Fingerprint Devices & Datenschutz – Wie datensicher sind Fingerabdruck-Lesegeräte?

Ein Fingerabdruck-Lesegerät, auch Fingerprint Device genannt, brauchen viele von uns im privaten und geschäftlichen Alltag: Per eingescanntem Fingerabdruck werden Geräte entsperrt oder Überweisungen freigegeben. Wie sieht es bei diesem Thema mit dem Datenschutz aus? Und sind Fingerabdrücke eigentlich das Nonplusultra, um Daten zu schützen?
 

Was ist ein Fingerprint Device?

Im Deutschen wird das Fingerprint Device mit Fingerabdruck-Lesegerät übersetzt. Kurz gesagt können diese Vorrichtungen den eigenen Fingerabdruck digitalisieren, indem er gescannt wird. Wird ein Fingerprint Device genutzt, um beispielsweise das Smartphone zu entsperren, muss zuerst der gewünschte Finger an das eingebaute Lesegerät (auch Fingerprint Sensor genannt) gehalten werden, damit das Gerät den Fingerabdruck scannen und im System hinterlegen kann. Soll das Laptop nun entsperrt werden, muss der Finger zum Abgleich des Abdruckes wieder über den Leser gehalten werden. Das Gerät vergleicht sodann den gerade eingescannten Abdruck mit dem ursprünglich hinterlegten Bild des Fingerabdrucks.

Wichtig: Fingerprint Devices sind nicht mit den ähnlich klingenden Device Fingerprints, die auch Browser Fingerprints genannt werden, zu verwechseln. Bei letzterem handelt es sich um die Spuren, die wir z.B. via Cookies beim Surfen im Internet hinterlassen und die nur durch anonymes Surfen drastisch reduziert werden können.
 

Wo werden Fingerabdruck-Lesegeräte eingesetzt?

Fingerabdruck-Lesegeräte kennen die meisten wohl beim Smartphone oder Laptop, um die Bildschirmsperre aufzuheben oder beispielsweise Überweisungen zu autorisieren. Aber auch im geschäftlichen und öffentlichen Umfeld kommen sie zum Einsatz, wie bei:

• Zugangskontrollen: Einige Gebäude haben digitale Türschlösser, die sich mittels Fingerabdruckscans öffnen lassen.
• Strafvollzug: Werden Menschen erkennungsdienstlich erfasst, dann wird u.a. der Fingerabdruck von ihnen genommen. Dazu wird er bei der Strafvollzugsbehörde eingescannt und in AFIS, dem automatisierten Fingerabdruckidentifizierungssystem der deutschen Polizei, hinterlegt.
• Behörden: Manche deutschen Gesetze bedingen, dass zur korrekten Bearbeitung bestimmter Anträge einer oder mehrere Fingerabdrücke genommen werden. Beispielsweise für den Pass oder einen Asylantrag sind die Abnahme eines oder mehrerer Fingerabdrücke nötig.

Fingerprint Device & Datenschutz Bedenken: Wie sicher sind Fingerabdruck-Lesegeräte?

Bei Fingerabdrücken handelt es sich um personenbezogene Daten, genauer gesagt um biometrische Daten nach Art. 4 Nr. 13 und 14 DSGVO. Gemäß Art. 9 DSGVO fallen diese biometrischen Daten in die sog. besonders schützenswerte Kategorie personenbezogene Daten. Das heißt, dass ein Fingerabdruck einen Menschen so eindeutig identifizierbar macht, dass der erforderliche Schutz dafür als besonders hoch eingestuft wird. Außerdem gibt es für die Verarbeitungen besonderer Kategorien personenbezogener Daten bestimmte Rechtsgrundlagen in Art. 9 II DSGVO, dies sogar im sog. „Verbot mit Erlaubnisvorbehalt“.

Dementsprechend sicher müssen auch die Fingerprint Devices konzipiert werden: Die Sicherheit muss nicht nur bei dem Scanner (auch Fingerprint Reader genannt), der den Fingerabdruck aufnimmt, sehr hoch sein, sondern auch bei der Software, die den eingescannten Fingerabdruck anschließend digitalisiert und (hoffentlich) verschlüsselt speichert. Aber auch das System, das den Fingerabdruck darüber hinaus verarbeitet – ob Betriebssystem des Smartphones oder AFIS – muss ausreichend vor Angriffen von außen gesichert sein.
 

Fingerprint Device & Datenschutz

Neben den Sicherheitsbedenken hinsichtlich der Devices selbst bleibt noch die Tatsache, dass Fingerabdrücke nicht unfälschbar sind: So reproduzierte der Chaos Computer Club bereits vor etlichen Jahren medienwirksam die Fingerabdrücke des Politikers Wolfgang Schäuble und setzte diese auch erfolgreich mittels Fingerabdruck-Attrappe ein. Das Sicherheitsmerkmal der Einmaligkeit eines Fingerabdruckes wurde so widerlegt und zeigt deutlich, dass der Schutz von Daten mittels Fingerabdrucks zwar erhöht, aber nicht garantiert werden kann.

Fazit: Ob Sie Ihren Fingerabdruck privaten Endgeräten zur Verfügung stellen, bleibt im privaten Umfeld Ihnen überlassen. Sie sollten sich aber über zwei Dinge im Klaren sein:

• Was das jeweilige Betriebssystem mit den eingescannten Fingerabdrücken macht, ist von Hersteller zu Hersteller unterschiedlich. Bevor Sie Ihren Fingerabdruck einscannen, sollten Sie dies nachlesen. Sie sollten auf jeden Fall sicherstellen, dass Ihr eingescannter Fingerabdruck nicht mit Apps geteilt und nicht auf Servern sondern nur auf Ihrem Endgerät gespeichert wird.
• Fingerabdrücke sind nicht fälschungssicher und stellen daher keinen absoluten Schutz für Ihre Daten dar.

Dass Fingerabdrücke keine endgültige Sicherung für Zugänge oder Daten darstellen, sollte vor allem im geschäftlichen Umfeld hinsichtlich der Datensicherheit eine wichtige Überlegung sein. Um den Datenschutz im Unternehmen zu stärken und Fingerprint Devices im Zuge einer zwei-Faktor-Authentifizierung einzusetzen, kann aber eine gute Lösung darstellen.