Biometrische Daten: Zwischen Nutzung, Recht und Datenschutz
Wie sicher ist die Verwendung von biometrischen Daten? Die Zivilrechtsprofessorin Christiane Wendehorst von der Universität Wien klärt im Interview über datenschutzrechtliche Fragestellungen sowie rechtliche Rahmenbedingungen auf.
Biometrische Daten kommen heute in vielen verschiedenen Bereichen des täglichen Lebens zum Einsatz. So können mithilfe biometrischer Daten Mehrfaktor-Authentifizierungen relativ einfach und sicher durchgeführt werden. Gleichzeitig brauchen auch biometrische Daten Schutz. Nicht immer ist Userinnen und Usern allerdings klar, was durch die Einwilligung zur Verwendung ihrer biometrischen Daten mit diesen weiter passiert. Christiane Wendehorst, Professorin für Zivilrecht und Vorständin des Instituts für Digitalisierung und Recht an der Universität Wien, erklärt im Interview, worauf Userinnen und User besonders achten sollten und wo das zentrale Regelwerk der Datenschutzgrundverordnung (DSGVO) aktuell Schwächen aufweist.
Hinweis
Biometrische Anmeldungen bieten verschiedene Vorteile gegenüber herkömmlichen Anmeldeprozessen mittels Benutzernamen und Passwort. Wie die Technologie im Allgemeinen funktioniert und welche Risikopotenziale sie birgt, können Sie im Beitrag „Biometrische Authentifizierung: Anmeldung via Körpermerkmale“ nachlesen.
Inwiefern besteht ein Spannungsfeld zwischen der Nutzung und Speicherung von biometrischen Daten und Fragen des Datenschutzes?
Christiane Wendehorst: Wir haben verschiedene Rechtsakte im Bereich des Datenschutzrechts, besonders wichtig und prominent ist die Datenschutzgrundverordnung (DSGVO). Diese beinhaltet auch eine Definition von biometrischen Daten, die relativ eng gefasst ist. Das ist bereits ein Problem, denn die Definition von biometrischen Daten umfasst nur Daten, die zur eindeutigen Identifizierung einer Person beitragen. Darunter fallen etwa die Gesichtserkennung oder der Fingerabdruck. Jüngere Entwicklungen im Bereich von Soft Biometrics, wie etwa das Tippverhalten oder Ganganalysen von Menschen und generell alle Daten, die eher Aufschluss geben über die Eigenschaften von Menschen als über ihre Identität, werden davon nicht erfasst. Rechtsunsicherheit herrscht teilweise auch bei multimodalen Identifizierungsformen.
Hinweis
Gesichtserkennung und Fingerabdruck-Sensoren haben sich als Authentifizierungsmethoden für Smartphones und Apps weitläufig etabliert. Für nähere Informationen zu den zugrundeliegenden Technologien und Sicherheitsaspekten lesen Sie die Beiträge „Biometrische Gesichtserkennung: Funktionsweise und Sicherheit“ sowie „Fingerabdruck-Sensor: Wenn der Finger zum Schlüssel wird“.
Das bedeutet, die DSGVO gibt die rechtlichen Rahmenbedingungen für die Nutzung und Speicherung von biometrischen Daten vor?
Wendehorst: Die DSGVO definiert biometrische Daten – ähnlich wie Gesundheitsdaten oder Auskünfte über sexuelle Orientierung, Religion und ethnische Herkunft – als besondere Kategorie von Daten, die einem strengen Regime unterworfen sind und grundsätzlich nicht verarbeitet werden dürfen. Gleichzeitig enthält die DSGVO aber auch einen Katalog von Gründen, auf deren Basis die Verarbeitung dennoch erfolgen darf. Dazu zählen etwa wichtige Belange der öffentlichen Sicherheit, medizinische Behandlungen, aber auch die ausdrückliche Einwilligung. Jetzt können wir uns fragen, ob dieser hier definierte Schutz ausreicht.
Wo sehen Sie Lücken und datenschutzrechtliche Herausforderungen?
Wendehorst: Zunächst bewirkt die enge Definition von biometrischen Daten, dass vieles, was ebenso auf körperliche Merkmale abstellt, nicht von der DSGVO erfasst wird – nehmen Sie nur den ganzen wachsenden Bereich der Emotionserkennung oder der Gehirndaten. Eine weitere Schwäche sehe ich im Rechtfertigungsgrund der ausdrücklichen Einwilligung. Userinnen und User sind mit der Entscheidung durch die ständige Informationsüberflutung und die Komplexität der meisten Datenschutzinformationen überfordert. Das bringt die Konsequenz mit sich, dass Menschen vielleicht unreflektiert eine Einwilligung für die Verarbeitung ihrer biometrischen Daten an Websites oder Apps geben.
Wie und wo können biometrische Daten missbräuchlich verwendet werden?
