DSGVO: Verarbeitung biometrischer Daten

biometrische DatenDas Sammeln biometrischer Daten von Privatpersonen nimmt weiter zu, wobei die Art und Weise, wie sie verarbeitet werden, technisch immer ausgereifter wird. Wie auf jede andere Art von Informationen kann auch auf biometrische Daten mit böswilliger Absicht zugegriffen werden. Beim Missbrauch von biometrischen Daten sind die Auswirkungen jedoch mit höheren Risiken verbunden als bei der Verwendung von anderen personenbezogenen Informationen. Eine Kredit- oder Bankkarte kann nach dem Diebstahl der Kontodaten ersetzt werden. Wenn Hacker jedoch Zugriff auf die „Selfie-Pay-Technologie” von MasterCard erhalten, wäre es unmöglich, das eigene Gesicht zu ersetzen.

Der Umgang mit biometrischen Daten wurde bisher von keinem Datenschutzgesetz geregelt. Mit der Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft tritt, wird sich dies ändern. 28 Länder sind betroffen, darunter auch Deutschland. Die DSGVO versucht, die innovativen Verwendungsmöglichkeiten der Biometrie für die moderne Welt mit den Anforderungen an einen verantwortungsvollen Umgang beim Sammeln, Speichern und Nutzen von personenbezogenen Daten in Einklang zu bringen.

Was sind biometrische Daten?

Die DSGVO definiert biometrische Daten ganz allgemein als „personenbezogene Daten, die sich aus einer bestimmten technischen Verarbeitung in Bezug auf die physischen/physiologischen Eigenschaften oder Verhaltensmerkmale einer natürlichen Person ergeben und die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen”. Dies bezieht sich auf eine spezielle Kategorie von personenbezogenen Daten, die nur unter folgenden Voraussetzungen verarbeitet werden dürfen:

Die betroffene Person erteilt ihre ausdrückliche Zustimmung.

Die Verarbeitung ist in begründeten Fällen zur Erfüllung der Pflichten und zur Ausübung bestimmter Rechte und Pflichten des Verantwortlichen oder der betroffenen Person erforderlich.

Die Verarbeitung ist erforderlich, um die wesentlichen Interessen der betroffenen Person zu schützen.

Die Verarbeitung ist zur Verteidigung von Rechtsansprüchen erforderlich.

Die Verarbeitung ist aus Gründen des öffentlichen Interesses erforderlich.

Die DSGVO scheint stillschweigend anzuerkennen, dass die Biometrie noch relativ jung ist und sich weiter entwickeln wird, da die Definition der „biometrischen Daten” relativ weit gefasst wird. Die Definition der biometrischen Datenarten, die durch die Entwicklung zukünftiger Technologien entstehen können, ist klar formuliert. Sie enthält zwei Kategorien von Informationen, über die biometrische Daten definiert werden können. Die erste Kategorie enthält Informationen, die sich auf körperliche Eigenschaften beziehen, zum Beispiel auf die physischen oder physiologischen Eigenschaften einer Person. Diese Kategorie enthält allgemeine Informationen, die die meisten Menschen als biometrische Daten betrachten würden: Gesichtsinformationen, Fingerabdrücke, Iris-Scans usw.

Die zweite Kategorie, die Verhaltensinformation enthält, ist weiter gefächert. „Verhaltensmerkmale”, die eine eindeutige Identifizierung einer Person ermöglichen, werden umfassend als biometrische Daten betrachtet. Es ist jedoch unklar, wie genau die Regulierungsbehörden diese Kategorie interpretieren werden oder welche einschränkenden Prinzipien, wenn überhaupt, ihre Analysen beeinflussen werden. Informationen zu Gewohnheiten, Handlungen oder zur Persönlichkeit eines Menschen könnten als Verhaltensmerkmale betrachtet werden. Dies ist eine Kategorie, die viel Interpretationsspielraum lässt, da sie in keiner Beziehung zu körperbezogenen Informationen steht, die typischerweise als biometrische Daten betrachtet werden. Aufgrund dieser Ungewissheit müssen die Datenschutzbeauftragten, die für die Einhaltung der Leitlinien in Bezug auf Verhaltensmerkmale und biometrische Daten zuständig sind, diese Entwicklung genau beobachten.

Eine Auswirkung der Einstufung von biometrischen Daten durch die DSGVO als sensible personenbezogene Daten besteht darin, dass Datenschutzbeauftragte für zahlreiche Formen der biometrischen Datenverarbeitung eine „Datenschutz-Folgenabschätzung” vornehmen müssen. Ein Hauptgrund dafür ist, dass viele Formen der biometrischen Datenverarbeitung den Einsatz moderner Technologien erfordern. Viele Formen der biometrischen Datenverarbeitung werden die Verpflichtung zur „Datenschutz-Folgenabschätzung”, wie sie von der DSGVO vorgesehen ist, auslösen. Da es absehbar ist, dass die biometrische Datenverarbeitung zunehmend in großem Umfang durchgeführt wird und eine automatisierte Verarbeitung erfordert, wie zum Beispiel in einigen Anwendungen zur Überwachung von systematisch zugänglichen Bereichen oder bei der Verwendung von Gesichtserkennungstechnologie zur Überwachung von Personen im Einzelhandel, wurde diese Maßnahme hinzugefügt. In den Fällen, in denen eine Datenschutz-Folgenabschätzung zur Verarbeitung biometrischer Daten erforderlich ist, müssen die Datenschutzbeauftragten die mit der Verarbeitung verbundenen Risiken für die betroffenen Personen ermitteln und Maßnahmen ergreifen, die auf die Eindämmung dieser Risiken zugeschnitten sind. Solche Risikominderungsmaßnahmen sind wichtig, da der Datenschutzbeauftragte somit eine vorherige Beratung mit den Aufsichtsbehörden vermeiden kann.

Verarbeitung biometrischer Daten

Die Verwendung biometrischer Daten bietet viele Vorteile: Sie bietet eine sichere Methode zur Überprüfung der Identität von Personen. Als Teil eines Multi-Faktor-Authentifizierungssystems kann die Biometrie die Wahrscheinlichkeit von Hackerangriffen erheblich reduzieren. Sie ist wesentlich benutzerfreundlicher als Passwörter, PINs, Schlüsselanhänger oder ID-Karten. Die DSGVO beschreibt die Art und Weise, wie biometrische Daten verwendet werden können, nicht eindeutig, betont jedoch die Sorgfaltspflicht. Bevor also biometrische Daten verarbeitet werden, müssen Organisationen auf Folgendes achten:

Daten dürfen nur aus einem berechtigten Grund sowie fair und transparent und mit dem Einverständnis der Person gesammelt werden.

Sie müssen sicher aufbewahrt werden.

Sie dürfen nur für den Zweck verwendet werden, für den sie gesammelt wurden.

Sie dürfen nur solange aufbewahrt werden, wie es relevant und angemessen ist.

Indem mit den betroffenen Personen darüber gesprochen wird, wie ihre Daten verwendet werden, wird das Vertrauen in das betroffene Unternehmen gestärkt. Es trägt zum Verständnis bei, weshalb das Teilen von Daten erforderlich ist. Sie werden dadurch ermutigt, ihre Daten in einer unsicheren Welt freiwillig bereitzustellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.