Anwesenheitskontrolle mit Hilfe von Fingerabdrücken

Die Anwesenheitskontrolle am Arbeitsplatz wird heute zunehmend mit software-basierten Fingerabdruckkontrollsystemen durchgeführt. Die zentrale Speicherung von Fingerabdrücken ist datenschutzrechtlich bedenklich; es ist weit weniger problematisch, nur die Minuzien in Verbindung mit der Identität zu speichern, sofern entsprechende Sicherheitsmassnahmen angewandt werden. Allerdings würde eine von jedem Beschäftigten beim Stempeln vorgewiesene und ausschliesslich von ihm verwendete Chipkarte mit biometrischen Daten eine verhältnismässigere und mit dem Datenschutz besser zu vereinbarende Lösung darstellen.

Ein in der Genfer Region tätiges Unternehmen stellte uns die Frage, ob die Bearbeitung von Fingerabdrücken zwecks Anwesenheitskontrolle mit dem Datenschutz vereinbar sei. Wir sollten insbesondere prüfen, ob der Einsatz der Biometrie mit Blick auf das angestrebte Ziel gerechtfertigt und verhältnismässig ist. Wir gelangten zu den folgenden Ergebnissen:

Die Anwesenheits- und die Zugangskontrolle zum Arbeitsplatz wird heute zunehmend mit Software durchgeführt. Diese Softwareprogramme können in das Büroautomatik-Umfeld integriert werden, so dass die einschlägigen Daten bisweilen sogar mit anderen Softwareprogrammen abgefragt werden können. Die in der Regel passwortgeschützten Anwesenheitskontrollanwendungen können neben klassischen Datenkategorien (Name, Vorname, Abteilung oder Einheit, Adresse, Arbeitszeiten usw.) auch besondere Vorgänge oder Bewegungen (Zugang innerhalb des Betriebs, Benutzung von Fahrzeugen usw.) erfassen. Bestimmte Applikationen ermöglichen die Datenbearbeitung anhand der Fingerabdrücke der Beschäftigten. Dabei wird zuerst ein digitales Bild des Fingerabdrucks erstellt und analysiert, um die Minuzien (d.h. bestimmte Merkmale des Fingerabdrucks, wie Punkte mit einer Gabelung oder einem Linienende und Rillen auf der Fingeroberfläche) herauszufiltern. In der Authentifizierungsphase erlaubt oder verweigert das System je nach Übereinstimmung zwischen den Minuzien der Finger und dem Referenzmuster den Zugang. Grundsätzlich reicht die Authentifizierung allein aus, um einer Person, die so anonym bleibt, den verlangten Zugang zu gewähren. Im Fall der Anwesenheitskontrolle ist eine Identifizierung der Personen erforderlich. Dazu empfehlen wir, statt des Vergleichs auf Basis einer zentralisierten Sammlung von mit den entsprechenden Identitäten kombinierten Referenz-Minuzien, eine Benutzeridentifizierung, welche die Angestellten beim Stempeln vorweisen.

Bei Fingerabdrücken und daraus extrahierten Minuzien handelt es sich um statische biometrische Daten. Sie sind zeitlich unveränderliche und unverwechselbare Wesensmerkmale einer Person, die sich andere Personen nicht aneignen können. Ohne Verbindung zur Identität stellen die biometrischen Elemente keine Personendaten dar; mit Verbindung zur Identität dagegen bilden die Fingerabdrücke schützenswerte Daten, da sich daraus die Rassenzugehörigkeit rekonstruieren lässt (was für Minuzien nicht der Fall ist). Im letzten Fall wird eine Datenbank gebildet, für welche die Bestimmungen des Bundesgesetzes über den Datenschutz gelten. Biometrische Daten können nur bearbeitet werden, wenn ein Rechtfertigungsgrund vorliegt oder, falls der Inhaber der Datensammlung ein Bundesorgan ist, eine Gesetzesgrundlage die Bearbeitung vorsieht. Mangels eines Rechtfertigungsgrundes bedeutet die Bearbeitung eine rechtswidrige Persönlichkeitsverletzung, da die betroffene Person durch missbräuchliche Handlungen eines Dritten die Kontrolle über ihre eigenen Fingerabdrücke verliert.

Wenn mit der Identität verbundene Minuzien bearbeitet werden, müssen angemessene Sicherheitsmassnahmen wie z.B. die Chiffrierung der bearbeiteten Daten ergriffen werden. Alle Bearbeitungsschritte – das Speichern, der Vergleich und die Übermittlung von Personendaten – müssen geschützt werden. Der Zweck der Datenbearbeitung muss den betroffenen Personen mitgeteilt werden. Ausserdem sollte der Arbeitgeber die Angestellten konsultieren, bevor er solche Massnahmen ergreift.