Wendehorst: Biometrische Daten können gestohlen werden, etwa zum Zweck des Betrugs. Das ist eindeutig illegal und sogar eine Straftat. Dann wird es vermutlich viele Fälle geben, in denen Unternehmen Verstöße gegen die DSGVO in Kauf nehmen, weil niemand merkt, dass die Daten auch noch für andere Zwecke verwendet werden, etwa wenn eine App die zu Authentifizierungszwecken bereitgestellten Daten gleich auch noch zur Entwicklung neuer Erkennungssoftware nutzt. Es gibt aber auch im weiteren Sinne missbräuchliche Verwendungen, die möglicherweise sogar im Einklang mit der DSGVO erfolgen. Etwa wenn Betroffene unreflektiert ihre Einwilligung in eine Datennutzung erteilt haben, die ihnen Schaden zufügt, zum Beispiel indem mithilfe von Emotionserkennung ihre Kaufentscheidungen manipuliert werden.
Hinweis
Weiterführende Informationen zum Einsatz von biometrischen Daten im Rahmen von Zwei-Faktor-Authentifizierungen finden Sie im Beitrag „Zwei-Faktor-Authentifizierung mittels Biometrie: Funktionsweise und Sicherheitsaspekte“.
Welche rechtlichen Möglichkeiten haben Konsumentinnen und Konsumenten, wenn biometrische Daten missbräuchlich verwendet werden?
Wendehorst: Haben Userinnen und User irgendwann unbedacht ihre ausdrückliche Einwilligung zur Nutzung von biometrischen Daten erteilt, kann diese Einwilligung jederzeit widerrufen werden. Es gibt nach der DSGVO ein Recht auf Datenlöschung, das sogenannte „Recht auf Vergessenwerden“, wenn für eine Datenverarbeitung keine Rechtsgrundlage mehr besteht. Wenn gegen die DSGVO verstoßen wurde, haben Userinnen und User das ganze Arsenal an Rechtsmöglichkeiten – von der Beschwerde bei der Datenschutzbehörde bis hin zum Anspruch auf Ersatz des materiellen oder immateriellen Schadens. Und wenn zugleich gegen andere Rechtsnormen verstoßen wurde – etwa das UWG (Gesetz gegen den unlauteren Wettbewerb) oder das Strafrecht –, gelten natürlich die dafür vorgesehenen Rechtsschutzmöglichkeiten.
Welche Empfehlungen haben Sie für Konsumentinnen und Konsumenten hinsichtlich der Verwendung von biometrischen Daten?
Wendehorst: Konsumentinnen und Konsumenten sollten sich überlegen, wem sie die Einwilligung zur Nutzung ihrer Daten geben. In meinen Augen sollte man diese Einwilligung nur wenigen vertrauenswürdigen Anbietern, wie etwa der eigenen Hausbank beim Online-Banking, erteilen und nicht irgendwelchen Websites oder Apps, nur um ein Feature freizuschalten. Das heißt, man sollte wirklich doppelt und bei biometrischen Daten sogar dreimal nachdenken, bevor man im Internet auf eine Einwilligung klickt.
Tipp
Welche Rechte und Pflichten sich für Userinnen und User aus der DSGVO ergeben, erklärt Datenschutzexperte Gerold Pawelka-Schmidt im Interview „Datenschutz in Österreich regelt weitreichende Rechte im Internet“.
Braucht es mehr „Problembewusstsein“ seitens der Userinnen und User?
Wendehorst: Ich denke, dass in den letzten Jahren ein Bewusstseinswandel stattgefunden hat. Nach wie vor halte ich aber die prominente Rolle der Einwilligung für ein zentrales Problem. Daher schlage ich eine Art Ampel-System für das Datenschutzrecht vor. Darin sollte es einen grünen Bereich erlaubter Datennutzung geben, einen gelben Bereich, in dem ich die Datennutzung durch meine Einwilligung legitimieren kann, und einen roten Bereich, in dem die Datennutzung trotz Einwilligung verboten ist. Ähnliche Regelungen haben wir bereits im Verbrauchervertragsrecht. Missbräuchliche, hochriskante Anwendungen sollten so schlicht verboten werden. Außerdem könnten standardisierte Bildsymbole helfen, rasch etwa User-Tracking oder die Weitergabe von Daten an Dritte zu erkennen. Das wäre eine wichtige Unterstützung, damit Konsumentinnen und Konsumenten schneller sichere Entscheidungen treffen können.
Tipp
Für Mehrfaktor-Authentifizierungen kommen unterschiedliche Methoden infrage. Welche sich für den alltäglichen Gebrauch anbieten, erklärt die IT-Security-Expertin Silvie Schmidt im Beitrag „Mehrfaktor-Authentifizierung im Fokus: Methoden und Entwicklungen“.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria