Anforderungen an ein biometrisches Authentifizierungssystem

Fachbeitrag

Ein Elektriker aus Neuseeland erhielt 23.200 Dollar Schadensersatz, nachdem er gefeuert wurde, weil er sich geweigert hatte, ein während seiner Abwesenheit durch seinen Arbeitgeber installiertes Gesichtserkennungssystem zu verwenden. Welche Regeln gelten eigentlich für biometrische Authentifizierungssysteme nach der DSGVO und dem BDSG?

Authentifizierungen spielen überall eine Rolle

Jeder kennt es: Möchte man etwas haben oder tun, muss man dafür häufig seine Berechtigung nachweisen. Will man bestimmte Gebäude betreten oder auf Systeme zugreifen, muss daher dem Inhaber nachgewiesen werden, hierzu berechtigt zu sein. Der Inhaber, gegenüber dem sich der Nutzer authentisieren muss, kann häufig auch der Nutzer selbst sein (etwa beim Entsperren des eigenen Smartphones).

Der „Beweis“, dass man auch tatsächlich der „Berechtigte“ ist, kann auf verschiedene Arten erbracht werden: Durch Wissen, durch Besitz oder aber durch persönliche Merkmale, sogenannte biometrische Merkmale.

Geben wir ein Passwort oder PIN in ein Smartphone ein, welches nur der Berechtigte kennt, gibt sich der Nutzer mit Eingabe dieser Daten als Berechtigter aus. Er authentisiert sich durch Wissen.

Im Arbeitsleben gibt man sich häufig mit einem Transponder an der Eingangstür als Berechtigter zu erkennen. Hier erfolgt die Authentifizierung durch Besitz.

Wird der Fingerabdrucksensor oder „Face Unlock“ am Smartphone genutzt, erfolgt die Ausweisung als Berechtigter durch ein oder mehrere persönliche (meistens physiologische) Merkmale, sog. biometrische Merkmale. Biometrische Zutritts- und Zugangskontrollen sind zweifellos ein Massenphänomen geworden. Dies dürfte mit einem wesentlichen Vorteil gegenüber den Authentifizierungsverfahren „Wissen“ und „Besitz“ zusammenhängen: Biometrische Authentifizierungsinformationen lassen sich nicht so leicht weitergeben oder stehlen.

Biometrie am Arbeitsplatz

Ein Abstempeln für den Kollegen an der Stechuhr ist bei einem biometrischen Zugangssystem nicht ohne weiteres möglich, es sei denn, man hat zufällig den Finger seines Kollegen zur Hand oder seine Iris, Netzhaut, Gesicht, Handgeometrie, Ohrenform, Körpergeruch, Stimme, Schweißporen, Venenstruktur etc. – je nachdem, was vom System gefordert wird. Dies dürfte dann wohl eher selten der Fall sein.

Dieser Vorteil einer biometrischen Authentifizierung geht jedoch mit Nachteilen einher:

Die biometrische Authentisierung ist aus datenschutzrechtlicher Perspektive im Vergleich zu den anderen Authentifizierungsverfahren deutlich eingriffsintensiver, was unter anderem dadurch zum Ausdruck kommt, dass die DSGVO in Art. 9 die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person zu den besonderen Datenkategorie zählt, womit biometrische Daten rechtlich denselben Schutz genießen wie die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit usw.

Über die eigentliche Verwendung zur Authentifizierung hinaus können biometrische Daten nämlich zweckfremd wiederverwendet und mit anderen Daten verknüpft werden. Sind die biometrischen Daten einmal im Umlauf, kann dies für den Betroffenen verheerende Folgen haben – Identitätsdiebstahl ist nur eine davon. Es besteht das grundsätzliche Problem, dass biometrische Daten in der Regel nicht ersetzbar sind. Gerät eine Zugangs-Pin unerlaubt in Umlauf, lässt sich schnell ein neuer Pin einrichten. Gerät ein digital abgespeicherter Fingerabdruck in Umlauf, hätte man nur noch 9 andere. Bei einer Gesichtserkennung wird ein Friseur-Besuch keinen „Reset“ darstellen.

Aufgrund dieser beispielhaften Risiken und der Einordnung unter Art. 9 DSGVO unterliegen biometrisches Authentifizierungssysteme datenschutzrechtlich strengerer Anforderungen als vergleichbare Systeme, die auf „Wissen“ und „Besitz“ basieren.

Datenschutzrechtliche Voraussetzungen im Einzelnen

Einwilligungen und Kollektivvereinbarungen

Biometrische Daten zur Authentifizierung zählen zu den besonderen Kategorien personenbezogener Daten gem. Art. 9 Abs.1 DSGVO. Die Verarbeitung dieser „sensitiver Daten“ im Beschäftigungsverhältnis wird nur unter den zusätzlichen Voraussetzungen des § 26 Abs.3 BDSG erlaubt sein. Da eine automatische Gesichtskontrolle oder ähnliche Datenerhebungen wohl kaum zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich sein dürfte, bliebe damit im Grunde nur die Einwilligung der Mitarbeiter (§ 26 Abs.3 S.2 BDSG).

Im Fall des neuseeländischen Elektrikers konnte von einer freiwilligen Einwilligung keine Rede gewesen sein.

Die Wirksamkeit einer Einwilligung kann auch dann in Frage gestellt werden, wenn es keine gültige Alternative, wie z.B. die Eingabe eines Kennwortes oder Verwendung eines Transponders oder einer Karte verfügbar ist. Bei der Implementierung auf der Grundlage einer Einwilligung müsste das System daher auch einen alternativen Betriebs-Modus bereitstellen, was mit einem zusätzlichen Aufwand verbunden wäre.

