datenschutz.org logo

Ihr Ratgeberportal zum Datenschutz im Internet- und Arbeitsrecht

Datenschutz.org mobile logo

Biometrische Daten: Besondere Schutzwürdigkeit bei sensibelsten Daten!

  • Von Jana O.
  • Letzte Aktualisierung am: 25. Juli 2024
Geschätzte Lesedauer: 3 Minuten

Das Wichtigste zu biometrischen Daten in Kürze

  • Biometrische Daten beschreiben per Definition personenbeziehbare oder personenbezogene Informationen zu physischen, physiologischen oder verhaltenstypischen Eigenschaften einer identifizierbaren Person.
  • Biometrische Daten können Identifikation sowie Verifikation einer natürlichen Person ermöglichen.
  • Biometrische Merkmale wie DNA, Gesichtsgeometrie und Fingerabdruck zählen zu den besonderen Kategorien personenbezogener Daten und dürfen nur in Ausnahmefällen verarbeitet werden.

Was sind biometrische Daten?

Biometrische Daten: Einige Systeme machen sich etwa die Gesichtserkennung zunutze. Doch was gilt in Sachen Datenschutz?
Biometrische Daten: Einige Systeme machen sich etwa die Gesichtserkennung zunutze. Doch was gilt in Sachen Datenschutz?

Biometrische Merkmale können zwei unterschiedlichen Zwecken dienen: der Identifizierung einer natürlichen Person oder aber der Bestätigung ihrer Identität (Verifikation). Letzteres findet in etwa Ausdruck darin, dass ein Personalausweis heutzutage verstärkt biometrisch ausgerichtet ist. Der Umfang der Angaben zur Person erhöht dabei nicht nur die Zuverlässigkeit bei der Identifikation, sondern erhöht zusätzlich auch die Fälschungssicherheit entsprechender Dokumente.

Die Bedeutung der Biometrie hat in den letzten Jahrzehnten an immer mehr Kraft gewonnen, nicht erst mit der Entschlüsselung der DNA und ihrer Verwendung in der Verbrechensverfolgung. Der Fingerabdruck gehört in der Kriminalistik schon seit mehr als 100 Jahren zu den standardisierten Verfahren (Daktyloskopie).

Biometrische Daten beschreiben dabei im Allgemeinen biologische Eigenschaften einer natürlichen Person – und sind als solche personenbeziehbar bzw. personenbezogen. Damit sind biometrische Daten durch den Datenschutz erfasst. Die Datenschutzgrundverordnung trifft folgende Definition:

„‚biometrische Daten‘ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;“ (Art. 4 Ziffer 14 DSGVO)

Neben DNA und Fingerabdruck fallen damit etwa auch folgende Informationen unter die biometrischen Daten:

Ob biometrischer Fingerabdruck oder Gesichtsgeometrie: Es gibt unterschiedlichste betroffene Informationen.
Ob biometrischer Fingerabdruck oder Gesichtsgeometrie: Es gibt unterschiedlichste betroffene Informationen.
  • Geometrie des Gesichts (aber auch anderer Körperteile wie Händen)
  • Regenbogenhaut der Augen (Iris) sowie der Augenhintergrund (Retina)
  • Körpergröße
  • Klangfarbe der Stimme
  • Form der Ohren
  • Zahnabdruck
  • Hand- sowie Unterschriften
Ein biometrischer Pass enthält z. B. gleich mehrere Merkmale, die die Verifikation der Indentität einer Person ermöglichen: Das Lichtbild ist mittlerweile biometrisch (lässt die Gesichtsgeometrie durch die Frontalansicht besser erkennen), Angaben zu Körpergröße, Augenfarbe sowie die Unterschrift sind schon länger Standard und zusätzlich sind regelmäßig zwei Fingerabdrücke hinterlegt. Ohne Abgabe der Fingerabdrücke kann die Ausstellung sogar verweigert werden. Beim Personalausweis ist die Abgabe hingegen (noch) nicht Pflicht.

Verarbeitung besonderer Kategorien personenbezogener Daten im Allgemeinen untersagt

Die DSGVO stellt besondere Kategorien personenbezogener Daten unter einen generellen Schutz. Biometrische Daten, ethnische, politische, gesundheitliche Informationen u. a. zu einer natürlichen Person dürfen gemäß Art. 9 Absatz 1 DSGVO grundsätzlich nicht verarbeitet werden. Doch nennt der Artikel in der Folge auch bestimmte Ausnahmen, die es vor allem öffentlichen Stellen ermöglichen, biometrische Daten zu erheben und zu verarbeiten.

Unter anderem in folgenden Fällen kann die biometrische Datenerfassung trotz des allgemeinen Verbots zulässig sein (vgl. Art. 9 Absatz 2 DSGVO):

  1. Der Betroffene hat eine eindeutige, freiwillige und informierte Einwilligung in die Verarbeitung erteilt (Vorsicht: nationale und internationale Rechte können hier auch trotz vorliegender Einwilligung die Verarbeitung untersagen!)
  2. Arbeits- und sozialrechtliche Erwägungsgründe können die Verarbeitung sensibler Daten erforderlich machen (etwa Gesundheitsdaten bei Krankmeldung des Arbeitnehmers, aber auch beim Schutz vor Gesundheitsgefahren)
  3. Die Verarbeitung kann erforderlich sein, wenn dies zum Schutz lebenswichtiger Interessen des Betroffenen oder anderer nötig, der Betroffene jedoch nicht zur Einwilligung in der Lage ist.
  4. Die Daten wurden von dem Betroffenen selbst öffentlich gemacht.
  5. Für die justiziellen Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen kann die Verarbeitung ebenfalls erforderlich sein.
  6. Ein rechtliches und erhebliches öffentliches Interesse begründet die Verarbeitung (etwa bei der Strafverfolgung).

