20.10.2020

Biometrische Zutrittskontrollen: Tipps zum Datenschutz

Biometrische Kontrollen werden als Sicherheitsfaktor immer wichtiger. Neben der biometrischen Zugangskontrolle bei Smartphones und Tablets nimmt auch die biometrische Zutrittskontrolle bei Gebäuden und Räumen zu. Hier sind Datenschutzbeauftragte gefragt. Denn biometrische Daten brauchen einen besonderen Schutz.

biometrische Zutrittskontrollen
© Wavebreakmedia Ltd /​ Wavebreak Media /​ Thinkstock

Warum biometrische Daten?

Fingerabdruck, Iris-Scan oder Stimm-Erkennung machen als biometrische Merkmale zum Beispiel Bezahlvorgänge sicherer.

Biometrie hilft auch der IT-Sicherheit dabei, sensible Daten und Zugänge abzusichern.

Die Mehrheit der Deutschen ist offen für diese Form der Authentifizierung. Und zwar mit steigender Tendenz, so eine Umfrage im Auftrag des Digitalverbands Bitkom im Jahr 2019:

  • Fast neun von zehn Bundesbürgern (86 Prozent) würden zur Autorisierung beim Bezahlen den Fingerabdruck nutzen – im Vorjahr waren es erst 80 Prozent.
  • Zudem würde fast jeder Zweite (45 Prozent) seine Iris scannen lassen, um Bezahlvorgänge zu autorisieren. Im Jahr 2018 sagten dies erst vier von zehn (38 Prozent).
  • Weiterhin kann sich ein Drittel (32 Prozent) vorstellen, das eigene Stimmenprofil als Absicherung zu nutzen.
  • Drei von zehn (28 Prozent) würden Zahlungen per Gesichtserkennung absichern.

Die relativ hohe Zustimmung für den Einsatz von Fingerabdrücken lässt sich damit begründen, dass Fingerabdruck-Scanner heute bereits bei Smartphones und Tablets zur Entsperrung sehr weit verbreitet sind.

Was sagt die DSGVO zu Biometrie?

Die biometrischen Daten sind allerdings selbst sensibel. Aus gutem Grund nennt die Datenschutz-Grundverordnung (DSGVO)  „biometrische Daten“ ausdrücklich.

Die DSGVO definiert sie als „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“.

Grundsätzlich regelt die DSGVO, dass die Verarbeitung besonderer Kategorien personenbezogener Daten, zu denen die biometrischen Daten zählen, untersagt ist. Ausnahme: Es sind bestimmte Voraussetzungen gegeben, wie sie Artikel 9 DSGVO aufführt.

Will ein Unternehmen also biometrische Verfahren für die Zugangskontrolle oder Zutrittskontrolle einsetzen, muss es zuerst die datenschutzrechtlichen Voraussetzungen klären.

Welche datenschutzrechtlichen Prüfungen sind nötig?

Rechtmäßigkeit

Die DSGVO nennt in Artikel 9 als Voraussetzungen für eine zulässige Verarbeitung biometrischer Daten insbesondere:

  • Einwilligung: Die betroffene Person hat in die Verarbeitung der biometrischen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt. Es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann die Einwilligung der betroffenen Person das Verbot nicht aufheben.
  • Die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann. Das muss nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig sein.

Datenschutz-Folgenabschätzung

Neben der Zulässigkeit der Verarbeitung biometrischer Daten gilt es, die Schutzmaßnahmen und Risiken für die biometrischen Daten zu überprüfen.

Beachten Sie bei einer Datenschutz-Folgenabschätzung:

  • Biometrische Daten lassen sich nutzen, um Personen zu identifizieren. Daher bedeutet der Diebstahl und Missbrauch biometrischer Daten gleichzeitig, dass Identitätsdiebstahl und Identitätsmissbrauch möglich sind. So könnten Unbefugte in ein Gebäude gelangen, das über biometrische Zutrittskontrollen geschützt wird. Oder sie könnten Zugang zu einem geschützten Smartphone erhalten, wenn es über einen biometrischen Zugangsschutz abgesichert ist.
  • Werden biometrische Daten mit weiteren personenbezogenen Daten verknüpft, lassen sich die biometrischen Zutrittskontrollen und Zugangskontrollen dazu missbrauchen, heimliche Nutzerprofile anzulegen. Das kann etwa der Fall sein bei einer Verhaltenskontrolle von Beschäftigten.
  • Die Aufsichtsbehörden für den Datenschutz haben zur biometrischen Analyse in einem Positionspapier Stellung bezogen. Darin behandeln sie auch den Fall „Zugang zu Firmenräumen mit Hilfe des Fingerabdrucks“.
  • Bei der Zutrittskontrolle spielt Videoüberwachung eine große Rolle. Da die biometrische Zutrittskontrolle darum ergänzt werden könnte, denken Sie daran, dass sich die Datenschutz-Aufsichtsbehörden bereits kritisch zu der Kombination aus Biometrie und Videoüberwachung geäußert haben. (Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder: Einsatz von Videokameras zur biometrischen Gesichtserkennung  birgt erhebliche Risiken).

Checkliste zu biometrischen Zutrittskontrollen

Die folgende Checkliste hilft Ihnen dabei, die nötigen Datenschutz-Prüfungen durchzuführen, bevor ein Unternehmen oder eine Behörde biometrische Zutrittskontrollen einführt.

Download: Checkliste Biometrische Zutrittskontrolle

 

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)
Arbeitsrecht Datendiebstahl Datenschutz Datenschutz-Grundverordnung Datensicherheit IT