Biometrische Daten & die DSGVO

Biometrische Daten beziehen sich auf Körpercharakteristika und Merkmale einer natürlichen Person, die bei jedem Menschen einzigartig sind. Da sie Personen identifizierbar machen, gelten sie als personenbezogene Daten und unterliegen der DSGVO. Was gibt es hinsichtlich dieser Daten-Art noch zu wissen? Und wann braucht es für deren Verarbeitung eine Einwilligung?
 

Biometrische Daten & Datenschutz

Die DSGVO stuft biometrische Daten nach Art. 4 Nr. 13 und 14 DSGVO in die sog. besonders schützenswerte Kategorie personenbezogener Daten ein: sie machen einen Menschen so eindeutig identifizierbar, dass der erforderliche Schutz der biometrischen Daten als besonders hoch eingestuft wird (Verarbeitung besonderer Kategorien personenbezogener Daten). Das bedeutet konkret, dass gem. Art. 9 Abs. 1 DSGVO für biometrische Daten ein grundsätzliches Verarbeitungsverbot gilt. Allerdings kann hiervon eine Ausnahme gemacht werden, wenn im zu prüfenden Einzelfall ein in Art. 9 Abs. 2 DSGVO aufgezählter Tatbestand vorliegt, welcher eine Verarbeitung zulässt. Mögliche Ausnahmetatbestände dieser Norm werden im Beitrag noch genauer erläutert.
 

Was sind biometrische Daten?

Was aber genau sind biometrische Daten? Mit „Biometrie“ meint die Wissenschaft Technologien zur Messung und Analyse körperlicher Merkmale von Menschen. Biometrische Daten beziehen sich daher auf ganz konkrete Charakteristika, die verhaltensbedingt sein können (wie die eigene Stimme), vor allem aber physiologischer Natur sind, wie z.B.:

• Fingerabdrücke,
• das Muster der Iris,
• Gebissabdruck,
• Maße und Proportionen des Gesichts oder
• die Lage und Struktur der Venen unter der Haut.

Diese Daten können entweder zur Verifikation oder Identifikation führen:

• Verifikation: Es wird ermittelt, ob eine Person diejenige ist, die sie vorgibt zu sein. Dies geschieht mittels 1:1 Abgleich, z.B.: durch einen Blick auf einen biometrischen Ausweis und das Gesicht des zu Verifizierenden.
• Identifikation: Es wird überprüft, ob die biometrischen Daten einer realen Person, von der biometrische Daten gespeichert sind, entsprechen, z.B. wenn Fingerabdrücke im Zuge einer Polizeiermittlung genommen und mit der Datenbank verglichen werden (1:n Abgleich).

Allerdings sind biometrische Merkmale nicht unfehlbar, denn viele von ihnen können verändert werden. So kann das optische Erscheinungsbild mittels Make-Up, Masken, Perücken, Tattoos / Tattooentfernung, Bodymodification, Operationen oder Krankheiten stark beeinflusst und verändert werden. Tendenziell eher unveränderbar sind nur wenige biometrische Daten wie die Venenerkennung, die sowohl die Lage als auch die Verzweigung der Venen unter der menschlichen Haut ermittelt und eine eindeutige Identifizierung ermöglicht.
 

Wo werden biometrische Daten verarbeitet und wann ist die Verarbeitung erlaubt?

Biometrische Daten dürfen nur in bestimmten Fällen verarbeitet werden:

• Am bekanntesten dürfte der Einsatz biometrischer Daten bei der Verbrechensbekämpfung sein. Hier handelt es sich um ein rechtliches und erhebliches öffentliches Interesse, das eine Verarbeitung erlaubt.
• Auch aus justiziellen Gründen kann eine Verarbeitung rechtens sein, etwa um einen bestehenden Rechtsanspruch gegen eine Person geltend machen zu können (z.B. Schmerzensgeld).
• Aber auch im täglichen Umfeld kann es oftmals entscheidend sein, biometrische Daten zu erheben, z.B. für einen Fingerabdruck-Scan für Zutrittskontrollen. Für solche Arbeits- und sozialrechtliche Erwägungsgründe braucht es aber eine ausdrückliche Einwilligung der betroffenen Person.
• Schutz lebenswichtiger Interessen: z.B., um einem bewusstlosen Unfallopfer zu helfen, welches im relevanten Zeitpunkt keine Einwilligung erteilen kann.

Wichtig: Manche Firmen nutzen biometrische Daten als Zugangskontrollen. Hier werden Finger- oder Handflächenscans ebenso wie Stimmabgleiche eingesetzt. Diese dürfen aber nur verwendet werden, wenn die Mitarbeiter:innen dieser Art der Zugangskontrolle freiwillig zugestimmt haben. Zu beachten ist hier immer auch die Zweck- und Verhältnismäßigkeit solcher Maßnahmen: Eine Kaffeeküche derart zu schützen ist so meist nicht verhältnismäßig; ein solcher Schutz für ein Biowaffenlabor hingegen schon.
 

Warum sind biometrische Daten besonders schützenswert?

Der Datenschutz bei biometrischen Daten spielt zu Recht eine wichtige Rolle, denn das Erfassen und Abgleichen von biometrischen Daten bedeutet immer einen Eingriff in die Privatsphäre von Personen. Deutlich wird dies am Beispiel der massenhaften Gesichtserkennung, die auch in Deutschland auf öffentlichen Plätzen eingesetzt wird. Abgesehen von der Verletzung der Privatsphäre birgt der automatische Abgleich biometrischer Daten viele Risiken in sich: Solche Vergleiche sind, auch wenn sie automatisch funktionieren, keineswegs fehlerfrei und können unter Umständen zu Falschidentifikationen führen (dies nennt man „False Acceptance Rate" (FAR)). In anderen Fällen wiederum erkennen Systeme biometrische Daten nicht und Verdächtige oder Gesuchte rutschen durchs (Fahndungs-)Raster, was auch als „False Rejection Rate" (FRR) bekannt ist. Eine solche Gesichtserkennung dringt klar in die Privatsphäre von betroffenen Personen ein und ist daher mit Vorsicht zu sehen – zumal die verwendeten Systeme nicht selten rassistische Muster reproduzieren.

Aus solchen Gründen ist es bei der Erhebung und Verarbeitung biometrischer Daten immer wichtig zu prüfen, welche Interessen schwerer wiegen: Die schutzwürdigen Interessen von Betroffenen oder die von Behörden und Unternehmen.