Die datenschutzrechtliche Dimension der Gesichtserkennung

Die Gesichtserkennung wird vermehrt zur Authentifizierung eingesetzt. So lassen sich etwa moderne Smartphones mit der Technologie entsperren. Als Authentifizierungstechnologie ist die Gesichtserkennung in der Regel deutlich sicherer als die reine Verwendung von Passwörtern. Allerdings betrachten vor allem Datenschützer die Technologie eher kritisch.

21. März 2018

|

Lesedauer: ca. 3 Min.

Die datenschutzrechtliche Dimension der Gesichtserkennung

Bild: © sp3n/stock.adobe.com

Die Gesichtserkennung als Methode zur Authentifizierung ist auf dem Vormarsch. Die Anwendungsgebiete sind vielfältig: Die Möglichkeiten reichen von der Entsperrung von Smartphones bis zu schnelleren Einlasskontrollen am Flughafen.

Gesichtserkennung zur Authentifizierung: Prinzipiell kritisch aus Sicht des Datenschutzes

Datenschutzrechtlich ist die Gesichtserkennung als Authentifizierungsmethode durchaus brisant. Denn bei der Gesichtserkennung werden biometrische Daten erhoben, die eine eindeutige Identifizierung der jeweiligen Person ermöglichen. Im Sinne der DSGVO gehören die erhobenen Daten somit zur besonderen Kategorie von personenbezogenen Daten. Und diese gelten als besonders sensibel und schützenswert – weshalb die DSGVO (Artikel 9) die Erhebung und Verarbeitung dieser Daten eigentlich grundsätzlich untersagt. Sonst liegt eine Bedrohung der Grundrechte und Grundfreiheiten der jeweiligen Person vor.

Wer die Gesichtserkennung als biometrische Authentifizierungsmethode einsetzen möchte, sieht sich also automatisch mit der DSGVO konfrontiert. Schließlich ist es unmöglich, eine Person ohne die Erhebung und Verarbeitung von biometrischen Daten zu identifizieren. Das bedeutet jedoch nicht, dass der Einsatz der Gesichtserkennung zur Authentifizierung prinzipiell gegen die DSGVO verstößt.

Verarbeitung von biometrischen Daten in Ausnahmefällen erlaubt

Denn die DSGVO nennt in Artikel 9 auch bestimmte Voraussetzungen, unter denen die Erhebung und Verarbeitung von biometrischen Daten erlaubt ist. So lassen sich vor allem zwei Fälle unterscheiden:

  • Die betroffene Person hat ausdrücklich in die Verarbeitung der biometrischen Daten für einen oder mehrere festgelegte Zwecke eingewilligt.
  • Die Verarbeitung der biometrischen Daten ist aus unterschiedlichen Gründen erforderlich. Beispielsweise, damit die Person ihre Rechte, etwa auf soziale Sicherheit, ausüben und ihren daraus ergebenen Pflichten nachkommen kann. Oder weil ein erhebliches öffentliches Interesse besteht. Dabei ist es stets essenziell, dass die Verarbeitung der biometrischen Daten auf einer eindeutigen gesetzlichen Grundlage basiert.

Je nach Zweck und Anwendungsgebiet ergeben sich also unterschiedliche Möglichkeiten, die Gesichtserkennung als biometrische Authentifizierungsmethode datenschutzrechtlich zu prüfen. Laut einem Fachbeitrag von IT-Zoom setzt aber besonders die Nutzung der Technologie im kommerziellen Bereich voraus, dass die Betroffenen ausdrücklich eingewilligt haben. Denn hier würde die Technologie vor allem eingesetzt werden, um der jeweiligen Person die Authentifizierung zu erleichtern.

Mit anderen Worten: Da es theoretisch auch möglich wäre, eine andere Form der Authentifizierung anzuwenden (zum Beispiel Passwörter und nicht die Gesichtserkennung), ist die Verarbeitung von biometrischen Daten nicht erforderlich. Somit ist eine ausdrückliche Einwilligung der betroffenen Person nötig, um datenschutzkonform zu agieren.

Doch wann hat eine Person ihre ausdrückliche Einwilligung tatsächlich gegeben? Eine mögliche Antwort auf diese Frage liefert der oben erwähnte Fachbeitrag von IT-Zoom. Demnach sind vor allem Entwickler von Gesichtserkennungstechnologien gefordert, bereits bei der Konzeptionierung bestimmte Mechanismen zu etablieren, die der Einwilligungserfordernis genügen.