Sind die biometrische Authentifizierung und Gesichtserkennung noch zulässig?

Biometrische Sensoren können z. B. auch die Iris auslesen. Doch was ist erlaubt?
Biometrische Sensoren können z. B. auch die Iris auslesen. Doch was ist erlaubt?

In öffentlichen und nichtöffentlichen Stellen kann die biometrische Zugangskontrolle über Iris, Stimme oder Fingerabdruck zur Sicherheit von schutzwürdigen Informationen eingesetzt werden. Ein grundsätzliches Verbot, biometrische Daten in diesem Zusammenhang zu verarbeiten, nennt die DSGVO nicht. Ohne rechtliche Grundlage für diese Verarbeitung sollte jedoch stets die Einwilligung der Betroffenen eingeholt werden.

Zudem mögen auch Zweck- und Verhältnismäßigkeit eine wichtige Rolle spielen: Öffentliche und nichtöffentliche Stellen sollten deshalb stets abwägen, wessen schutzwürdigen Interessen im Einzelfall überwiegen, die des Betroffenen oder die der Einrichtung.

Die biometrische Erkennung der Gesichtsgeometrie bedarf in der Regel gesetzlicher Grundlagen und kann vor allem im Rahmen hoheitlicher Aufgaben etwa von Polizei und Staatsschutz angewandt werden. Biometrische Daten verdachtsunabhängig zu diesem Zweck zu verarbeiten, bedarf jedoch bislang in der Regel der Einwilligung der Betroffenen, wie ein Modellversuch der Bundespolizei am Berliner Bahnhof Südkreuz zeigt.
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (37 Bewertungen, Durchschnitt: 4,03 von 5)
Loading ratings...Loading...

Weiterführende Suchanfragen

Das könnte Sie auch interessieren:

Über den Autor

Jana
Jana O.

Nach ihrem Studium der Ger­manis­tik, Philosophie und Englischen Literatur­wissenschaften an der Uni Greifswald fand Jana ihren Weg in unser Team. Seit 2015 unterstützt sie die Redaktion von datenschutz.org und verfasst Ratgeber zu verschiedenen Themen wie z. B. Passwortschutz und Cookie-Richtlinien.

Leser-Interaktionen

Kommentare

  1. Rob

    Darf ein Zahlungsdienstleister wie Skrill o.ä. den Perso als Datei anfordern und dann eine Web Kamera-id Erfassung zum Abgleich fordern?

    Antworten
  2. EnTe-1969

    Aus meiner Sicht ist dies zulaessig, da die biometrischen Daten (Gesichtsphoto/Fingerabdruck) fuer das Entsperren des Telefons weder „veroeffentlicht“ noch sonst Dritten zugaenglich gemacht, sondern lediglich in verschluesselter Form auf dem Geraet hinterlegt werden. Ein Dritter hat hierauf keinen Zugriff. Anders verhaelt sich das hingegen mit Fingerabdrucksensoren an Zugangstueren, wo der „Life-Fingerabdruck“ mit einem zentral in einer Datenbank hinterlegten Template abgeglichen wird: Hier liegen die Referenzdaten (hoffentlich auch verschluesselt) auf einem zentralen Server, der sich in der Einfluss-Sphaere eines anderen (z.B., des Arbeitgebers befindet) und somit besteht nicht nur die Gefahr, dass jener die Daten zweckentfremdet verwendet, sondern auch, dass die Daten auf dem Weg zum Abgleich von Unberechtigten Dritten „abgegriffen“ werden. Dieses Risiko will die DSGVO moeglichst eliminieren.

    Antworten
    • Dude

      Aber wie sieht es bei Arbeitsgeräten aus, die durch Azure / Intune / M365 verwaltet werden?
      Wie kann der Arbeitgeber sicherstellen, dass die biometrischen Daten gelöscht werden, wenn der Mitarbeiter das Unternehmen verlässt?

      Antworten
  3. Halidun

    Mir ist immer noch nicht klar, ob das Sperren/Entsperren meines Handys / Laptobs mit dem Fingerabdruck nun erlaubt ist oder nicht. Ich beziehe mich dabei um geschäftlich genutzte Geräte meines Arbeitgebers.

    Antworten
    • Daniel

      Das würde mich auch interessieren. Bei uns geht es dabei um das Entsperren des Dienst-Tablets.
      Zurzeit läuft das mit der Eingabe eines 6-stelligen Codes. Einige Kolleg*innen wünschen sich die Möglichkeit, das Gerät per Fingerabdruck entsperren zu können. Ist das zulässig?

      Antworten
      • Susanne Menschen Tochter von ueli und vreni

        Nein eigentlich nicht.. genau genommen ist der Fingerabdruck die Möglichkeit den Unterschied zu machen zwischen dem lebenden Menschen ist das Ebenbild gottes und der Person…ist die Unterschrift..
        Du kannst eine Person tragen nämlich die welche bei Geburt an dich übergeben worden ist … jedoch bist du mehr als die Person… und dieses mehr gehört weder dem Staat noch einer Firma…sondern Dir….

        Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

✖ Anzeige
Haben Sie eine Rechtsfrage zum Thema DSGVO / Datenschutz?
Finden Sie jetzt mit Klugo einen Fachanwalt und lassen sich helfen!
Kostenlose Ersteinschätzung
X
Bleiben Sie über alle Änderungen sowie Tipps & Tricks informiert
Jetzt kostenlos per E-Mail abonnieren:
Mit dem Absenden akzeptieren Sie unsere Datenschutzerklärung.