Biometrische IT-Systeme müssen rechtskonform sein

Die Entwicklungsfortschritte im Bereich biometrischer Verfahren und Systeme haben in den letzten Jahren deutlich zugenommen. Die Internationale Biometric Group schätzt für das Jahr 2012 ein weltweites Marktvolumen von 7,4 Milliarden US-Dollar (International Biometric Group 2007, S. 19ff.).

Der konkrete Einsatz biometrischer Systeme bringt neben technischen und organisatorischen Vorgaben auch eine Reihe rechtlicher Anforderungen mit sich. Diese sind – abhängig vom Einsatzszenario und den damit verbundenen Rahmenbedingungen – teilweise sehr unterschiedlich. Nationale sowie gegebenenfalls auch internationale gesetzliche Vorschriften müssen beachtet werden. Weiterhin ist primär zu unterscheiden, ob es sich um einen öffentlichen oder nicht-öffentlichen Einsatz des biometrischen Systems handelt.

Personenbezogene Daten

Bei biometrischen Daten muss grundsätzlich davon ausgegangen werden, dass ein Personenbezug herstellbar ist. Personenbezogene Daten im Sinne von Paragraph 3 Abs. 1 BDSG liegen immer dann vor, wenn sich die fraglichen Informationen einer bestimmten natürlichen Person zuordnen lassen. Die Erhebung, Verarbeitung und Nutzung dieser Daten ist daher nur dann zulässig, wenn ein Gesetz es erlaubt oder der Betroffene eingewilligt hat (Paragraph 4 Abs.1 BDSG).

Die im Unternehmen eingesetzten biometrischen Verfahren müssen für die Nutzer transparent sein. Ebenso notwendig sind Revisionssicherheit sowie die Dokumentation der Datenverarbeitung. Dies ergibt sich bereits aus den allgemeinen Anforderungen an IT-Systeme. Je nach Einsatzgebiet sind zudem die Regelungen der Datenschutzgesetze (Anlage zu Paragraph 9 BDSG), ggfls. die Einbindung der betrieblichen Datenschutzbeauftragten als „Vorabkontrolle“ (Paragraph 4d Abs. 5 BDSG) sowie der Grundsatz der Zweckbindung (Paragraph 31 BDSG) zu beachten.

Einsatz biometrische Systeme im Bereich Datensicherheit

Es gibt diverse Vorschriften, die aus Datenschutzsicht für die Einführung von biometrischen Verfahren sprechen. Vor allem im Bereich der Datensicherheit kann damit ein höheres Niveau erreicht werden. Die Gewährleistung der Datensicherheit umfasst u.a. die Zugangskontrolle, die Benutzerkontrolle und die Zugriffskontrolle und ist nach Paragraph 9 BSDG (bzw. den entsprechenden Vorschriften der Länder) geboten.

Hierunter fallen beispielsweise biometrische IT-Sicherheitslösungen. Werden diese im Unternehmen zusätzlich zu Passwort, Smartcard oder Token eingesetzt, erhöht sich das Niveau der Datensicherheit deutlich. Generell gilt, dass multimodale biometrische Verfahren  Ein Beispiel ist der biometrische Pass, bei dem das biometrische Gesicht, der biometrische Fingerabdruck und in Zukunft auch die biometrische Iriserkennung verwendet werden.

Noch sicherer ist es, wenn die Verfahren simultan abgefragt werden, wie bei einer Video- und Tonaufnahme. Hier ist die Verfahrenskette sehr komplex und daher extrem schwer zu täuschen. Kommt noch ein OTP (one time Passwort) oder Random Challenge Response hinzu, so ist der Datenzugang absolut gesichert. Eine zusätzliche Sicherheit bieten auch Lösungen, die während des Arbeitsprozesses beständig prüfen, ob auch wirklich noch die authorisierte Person am Rechner arbeitet.

Fazit

Optimal ist der Einsatz biometrischer Verfahren, wenn rechtliche Anforderungen eingehalten und gleichzeitig Datenschutz und -sicherheit gefördert werden. In diesem Fall spricht man von sogenannten datenschutzfördernden Techniken (Privacy Enhancing Technologies – PET).  Darauf sollten Unternehmen achten, wenn sie sich für eine biometrische Lösung entscheiden. Für manche biometrische IT-Sicherheitssoftware braucht es nur eine Webcam mit Mikrofon sowie geringe Linzenzkosten. Bei minimalen Anschaffungskosten kann so die IT-Sicherheit im Unternehmen deutlich erhöht werden.

(Autor: Werner Blessing, CEO Biometry AG)

Info: http://www.biometry.com