Als Beispiel nennt der Beitrag die sogenannte Opt-in Funktion. Hier ist die Funktion “Gesichtserkennung” standardmäßig deaktiviert – im Gegensatz zur, datenschutzrechtlich ungültigen, Opt-out Funktion. Der Nutzer kann die Funktion folglich nur verwenden, wenn er diese aktiviert hat. Mit der Aktivierung willigt der Nutzer ausdrücklich in die Erhebung und Verarbeitung der biometrischen Daten ein. Wesentliche Voraussetzung ist, dass er zuvor umfassend über Art und Ausmaß der Datenverarbeitung informiert wurde – und die Datenverarbeitung nicht über den eingewilligten, konkreten Zweck hinausgeht.

Umfassende Absicherung der biometrischen Daten notwendig

Um datenschutzkonform zu handeln, ist es außerdem zwingend notwendig, die biometrischen Daten umfassend zu schützen. Denn sollten zum Beispiel biometrische Daten gestohlen werden, handelt es sich um einen Verlust von sensiblen Daten. Liegen diese im unverschlüsselten Zustand vor, kann dies empfindliche Konsequenzen, beispielsweise für Unternehmen, nach sich ziehen. Schließlich stellt die DSGVO biometrische Daten unter einem besonderen Schutz.

Mit gutem Grund: So weist unter anderem die Fachzeitschrift “Datenschutz PRAXIS” darauf hin, dass ein Diebstahl von biometrischen Daten den Identitätsdiebstahl und Identitätsmissbrauch ermöglichen kann. So besteht das große Risiko, dass sich Hacker für die betroffene Person ausgeben, um so unbefugten Zugriff zu erhalten – beispielsweise zu einem Smartphone. Im Gegensatz zu Passwörtern können biometrische Daten indes schlecht geändert werden – wie unter anderem Chris Wojzechowski vom Institut für Internet in einem Artikel der Welt betont.

Konkret bedeutet das: Sollten Hacker einmal in den Besitz von biometrischen Daten einer Person gelangen, können sie diese Daten theoretisch dauerhaft für ihre Zwecke missbrauchen.

Eine gute Verschlüsselung der biometrischen Daten ist damit unumgänglich – sagt zum Beispiel Thomas Uhlemann vom Sicherheitsanbieter Eset im erwähnten Fachbeitrag von IT-Zoom. Denn sollten Datenströme abgefangen werden, haben sie für Angreifer im verschlüsselten Zustand keinen Wert. Hierfür ist es nötig, nicht nur die Daten selbst sondern auch die Geräte zu verschlüsseln, die für die biometrische Authentifizierung verwendet werden. Dazu gehören beispielsweise aktuelle Smartphones, aber auch Laptops oder Server.

Mehr zum Thema „Information Protection & Cyber Security“

35C3: Unternehmen, hört auf die Hacker*innen!
35C3: Unternehmen, hört auf die Hacker*innen!

Auf dem Chaos Communication Congress 2018 diskutierte die Hackinggemeinde über Datenschutz und Gesellschaftspolitik. Was können Unternehmen von ihr lernen?

Lesedauer: 3 Min.

„Einheitliche Sicherheitsarchitektur ist die Basis für eine moderne Unternehmensführung“
„Einheitliche Sicherheitsarchitektur ist die Basis für eine moderne Unternehmensführung“

Eine einheitliche Sicherheitsarchitektur schützt Firmen vor Cyberattacken. Mehr dazu im Interview mit Security-Experte Markus J. Krauss von Cisco.

Lesedauer: 4 Min.

Cybersicherheit für Unternehmen immer wichtiger
Cybersicherheit für Unternehmen immer wichtiger

Um Cyberangriffe im Ernstfall abwehren zu können, überdenken Unternehmen zunehmend ihre Sicherheitsmaßnahmen. Das hat eine aktuelle Studie ergeben.

Lesedauer: 2 Min.

Umfassende Datensicherung: Das gilt es zu beachten
Umfassende Datensicherung: Das gilt es zu beachten

Angesichts des schnellen Datenwachstums wird die Datensicherung für Unternehmen immer wichtiger. Was dabei zu berücksichtigen ist, erfahren Sie hier.

Lesedauer: 3 Min.

kommunen-sensible-daten
So können Kommunen ihre sensiblen Daten schützen

Die Themen Datenschutz und IT-Sicherheit sind auch für kleine ländliche Kommunen unverzichtbar. Die Lösung indigo kann zu einem umfassenden Schutz beitragen.