Die Individualität und die Unveränderlichkeit der Fingerabdrücke lassen in der Regel eine Ver-wendung durch Dritte nicht zu. Biometrische Authentifizierungs-Systeme schränken so das Risiko des Kopierens, Diebstahls, Vergessens oder Verlusts, welches bei klassischen Stempelkarten oder Badges auftreten kann, stark ein. Diese Systeme bilden sehr effiziente Identifizie-rungssysteme, auch wenn sie in seltenen Fällen Fotokopien von Fingerabdrücken, Abformungen von Fingern oder tote Finger akzeptieren. Das Ergebnis des Abgleichs der Minuzien beruht auf Wahrscheinlichkeitsrechnungen, so dass eine irrtümliche Authentifizierung nicht ausgeschlossen werden kann. Fällt eine Identifikation irrtümlich negativ aus, ist das problematisch. Noch problematischer ist es indessen, wenn eine Identifikation irrtümlich positiv ausfällt. Dies macht eine zusätzliche Kontrolle durch eine persönliche Identifikationsnummer (PIN) oder ein Passwort erforderlich. Fingerabdrücke können z.B. durch Reinigungsmittel oder eine Verlet-zung vorübergehend oder dauerhaft verändert werden. Aus diesem Grund wird empfohlen, Referenz-Muster von verschiedenen Fingern der gleichen Person zu sammeln, um die Authentifizierung bei Veränderungen eines Fingerabdrucks zu ermöglichen. Die teilweise oder vollständige Rekonstruktion eines Fingerabdrucks auf der Basis der Minuzien kann nicht gänzlich ausgeschlossen werden. Zwar ist das Risiko des Verlusts des Beweiswertes von Fingerabdrücken infolge von Missbrauch gering, aber die Spezialisten plädieren einstimmig für eine sehr restriktive Verwendung der Fingerabdrücke im privaten Bereich.

Im privaten Bereich und besonders bei der Arbeit ist es legitim, Personendaten zu Zwecken der Anwesenheitskontrolle zu bearbeiten. In bestimmten Situationen können diese Daten auch zur Kontrolle von Bewegungen innerhalb des Betriebs dienen (Räumlichkeiten mit Zugangseinschränkungen, die gesichert werden müssen). Der Einsatz der Biometrie ermöglicht so eine zuverlässige Anwesenheitskontrolle; Datenmanipulation durch den Angestellten ist praktisch ausgeschlossen. Auch das Risiko der Zweckentfremdung von Datenbanken mit Fingerabdruck-Minuzien scheint sehr gering. Es ist sehr schwierig, von den Minuzien ausgehend das Bild eines vollständigen Fingerabdrucks zu rekonstruieren. Das Risiko der Verknüpfung von Datenbanken mit biometrischen Daten ist ebenfalls gering, weil die Extraktions-Algorithmen der Mi-nuzien bislang nicht standardisiert sind. Eine solche Verknüpfung würde allerdings mithilfe von mit diesen Daten verbundenen klassischen Identitätselementen relativ leicht fallen. Die einzige Möglichkeit zur Verhinderung von Verknüpfungen, welche zur Erstellung von Persönlichkeitsprofilen führen könnten, ist die Einschränkung der Bewilligung für die Verknüpfung von Datenbanken.

Zusammengefasst kann die zentralisierte Speicherung von Fingerabdrücken datenschutzrechtlich problematisch sein, die zentralisierte Speicherung der (mit der Identität assoziierten) Minuzien jedoch in weit geringerem Masse, sofern die im DSG vorgesehenen Sicherheitsmassnahmen angewandt werden. Die Abnahme eines Fingerabdrucks, die Extraktion von Minuzien und der Abgleich mit dem vom Angestellten vorgewiesenen Referenzmuster (Authentifizierung) stellt offensichtlich die Lösung mit dem geringsten Risiko einer Persönlichkeitsverletzung dar. Mit anderen Worten: Die Bearbeitung des Referenzmusters in einer persönlichen Chipkarte, die jeder Angestellte beim Stempeln vorweist, stellt eine verhältnismässigere und mit der Datenschutzgesetzgebung zu vereinbarende Lösung dar.

[Juli 2005]

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/12--taetigkeitsbericht-2004-2005/anwesenheitskontrolle-mit-hilfe-von-fingerabdruecken.html