21. März 2018 | pArtikel drucken | kKommentieren

Die datenschutzrechtliche Dimension der Gesichtserkennung

Die Gesichtserkennung wird vermehrt zur Authentifizierung eingesetzt. So lassen sich aktuelle Smartphones wie das iPhone X von Apple oder das Samsung Galaxy S9 entsperren. Tatsächlich ist die Gesichtserkennung als Authentifizierungsmethode in der Regel deutlich sicherer als die reine Verwendung von Passwörtern. Allerdings wird die Technologie auch kritisch betrachtet – vor allem Datenschützer sind tendenziell skeptisch.

Die Gesichtserkennung als Methode zur Authentifizierung ist auf dem Vormarsch. Die Anwendungsgebiete sind vielfältig: Die Möglichkeiten reichen von der Entsperrung von Smartphones bis zur Fahndung nach Terroristen oder Straftätern – CANCOM.info berichtete.

Gesichtserkennung zur Authentifizierung: Prinzipiell kritisch aus Sicht des Datenschutzes

Datenschutzrechtlich ist die Gesichtserkennung als Authentifizierungsmethode durchaus brisant. Denn bei der Gesichtserkennung werden biometrische Daten erhoben, die eine eindeutige Identifizierung der jeweiligen Person ermöglichen. Im Sinne der DSGVO gehören die erhobenen Daten somit zur besonderen Kategorie von personenbezogenen Daten. Und diese gelten als besonders sensibel und schützenswert – weshalb die DSGVO (Artikel 9) die Erhebung und Verarbeitung dieser Daten eigentlich grundsätzlich untersagt. Sonst liegt eine Bedrohung der Grundrechte und Grundfreiheiten der jeweiligen Person vor.

Wer die Gesichtserkennung als biometrische Authentifizierungsmethode einsetzen möchte, sieht sich also automatisch mit der DSGVO konfrontiert. Schließlich ist die Identifizierung einer Person unmöglich, wenn keine biometrischen Daten erhoben und verarbeitet werden. Das bedeutet jedoch nicht, dass der Einsatz der Gesichtserkennung zur Authentifizierung prinzipiell gegen die DSGVO verstößt.

Verarbeitung von biometrischen Daten in Ausnahmefällen erlaubt

Denn die DSGVO nennt in Artikel 9 auch bestimmte Voraussetzungen, unter denen die Erhebung und Verarbeitung von biometrischen Daten erlaubt ist. So lassen sich vor allem zwei Fälle unterscheiden:

  • Die betroffene Person hat ausdrücklich in die Verarbeitung der biometrischen Daten für einen oder mehrere festgelegte Zwecke eingewilligt.
  • Die Verarbeitung der biometrischen Daten ist aus unterschiedlichen Gründen erforderlich. Beispielsweise, damit die Person ihre Rechte, etwa auf soziale Sicherheit, ausüben und ihren Pflichten nachkommen kann, die sich daraus ergeben. Oder weil ein erhebliches öffentliches Interesse besteht. Dabei ist es stets essenziell, dass die Verarbeitung der biometrischen Daten auf einer eindeutigen gesetzlichen Grundlage basiert.

Je nach Zweck und Anwendungsgebiet ergeben sich also unterschiedliche Möglichkeiten, die Gesichtserkennung als biometrische Authentifizierungsmethode datenschutzrechtlich zu prüfen. Laut einem Fachbeitrag von IT-Zoom setzt aber besonders die Nutzung der Technologie im kommerziellen Bereich voraus, dass die Betroffenen ausdrücklich eingewilligt haben. Denn hier würde die Technologie vor allem eingesetzt werden, um der jeweiligen Person die Authentifizierung zu erleichtern.

Mit anderen Worten: Da es theoretisch auch möglich wäre, eine andere Form der Authentifizierung anzuwenden (zum Beispiel Passwörter und nicht die Gesichtserkennung), ist die Verarbeitung von biometrischen Daten nicht erforderlich. Somit ist eine ausdrückliche Einwilligung der betroffenen Person nötig, um datenschutzkonform zu agieren.

Doch wann hat eine Person ihre ausdrückliche Einwilligung tatsächlich gegeben? Eine mögliche Antwort auf diese Frage liefert der oben erwähnte Fachbeitrag von IT-Zoom: Demnach sind vor allem Entwickler von Gesichtserkennungstechnologien gefordert, bereits bei der Konzeptionierung bestimmte Mechanismen zu etablieren, die der Einwilligungserfordernis genügen.

Als Beispiel wird die sogenannte Opt-in Funktion genannt: Hier ist die Funktion „Gesichtserkennung“ standardmäßig deaktiviert – im Gegensatz zur, datenschutzrechtlich ungültigen, Opt-out Funktion. Der Nutzer kann die Funktion folglich nur verwenden, wenn er diese aktiviert hat. Mit der Aktivierung willigt der Nutzer ausdrücklich in die Erhebung und Verarbeitung der biometrischen Daten ein. Wesentliche Voraussetzung ist dabei, dass er zuvor umfassend über Art und Ausmaß der Datenverarbeitung informiert wurde – und die Datenverarbeitung nicht über den eingewilligten, konkreten Zweck hinausgeht.

