Biometrisches Erkennungssystem für die Reservation von Sportplätzen

Ein Tennisclub hat ein neues Reservationssystem mit biometrischer Personenerkennung eingeführt. Neu muss jedes Mitglied seine Tennisplatzreservation mittels Fingerabdruck bestätigen, damit der Platz bespielt werden darf. Aufgrund von Anfragen besorgter Clubmitglieder haben wir das System einer Kontrolle unterzogen und dabei festgestellt, dass es den datenschutzrechtlichen Anforderungen nicht entspricht und angepasst werden muss. Wir haben eine entsprechende Empfehlung erlassen und prüfen zurzeit zusammen mit dem Club, wie diese umgesetzt werden kann.

Ein Tennisclub hatte in der Vergangenheit das Problem, dass immer wieder Unbefugte die Tennisplätze benutzten. Die Clubanlage ist unübersichtlich, nur schlecht gegen fremde Zutritte gesichert und verfügt über keine ständig besetzte Reception, so dass schwer kontrollierbar ist, wer auf den Plätzen spielt. Ein zur Verhinderung unbefugter Zutritte eingeführtes Reservationssystem mit Verifi zierung mittels PIN nützte nur unzureichend, da diese unrechtmässig an Nichtmitglieder weitergegeben wurden. Aus diesem Grund hat der Club ein System eingeführt, das die Zutrittsberechtigung der Spieler mittels Fingerabdruck verifi ziert. Die Fingerabdruck-Templates werden hierbei zentral auf einem Computer gespeichert, so dass kein Mitgliederausweis mitgeführt werden muss.

Auf Hinweis einzelner Mitglieder haben wir die Anlage einer Kontrolle unterzogen und
sind zu folgendem Ergebnis gekommen: Die Verwendung biometrischer Daten zur Verifizierung der zahlenden Clubmitglieder ist zwar durch ein überwiegendes privates Interesse gerechtfertigt. Es handelt sich aber um ein Verifi zierungssystem bei einer Freizeitanlage, bei dem eine zentrale Speicherung biometrischer Daten nicht notwendig und daher grundsätzlich unverhältnismässig ist (vgl. unsere Ausführungen zum Fall KSS). Die vom Tennisclub angeführten Gründe für die Zentralisierung (Wirtschaftlichkeit und Komfort) sind als Rechtfertigung für eine unverhältnismässige Datenbearbeitung ungenügend. Wir sind daher zum Schluss gelangt, dass der Tennisclub sein Reservationssystem anpassen muss.

Gemäss der von uns in diesem Fall erlassenen Empfehlung an den Club sehen wir folgende Möglichkeiten, die Datenspeicherung bei einem Verifi zierungssystem in einer Freizeitanlage datenschutzkonform auszugestalten: Die beste Lösung besteht darin, die biometrischen Daten vollkommen dezentral auf einem Datenträger zu speichern, welcher der Kontrolle der betroffenen Personen unterliegt (z.B. auf der Mitgliederkarte). Eine weitere Möglichkeit besteht darin, die biometrischen Daten zwar zentral zu speichern, hierbei aber nur Templates und keine Rohdaten (z.B. Fingerabdruckbilder oder Fotografi en) zu verwenden und die Daten vor der Speicherung zu verschlüsseln. Die Daten müssen zudem getrennt von weiteren, die fraglichen Personen betreffenden Angaben (z.B. den Personalien) gespeichert werden. Der Bezug zu einer bestimmten Person soll einzig durch deren bewusste und explizite Freigabe mit Hilfe einer persönlichen Karte hergestellt werden können (vgl. die Ausführungen zum Abschluss des Verfahrens KSS). Wird eine Lösung ohne Karte angestrebt, ist eine zentrale Datenspeicherung unumgänglich. Dies ist aber nur dann zulässig, wenn keine Rohdaten gespeichert und nur biometrische Charakteristika verwendet werden, die keine physischen oder digitalen Spuren hinterlassen (also z.B. Fingervenen oder Handumriss, nicht aber z.B. Fingerabdrücke). Die Daten sind auch hier verschlüsselt und ohne Bezug zu weiteren Personendaten zu speichern.

Daneben war beim Tennisclub zu beanstanden, dass die Massnahmen zur Datensicherheit der Sensibilität biometrischer Daten keineswegs angemessen waren. So befindet sich der Server in einem von aussen her zugänglichen und nur rudimentär gegen Einbruch gesicherten Raum. Die Datenübertragung erfolgt zudem drahtlos via ein Funknetzwerk, das allen Mitgliedern für den Zugang zum Internet auf dem Clubgelände zu Verfügung steht. Damit wären sowohl ein physischer als auch ein digitaler Zugang zu den fraglichen Daten für Unberechtigte zu leicht möglich. Biometrische Daten müssen jedoch besonders geschützt werden. Wir haben daher die Empfehlung erlassen, die Datensicherheit beim Tennisclub müsse durch geeignete technische Massnahmen erhöht werden. Aus demselben Grund sind auch die Zugangs- und Zutrittsberechtigungen der Mitarbeitenden und der Mitglieder genau und restriktiv zu regeln. Wir prüfen zurzeit zusammen mit dem Tennisclub, welche Variante der Datenspeicherung umgesetzt werden kann und welche konkreten technischen und organisatorischen Massnahmen nötig sind, damit die Datensicherheit gewährleistet ist.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/18--taetigkeitsbericht-2010-2011/biometrisches-erkennungssystem-fuer-die-reservation-von-sportplae.html