Personenbezogene Daten, die von ihrem Wesen nach besonders sensibel sind, verdienen einen besonderen und umfassenden Schutz. Dazu gehören vor allem biometrische Daten. Doch warum zählen die biometrische Daten zu so sensiblen Daten? Eine neue EU-Studie liefert Gründe und eine Vielzahl von Argumenten, wenn der eDSB das Management von den Risiken der Biometrie überzeugen soll.
Warum ist ein besonderer Schutz für biometrische Daten erforderlich und was sind die Kernpunkte in dieser Studie?
Biometrische Daten gehören, wie etwa auch Gesundheitsdaten, nach der Datenschutz-Grundverordnung (DS-GVO) zu den besonderen Kategorien personenbezogener Daten. In der DS-GVO wird festgelegt, dass diese Kategorien einen hohes Maß an Sicherheit erfordern und einen besonderen, hohen Schutz – sofern denn die Voraussetzungen für die Verarbeitung dieser Daten überhaupt vorhanden sind – zu beachten sind.
Was sind nun solche besondere Kategorien personenbezogener Daten und was zählt dazu?
In der Datenschutz-Grundverordnung (DS-GVO) wird der Begriff der besonderen Kategorien von personenbezogener Daten genau definiert und beschrieben. So ist unter anderem ihre Verarbeitung nur unter besonderen Voraussetzungen erlaubt und kann eine Datenschutz-Folgenabschätzung notwendig machen. Deshalb ist es wichtig, genau zu wissen, welche Daten unter diesen Begriff fallen.
Wie definiert die DS-GVO die besondere Kategorien von personenbezogener Daten genau?
Die Datenschutz-Grundverordnung betrachtet personenbezogene Daten als solche besonderer Kategorien, wenn sie besonders sensibel sind und eines besonderen Schutzes bedürfen, weil ihre Verarbeitung erhebliche Risiken für die betroffenen Personen mit sich bringen kann.
In Artikel 9 DS-GVO (Verarbeitung besonderer Kategorien personenbezogener Daten) werden nun einige Merkmale definiert, die eine solche Einstufung von entsprechende personenbezogene Daten nennt:
aus denen die rassische und ethnische Herkunft,
politische Meinungen,
religiöse oder weltanschauliche Überzeugungen oder
die Gewerkschaftszugehörigkeit hervorgehen, sowie
genetische Daten,
biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
Gesundheitsdaten oder
Daten zum Sexualleben oder der sexuellen Orientierung.
Welche weiteren Beispiele gibt es?
Jedoch müssen auch weitere Kategorien betrachtet werden, die eine gleiche oder annähernde Einstufung verdienen. So sind besonders schutzbedürftig alle Angaben, die direkt oder indirekt Informationen zu diesen Datenkategorien zulassen und vermitteln.
Die Aufsichtsbehörden für den Datenschutz nennen hier folgende Beispiele
die Einnahme von Medikamenten,
die körperliche oder geistige Verfassung oder
den regelmäßigen Besuch einer bestimmten Kirche.
Was müssen Verantwortliche nun beachten, wenn sie solche Daten verarbeiten müssen?
Verantwortliche dürfen in der Regel personenbezogene Daten besonderer Kategorien nicht verarbeiten, es sei denn, die Verarbeitung ist in den besonderen Fällen, die Artikel 9 DS-GVO nennt, zulässig.
Ausnahmen vom allgemeinen Verbot, diese besonderen Kategorien personenbezogener Daten zu verarbeiten, bestehen unter anderem,
wenn die betroffene Person für einen oder mehrere festgelegte Zwecke eindeutig eingewilligt hat, oder
bei bestimmten Notwendigkeiten, die Artikel 9 DS-GVO nennt. Dazu gehört unter anderem der Schutz lebenswichtiger Interessen.
Automatisierte Entscheidungen, die auf Kategorien besonderer Daten beruhen, sind nur zulässig, wenn die betroffene Person ausdrücklich eingewilligt hat oder die Verarbeitung auf einer speziellen Rechtsgrundlage erfolgt und aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist. Dies sind große und weitreichende Vorgaben durch den Gesetzgeber der DS-GVO. Verantwortliche, die besondere Datenkategorien verarbeiten, haben in jedem Fall ein Verzeichnis aller ihrer Zuständigkeit unterliegenden Verarbeitungstätigkeiten zu führen. Ist die Verarbeitung besonderer Kategorien personenbezogener Daten umfangreich, müssen Verantwortliche auf jeden Fall eine ausführliche und weitreichende Datenschutz-Folgenabschätzung durchführen. Zudem müssen in diesem Fall vor allem Datenschutzbeauftragte benannt werden, wenn in dieser umfangreichen Datenverarbeitung die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters liegt.
Aber nicht alles zählt bekanntlich zu den besonderen Kategorien zum Begriff „Biometrische Daten“. Was gehört nun nicht zu diesen besonderen Kategorien von personenbezogener Daten?
Die Erwägungsgründe zur DS-GVO nennen auch hier Fälle, in denen man fälschlich davon ausgehen könnte, dass personenbezogene Daten zu besonderer Kategorie vorliegen. So soll die Verarbeitung von Lichtbildern nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden. Denn Lichtbilder sind nur dann von der Definition des Begriffs „biometrische Daten“ erfasst, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die es ermöglichen, eine natürliche Person eindeutig zu identifizieren oder zu authentifizieren. Dies könnte zum Beispiel bei der Videoüberwachung der Fall sein, wenn hier entsprechende Software zum Einsatz kommt!