Umfassende Absicherung der biometrischen Daten notwendig

Um datenschutzkonform zu handeln, ist es außerdem zwingend notwendig, die biometrischen Daten umfassend zu schützen. Denn sollten zum Beispiel biometrische Daten gestohlen werden, handelt es sich um einen Verlust von sensiblen Daten. Liegen diese im unverschlüsselten Zustand vor, kann dies empfindliche Konsequenzen, beispielsweise für Unternehmen, nach sich ziehen. Schließlich schreibt die DSGVO vor, dass biometrische Daten besonders geschützt werden müssen.

Mit gutem Grund: So weist unter anderem die Fachzeitschrift „Datenschutz PRAXIS“ darauf hin, dass ein Diebstahl von biometrischen Daten den Identitätsdiebstahl und Identitätsmissbrauch ermöglichen kann. So besteht das große Risiko, dass sich Hacker für die betroffene Person ausgeben, um so unbefugten Zugriff zu erhalten – beispielsweise zu einem Smartphone. Im Gegensatz zu Passwörtern können biometrische Daten indes schlecht geändert werden – wie unter anderem Chris Wojzechowski vom Institut für Internet in einem Artikel der Welt betont.

Konkret bedeutet das: Sollten Hacker einmal in den Besitz von biometrischen Daten einer Person gelangen, können sie diese Daten theoretisch dauerhaft für ihre Zwecke missbrauchen.

Eine gute Verschlüsselung der biometrischen Daten ist damit unumgänglich – sagt zum Beispiel Thomas Uhlemann vom Sicherheitsanbieter Eset im erwähnten Fachbeitrag von IT-Zoom. Denn sollten Datenströme abgefangen werden, haben sie für Angreifer im verschlüsselten Zustand keinen Wert. Hierfür sollten nicht nur die Daten selbst sondern auch die Geräte verschlüsselt werden, die für die biometrische Authentifizierung verwendet werden. Dazu gehören beispielsweise aktuelle Smartphones, aber auch Laptops oder Server.

Quelle Titelbild: sp3n/stock.adobe.com

Hier schreibt Christian Schinko für Sie

Mehr Artikel vom Autor

Cookies auf dieser Website

Cookies sind für die korrekte Funktionsweise einer Website wichtig. Damit wir verstehen, wie unsere Seite im Allgemeinen genutzt wird und wir Ihren Besuch noch interessanter und personalisierter gestalten können, setzen wir Cookies und andere Technologien ein. Bitte treffen Sie Ihre bevorzugte Cookie-Auswahl, um fortfahren zu können. Hilfe.

Wählen Sie eine Option, um fortzufahren

Ihre Auswahl wurde gespeichert!

Sie können Ihre Cookie-Einstellung jederzeit ändern. Eine Erläuterung der einzelnen Einstellungen finden Sie in der Hilfe.

COOKIE EINSTELLUNGEN

Wir respektieren Ihre Privatsphäre und den Datenschutz. Damit wir verstehen, wie unsere Seite im Allgemeinen genutzt wird und wir Ihren Besuch noch interessanter und personalisierter gestalten können, sammeln wir Daten über die Nutzung dieser Seite. Hierzu verwenden wir Cookies. Wir teilen außerdem Informationen über Ihre Nutzung unserer Website mit unseren Social-Media-, Werbe- und Analytikpartnern gemäß unserer Datenschutzerklärung. Sie können Ihre Präferenzen in den Cookie-Einstellungen verwalten und jederzeit ändern.

Achtung: Wenn Sie noch keine 16 Jahre alt sind deaktivieren Sie bitte unbedingt alle Cookies die nicht notwendig sind, da für das Tracken durch Cookies von Kindern unter 16 Jahren die Zustimmung eines Erziehungsberechtigten vorliegen werden muss.

  • Alle Cookies akzeptieren:
    Diese Funktion erlaubt alle Cookies für Tracking- und Seiten-Analyse, Cookies zur Personalisierung der Website oder Social Media Dienste. Dazu zählen auch Cookies von externen Anbietern, wie zum Beispiel Youtube oder Vimeo, um das Abspielen von Videos zu ermöglichen sowie Cookies, die nicht ausschließlich für den Betrieb der Webseite notwendig sind. Das sind Cookies für Marketing, Statistik und andere.
  • Nur Cookies erlauben, die von dieser Webseite gesetzt werden:
    Hierbei werden zusätzlich zu den notwendigen Cookies weitere Cookies geladen, die vom Websitebetreiber für diese Webseite genutzt werden. Das sind zum Beispiel Cookies, die die Art beeinflussen, wie sich eine Webseite verhält oder aussieht (z. B. Ihre bevorzugte Sprache oder die Region in der Sie sich befinden).
  • Nur Cookies akzeptieren, die für die Funktion der Seite notwendig sind:
    Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen. Die Webseite kann ohne diese Cookies nicht richtig funktionieren. Es werden bei dieser Option keine Cookies gesetzt, außer die aus technischen Gründen notwendig sind.

Zurück