Die Biometrie hat sich stark verbreitet und hält heute in der ganzen Zivilgesellschaft in automatisierten Authentifizierungs- und Identifizierungsverfahren Einzug: vom Zugang zu Schulkantinen über die Bezahlung von Fahrkarten, Arbeitszeit- und Anwesenheitskontrollen bis zur Zugangskontrolle zu Installationen oder Informatiksystemen. Der Einsatz der Biometrie beinhaltet Risiken für die Grundrechte und -freiheiten und hat sich zu einer grossen Herausforderung für den Datenschutz entwickelt. Der EDSB schlägt verschiedene Prinzipien vor, die im Bereich des Datenschutzes beachtet werden müssen.
In einem Bericht, der anlässlich der 26. Internationalen Konferenz der Datenschutzbeauftragten unterbreitet wurde, schlugen wir einige Grundsätze vor, die zur Gewährleistung des Datenschutzes bei der Verwendung von biometrischen Daten beitragen sollen. Der Einsatz der Biometrie kann besonders im Zusammenhang mit der Kontrolle von Einzelpersonen und mit der Zusammenführung von Informationen und Dateien erhebliche Datenschutzrisiken beinhalten. Mögliche Vorteile der Biometrie dagegen liegen namentlich in der Sicherung des Datenzugriffs. Die Biometrie könnte sich so zu einem Instrument im Dienst des Schutzes der Privatsphäre entwickeln. Allerdings bildet die Biometrie kein Patentrezept für alle Kontroll- und Verwaltungsprobleme. Biometrische Verfahren weisen hinsichtlich der Verlässlichkeit der Ergebnisse (unrichtige Ablehnung oder Annahme) und der Datensicherheit Fehler und Schwächen auf. Der Einsatz der Biometrie kann ausserdem zu Diskriminierungen führen und die Menschenwürde beeinträchtigen (siehe Ziffer 9.2.2). Deshalb sollten bei der Verwendung von biometrischen Angaben im Privatsektor die folgenden Grundsätze berücksichtigt werden:
- Die Biometrie wird nur eingesetzt, wenn sich das angestrebte Ziel nicht mit weniger einschneidenden Mitteln erreichen lässt.
- Die Biometrie kann zum Ziel des Datenschutzes und der Datensicherheit eingesetzt werden.
- Die Zweckbindung der Bearbeitung muss streng eingehalten werden.
- Die betroffenen Personen müssen klar informiert und in das Bearbeitungsverfahren einbezogen werden.
- Biometrische Daten müssen direkt bei der betroffenen Person bzw. zumindest mit deren Wissen gesammelt werden.
- Zur Vermeidung von Diskriminierungen müssen für Personen, welche nicht in der Lage sind, ein biometrisches System zu benutzen, Alternativen vorgesehen werden.
- Biometrische Daten dürfen nur durch den Vergleich mit einer bei der betroffenen Person erhobenen Probe identifiziert werden.
- Die biometrischen Originaldaten müssen nach der Durchführung des Registrierungsverfahrens vernichtet werden.
- Die Technologien sollten nicht auf der Speicherung von Rohdaten basieren, sondern auf derjenigen von Templates sowie auf der Verwendung von biometrischen Daten, für welche keine Templates in einer Datenbank gespeichert werden müssen, die von einer anderen Bearbeitungsstelle als der betroffenen Person selbst verwaltet wird. Dieses Verfahren wirft grundsätzlich keine Datenschutzprobleme auf, sofern das Template auf einem ausschliesslich von der betroffenen Person verwendeten Medium gespeichert wird (Chipkarte, Mobiltelefon, tragbarer Computer usw.).
- Wenn eine Datenbank von einer anderen Bearbeitungsstelle als der betroffenen Person abgefragt und verwaltet wird, kann das gewählte biometrische Element Konsequenzen für die Grundfreiheiten und -rechte haben. Das ist der Fall, wenn das biometrische Element Spuren hinterlässt (z.B. Fingerabdruck). Der Einsatz solcher Elemente muss einem überwiegenden Sicherheitsinteresse entsprechen.
- Mangels eines solchen Interesses müssen biometrische Elemente eingesetzt werden, die das Missbrauchsrisiko beschränken und keine Spuren hinterlassen (z.B. der Handumriss). Beim Einsatz von Elementen, die Spuren hinterlassen und die in einer Datenbank gespeichert sind, muss die Zweckentfremdung mit den erforderlichen Massnahmen vermieden werden. So sollte z.B. das in der Datenbank enthaltene Element mithilfe des Template verschlüsselt werden, so dass die Entschlüsselung nur in Anwesenheit der Person, auf welche sich die biometrische Information bezieht, möglich ist. Das Template muss applikationsspezifisch sein, um die Möglichkeit von Datenverbindungen bzw. des Zugriffs auf verschiedene Applikationen auszuschliessen.
- Die Verwendung der biometrischen Information als universelle Benutzeridentifikation muss mit den erforderlichen Massnahmen vermieden werden.
- Aus biometrischen Daten dürfen sich keine weiteren Angaben zur betroffenen Person, insbesondere über ihren Gesundheitszustand, ableiten lassen.
- In einem Authentifizierungs-(Verifizierungs-)System sollen nur diejenigen Personendaten gesammelt und bearbeitet werden, die zur Authentifizierung erforderlich sind. Bei den gewählten Lösungen sollte die Identität der Person nicht enthüllt werden (anonyme Authentifizierung), ausser wenn der Bearbeitungszweck eine Identifizierung erfordert (Grundsatz der Wirtschaftlichkeit der Bearbeitung).
- In einem Authentifizierungssystem dürfen die biometrischen Daten nicht zu anderen als zu Verifikationszwecken verwendet werden, ausser wenn das Gesetz es ausdrücklich vorsieht (insbesondere im Rahmen einer Strafverfolgung).
- Um die Datensicherheit zu verbessern und das Risiko eines unbefugten Zugriffs – besonders durch die Aneignung der Daten Dritter – zu verringern, muss das biometrische System durch weitere Identifizierungs- oder Authentifizierungsmittel (z.B. Zugangscode) geschützt werden. Ausserdem werden gesicherte biometrische Lesegeräte empfohlen, in welche die befugten Personen ihre Daten direkt eingeben können, bzw. der Einsatz von Systemen, bei denen die biometrischen Daten in einem gesicherten Medium wie z.B. einer Chipkarte integriert sind.
- Biometrische Daten müssen gleich bei der Registrierung verschlüsselt werden, ebenso wie ihre elektronische Übermittlung, insbesondere in einem Netzwerk.
- Die Verlässlichkeit von gespeicherten biometrischen Daten (Templates) muss regelmässig überprüft werden (mittels periodischer Neuregistrierung), da sich die für eine Person erfassten biometrischen Merkmale im Laufe der Zeit verändern können.
- Die Rechte der betroffenen Personen müssen gewährleistet werden. Sie müssen die Nutzung ihrer biometrischen Daten kontrollieren und gegebenenfalls die Vernichtung beantragen können.
- Biometrische Informationssysteme sollten einem Zertifizierungsverfahren und einem Datenschutz-Audit unterliegen. Ausserdem müssen die Systeme vor der Inbetriebnahme auf allfällige Risiken überprüft werden. Dazu sollte ein Schutzkonzept entwickelt werden, welches insbesondere die Bearbeitungsprozesse definiert.
Zur Verwendung von biometrischen Daten im Privatsektor s. auch Ziffer 7.2 des vorliegenden Tätigkeitsberichts.
[Juli 2005]