Lesedauer: 2 Min.

unternehmen-cybersicherheit-interview-alexander-ernst
So schaffen Unternehmen mit CANCOM eine wirksame Cybersicherheit

Im Interview zeigt CANCOM-Experte Alexander Ernst auf, wie Firmen mit CANCOM eine moderne Cybersicherheit etablieren – um sich vor Cyberbedrohungen zu wappnen.

Lesedauer: 1 Min.

Steigende Cyberbedrohungen: Wie Unternehmen eine Cyber-Resilienz aufbauen können
Steigende Cyberbedrohungen: Wie Unternehmen eine Cyber-Resilienz aufbauen können

Cyberkriminalität ist ein globales Phänomen: Firmen müssen deshalb eine Cyber-Resilienz etablieren. Der Blueprint Cyber Vault von IBM zielt genau darauf ab.

Lesedauer: 4 Min.

DSGVO: Unternehmen in Deutschland haben Nachholbedarf
DSGVO: Unternehmen in Deutschland haben Nachholbedarf

Seit acht Monaten ist die DSGVO nun verpflichtend. Dennoch weisen einige Branchen noch erhebliche Defizite bei der Umsetzung auf – so eine aktuelle Studie.

Lesedauer: 2 Min.

DSGVO-Verstöße: Über 400.000 Euro an Bußgeld verhängt
DSGVO-Verstöße: Über 400.000 Euro an Bußgeld verhängt

Laut aktueller Umfrage halten sich die Verstöße gegen die DSGVO bisher in Grenzen. Allerdings gebe es länderspezifische Unterschiede.

Lesedauer: 1 Min.

datenresilienz-recovery
Datenresilienz: Auf den Ernstfall vorbereitet sein

Daten und Geschäftsfähigkeit nach einer Cyberattacke schnell wiederherstellen: Lesen Sie hier, wie Datenresilienz dazu beiträgt und wie Sie diese erreichen.

Lesedauer: 4 Min.

Cyberangriffe effektiv abwehren: IT-Sicherheit entsteht nicht durch ein einzelnes Produkt
Cyberangriffe effektiv abwehren: IT-Sicherheit entsteht nicht durch ein einzelnes Produkt

Cyberangriffe entwickeln sich zur allgegenwärtigen Gefahr für die Wirtschaft. Ein ganzheitliches IT-Sicherheitskonzept kann Abhilfe schaffen.

Lesedauer: 3 Min.

Wie sich Unternehmen vor Worst Case Szenarien schützen können
Wie sich Unternehmen vor Worst Case Szenarien schützen können

Es gibt unterschiedlichste Worst Case Szenarien für die IT. Was Unternehmen im Ernstfall tun können, wurde auf dem CANCOM-Event “Be Prepared” thematisiert.

Lesedauer: 2 Min.

Backup auf Microsoft 365 mit Schutz vor Ransomware
Backup auf Microsoft 365 mit Schutz vor Ransomware

Angesichts steigender Ransomware-Angriffe müssen auch Backup-Daten abgesichert werden. Wie das für Microsoft 365-Backups gelingt, lesen Sie im Beitrag.

Lesedauer: 4 Min.

Firewall-Administration durch IT-Dienstleister: Wie Unternehmen davon profitieren
Firewall-Administration durch IT-Dienstleister: Wie Unternehmen davon profitieren

Zum Schutz vor Cyberangriffen ist eine leistungsfähige Firewall unabdingbar. IT-Dienstleister können bei der Firewall-Administration umfassend unterstützen.

Lesedauer: 4 Min.

Cybersicherheit benötigt Sicherheitskultur
Cybersicherheit benötigt Sicherheitskultur

Eine umfassende Cybersicherheit erfordert auch, eine moderne Sicherheitskultur zu etablieren. Laut Studie haben das bisher die wenigsten Unternehmen getan.

Lesedauer: 2 Min.

BSI sieht erhöhte Cyber-Bedrohungslage in Deutschland: Was Unternehmen jetzt tun können
BSI sieht erhöhte Cyber-Bedrohungslage in Deutschland: Was Unternehmen jetzt tun können

Laut BSI ist die Cyber-Sicherheitslage in Deutschland aktuell im erhöhten Maße gefährdet. Doch was können Firmen unternehmen, um sich zu schützen?

Lesedauer: 2 Min.

