Biometrische Merkmale sind nicht perfekt

Die Erfassung und Auswertung biometrischer Merkmale ist nicht perfekt. Der Grund: Biometrische Merkmale können sich mit der Zeit oder durch äußere Einflüsse verändern, beispielsweise wenn durch einen Unfall das Gesicht anders aussieht oder die Stimme dunkler wird.

Wenn man bei einer Person zu unterschiedlichen Zeitpunkten ein biometrisches Merkmal misst, dann ist es nie völlig identisch. Diese Unschärfe wird von den Systemen berücksichtigt, indem beim Abgleich keine Überprüfung auf Übereinstimmung, sondern nur auf hinreichende Ähnlichkeit stattfindet. Folge: Biometrische Systeme können nur mit systemtypischer Wahrscheinlichkeit bestimmen, ob es sich bei der Erkennung tatsächlich um den Berechtigten handelt.

Es bleibt also eine gewisse Wahrscheinlichkeit, dass das System Unberechtigte einlässt (False Acceptance Rate, FAR) beziehungsweise Berechtigte abweist (False Rejection Rate, FRR).

Darüber hinaus gibt es die False Enrolment Rate (FER). Sie drückt aus, dass eine definierte Anzahl von Personen nicht biome­trisch erfasst werden kann. Gründe dafür sind beispielsweise, dass eine Person das für die biometrische Erfassung erforderliche Merkmal nicht aufweist oder das Merkmal so schwach ausgeprägt ist, dass es sich nicht erfassen lässt. Das kann zum Beispiel an Erkrankungen liegen.

„Bei biometrischen Daten handelt es sich um personenbezogene Daten, zumindest aber um personenbeziehbare Daten. Daher ist ihre Erhebung, Speicherung und Verarbeitung nur zulässig, wenn entweder eine gesetzliche Grundlage oder eine freiwillige und informierte Einwilligung des Betroffenen vorliegt“, heißt es auf der Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Andrea Voßhoff.

Für ein Unternehmen bedeutet das, dass es bereits vor der Einführung von biometrischen Systemen eng mit den Betriebs- und Personalräten zusammenarbeiten sollte, denn die Erfassung biometrischer Daten im Unternehmen ist nur auf freiwilliger Basis zulässig. Zudem haben Betriebsräte laut Betriebsverfassungsgesetz ein Mitbestimmungsrecht bei der Einführung biometrischer Systeme. Das gilt nach aktueller Rechtsprechung auch dann, wenn der Mitarbeiter des Unternehmens in der Firma eines Kunden biometrisch erfasst wird.

Bei der Vermessung eines Personenmerkmals – dem Enrolment – entstehen biometrische Rohdaten. Diese Rohdaten können mehr Informationen enthalten, als für die biometrische Authentifikation notwendig sind. So wird beispielsweise bei einer Retina-Erfassung der Augenhintergrund aufgenommen. Aus den Rohdaten könnte damit auf Krankheiten wie Diabetes oder Bluthochdruck geschlossen werden. Aus datenschutzrechtlicher Sicht und um einen Missbrauch dieser Zusatzinformationen zu verhindern, empfehlen Datenschutzexperten, aus den Rohdaten mit Hilfe von Algorithmen mathematische Komprimate – sogenannte Templates – zu extrahieren. Diese Templates enthalten nur noch die für die Authentifizierung benötigten Daten.

Geraten Templates in die falschen Hände, dann kann das große Auswirkungen auf die Sicherheit eines Unternehmens haben – etwa wenn aus den Referenzdaten ein Originalmerkmal rekonstruiert und daraus eine Attrappe erstellt wird, die dann die Systeme täuscht. Um das zu verhindern, sollte man da­rüber nachdenken, wie und wo die Templates aufbewahrt werden.

Grundsätzlich lassen sich fünf Speicherorte ausmachen: So können die Referenzdaten in einer zentralen Datenbank, lokal auf dem PC, im Terminal selbst, bei einem externen Dienstleister oder in einem Token gespeichert sein, den der Mitarbeiter bei sich trägt. Für welche Art der Datenhaltung sich ein Unternehmen entscheidet, ist meist nicht vorgegeben, sondern lässt sich auf die vorhandenen Bedingungen abstimmen. Eine Entscheidungshilfe bietet das bereits 2008 von Teletrust veröffentlichte „White Paper zum Datenschutz in der Biometrie“.

In Übereinstimmung mit Datenschützern preferiert Teletrust die Methode, dass der komplette biometrische Teil der Anwendung, bestehend aus Sensor, Merkmalsextraktion und Referenzdatenspeicher, in einem externen Token liegt, den der Nutzer besitzt, da dies dem Nutzer die größte Sicherheit und Kontrolle über seine Daten bietet.