Biometrische Verfahren sind längst im Alltag der meisten angekommen. Ob zum Entsperren des Smartphones oder dem Login ins Onlinebanking: Fingerabdruck, Gesichtsscan und co sollen Anmeldeverfahren sicherer und Missbrauch weniger wahrscheinlich machen.
Übersicht
- Warum biometrische Verfahren?
- Was sagt die DSGVO zu biometrischen Verfahren?
- Was es zu beachten gibt
- Fazit
1) Warum biometrische Verfahren?
Nicht nur privat, auch geschäftlich kann Biometrie erstmal praktikabel klingen. Organisationen sehen in biometrischen Verfahren häufig eine Möglichkeit, ihre IT-Sicherheit zu stärken, indem sensible Daten und Zugänge durch diese geschützt werden. Auch dienstlich sollen so also Anmelde- und Zutrittsverfahren sicherer gemacht werden. Doch was genau sind biometrische Verfahren? Es handelt sich bei ihnen um Identifizierungsverfahren anhand persönlicher Merkmale einer Person. Das können, wie oben erwähnt, Fingerabdrücke, Gesichts- oder Irisscans, oder die Stimme einer Person sein.
Ein viel geschätzter Vorteil an ihnen ist, dass sie weder verlier- noch vergessbar sind. Führungskräfte schätzen auch, dass biometrische Merkmale nicht weitergebbar sind. Betrug und Missbrauch wird dadurch weniger wahrscheinlich.
Biometrische sind gleichzeitig sehr sensible Daten, deren Verarbeitung einen besonderen Schutz erfordert. Unternehmen und Einrichtungen, die solche Verfahren für Zutritts- oder Identitätskontrollen nutzen wollen, sollten vor deren Einsatz datenschutzrechtliche Voraussetzungen prüfen.
2) Was sagt die DSGVO zu biometrischen Verfahren?
Laut DSGVO fallen biometrische Daten unter die „besondere Kategorie personenbezogener Daten“. Genauer geregelt sind diese in Artikel 9 der DSGVO. Die Verarbeitung biometrischer Daten, und damit deren Einsatz in Organisationen für Zutritts- und Identitätskontrollen, ist demnach gestattet, wenn…
- eine Einwilligung der betroffenen Personen vorliegt. Stimmen Mitarbeitende ausdrücklich zu, dass sie mit der Verarbeitung ihrer Daten einverstanden sind, sind biometrische Verfahren gestattet.
- die Verarbeitung erforderlich ist, damit Personen/ Angestellte ihren Pflichten, bzw. dem gesamten Zweck des Arbeitsverhältnisses nachkommen können.
- eine Verarbeitung zum Schutz lebenswichtiger Interessen erforderlich ist.
Sind diese Punkte nicht erfüllt, ist die Verarbeitung biometrischer Daten natürlicher Personen untersagt.
3) Was es zu beachten gibt
Auch wenn die datenschutzrechtlichen Voraussetzungen geklärt sind, und eine Verarbeitung biometrischer Daten erlaubt ist, ist von Organisationen auf einen sicherheitsbewussten Umgang mit diesen zu achten. Zum einen gilt, dass Daten von ihnen nicht „zweckentfremdet“ werden dürfen.
Unerlässlich ist außerdem, biometrische Daten vor Missbrauch und Ausspähung zu schützen. Denn ein Diebstahl oder Missbrauch dieser kann schnell mit einem Identitätsdiebstahl oder -missbrauch der betroffenen Personen einhergehen. Mit der Nutzung biometrischer Verfahren können demnach erhöhte Risiken verbunden sein.
Für Organisationen ist eine Datenschutz-Folgenabschätzung (DSFA) unabdingbar. Auf Risiken, die im Rahmen einer DSFA erkannt werden, sollte mit entsprechenden Schutzmaßnahmen reagiert werden. Empfehlenswert kann es auch sein, Risiken intensiver als rechtlich vorgegeben zu prüfen, um weiteren möglichen Erschwernissen aus dem Weg zu gehen.
Auch einige technische und organisatorische Maßnahmen sind essentiell, wie unter anderem Datenminimierung, Vertraulichkeit und Transparenz.
4) Fazit
Insgesamt lässt sich sagen, dass biometrische Verfahren durchaus eine gute Möglichkeit für Unternehmen und Einrichtungen sein können, Zutrittskontrollen etc. sicherer zu machen. Aber auch wenn biometrische Verfahren mittlerweile sehr zuverlässig sind, sind auch sie austricksbar. Organisationen sollten sich dessen bewusst sein, dass Bilder von Mitarbeitenden öffentlich einsehbar sein können und auch Fingerabdrücke abnehmbar sind. Identitätsmissbrauch wird durch Biometrie zwar weniger wahrscheinlich, ausschließen lässt er sich aber trotzdem nicht. Sind biometrische Daten erst einmal in die Hände von Unbefugten gelangt, ist es schier unmöglich, sie wieder „zurückzuholen“.
Eine erhöhte Sicherheit kann durch eine Kombinationslösung gewährleistet werden, indem mithilfe von Biometrie eine Multi-Faktor-Authentifizierung eingerichtet wird. Das gilt nicht nur für Zutrittskontrollen, sondern auch besonders für dienstlich genutzte Handys, Tablets oder Laptops, auf denen sensible Daten gespeichert und abgelegt werden. Biometrische Verfahren sollten Passwörter oder PIN-Codes also bestenfalls nicht gänzlich ersetzen, sondern ergänzen.
Melden Sie sich gerne bei uns, wenn Sie noch weitere Fragen haben oder weitere Unterstützung benötigen.
Einige Gedanken haben wir aus folgendem Artikel übernommen: Biometrische Zutrittskontrollen: Tipps zum Datenschutz.