Biometrische Daten sind eine besondere Art personenbezogener Daten, die unter die Datenschutz-Grundverordnung fallen. Wann können biometrische Daten ohne Einwilligung verarbeitet werden, und wann ist eine solche erforderlich?
Biometrische Daten beziehen sich auf physische Attribute und Persönlichkeitsmerkmale, die für jeden Menschen einzigartig sind. Sie gelten als personenbezogene Daten und fallen unter die Datenschutz-Grundverordnung, da sie die Identifizierung von Personen ermöglichen. Was müssen wir sonst noch über diese Daten wissen? Wann ist eine Zustimmung zur Verarbeitung dieser Daten erforderlich?
Biometrische Daten und Datenschutz
Biometrische Daten gehören zu den sogenannten besonders schutzwürdigen Kategorien personenbezogener Daten nach Art. 4 Nr. 13 und 14 DSGVO: Sie machen eine Person so eindeutig identifizierbar, dass der Schutzbedarf biometrischer Daten als außergewöhnlich hoch definiert wird (Verarbeitung besonderer Kategorien personenbezogener Daten).
Konkret bedeutet dies, dass die Verarbeitung biometrischer Daten gemäß Artikel 9 (1) der DSGVO verboten ist. Liegt jedoch ein Tatbestand nach Art. 9 Abs. 2 DS-GVO genannten Tatsachen vorliegen, die eine Verarbeitung im konkreten Fall erlauben, kann eine Ausnahme festgelegt werden. Der Artikel geht näher auf mögliche Ausnahmen von dieser Regel ein.
Was sind biometrische Daten?
Aber was genau sind biometrische Daten? In der Wissenschaft werden Instrumente zur Messung und Bewertung der körperlichen Merkmale von Menschen als „Biometrie“ bezeichnet. Biometrische Daten hingegen beziehen sich auf ganz bestimmte Merkmale, die verhaltensbezogen sein können (wie die eigene Stimme), aber meist physiologischer Natur sind, wie z. B.:
Diese Informationen können zur Überprüfung oder Identifizierung einer Person verwendet werden:
Andererseits sind biometrische Daten nicht unfehlbar, da viele von ihnen manipuliert werden können. Make-up, Masken, Perücken, Tätowierungen, Tattoo-Entfernungen, Körpermodifikationen, Eingriffe oder Krankheiten können sich erheblich auf das Erscheinungsbild auswirken.
Nur wenige biometrische Datenpunkte sind unveränderlich, wie z. B. die Venenerkennung, die die Lage und Verzweigung der Venen unter der menschlichen Haut bestimmt und eine genaue Identifizierung ermöglicht.
Wann und wo werden biometrische Daten verarbeitet und wann nicht?
Nur unter den folgenden Umständen dürfen biometrische Daten verarbeitet werden:
Wichtig: Biometrische Daten werden von einigen Unternehmen zur Zugangsregulierung verwendet. Dabei werden Finger- oder Handflächenscans sowie Stimmenvergleiche eingesetzt. Diese können jedoch nur genutzt werden, wenn die Mitarbeiter dieser Form der Zugangsbeschränkung von sich aus zugestimmt haben.
Die Zweckmäßigkeit und Verhältnismäßigkeit solcher Maßnahmen muss immer berücksichtigt werden. Der Schutz eines Cafés auf diese Weise ist selten sinnvoll, der Schutz einer Biowaffenanlage hingegen schon.
Warum ist der Schutz biometrischer Daten so wichtig?
Da die Erhebung und der Abgleich biometrischer Daten immer einen Eingriff in die Privatsphäre der Menschen bedeutet, ist der Schutz biometrischer Daten zu Recht unerlässlich. Am Beispiel der Massengesichtserkennung wird dies deutlich. Abgesehen vom Eingriff in die Privatsphäre birgt der automatische Abgleich biometrischer Daten eine Reihe von Gefahren: Selbst wenn sie automatisch durchgeführt werden, sind solche Vergleiche nicht fehlerfrei und können manchmal zu falschen Identifikationen führen (man spricht hier von der „False Acceptance Rate“ (FAR)).
In anderen Fällen erkennen die Computer die biometrischen Daten nicht und lassen Verdächtige oder gesuchte Personen durch das (Fahndungs-)Raster schlüpfen, ein Phänomen, das als „False Rejection Rate“ (FRR) bekannt ist. Die Gesichtserkennung ist ein klarer Eingriff in die Privatsphäre der Betroffenen und sollte mit Vorsicht genossen werden, zumal die verwendeten Technologien häufig rassistische Tendenzen fortschreiben.
Daher ist es wichtig, abzuwägen, welche Interessen bei der Erhebung und Verarbeitung biometrischer Daten wichtiger sind: die berechtigten Interessen der Betroffenen oder die berechtigten Interessen von Behörden und Unternehmen.