21. März 2018 | pArtikel drucken | kKommentieren

Die datenschutzrechtliche Dimension der Gesichtserkennung

Artikel teilen
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Die Gesichtserkennung wird vermehrt zur Authentifizierung eingesetzt. So lassen sich aktuelle Smartphones wie das iPhone X von Apple oder das Samsung Galaxy S9 entsperren. Tatsächlich ist die Gesichtserkennung als Authentifizierungsmethode in der Regel deutlich sicherer als die reine Verwendung von Passwörtern. Allerdings wird die Technologie auch kritisch betrachtet – vor allem Datenschützer sind tendenziell skeptisch.

Die Gesichtserkennung als Methode zur Authentifizierung ist auf dem Vormarsch. Die Anwendungsgebiete sind vielfältig: Die Möglichkeiten reichen von der Entsperrung von Smartphones bis zur Fahndung nach Terroristen oder Straftätern – CANCOM.info berichtete.

Gesichtserkennung zur Authentifizierung: Prinzipiell kritisch aus Sicht des Datenschutzes

Datenschutzrechtlich ist die Gesichtserkennung als Authentifizierungsmethode durchaus brisant. Denn bei der Gesichtserkennung werden biometrische Daten erhoben, die eine eindeutige Identifizierung der jeweiligen Person ermöglichen. Im Sinne der DSGVO gehören die erhobenen Daten somit zur besonderen Kategorie von personenbezogenen Daten. Und diese gelten als besonders sensibel und schützenswert – weshalb die DSGVO (Artikel 9) die Erhebung und Verarbeitung dieser Daten eigentlich grundsätzlich untersagt. Sonst liegt eine Bedrohung der Grundrechte und Grundfreiheiten der jeweiligen Person vor.

Wer die Gesichtserkennung als biometrische Authentifizierungsmethode einsetzen möchte, sieht sich also automatisch mit der DSGVO konfrontiert. Schließlich ist die Identifizierung einer Person unmöglich, wenn keine biometrischen Daten erhoben und verarbeitet werden. Das bedeutet jedoch nicht, dass der Einsatz der Gesichtserkennung zur Authentifizierung prinzipiell gegen die DSGVO verstößt.

Verarbeitung von biometrischen Daten in Ausnahmefällen erlaubt

Denn die DSGVO nennt in Artikel 9 auch bestimmte Voraussetzungen, unter denen die Erhebung und Verarbeitung von biometrischen Daten erlaubt ist. So lassen sich vor allem zwei Fälle unterscheiden:

  • Die betroffene Person hat ausdrücklich in die Verarbeitung der biometrischen Daten für einen oder mehrere festgelegte Zwecke eingewilligt.
  • Die Verarbeitung der biometrischen Daten ist aus unterschiedlichen Gründen erforderlich. Beispielsweise, damit die Person ihre Rechte, etwa auf soziale Sicherheit, ausüben und ihren Pflichten nachkommen kann, die sich daraus ergeben. Oder weil ein erhebliches öffentliches Interesse besteht. Dabei ist es stets essenziell, dass die Verarbeitung der biometrischen Daten auf einer eindeutigen gesetzlichen Grundlage basiert.

Je nach Zweck und Anwendungsgebiet ergeben sich also unterschiedliche Möglichkeiten, die Gesichtserkennung als biometrische Authentifizierungsmethode datenschutzrechtlich zu prüfen. Laut einem Fachbeitrag von IT-Zoom setzt aber besonders die Nutzung der Technologie im kommerziellen Bereich voraus, dass die Betroffenen ausdrücklich eingewilligt haben. Denn hier würde die Technologie vor allem eingesetzt werden, um der jeweiligen Person die Authentifizierung zu erleichtern.

Mit anderen Worten: Da es theoretisch auch möglich wäre, eine andere Form der Authentifizierung anzuwenden (zum Beispiel Passwörter und nicht die Gesichtserkennung), ist die Verarbeitung von biometrischen Daten nicht erforderlich. Somit ist eine ausdrückliche Einwilligung der betroffenen Person nötig, um datenschutzkonform zu agieren.

Doch wann hat eine Person ihre ausdrückliche Einwilligung tatsächlich gegeben? Eine mögliche Antwort auf diese Frage liefert der oben erwähnte Fachbeitrag von IT-Zoom: Demnach sind vor allem Entwickler von Gesichtserkennungstechnologien gefordert, bereits bei der Konzeptionierung bestimmte Mechanismen zu etablieren, die der Einwilligungserfordernis genügen.

Als Beispiel wird die sogenannte Opt-in Funktion genannt: Hier ist die Funktion „Gesichtserkennung“ standardmäßig deaktiviert – im Gegensatz zur, datenschutzrechtlich ungültigen, Opt-out Funktion. Der Nutzer kann die Funktion folglich nur verwenden, wenn er diese aktiviert hat. Mit der Aktivierung willigt der Nutzer ausdrücklich in die Erhebung und Verarbeitung der biometrischen Daten ein. Wesentliche Voraussetzung ist dabei, dass er zuvor umfassend über Art und Ausmaß der Datenverarbeitung informiert wurde – und die Datenverarbeitung nicht über den eingewilligten, konkreten Zweck hinausgeht.

Umfassende Absicherung der biometrischen Daten notwendig

Um datenschutzkonform zu handeln, ist es außerdem zwingend notwendig, die biometrischen Daten umfassend zu schützen. Denn sollten zum Beispiel biometrische Daten gestohlen werden, handelt es sich um einen Verlust von sensiblen Daten. Liegen diese im unverschlüsselten Zustand vor, kann dies empfindliche Konsequenzen, beispielsweise für Unternehmen, nach sich ziehen. Schließlich schreibt die DSGVO vor, dass biometrische Daten besonders geschützt werden müssen.

Mit gutem Grund: So weist unter anderem die Fachzeitschrift „Datenschutz PRAXIS“ darauf hin, dass ein Diebstahl von biometrischen Daten den Identitätsdiebstahl und Identitätsmissbrauch ermöglichen kann. So besteht das große Risiko, dass sich Hacker für die betroffene Person ausgeben, um so unbefugten Zugriff zu erhalten – beispielsweise zu einem Smartphone. Im Gegensatz zu Passwörtern können biometrische Daten indes schlecht geändert werden – wie unter anderem Chris Wojzechowski vom Institut für Internet in einem Artikel der Welt betont.

Konkret bedeutet das: Sollten Hacker einmal in den Besitz von biometrischen Daten einer Person gelangen, können sie diese Daten theoretisch dauerhaft für ihre Zwecke missbrauchen.

Eine gute Verschlüsselung der biometrischen Daten ist damit unumgänglich – sagt zum Beispiel Thomas Uhlemann vom Sicherheitsanbieter Eset im erwähnten Fachbeitrag von IT-Zoom. Denn sollten Datenströme abgefangen werden, haben sie für Angreifer im verschlüsselten Zustand keinen Wert. Hierfür sollten nicht nur die Daten selbst sondern auch die Geräte verschlüsselt werden, die für die biometrische Authentifizierung verwendet werden. Dazu gehören beispielsweise aktuelle Smartphones, aber auch Laptops oder Server.

Quelle Titelbild: sp3n/stock.adobe.com

Hier schreibt Christian Schinko für Sie

Mehr Artikel vom Autor

Artikel teilen
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone

Schreiben Sie einen Kommentar

Mit einem Netzwerk anmelden, oder das Formular ausfüllen. Die E-Mailadresse wird nicht veröffentlicht. Notwendige angaben sind mit * gekennzeichnet.