Auch gilt, je unverhältnismäßiger die vom Arbeitgeber durchgeführte Maßnahme, desto mehr wäre die Freiwilligkeit der Einwilligung in Zweifel zu ziehen.

Ein Berliner Arbeitsgericht hat vor wenigen Monaten festgestellt, dass das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen dürfte als bei einer angestrebten Zugangssicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden (ArbG Berlin, Urteil vom 16.10.2019 – 29 Ca 5451/19). Diese Erwägungen wurden durch das Gericht im Rahmen einer Erforderlichkeitsprüfung nach § 26 Abs.1 und Abs.3 BDSG getroffen, die mangels Vorliegen einer Einwilligung durchgeführt wurde; sie sollten jedoch auch bei der Prüfung der der Wirksamkeit einer Einwilligung gleichfalls Beachtung finden.

Neben der Einwilligung kommt grundsätzlich auch eine Betriebsvereinbarung gem. § 26 Abs.4 BDSG als Rechtsgrundlage für die Einführung und Nutzung des Biometrie-Systems in Betracht. In der Betriebsvereinbarung sollten nähere Bestimmungen zum Einsatz des Systems getroffen werden, die die Interessen des Arbeitgebers auf der einen und der Persönlichkeitsrechte der Beschäftigten auf der anderen Seite in Einklang bringen.

Ausreichende technische und organisatorische Maßnahmen

Der wirksamen Umsetzung ausreichender technischer und organisatorischer Maßnahmen nach Maßgabe von Art. 24, 32 DSGVO und § 26 Abs.3 S.2 i.Vm. § 22 Abs.2 BDSG kommt eine erhöhte Bedeutung zu. So sollte nach Möglichkeit keine zentrale Speicherung biometrischer Daten vorgenommen und auf die Speicherung von Rohdaten verzichtet werden.

Hier lassen sich kaum allgemeine Aussagen treffen, denn es wird immer auf die spezifischen Besonderheiten des jeweiligen Systems ankommen. Eine erste hilfreiche Anlaufstelle findet sich im Working Paper 80 der Artikel 29 Datenschutzgruppe, das zwar schon älter ist, aber bis heute gültige und sinnvolle Aussagen trifft. Beispielsweise, dass besagte Rohdaten meistens mehr Daten benötigen als für die Authentifizierung erforderlich und daher mit reduzierten Templates gearbeitet werden sollte und

„nicht benötigte Daten zu einem möglichst frühen Zeitpunkt vernichtet werden sollten“ (S.8).

Richtig, schon in diesem kurzen Satz schwingt ein anderer wichtiger Aspekt mit: Konkrete Löschregelungen zu den erhobenen biometrischen Daten dürfen nicht vergessen werden!

Datenschutz-Folgenabschätzung ein Muss

Zudem taucht die Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung gleich als Nr. 1 in der sog. DSFA-Liste der Aufsichtsbehörden gemäß Art. 35 Abs.4 DSGVO auf, womit regelmäßig vor Einführung eines solchen Authentifizierungssystems eine Datenschutz-Folgenabschätzung durchzuführen ist.

Betriebsrat ins Boot holen

Ein biometrisches Zutrittskontrollsystem löst zudem das Mitbestimmungsrecht des Betriebsrats gem. Art. 87 Abs.1 Nr.6 BetrVG aus.

Informationspflichten

Last but not least: Der Einsatz eines biometrischen Authentifizierungssystems begründet Informationspflichten gem. Artt. 12 bis 14 DSGVO gegenüber den Betroffenen.

Fazit: Biometrische Authentifizierungssystem sind kein Allheilmittel

Stellt man nun fest, wie leicht sich auch biometrische Verfahren im Zweifel austricksen lassen, bleibt nur die Feststellung: Biometrische Verfahren sind kein Allheilmittel und sie sind auch nicht die Lösung aller Sicherheitsfragen.

Der Planung und Pilotierung eines biometrischen Systems unter Einbeziehung des Datenschutzbeauftragten und des Betriebsraats kommt damit insgesamt eine hohe Bedeutung zu. Hierdurch kann schon zu Beginn ermittelt werden, ob das geplante biometrische Systeme tatsächlich erforderlich ist und die konkrete Umsetzung für den definierten Zweck praxistauglich ist. Zur Steigerung der Akzeptanz sollte der Betriebsrat frühzeitig eingebunden werden.

Unternehmen sind aufgrund des hohen Implementierungsaufwands daher angehalten, sorgfältig abwägen, ob die Einführung eines solchen Systems unter Berücksichtigung der Vorteile gegenüber „herkömmlichen“ Systemen tatsächlich sinnvoll ist. Handelt man hier unbedarft, wie der neuseeländische Arbeitgeber, kann einem das biometrische System schnell um die Ohren fliegen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutzberatung

2 Kommentare zu diesem Beitrag

  1. Ein interessanter Beitrag.
    Eines stört mich aber gewaltig, wo es heißt „…womit biometrische Daten rechtlich denselben Schutz genießen wie die rassische und ethnische Herkunft…“
    Es gibt keine menschlichen Rassen. Alle Menschen sind gleich.

    • Die Formulierung soll dies auch nicht insinuieren, sondern gibt lediglich den Gesetztestext des Art. 9 Abs. 1 DSGVO wieder. Demnach ist „die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, […] biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“ untersagt.

      Um diesem Missverständnis vorzubeugen, hat der Gesetzgeber ihren Gedanken im Erwägungsgrund 51 aufgegriffen: Diese personenbezogenen Daten sollten personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft hervorgeht, wobei die Verwendung des Begriffs „rassische Herkunft“ in dieser Verordnung nicht bedeutet, dass die Union Theorien, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen, gutheißt.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.