23. März 2017 - Einführung von Kontrollen

Biometrische Zutrittskontrollen: Tipps zum Datenschutz

Biometrische Kontrollen werden als Sicherheitsfaktor immer wichtiger. Neben der biometrischen Zugangskontrolle bei Smartphones und Tablets nimmt auch die biometrische Zutrittskontrolle bei Gebäuden und Räumen zu. Hier sind Datenschutzbeauftragte gefragt. Denn biometrische Daten brauchen einen besonderen Schutz.

Datenschutz gehört zu biometrischen Zutrittskontrollen dazu Biometrische Daten wie z.B. der Fingerabdruck, sind personenbezogene Daten (Bild: Wavebreakmedia Ltd / Wavebreak Media / Thinkstock)

Biometrische Daten helfen der IT-Sicherheit

Fingerabdruck, Iris-Scan oder Stimm-Erkennung sollen als biometrische Merkmale zum Beispiel Bezahlvorgänge sicherer machen.

Die Mehrheit der Deutschen ist offen für diese Form der Authentifizierung, so eine Umfrage im Auftrag des Digitalverbands Bitkom:

  • 58 Prozent der Befragten können sich demnach vorstellen, solche Verfahren künftig beim bargeldlosen Bezahlen einzusetzen.
  • Geht es speziell um den Fingerabdruck, ist die Bereitschaft offensichtlich noch größer: 8 von 10 Deutschen (81 Prozent) wollen in Zukunft laut Bitkom den Fingerabdruck nutzen, um bargeldlose Bezahlvorgänge abzusichern.
  • Gut ein Drittel (36 Prozent) würde den Iris-Scan des Auges nutzen, um eine Zahlung zu autorisieren.

Die relativ hohe Zustimmung für den Einsatz von Fingerabdrücken wird damit begründet, dass Fingerabdruck-Scanner heute bereits bei Smartphones und Tablets zur Entsperrung verbreitet sind.

Biometrie hilft somit in der IT-Sicherheit bei der Absicherung sensibler Daten und Zugänge.

Biometrie in der Datenschutz-Grundverordnung (DSGVO)

Doch die biometrischen Daten sind selbst sensibel. Aus gutem Grund nennt die Datenschutz-Grundverordnung „biometrische Daten“ ausdrücklich.

Die DSGVO definiert sie als „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“.

Grundsätzlich regelt die DSGVO, dass die Verarbeitung besonderer Kategorien personenbezogener Daten, zu denen die biometrischen Daten gezählt werden, untersagt ist, wenn nicht bestimmte Voraussetzungen gegeben sind, wie sie Artikel 9 DSGVO aufführt.

Will ein Unternehmen also biometrische Verfahren für die Zugangskontrolle oder Zutrittskontrolle einsetzen, muss es zuerst die datenschutzrechtlichen Voraussetzungen klären.

Vor der Einführung steht die datenschutzrechtliche Prüfung

Die DSGVO (Artikel 9) nennt als Voraussetzungen insbesondere:

  • Einwilligung: Die betroffene Person hat in die Verarbeitung der biometrischen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt. Es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot durch die Einwilligung der betroffenen Person nicht aufgehoben werden.
  • Die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann. Das muss nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig sein.

Neben der Zulässigkeit der Verarbeitung biometrischer Daten gilt es, die Schutzmaßnahmen und Risiken für die biometrischen Daten zu überprüfen.

Beachten Sie bei einer Datenschutz-Folgenabschätzung:

  • Da biometrische Daten für die Identifizierung von Personen genutzt werden können, bedeutet der Diebstahl und Missbrauch biometrischer Daten gleichzeitig, dass Identitätsdiebstahl und Identitätsmissbrauch möglich sind. So könnten Unbefugte in ein Gebäude gelangen, das über biometrische Zutrittskontrollen geschützt wird, oder sie könnten Zugang zu einem geschützten Smartphone erhalten, wenn es über einen biometrischen Zugangsschutz abgesichert wird.
  • Werden biometrische Daten mit weiteren personenbezogenen Daten verknüpft, könnten die biometrischen Zutrittskontrollen und Zugangskontrollen dazu missbraucht werden, heimliche Nutzerprofile anzulegen, zum Beispiel für die Verhaltenskontrolle von Beschäftigten.
  • Da bei der Zutrittskontrolle Videoüberwachung eine große Rolle spielt und die biometrische Zutrittskontrolle darum ergänzt werden könnte, denken Sie daran, dass sich die Aufsichtsbehörden bereits kritisch zu der Kombination aus Biometrie und Videoüberwachung geäußert haben.

Die folgende Checkliste hilft Ihnen dabei, die nötigen Prüfungen vor der Einführung einer biometrischen Zutrittskontrolle durchzuführen.


Download: Checkliste Biometrische Zutrittskontrolle


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.

Anzeige

Zeitschrift Datenschutz Die Fachzeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um Datenschutz PRAXIS zu testen!

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln