Fingerprint Devices & Datenschutz – Wie datensicher sind Fingerabdruck-Lesegeräte?

Letztes Update:
28
.
03
.
2023
Lesezeit:
0
Min
Fingerprint Devices werden sowohl im privaten als auch im geschäftlichen Umfeld eingesetzt, um z.B. Hardware zu sichern. Wie sieht es bei solchen Fingerabdruck-Lesegeräten mit dem Datenschutz aus? Und welche weiteren Sicherheitsbedenken gibt es?
Fingerprint Devices & Datenschutz – Wie datensicher sind Fingerabdruck-Lesegeräte?
Die wichtigsten Erkenntnisse
  • Fingerprint Devices digitalisieren Fingerabdrücke zur Authentifizierung von Geräten und Anwendungen.
  • Fingerabdrücke sind biometrische Daten und gemäß DSGVO besonders schützenswert.
  • Hohe Sicherheitsanforderungen an Hardware und Software für Fingerprint Devices notwendig.
  • Fingerabdrücke sind nicht fälschungssicher und bieten keinen absoluten Schutz.
  • Fingerprint Devices als Teil einer Zwei-Faktor-Authentifizierung erhöhen Datensicherheit.

Ein Fingerabdruck-Lesegerät, auch Fingerprint Device genannt, brauchen viele von uns im privaten und geschäftlichen Alltag: Per eingescanntem Fingerabdruck werden Geräte entsperrt oder Überweisungen freigegeben. Wie sieht es bei diesem Thema mit dem Datenschutz aus? Und sind Fingerabdrücke eigentlich das Nonplusultra, um Daten zu schützen?
 

Was ist ein Fingerprint Device?

Im Deutschen wird das Fingerprint Device mit Fingerabdruck-Lesegerät übersetzt. Kurz gesagt können diese Vorrichtungen den eigenen Fingerabdruck digitalisieren, indem er gescannt wird. Wird ein Fingerprint Device genutzt, um beispielsweise das Smartphone zu entsperren, muss zuerst der gewünschte Finger an das eingebaute Lesegerät (auch Fingerprint Sensor genannt) gehalten werden, damit das Gerät den Fingerabdruck scannen und im System hinterlegen kann. Soll das Laptop nun entsperrt werden, muss der Finger zum Abgleich des Abdruckes wieder über den Leser gehalten werden. Das Gerät vergleicht sodann den gerade eingescannten Abdruck mit dem ursprünglich hinterlegten Bild des Fingerabdrucks.

Wichtig: Fingerprint Devices sind nicht mit den ähnlich klingenden Device Fingerprints, die auch Browser Fingerprints genannt werden, zu verwechseln. Bei letzterem handelt es sich um die Spuren, die wir z.B. via Cookies beim Surfen im Internet hinterlassen und die nur durch anonymes Surfen drastisch reduziert werden können.
 

Wo werden Fingerabdruck-Lesegeräte eingesetzt?

Fingerabdruck-Lesegeräte kennen die meisten wohl beim Smartphone oder Laptop, um die Bildschirmsperre aufzuheben oder beispielsweise Überweisungen zu autorisieren. Aber auch im geschäftlichen und öffentlichen Umfeld kommen sie zum Einsatz, wie bei:

  • Zugangskontrollen: Einige Gebäude haben digitale Türschlösser, die sich mittels Fingerabdruckscans öffnen lassen.
  • Strafvollzug: Werden Menschen erkennungsdienstlich erfasst, dann wird u.a. der Fingerabdruck von ihnen genommen. Dazu wird er bei der Strafvollzugsbehörde eingescannt und in AFIS, dem automatisierten Fingerabdruckidentifizierungssystem der deutschen Polizei, hinterlegt.
  • Behörden: Manche deutschen Gesetze bedingen, dass zur korrekten Bearbeitung bestimmter Anträge einer oder mehrere Fingerabdrücke genommen werden. Beispielsweise für den Pass oder einen Asylantrag sind die Abnahme eines oder mehrerer Fingerabdrücke nötig.

Fingerprint Device & Datenschutz Bedenken: Wie sicher sind Fingerabdruck-Lesegeräte?

Bei Fingerabdrücken handelt es sich um personenbezogene Daten, genauer gesagt um biometrische Daten nach Art. 4 Nr. 13 und 14 DSGVO. Gemäß Art. 9 DSGVO fallen diese biometrischen Daten in die sog. besonders schützenswerte Kategorie personenbezogene Daten. Das heißt, dass ein Fingerabdruck einen Menschen so eindeutig identifizierbar macht, dass der erforderliche Schutz dafür als besonders hoch eingestuft wird. Außerdem gibt es für die Verarbeitungen besonderer Kategorien personenbezogener Daten bestimmte Rechtsgrundlagen in Art. 9 II DSGVO, dies sogar im sog. „Verbot mit Erlaubnisvorbehalt“.

Dementsprechend sicher müssen auch die Fingerprint Devices konzipiert werden: Die Sicherheit muss nicht nur bei dem Scanner (auch Fingerprint Reader genannt), der den Fingerabdruck aufnimmt, sehr hoch sein, sondern auch bei der Software, die den eingescannten Fingerabdruck anschließend digitalisiert und (hoffentlich) verschlüsselt speichert. Aber auch das System, das den Fingerabdruck darüber hinaus verarbeitet – ob Betriebssystem des Smartphones oder AFIS – muss ausreichend vor Angriffen von außen gesichert sein.
 

Fingerprint Device & Datenschutz

Neben den Sicherheitsbedenken hinsichtlich der Devices selbst bleibt noch die Tatsache, dass Fingerabdrücke nicht unfälschbar sind: So reproduzierte der Chaos Computer Club bereits vor etlichen Jahren medienwirksam die Fingerabdrücke des Politikers Wolfgang Schäuble und setzte diese auch erfolgreich mittels Fingerabdruck-Attrappe ein. Das Sicherheitsmerkmal der Einmaligkeit eines Fingerabdruckes wurde so widerlegt und zeigt deutlich, dass der Schutz von Daten mittels Fingerabdrucks zwar erhöht, aber nicht garantiert werden kann.

Fazit: Ob Sie Ihren Fingerabdruck privaten Endgeräten zur Verfügung stellen, bleibt im privaten Umfeld Ihnen überlassen. Sie sollten sich aber über zwei Dinge im Klaren sein:

  • Was das jeweilige Betriebssystem mit den eingescannten Fingerabdrücken macht, ist von Hersteller zu Hersteller unterschiedlich. Bevor Sie Ihren Fingerabdruck einscannen, sollten Sie dies nachlesen. Sie sollten auf jeden Fall sicherstellen, dass Ihr eingescannter Fingerabdruck nicht mit Apps geteilt und nicht auf Servern sondern nur auf Ihrem Endgerät gespeichert wird.
  • Fingerabdrücke sind nicht fälschungssicher und stellen daher keinen absoluten Schutz für Ihre Daten dar.

Dass Fingerabdrücke keine endgültige Sicherung für Zugänge oder Daten darstellen, sollte vor allem im geschäftlichen Umfeld hinsichtlich der Datensicherheit eine wichtige Überlegung sein. Um den Datenschutz im Unternehmen zu stärken und Fingerprint Devices im Zuge einer zwei-Faktor-Authentifizierung einzusetzen, kann aber eine gute Lösung darstellen.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
-
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!