereits seit längerer Zeit in Gebrauch, aber nicht ganz unumstritten ist die Gesichtserkennung an Eingängen an Flughäfen. Ryanair hatte zuletzt Schlagzeilen gemacht, weil sie von Reisebüros forderte, Kunden mithilfe einer automatischen Gesichtserkennung und Ausweisdaten zu identifizieren. eu travel tech hat gegen dieses Vorgehen Beschwerden bei der französischen und belgischen Aufsichtsbehörde eingelegt. Der Verband bemängelte, dass
„dieses Verfahren nicht nur die Privatsphäre des Einzelnen [verletzt], sondern auch erhebliche rechtliche Bedenken im Sinne der Datenschutz-Grundverordnung (DSGVO) [aufwirft]“.
Fingerabdruck und handflächenbasiertes Ticketing
Fingerabdruck- und handflächenbasiertes Ticketing ist eine Form des biometrischen Ticketings, bei dem der Fingerabdruck oder die Handfläche eines Nutzers zur Identifikation und Zugangskontrolle verwendet wird. Hierfür wird ähnlich wie bei der Gesichtserkennung bereits bei Kauf des Tickets ein Fingerabdruck oder Handabdruck abgefragt, der dann später zur Verifizierung des Gastes genutzt wird.
Bei dieser Methode wird jedoch nicht per se der Fingerabdruck oder die Handfläche in der App gespeichert. Vielmehr wird anhand mancher physischen Merkmale des Fingers oder der Haut, ein Code erstellt. Scannt der Gast seinen Fingerabdruck oder seine Handfläche dann vor Ort, erstellt der Scanner abermals einen solchen Code anhand der physischen Merkmale und gleicht diesen dann mit der Datenbank ab.
Was kann biometrische Gesichtserkennung noch?
Im Vordergrund des Einsatzes solcher Technologien steht laut Entwickler immer das Klientenerlebnis. Bei Sportveranstaltungen soll die Biometrische Gesichtserkennung vor allem das Fanerlebnis verbessern. Mark Brubaker, der CEO der New York Mets, sieht erhebliche Potenziale bei dem Kauf von Speisen und Getränken, bei der Wegfindung zum Veranstaltungsort und auch auf dem Veranstaltungsgelände. So werden Fans, die ein Getränk kaufen wollen, an dem Getränkestand gescannt und einem bestimmten Account zugeordnet, über den die Zahlung abgewickelt wird. Die Biometrische Gesichtserkennung kann, laut Brubaker, die Veranstaltung für den Fan angenehmer und „spaßiger“ machen.
Biometrische Gesichtserkennung wird vor allem in den USA bereits bedenkenlos eingesetzt. Hier ist man traditionell eher auf den bestmöglichen Service, das Fanerlebnis und auf den Profit fokussiert – nicht allzu sehr auf den Schutz von personenbezogenen Daten. Und so überrascht es auch nicht, dass der CEO eines der größten Basketballteams der Welt den Einsatz von biometrischer Gesichtserkennung als „unvermeidlich“ bezeichnet.
Schön und gut, aber was ist mit dem Datenschutz?
Die Nutzung biometrischer Gesichtserkennungstechnologie wirft erhebliche datenschutzrechtliche Probleme auf. Im Folgenden werden die zentralen Probleme benannt und erläutert.
Gefahr von Massenüberwachung
Insbesondere im Kontext der Massenüberwachung. Ständige Überwachung beeinträchtigt die Privatsphäre und führt zu einem Gefühl der ständigen Beobachtung, was das Verhalten in der Öffentlichkeit verändert. In den Fällen der biometrischen Gesichtserkennung bei großen Veranstaltungen werden regelmäßig alle Personen zu jeder Zeit gefilmt. Schließlich müssen die Kameras jederzeit für eine Verifizierung oder einen Scan bereit sein. Ansonsten gebe es den Mehrwert durch eine schnelle Abwicklung nicht. Oftmals werden biometrische Daten dabei ohne Zustimmung oder ausreichende Information der Betroffenen erfasst, was gegen Art. 6 Abs. 1 lit. a und Art. 7 Abs. 1 und 4 DSGVO verstößt.
Speichern, aber bitte sicher!
Ein zentrales Problem ist die Speicherung der sensiblen biometrischen Daten. Nutzer der biometrischen Gesichtserkennung müssen ihre Daten bereits vor Veranstaltungsbeginn in der App hinterlegen. Fragen über die sichere Speicherung dieser Daten kommen dabei unweigerlich auf. Datenlecks können schwerwiegende und irreversible Folgen haben, da biometrische Merkmale nicht wie Passwörter geändert werden können. Unklare Aufbewahrungsfristen und unzureichende Sicherheitsmaßnahmen erhöhen das Risiko von Missbrauch. Zwar werben Anbieter von derartigen Technologien mit der Sicherheit der Datenverarbeitung, eine Garantie geben können sie ferner nicht und da es sich um sehr sensible Daten handelt, ist das potenzielle Level an Gefahr für den Betroffenen äußerst hoch.
Wo liegt der Mehrwert?
Man kann zudem hinterfragen, welchen Mehrwert diese neue Technologie in ihren derzeitigen Anwendungsfeldern wirklich hat. Sicherlich können ellenlange Warteschlangen vermieden werden, aber verbessert eine verminderte Wartezeit das Erlebnis derartig, dass man hierfür Fingerabdrücke an den Veranstalter schicken sollte? Und ist es für Gäste wirklich „unzumutbar“ bei dem Getränkekauf den Geldbeutel hervorzuholen, anstatt das Gesicht scannen zu lassen? Sicherlich sind solche kleinen Verbesserungen ein positiver Nebeneffekt bei Großveranstaltungen, aber „unvermeidlich“ ist diese Technologie bei weitem nicht.