Die Aufsichtsbehörden nennen zudem Beispiele, wann Angaben zu personenbezogenen Daten besonderer Kategorie nicht automatisch die strengeren Vorgaben für die Verarbeitung mit sich bringen:
Demnach ist bloßer Alkoholkonsum im Gegensatz zu einer Alkoholabhängigkeit kein Gesundheitsdatum.
Der rein geographische Geburtsort ist keine Angabe über die rassische oder ethnische Herkunft.
Und der einmalige Besuch eines Sakralbaus ist danach keine Aussage über eine religiöse Überzeugung.
Bei Gesundheitsdaten ist es noch relativ einfach, dazulegen, warum Unternehmen diese Daten gut schützen müssen. Bei biometrischen Daten wird es schon schwieriger, zu erklären, warum ein erhöhter Aufwand für den Datenschutz nötig ist. Hier stellt sich nun die Frage, ab wann ist ein Aufwand angemessen?
Um aufzuzeigen, dass der Schutzaufwand angemessen und nicht übertrieben ist, kann es helfen, dem Management die Risiken genauer zu erläutern, die mit einem Missbrauch biometrischer Daten verbunden sein können.
Welche Biometrie-Risiken sieht hier die EU-Studie?
Der Think Tank des EU-Parlaments hat sich mit der „Bewertung der ethischen Aspekte biometrischer Erkennungs- und Verhaltenserkennungstechniken mit Fokus auf deren gegenwärtigen und zukünftigen Einsatz im öffentlichen Raum“ befasst.
Die Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, hat sich bereits dahingehend geäußert, dass „KI-Systeme besonders sensible Daten – etwa genetische oder biometrische Daten sowie Gesundheitsdaten (gemäß Artikel 9 Datenschutz-Grundverordnung) – nicht standardisiert durchleuchten und in bestimmten Anwendungsfällen zu einer Überwachung nutzen können sollen“.
Die EU-Studie zur Biometrie erklärt darüber hinaus mögliche ethische und rechtliche Folgen, wenn jemand biometrische Daten einsetzt, um im öffentlichen Raum Emotionen oder Verhalten zu erkennen. Hier geht es nun um mehr als den Diebstahl von Fingerabdrücken. Biometrische Daten und ihre Analyse eignen sich sehr gut als Identitätsnachweis. Gelangen biometrische Daten (oder die daraus errechneten Templates) in die falschen Hände, lassen sie sich für einen Identitätsdiebstahl nutzen. Doch es ist weitaus mehr möglich. Die EU-Studie spricht zum Beispiel von biometrischer Kategorisierung, Verhaltenserkennung und Erkennung von Emotionen. Neben traditionellen biometrischen Techniken wie Fingerabdruck- oder Gesichtserkennung umfassen biometrische Techniken unter anderem die Analyse von Tastendruck- oder Mausdynamik, Gestendynamik, Signaturdynamik sowie Sprach- und Ganganalysen.
Die EU-Studie betrachtet die Besonderheit von biometrischen Templates, die bei den Analysen erstellt werden und als Basis für einen Abgleich dienen. Die Experten des Think Tanks erklären, dass dabei physische Merkmale eines Menschen in digitale Daten umgewandelt werden, was zu einer „Datafizierung“ des Menschen führt.
Merkmale, die eine Person eindeutig identifizieren, sollten als „Teil“ des Körpers einer Person mit der persönlichen Autonomie und Würde verstanden werden, so die Studie.
WICHTIG
Sobald ein Template erstellt und gespeichert wurde, hat jeder, der in Zukunft in seinen Besitz kommt, die Macht, diese Person überall aufzuspüren und zu erkennen, das auch für jeden Zweck den der Dateninhaber möchte. Es gibt keine Möglichkeit für den Einzelnen, die biometrischen Kennzeichen zu ändern. Das Sammeln und Speichern biometrischer Vorlagen birgt deshalb ein erhebliches Schadenspotenzial, so die Studie.
Ein Missbrauch stellt somit einen erheblichen Eingriff in die Grundrechte von Deutschland dar.
Nutzen Unternehmen oder staatliche Einrichtungen biometrische Daten, um Menschen zu kategorisieren, stellen sich ethische Fragen. Denn die Zuordnung zu Kategorien könnte dazu beitragen, dass die betroffenen Personen Risiken wie Diskriminierung, Stigmatisierung und unangemessenen Schlussfolgerungen ausgesetzt sind.
Weitere Risiken sieht die Studie darin, gruppenspezifische Schwachstellen zu manipulieren und auszunutzen, die sich dann mit einer Person verknüpfen lassen könnten. Findet zum Beispiel ein Abgleich der erbeuteten biometrischen Templates mit aktuellen biometrischen Daten statt, könnten sich menschliche Zustände der betroffenen Person leichter identifizieren lassen, wie Angst, Müdigkeit oder Krankheit u.v.m., so der Think Tank.
Die EU-Studie liefert somit wichtige Einblicke in die mögliche Verwendung biometrischer Daten und Templates sowie in die denkbaren Folgen für die betroffenen Personen. Es geht somit um mehr als den möglichen Identitätsdiebstahl, wenn biometrische Daten zum Einsatz kommen, um Menschen zu identifizieren. Es geht um Grundrechte jedes Menschen, die der Datenschutz schützen musst und die den hohen Schutzaufwand durchaus rechtfertigen.