HMI 2019 – Rüdiger Wölfl (Cisco) über Industrie 4.0: „Security steht über allem“
HMI 2019 – Rüdiger Wölfl (Cisco) über Industrie 4.0: “Security steht über allem”

Um die Industrie 4.0 voranzutreiben, benötigen Unternehmen eine umfassende Security. Das betont Rüdiger Wölfl von Cisco im Interview.

Lesedauer: 2 Min.

Für den Ernstfall gewappnet: Wie Sie den Verlust Ihrer Daten verhindern können
Für den Ernstfall gewappnet: Wie Sie den Verlust Ihrer Daten verhindern können

Kein Datenverlust im Notfall – genau das können Unternehmen mit der richtigen Backup und Disaster Recovery-Strategie umsetzen.

Lesedauer: 3 Min.

Cyberangriffe verstehen und abwehren: Das sind die 7 Phasen des Cyber Kill Chain-Modells
Cyberangriffe verstehen und abwehren: Das sind die 7 Phasen des Cyber Kill Chain-Modells

Das Cyber Kill Chain-Modell beschreibt detailliert, wie ein Cyberangriff abläuft. Dieses Wissen ist unverzichtbar, um eine moderne IT-Security umzusetzen.

Lesedauer: 5 Min.

Studie: Unternehmen legen verstärkten Fokus auf Digitalisierung und Cybersicherheit
Studie: Unternehmen legen verstärkten Fokus auf Digitalisierung und Cybersicherheit

Laut Studie möchten Firmen verstärkt in Digitalisierung und Cybersicherheit investieren – trotz der wirtschaftlichen Auswirkungen der COVID19-Pandemie.

Lesedauer: 2 Min.

Das waren die 5 größten Cyberbedrohungen in 2018 und darüber hinaus
Das waren die 5 größten Cyberbedrohungen in 2018 und darüber hinaus

Welche Cyberbedrohungen waren 2018 besonders destruktiv – und werden auch in Zukunft ihr Unwesen treiben? Antworten liefert der Threat Report von Cisco.

Lesedauer: 3 Min.

Digitalisierung von Papierdokumenten: Das gilt es zu beachten
Digitalisierung von Papierdokumenten: Das gilt es zu beachten

Die Digitalisierung von Papierdokumenten ist ein wichtiger Schritt hin zum papierlosen Büro. Dafür müssen einige Punkte berücksichtigt werden.

Lesedauer: 4 Min.

Geteilte Meinung über deutsche Cyberabwehr
Geteilte Meinung über deutsche Cyberabwehr

Laut einer Studie meint mehr als die Hälfte der Deutschen, dass Deutschland nicht auf einen Cyberangriff vorbereitet ist. Die Ergebnisse im Detail.

Lesedauer: 1 Min.

studie-dienstleister-cybersicherheit
Studie: Das sind die besten IT-Dienstleister im Bereich Cybersecurity

Eine effektive Cyberabwehr ist für Firmen inzwischen essenziell. Eine aktuelle ISG-Studie beleuchtet die führenden Dienstleister im Cybersecurity-Bereich.

Lesedauer: 3 Min.

it-sicherheit-geheime-daten
Lösung für IT-Sicherheit und Datenschutz: So können Behörden sensible und geheime Daten schützen

Sensible oder sogar geheime Daten müssen in Behörden regelmäßig verarbeitet werden. Lösungen wie “indigo” sollen hier die Sicherheit gewährleisten.

Lesedauer: 3 Min.

Business Continuity mit moderner Datensicherung: Den Betrieb auch im Notfall aufrechterhalten
Business Continuity mit moderner Datensicherung: Den Betrieb auch im Notfall aufrechterhalten

Gerade in Zeiten der COVID19-Pandemie müssen Unternehmen die Business Continuity gewährleisten. Eine neue Lösung von Veeam soll dazu beitragen.

Lesedauer: 4 Min.

Cyberangriffe wie Ransomware auf Höchststand
Cyberangriffe wie Ransomware auf Höchststand

Die Lage ist ernst: Wie aktuelle Studien zeigen, bedrohen Cyberangriffe wie Ransomware nachhaltig deutsche Firmen. Doch wie ist ein Schutz möglich?

Lesedauer: 2 Min.

Skalierbare Datensicherung: Das bieten Backup-Appliances heute
Skalierbare Datensicherung: Das bieten Backup-Appliances heute

Für den Unternehmenserfolg sind Backups wichtiger denn je. Doch das wird immer komplexer. Moderne Backup-Appliances adressieren dieses Problem.

Lesedauer: 3 Min.

