INFORMATIONEN

Biometrische Daten und die DSGVO

Biometrische Daten sind eine besondere Art personenbezogener Daten, die unter die Datenschutz-Grundverordnung fallen. Wann können biometrische Daten ohne Einwilligung verarbeitet werden, und wann ist eine solche erforderlich?

Biometrische Daten beziehen sich auf physische Attribute und Persönlichkeitsmerkmale, die für jeden Menschen einzigartig sind. Sie gelten als personenbezogene Daten und fallen unter die Datenschutz-Grundverordnung, da sie die Identifizierung von Personen ermöglichen. Was müssen wir sonst noch über diese Daten wissen? Wann ist eine Zustimmung zur Verarbeitung dieser Daten erforderlich?

Biometrische Daten und Datenschutz

Biometrische Daten gehören zu den sogenannten besonders schutzwürdigen Kategorien personenbezogener Daten nach Art. 4 Nr. 13 und 14 DSGVO: Sie machen eine Person so eindeutig identifizierbar, dass der Schutzbedarf biometrischer Daten als außergewöhnlich hoch definiert wird (Verarbeitung besonderer Kategorien personenbezogener Daten).

Konkret bedeutet dies, dass die Verarbeitung biometrischer Daten gemäß Artikel 9 (1) der DSGVO verboten ist. Liegt jedoch ein Tatbestand nach Art. 9 Abs. 2 DS-GVO genannten Tatsachen vorliegen, die eine Verarbeitung im konkreten Fall erlauben, kann eine Ausnahme festgelegt werden. Der Artikel geht näher auf mögliche Ausnahmen von dieser Regel ein.

Was sind biometrische Daten?

Aber was genau sind biometrische Daten? In der Wissenschaft werden Instrumente zur Messung und Bewertung der körperlichen Merkmale von Menschen als „Biometrie“ bezeichnet. Biometrische Daten hingegen beziehen sich auf ganz bestimmte Merkmale, die verhaltensbezogen sein können (wie die eigene Stimme), aber meist physiologischer Natur sind, wie z. B.:

  • Fingerabdrücke.
  • Das Muster der Iris.
  • Gebiss.
  • Maße und Proportionen des Gesichts oder
  • Die Lage und Struktur der Venen unter der Haut.

    • Diese Informationen können zur Überprüfung oder Identifizierung einer Person verwendet werden:

  • Es wird festgestellt, ob eine Person diejenige ist, die sie vorgibt zu sein. Dies geschieht durch einen 1:1-Vergleich, z. B. durch die Betrachtung eines biometrischen Ausweises und der zu überprüfenden Person.
  • Wenn bei einer polizeilichen Untersuchung Fingerabdrücke abgenommen und mit der Datenbank verglichen werden, wird geprüft, ob die biometrischen Daten einer realen Person, deren biometrische Daten gespeichert sind, übereinstimmen (1:n-Abgleich).

    • Andererseits sind biometrische Daten nicht unfehlbar, da viele von ihnen manipuliert werden können. Make-up, Masken, Perücken, Tätowierungen, Tattoo-Entfernungen, Körpermodifikationen, Eingriffe oder Krankheiten können sich erheblich auf das Erscheinungsbild auswirken.

    Nur wenige biometrische Datenpunkte sind unveränderlich, wie z. B. die Venenerkennung, die die Lage und Verzweigung der Venen unter der menschlichen Haut bestimmt und eine genaue Identifizierung ermöglicht.

    Wann und wo werden biometrische Daten verarbeitet und wann nicht?

    Nur unter den folgenden Umständen dürfen biometrische Daten verarbeitet werden:

  • Die Verwendung biometrischer Daten bei der Verbrechensbekämpfung ist wohl die bekannteste. Die Verarbeitung ist zulässig, weil ein legitimes und zwingendes öffentliches Interesse besteht.
  • Die Verarbeitung kann auch aus gerichtlichen Gründen legitim sein, etwa um Ihnen die Durchsetzung eines bestehenden Rechtsanspruchs gegen jemanden zu ermöglichen (z. B. auf Schmerzensgeld).
  • Die Erfassung biometrischer Daten im Alltag, wie z.B. ein Fingerabdruck-Scan zur Zugangskontrolle, kann jedoch durchaus sinnvoll sein. Für solche arbeits- und sozialrechtlichen Erwägungen ist jedoch die ausdrückliche Zustimmung der betroffenen Person unerlässlich.
  • Schutz lebenswichtiger Interessen: z. B. Hilfe für ein bewusstloses Unfallopfer, das nicht in der Lage ist, zu gegebener Zeit seine Zustimmung zu geben.

    • Wichtig: Biometrische Daten werden von einigen Unternehmen zur Zugangsregulierung verwendet. Dabei werden Finger- oder Handflächenscans sowie Stimmenvergleiche eingesetzt. Diese können jedoch nur genutzt werden, wenn die Mitarbeiter dieser Form der Zugangsbeschränkung von sich aus zugestimmt haben.

    Die Zweckmäßigkeit und Verhältnismäßigkeit solcher Maßnahmen muss immer berücksichtigt werden. Der Schutz eines Cafés auf diese Weise ist selten sinnvoll, der Schutz einer Biowaffenanlage hingegen schon.

    Warum ist der Schutz biometrischer Daten so wichtig?

    Da die Erhebung und der Abgleich biometrischer Daten immer einen Eingriff in die Privatsphäre der Menschen bedeutet, ist der Schutz biometrischer Daten zu Recht unerlässlich. Am Beispiel der Massengesichtserkennung wird dies deutlich. Abgesehen vom Eingriff in die Privatsphäre birgt der automatische Abgleich biometrischer Daten eine Reihe von Gefahren: Selbst wenn sie automatisch durchgeführt werden, sind solche Vergleiche nicht fehlerfrei und können manchmal zu falschen Identifikationen führen (man spricht hier von der „False Acceptance Rate“ (FAR)).

    In anderen Fällen erkennen die Computer die biometrischen Daten nicht und lassen Verdächtige oder gesuchte Personen durch das (Fahndungs-)Raster schlüpfen, ein Phänomen, das als „False Rejection Rate“ (FRR) bekannt ist. Die Gesichtserkennung ist ein klarer Eingriff in die Privatsphäre der Betroffenen und sollte mit Vorsicht genossen werden, zumal die verwendeten Technologien häufig rassistische Tendenzen fortschreiben.

    Daher ist es wichtig, abzuwägen, welche Interessen bei der Erhebung und Verarbeitung biometrischer Daten wichtiger sind: die berechtigten Interessen der Betroffenen oder die berechtigten Interessen von Behörden und Unternehmen.