esb Rechtsanwälte

Biometrie

Ulrich Emmert

 

Biometrie

 

Authentifikation von Nutzern ist nicht nur technisch notwendig und wünschenswert, sondern für personenbezogene Daten ist dies auch im Rahmen der Eingabekontrolle gemäß Anhang zu § 9 des Bundesdatenschutzgesetzes gesetzliche Vorschrift. Um die Eingabekontrolle erfüllen zu können, dürfen Accounts nicht gemeinsam genutzt werden, sondern jeder Nutzer muss separat und eindeutig authentifiziert werden können.

Die Praxis zeigt jedoch, dass jede Form der Passworteingabe Risiken des Ausspähens birgt. Viel verbreiteter als das Ausspähen von Passsworten von außerhalb der Firma oder Behörde ist jedoch der Missbrauch von Accountdaten innerhalb der Firma. Auch innerhalb der Firma gilt es als Datenschutzverletzung, wenn ein Nichtberechtigter an ihn nicht betreffende personenbezogene Daten kommt. Das kann entweder durch freiwillige Mitteilung von Accountdaten an Kollegen, durch die (nicht erlaubte) dauernde gemeinsame Nutzung von Accounts oder durch das Raten von Passwörtern von Kollegen geschehen. Meist ist es bei der Kenntnis gewisser privater Lebensumstände von Kollegen nicht so schwer, das Passwort durch Eingabe von Namen und Geburtsdaten von Ehepartner, Kinder, Freunde, Geschwister oder Haustieren zu erraten.

 

Mangelnde Identifikation von Mitarbeitern kann jedoch automatisch eine eigene Haftung der Firma nach sich ziehen, da diese die organisatorischen Maßnahmen versäumt hat, für eine eindeutige Identifizierbarkeit von Accountdaten zu sorgen.

Mit Passworten lässt sich eine Weitergabe von Accountdaten in der Praxis nicht verhindern. Aber auch bei der Nutzung von Besitzmerkmalen wie bei der Nutzung von Smartcards etwa bei der Einführung von qualifizierten elektronischen Signaturen haben Versuche der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) ergeben, dass die starke Tendenz zur Weitergabe dieser Identifikationsmerkmale aus praktischen Gründen wie Zeitmangel an die Sekretärin oder zur Unterstützung bei technischen Problemen an Kollegen ohne Adminrechte besteht.

Eine wirksame Methode zur Verhinderung dieser eigenen Haftung der Firma für Fehlverhalten der Mitarbeiter unter gemeinsam genutzter oder fremder Kennung kann daher nur durch eine fixe Zuordnung der Identifikationsdaten zu einer Person erreicht werden, d.h. durch die Erkennung biometrischer Daten.

Um eine per biometrischen Daten authentifizierte Person hinreichend sicher als sichere Quelle für einen Schaden beschuldigen zu können, muss sowohl die Genauigkeit der biometrischen Erkennung für eine eindeutige Authentifizierung ausreichen als auch gesichert sein, dass es keine Möglichkeiten gibt, das System z.B. durch die Abnahme von Fingerabdrücken oder Verwendung von hochauflösenden Fotos für Iris-Scans zu überlisten.

 

Falls die Biometrie funktioniert, ist dies sicher aus der Sicht des Datenschutzes die effektivste Sicherung der Eingabekontrolle. Die Biometrie wirft umgekehrt aber auch datenschutzrechtliche Probleme der Speicherung persönlicher Erkennungsdaten ohne Einfluss des Betroffenen auf. So kann mit dem neuen maschinenlesbaren Personalausweis nicht mehr festgestellt werden, wo diese Daten gelesen werden und an wen diese Daten übermittelt werden.

 

Aus rechtlicher und vor allem datenschutzrechtlicher Sicht ist Biometrie daher ein zweischneidiges Schwert, das für die Organisation sicher Vorteile bringt, für den einzelnen Betroffenen aber auch Nachteile bei der Speicherung seiner Daten bedeuten kann.

 

Ulrich Emmert, Partner der überörtlichen Sozietät esb Rechtsanwälte und Lehrbeauftragter an der Hochschule für Wirtschaft und Umwelt in Nürtingen

zv7qrnb