News 30.03.2017_1 - Die Datenschutzexperten - Seminare zum Datenschutz und zur EU-DSGVO, Bestellung des externen Datenschutzbeauftragten, Gutachten zum Datenschutz

Suchen
Direkt zum Seiteninhalt

Hauptmenü:


Online-Authentifizierung durch biometrische Daten

Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation, die sogenannte „Berlin Group“, die sich aus internationalen Datenschutz-Aufsichtsbehörden zusammensetzt, hat kürzlich ein Arbeitspapier zu Biometrie in der Online-Authentifizierung online gestellt. Mit den Empfehlungen zur Online-Authentifizierung durch biometrische Daten werden die rechtlichen und technischen Anforderungen und Risiken aufgezeigt.

Zur Problematik der Authentifizierung

Mit der Verwendung biometrischer Daten einer Person soll meist der Zugang zu einem System authentifiziert werden. Der Vorteil zu einer Passwort-Authentifizierung besteht darin, dass ein biometrisches Merkmal Aufschluss darüber gibt (z. B. mittels eines physikalischen oder physiologischen Charakteristikums), ob es sich tatsächlich um die berechtigte Person handelt. Die Authentifizierung kann durch ein Merkmal, dass lediglich dem Betroffenen bekannt ist (z. B. das Passwort/Benutzername) nicht zweifelsfrei erfolgen, da es viele Risiken birgt - etwa im Rahmen der Weitergabe, des Diebstahls, der Nutzung ein und desselben Passworts für verschiedene Seiten, durch Vergessen und durch die Passwortsicherheit selbst. Der Einsatz biometrischer Verfahren wird durch Kreditkartenanbieter und viele Unternehmen bei der (Zugangs-)Authentifizierung bereits eingesetzt. Die Merkmale werden neben der Gesichtserkennung oder Fingerabdrücken z. B. auch in Form einer Unterschrift als verhaltensbezogenes Charakteristikum des Betroffenen verwendet. Auch eine Kombination der Authentifizierungsmethoden ist denkbar und in Zukunft wahrscheinlich.

Biometrie – was ist das?

Der Begriff „Biometrie“ ist nach der ISO/IEC 2382:2015 definiert. Darunter versteht man „… die Nutzung verschiedener Attribute, die einzigartige persönliche Merkmale wiedergeben, wie z. B. ein Fingerabdruck, ein Scan der Adernstruktur der Augennetzhaut oder Voiceprinting, um die Identität einer Person zu validieren.“

Diese Aufzählung ist nicht abschließend.

Auch biometrische Daten bieten keine 100-prozentige Sicherheit

Wie die „Berlin Group“ in dem Papier darstellt, sind besondere Anforderungen an die Sicherheit biometrischer Verfahren zu stellen. Ein biometrisches Authentifizierungsverfahren ist regelmäßig Gegenstand einer Datenschutz-Folgenabschätzung. Die Erfassung der Merkmale erfolgt meist mittels dedizierter Geräte oder Komponenten wie z. B. Fingerabdruckleser. Auch generische Aufnahmegeräte wie Kameras oder Mikrofone werden eingesetzt. Diese „neuen“ Technologien werfen z. B. Fragen hinsichtlich einer biometrischen Verschlüsselung auf. Risiken können zudem auch darin bestehen, dass z. B. Fingerabdrücke oder Gesichter ohne Wissen des Betroffenen erworben werden oder ein System getäuscht wird. Das Zutreffen auch dieser Merkmale kann häufig nur auf Wahrscheinlichkeitsaussagen beruhen. In den meisten Fällen sind diese, anders als bei einem Passwort, unveränderbar. Es ist daher nicht wahrscheinlich, dass eine Beschränkung auf einzelne Merkmale sich in der Praxis sicher durchsetzen kann.

Wie kann der Einsatz datenschutzkonform gestaltet werden?

Eine Unterstützung der Regulierungsbehörden bei der Entwicklung ist aus den genannten Gründen sowohl auf regionaler, als auch auf nationaler und internationaler Ebene äußerst wichtig. Um den Risiken vorzubeugen ist - neben der Datenschutz-Folgenabschätzung - die Datensicherheit durch Technikgestaltung und Voreinstellungen zu gewährleisten. Des Weiteren wird mit dem Papier empfohlen, spezielle Gesetze zu erlassen. Aufgefordert werden zudem Dienstleister, Software- und Hardwareentwickler, den Datenschutz fördernde Technologien zu entwickeln. Etwa stellt sich die Speicherung und Nachverfolgung biometrischer Merkmale in Datenbanken als problembehaftet dar, die technischen und organisatorischen Maßnahmen müssen auf dem neuesten Stand und die Menge der erhobenen Daten begrenzt sein.   


 
Copyright 2016. All rights reserved.
Zurück zum Seiteninhalt | Zurück zum Hauptmenü