Biometrie & Datenschutz: So erklären Sie die Risiken
Personenbezogene Daten, die ihrem Wesen nach besonders sensibel sind, verdienen einen besonderen Schutz. Dazu gehören biometrische Daten. Doch warum sind biometrische Daten so sensibel? Eine neue EU-Studie liefert Argumente, wenn Datenschutzbeauftragte das Management von den Risiken der Biometrie überzeugen wollen.
Warum ein besonderer Schutz für biometrische Daten?
Biometrische Daten gehören wie etwa auch Gesundheitsdaten nach der Datenschutz-Grundverordnung (DSGVO) zu den besonderen Kategorien personenbezogener Daten. Sie erfordern einen besonderen, höheren Schutz – sofern denn die Voraussetzungen für die Verarbeitung dieser Daten überhaupt vorhanden sind.
Bei Gesundheitsdaten ist es noch relativ einfach, dazulegen, warum Unternehmen diese Daten gut schützen müssen. Bei biometrischen Daten wird es schon schwieriger, zu erklären, warum ein erhöhter Aufwand für den Datenschutz nötig ist.
Definition „biometrische Daten“
Die DSGVO definiert biometrische Daten als „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“.
Wann ist ein Aufwand angemessen?
Geht es darum, Datenschutz-Maßnahmen und ihre Angemessenheit im Unternehmen zu erklären, verlangen nicht nur die Beschäftigten, etwa in einer Datenschutz-Unterweisung, nach guten Argumenten. Auch bei der Beratung und Sensibilisierung der Geschäftsleitung und damit der Verantwortlichen gilt es, eine hieb- und stichfeste Argumentation zur Hand zu haben, die den Aufwand im Datenschutz rechtfertigt.
Um aufzuzeigen, dass der Schutzaufwand angemessen und nicht übertrieben ist, kann es helfen, dem Management die Risiken genauer zu erläutern, die mit einem Missbrauch biometrischer Daten verbunden sein können.
Welche Biometrie-Risiken sieht die EU-Studie?
Der Think Tank des EU-Parlaments hat sich mit der „Bewertung der ethischen Aspekte biometrischer Erkennungs- und Verhaltenserkennungstechniken mit Fokus auf deren gegenwärtigen und zukünftigen Einsatz im öffentlichen Raum“ befasst. Die Untersuchung steht unter anderem im Zusammenhang mit dem Artificial Intelligence Act (AIA) der EU.
Professor Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, hat sich bereits dahingehend geäußert, dass „KI-Systeme besonders sensible Daten – etwa genetische oder biometrische Daten sowie Gesundheitsdaten (gemäß Artikel 9 Datenschutz-Grundverordnung) – nicht standardisiert durchleuchten und in bestimmten Anwendungsfällen zu einer Überwachung nutzen können sollen“.
Die EU-Studie zur Biometrie erklärt darüber hinaus mögliche ethische und rechtliche Folgen, wenn jemand biometrische Daten einsetzt, um im öffentlichen Raum Emotionen oder Verhalten zu erkennen.
Es geht um mehr als den Diebstahl von Fingerabdrücken
Biometrische Daten und ihre Analyse eignen sich sehr gut als Identitätsnachweis. Gelangen biometrische Daten (oder die daraus errechneten Templates) in die falschen Hände, lassen sie sich für einen Identitätsdiebstahl nutzen. Doch es ist weitaus mehr möglich. Die EU-Studie spricht zum Beispiel von biometrischer Kategorisierung, Verhaltenserkennung und Erkennung von Emotionen.
Neben traditionellen biometrischen Techniken wie Fingerabdruck- oder Gesichtserkennung umfassen biometrische Techniken unter anderem die Analyse von Tastendruck- oder Mausdynamik, Gestendynamik, Signaturdynamik sowie Sprach- und Ganganalysen.
Die EU-Studie betrachtet die Besonderheit von biometrischen Templates, die bei den Analysen erstellt werden und als Basis für einen Abgleich dienen. Die Experten des Think Tanks erklären, dass dabei physische Merkmale eines Menschen in digitale Daten umgewandelt werden, was zu einer „Datafizierung“ des Menschen führt.
Merkmale, die eine Person eindeutig identifizieren, sollten als „Teil“ des Körpers einer Person mit der persönlichen Autonomie und Würde verstanden werden, so die Studie.
Wichtig
Sobald ein Template erstellt und gespeichert wurde, hat jeder, der in Zukunft in seinen Besitz kommt, die Macht, diese Person überall aufzuspüren und zu erkennen, für jeden Zweck. Es gibt keine Möglichkeit für den Einzelnen, die biometrischen Kennzeichen zu ändern. Das Sammeln und Speichern biometrischer Vorlagen birgt deshalb ein erhebliches Schadenspotenzial, so die Studie.
Es geht um einen Eingriff in Grundrechte
Nutzen Unternehmen oder staatliche Einrichtungen biometrische Daten, um Menschen zu kategorisieren, stellen sich ethische Fragen. Denn die Zuordnung zu Kategorien könnte dazu beitragen, dass die betroffenen Personen Risiken wie Diskriminierung, Stigmatisierung und unangemessenen Schlussfolgerungen ausgesetzt sind.
Weitere Risiken sieht die Studie darin, gruppenspezifische Schwachstellen zu manipulieren und auszunutzen, die sich dann mit einer Person verknüpfen lassen könnten. Findet zum Beispiel ein Abgleich der erbeuteten biometrischen Templates mit aktuellen biometrischen Daten statt, könnten sich menschliche Zustände der betroffenen Person leichter identifizieren lassen, wie Angst, Müdigkeit oder Krankheit, so der Think Tank.
Die EU-Studie liefert somit wichtige Einblicke in die mögliche Verwendung biometrischer Daten und Templates sowie in die denkbaren Folgen für die betroffenen Personen. Es geht somit um mehr als den möglichen Identitätsdiebstahl, wenn biometrische Daten zum Einsatz kommen, um Menschen zu identifizieren. Es geht um Grundrechte jedes Menschen, die der Datenschutz schützt und die den hohen Schutzaufwand rechtfertigen.
