Kontrolle des Einsatzes von Biometrie beim Check-In und Boarding am Flughafen Zürich-Kloten

Am Flughafen Zürich-Kloten wurde von Dezember 2004 bis Mitte April 2005 das Pilotprojekt Secure Check durchgeführt. Secure Check dient der Verbesserung der Sicherheitsüberprüfung von Passagierdaten sowie Reisedokumenten vor Abflug mittels biometrischer Daten und soll dazu beitragen, die Wartezeiten für Flugpassagiere an den Checkpoints zu verkürzen. Bei der Datenschutzkontrolle des Einsatzes von Biometrie beim Check-In und Boarding sind wir zu einer überwiegend positiven Beurteilung der Handhabung biometrischer Personendaten gekommen. Dennoch drängen sich beim Einsatz von Biometrie am Flughafen Zürich-Kloten einige grundsätzliche Überlegungen auf.

Im Dezember 2004 wurde von Checkport Schweiz AG und Swissport Schweiz AG in Zusammenarbeit mit SWISS International Airlines das Pilotprojekt Secure Check am Flughafen Zürich-Kloten gestartet. Im Rahmen unserer Funktion als Datenschutzaufsichtsbehörde im Privatbereich haben wir die Testphase des Pilotprojektes begleitet und einer datenschutzrechtlichen Kontrolle unterzogen. Die Kontrolle konzentrierte sich auf die Erhebung und Bearbeitung der biometrischen Daten. Da im Rahmen des Pilotprojektes erstmalig eine neue Technologie zur Anwendung gelangte (biometrische Verfahren), bei welcher sensible Personendaten bearbeitet werden, drängte sich die Sachverhaltsabklärung und Datenschutzprüfung bereits im Vorfeld der Implementierung des Pilotversuches auf.

Insgesamt fanden zwei Treffen für eine Sachverhaltsabklärung vor Ort mit den involvierten Akteuren von Swissport, Checkport und der SWISS in Zürich-Kloten statt. In einer ersten Phase des Pilotprojektes wurden von den Flugpassagieren zwei digitale Fingerabdrücke eingescannt und in Vorlagen (Templates) umgewandelt, um die Authentifizierung am Gate zu ermöglichen. In einer zweiten Phase wurden die zwei Fingerabdrücke durch zwei Gesichtsbilder (Templates) ersetzt. Die Zuverlässigkeit der biometrischen Wiedererkennung variierte während der beiden Augenscheine je nach eingesetzten biometrischen Merkmalen, wobei wir eine höhere Zuverlässigkeit der Authentifizierung bei den Gesichtsbildern feststellten. Sowohl die Templates der Fingerabdrücke als auch diejenigen der Gesichtsbilder wurden auf einer Smart Card gespeichert, welche der Flugpassagier bis zum Boarding am Gate bei sich behielt. Eine zentrale Speicherung dieser biometrischen Daten fand im Rahmen des Pilotprojektes Secure Check nicht statt.

Gestützt auf die durchgeführte Kontrolle gemäss Art. 29 DSG sind wir zu einer überwiegend positiven Beurteilung der Handhabung biometrischer Daten gekommen. Die im Rahmen des Pilotprojektes getroffenen Massnahmen für die Überführung in ein Definitivum weisen aus datenschutzrechtlicher Sicht in die richtige Richtung. Dennoch haben wir in unserem Schlussbericht einige grundsätzliche Überlegungen zum Einsatz von Biometrie aufgeführt, welche von der Projektleitung bei der definitiven Realisierung des Projektes Secure Check umgesetzt werden sollten.

Insbesondere sollten folgende Punkte eingehend geprüft werden:

Die Transparenz der Datenbearbeitung sollte durch eine klarere Information der Betroffenen über alle Kategorien von bearbeiteten Daten (Identität, Flug, Biometrie, Statistik, etc.) erhöht werden, und dies von der Erhebung der Daten an bis zur ihrer Vernichtung. Besonders geachtet werden sollte auf die Datenlöschung, die insbesondere physikalisch (d.h. nicht nur logisch), zeitgerecht (d.h. frühestmöglich) und flächendeckend (inkl. temporärer Dateien) erfolgen muss.
  • Die nun erstmalig erfolgte Erhebung biometrischer Daten kann neue Begehrlichkeiten von Seiten Dritter, wie z.B. der Flughafenpolizei oder ausländischen Immigrationsbehörden, wecken. Die Projektleitung wird aufgefordert, sich dieser Begehrlichkeiten bei der definitiven Umsetzung von Secure Check bewusst zu sein und insbesondere keine biometrischen Daten an aussenstehende Dritte (wie Behörden) ohne Vorliegen eines Rechtfertigungsgrundes (wie z.B. eine gesetzliche Grundlage; vgl. Art. 13 Abs. 1 DSG) herauszugeben.
  • Eine Abänderung des Projektes Secure Check in Richtung einer zentralen Speicherung der biometrischen Daten oder in Richtung einer Speicherung von Rohdaten erfordert eine differenzierte datenschutzrechtliche Beurteilung, welche vom vorliegenden Kontrollbericht nicht abgedeckt wird. Ebenso wäre die Zweckbindung des Projektes Secure Check neu zu überdenken und zu definieren, sollten die erhobenen biometrische Daten in einer späteren Phase an aussenstehende Behörden weitergeleitet werden.

Da eine Authentifizierung mit biometrischen Merkmalen nicht absolut zuverlässig erfolgen kann, haben wir ferner angeregt, bei einer definitiven Implementierung des Projektes Secure Check eine multimodale Authentifizierung (durch Kombination mit anderen personenbezogenen Merkmalen wie z.B. einer persönlichen Identifikationsnummer) einzusetzen. Ebenso ist wichtig, dass für Personen, bei denen biometrische Merkmale fehlen oder nur schlecht lesbar vorhanden sind, eine äquivalente Alternative für die sichere und zuverlässige Authentifizierung geplant und zur Verfügung gestellt wird.

[Juli 2006]

Weiterführende Informationen

Dokument

Weitere Informationen

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/13--taetigkeitsbericht-2005-2006/kontrolle-des-einsatzes-von-biometrie-beim-check-in-und-boarding.html