Was passiert bei den Olympischen Spielen in Paris?
Nach dem Einzug von Biometrischem Ticketing in die großen Sportligen dieser Welt liegt es nah, dass auch die Olympischen Spiele 2024 in Paris von dieser Technologie Gebrauch machen könnten. Das weltweit größte (Gruppen-)Sportereignis erwartet traditionell große Mengen an Besuchern, die in kurzer Zeit sehr viele Veranstaltungen besuchen. Die französischen Behörden haben einen Einsatz von Biometrischem Ticketing jedoch ausgeschlossen.
Was hingegen eingesetzt werden soll, sind KI-gestützte Körperscanner. Diese werden als Überwachungstechnologie an Veranstaltungsorten sowie der Metro und anderen Transportmitteln eingesetzt werden, um verdächtige oder potenziell gefährliche Ereignisse wie Waffen, Feuer, Körper auf dem Boden, verlassene Pakete und abnormales Verhalten von Menschenmengen zu erkennen. Auch diese Technologie steht jedoch in der Kritik von Menschenrechtsorganisationen, die in dem Vorgehen eine potenzielle Massenüberwachung sehen.
Ist es das Biometrische Ticketing nun wert?
Ohne Zweifel ist die biometrische Gesichtserkennung ein immenser Schritt in der Digitalisierung. Der Einfluss auf große Veranstaltungen, die nun schneller und mehr Gäste abfertigen können, ist unbestritten. Auch Betrug und Missbrauch kann durch die „Einzigartigkeit“ der Ticketverifikation vorgebeugt werden.
Doch zu welchem Preis? Ist es fast alle biometrischen Daten wert, dass man bei der Einlasskontrolle sein Handy mit dem Ticket nicht mehr herausholen muss? Ist es fast alle biometrischen Daten wert, dass man beim Essen bestellen seine Geldbörse nicht suchen muss? Wahrscheinlich nicht, aber es wäre schön wenn man dies in Zukunft immer noch selber entscheiden könnte.
Update 26.07.2024:
Eine Diskussion über Fan-Tracking wurde jüngst auch bei der UEFA-Europameisterschaft in Deutschland geführt. Hier wurden über die ÖPNV-App der UEFA Standortdaten von Fans abgefragt und diese Daten derart verarbeitet, dass man auf einer Karte sehen konnte, welche Fans sich auf den Weg zur Arena machen. Grund für die Datenverarbeitung? Man wolle ein Auge und Ohr zu den Fans haben.
Dieses Tracking wurde von vielen Seiten kritisiert. Der Dachverband der Fanhilfen in Deutschland sah in diesem Vorgehen eine nicht zumutbare Überwachungsmaßnahme und forderte, dass gleichartige Apps nicht für den Liga- und Pokalbetrieb der DFL und des DFB verwendet würden. Die DFL erwiderte, dass es zumindest keine Bestrebungen zur Zentralisierung des Ticketings und des Trackings gibt. Man wolle den Vereinen jedoch die Freiheit geben, dies einsetzen zu können.
Die UEFA äußerte sich ebenfalls zu der Kritik und betonte, dass es keinen Zwang zur Datenweitergabe für die Fans gäbe. Es sei ferner möglich, die Weitergabe bei Installation der App zu verweigern. Zudem würden die Daten ausschließlich anonymisiert verarbeitet werden.
Der Bundesbeauftragte für Datenschutz sagte zu der Diskussion, dass die App nicht offiziell Teil des Sicherheitskonzeptes des Turniers gewesen ist und daher nicht datenschutzrechtlich geprüft wurde. Er fügte jedoch auch hinzu, dass er hier zumindest keinen „intensiven Grundrechtseingriff“ sehe.
MLB ist die Profilige des Baseball und nicht die des Hockeys, das ist die NHL
Sie schreiben: Auch Betrug und Missbrauch kann durch die „Einzigartigkeit“ der Ticketverifikation vorgebeugt werden. Hier „widerspreche“ ich deutlich! Betrug und Missbrauch der verarbeiteten biometrischen Daten werden sicher nicht lange auf sich warten lassen. Unbekannten Personen oder Firmen, am besten mit Sitz in den Vereinigten Statten KANN ich kein Vertrauen entgegen bringen. Dannn bleib ich halt zu Haus.
Klingt ja alles toll, aber was ist mit schwarzen Listen wenn jemand zB bei einer Bestellung regelmäßig zu lange braucht bis er sich entscheiden kann? oder sich ab und zu beschwert? Wird er dann automatisiert der „Slow Lane“ zugewiesen?
Wie leicht Körperscanner überlistet werden können ist auch hinreichend dokumentiert.
Vielen Dank für Ihren Kommentar! Bis jetzt ist noch nichts über ein Aussortieren von bestimmten Personen auf derartige Listen bekannt. Das von Ihnen beschriebene Szenario wäre in der Hinsicht problematisch, als dass es sich bei dem Identifizieren einer langsamen Person und der Zuordnung in eine andere Lane um eine automatisierte Entscheidung i.S.d. Art. 22 DSGVO handeln würde. Dieses Profiling gem. Art. 4 Nr. 4 DSGVO ist allerdings nur unter restriktiven Voraussetzungen erlaubt und wäre aus datenschutzrechtlicher Sicht in jedem Fall diskussionswürdig.