SaaS Backup: Wie die Müller Group ihre Office 365-Daten ganzheitlich absichert
SaaS Backup: Wie die Müller Group ihre Office 365-Daten ganzheitlich absichert

Auf Empfehlung von CANCOM hat die Müller Group die SaaS Backup-Lösung von NetApp eingeführt. Das Ziel: ein umfassender Schutz ihrer Office 365-Daten.

Lesedauer: 2 Min.

effektive-cybersicherheit-it-sa
Effektive Cybersicherheit aufbauen – diese Faktoren sind entscheidend

Der Aufbau einer effektiven Cybersicherheit ist heute für Firmen Pflicht. Wie CANCOM hier unterstützen kann, zeigt der IT-Konzern auf der Security-Messe it-sa.

Lesedauer: 4 Min.

Dauergefahr Ransomware: Entwicklung, Methoden und Schutzmöglichkeiten
Dauergefahr Ransomware: Entwicklung, Methoden und Schutzmöglichkeiten

Ransomware bedroht die Cybersicherheit nachhaltig. Doch wie werden diese Angriffe durchgeführt – und welche Schutzmöglichkeiten gibt es?

Lesedauer: 4 Min.

Zuverlässiger Schutz von Unternehmensdaten mit Android?
Zuverlässiger Schutz von Unternehmensdaten mit Android?

Für die Absicherung mobiler Endgeräte ist ein sicheres Betriebssystem essenziell. Wie Google dieses Ziel mit Android erreichen möchte, lesen Sie im Beitrag.

Lesedauer: 3 Min.

nis2-unternehmen
NIS2: Was auf die Unternehmen zukommt und wie CANCOM unterstützen kann

Die Deadline für die Umsetzung der EU-Richtlinie NIS2 rückt für Unternehmen immer näher. Doch was bedeutet NIS2 für die betroffenen Unternehmen konkret?

Lesedauer: 4 Min.

„IT-Verantwortliche in Unternehmen müssen sich bewusst sein, dass sie für die Datensicherung eine spezielle Backup-Lösung benötigen“
“IT-Verantwortliche in Unternehmen müssen sich bewusst sein, dass sie für die Datensicherung eine spezielle Backup-Lösung benötigen”

Für die Nutzung von SaaS-Anwendungen ist eine umfassende Datensicherung nötig. Mehr dazu im Interview mit CANCOM-Experte Daniel Harenkamp.

Lesedauer:

Cyberkriminalität so gefährlich wie nie
Cyberkriminalität so gefährlich wie nie

Noch nie haben Cyberangriffe Unternehmen so stark bedroht wie heute. Das geht aus dem aktuellen Allianz Risiko Barometer 2022 hervor.

Lesedauer: 2 Min.

CANCOM auf der it-sa 2019
CANCOM auf der it-sa 2019

CANCOM war letzte Woche mit seinen Partnern Cisco, IBM und Trend Micro auf der it-sa 2019 vertreten. Erfahren Sie im Rückblick, welche Themen wichtig waren.

Lesedauer: 1 Min.

Cyber Security Days: So können Firmen eine ganzheitliche Security-Strategie umsetzen
Cyber Security Days: So können Firmen eine ganzheitliche Security-Strategie umsetzen

Zur Cyberabwehr ist eine moderne Security-Strategie unumgänglich. Die virtuellen Eventtage “Cyber Security Days” rückten dieses Thema in den Fokus.

Lesedauer: 4 Min.

DSGVO: Zwei Drittel der Unternehmen bereits weitgehend umgesetzt
DSGVO: Zwei Drittel der Unternehmen bereits weitgehend umgesetzt

Knapp eineinhalb Jahre nach Einführung der DSGVO haben zwei Drittel der Unternehmen diese laut einer Bitkom-Umfrage weitgehend umgesetzt.

Lesedauer: 2 Min.

Cybersicherheitsverletzung: So schützen Sie sich
Cybersicherheitsverletzung: So schützen Sie sich

Das Thema Cybersicherheitsverletzung betrifft Unternehmen jeder Branche und Größe. Zum Schutz benötigen Firmen umfassende Sicherheitslösungen.

Lesedauer: 2 Min.

event-schloss-kaltenberg-schutz-ransomware
Das sollten Unternehmen beim Schutz vor Ransomware beachten

Ransomware-Angriffe nehmen stetig zu. Wie sich Firmen schützen können, wurde auf einem CANCOM-Event auf Schloss Kaltenberg behandelt.

Lesedauer: 2 Min.