Biometrie datenschutzfreundlich einsetzen
Biometrie für Unternehmen
Biometrische Daten extern speichern
Wo liegen die Referenzdaten – das ist ein zentraler Punkt bei der Gestaltung eines biometrischen Systems. Die Autoren des White Paper kommen zu dem Schluss: Nur wenn die Nutzer die biometrischen Referenzdaten verschlüsselt im USB-Stick oder auf einer SmartCard bei sich tragen, haben sie eine Chance, auf das biometrische System Einfluss zu nehmen, wenn sie einmal „drin“ sind.
Liegen die Daten in einem zentralen Referenzarchiv, ist diese Kontrolle nicht mehr möglich – ein Grund, warum Datenschutzbehörden das mit großer Skepsis betrachten. Ist ein zentrales Archiv einmal geknackt, entsteht ein großer Schaden.
Und: Wenn der Missbrauch vom Betreiber ausgeht, kann sich der Geschädigte überhaupt nicht mehr schützen, betonen die Autoren, darunter Vertreter von Bundesbehörden, Datenschützer sowie Hersteller und Forscher hinter biometrischen Verfahren.
Keine Alternative sehen sie auch in der dezentralen Speicherung auf einzelnen Arbeitsplatzrechnern. Das ist umständlich für den Betreiber und erfordert einen hohen Wartungsaufwand. Außerdem: Wenn die einzelnen Speicherorte untereinander vernetzt sind, verschwimmt der Unterschied zur zentralen Speicherung.
Auch wenn sich ein Zentralarchiv unter der Kontrolle des Betreibers nicht immer vermeiden lässt, zum Beispiel bei der biometrischen Sprecher-Erkennung von telefonischen Auskunftsdiensten, spricht letztlich alles dafür, die streng vertraulichen biometrischen Daten in einem Krypto-Chip auf einem USB-Stick oder einer SmartCard zu speichern – vollkommen abgeschottet von der Kommunikationsschnittstelle des Systems.
Dann wird auch ein Schutz gegen Identitätsdiebstahl möglich. Ein Dieb kann nichts mit dem externen Token anfangen, da er nur in Kombination mit dem Original-Nutzer funktioniert. Wenn darüber hinaus ein Trust-Center bei jeder Transaktion prüft, ob die verwendeten Zertifikate gültig sind, lassen sich gestohlene Tokens deaktivieren.
Betriebsvereinbarung kann Vertrauen schaffen
Wie auch immer das System realisiert ist: Der Benutzer muss Vertrauen in den Betreiber mitbringen. Auch bei der Token-Variante. Denn es wäre ja möglich, dass Betreiber oder Hersteller das Template nicht nur auf den Token, sondern auch irgendwo in den Tiefen des Systems als Kopie ablegen.
Ohne Vertrauen lassen sich biometrische Systeme in Unternehmen nicht realisieren, so die Einschätzung der Autoren des White Papers. Daher ist eine Abstimmung und Überzeugung der Betriebs- und Personalräte unerlässlich. Ein Muster für eine Betriebsvereinbarung gibt es hier.
Biometrische Systeme lassen sich aber auch täushen – mit Plagiaten, Gummifingern oder Fotos. Das betonen gerade Kritiker immer wieder. Beispielsweise könnten Betrüger in öffentlich zugänglichen großen Systemen, zum Beispiel Zoos, einfach mal „auf gut Glück“ probieren, ob sich die Schranke nicht mit einem Gummifinger öffnet. Wenn dann noch „Guten Morgen, Herr Müller“ auf der Leuchtanzeige erscheint, kann er gleich Person und biometrische Kopie zuordnen und vielleicht noch in anderen Systemen nutzen.
Aus Sicht des Datenschutzes müssen besonders die Betroffenen vor den Folgen eines solchen Identitätsdiebstahls geschützt werden.
Was Betreiber sonst noch beachten sollten, sei nur kurz erwähnt: Das Enrollment sollte unter Zeugen erfolgen, die Protokolldateien gilt es regelmäßig auszuwerten, Interessensvertretungen einzubeziehen. Das System sollte regelmäßig kontrolliert werden und keinerlei Verbindung zum Internet haben.
Spricht sonst alles für Standards, hier nicht: Verzicht auf standardisierte Referenzdaten-Formate, lautet die Empfehlung. Vertrauenswürdig sind auch Zertifikate und Datenschutz-Gütesiegel. Last but not least: Wer keine Biometrie will, sollte eine diskriminierungsfreie Alternative erhalten.