Der Begriff „biometrische Daten“ ist in Artikel 4 Absatz 14 DSGVO definiert. Demnach sind biometrische Daten „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen“. Laut der Definition müssen personenbezogene Daten vier Kriterien[1] erfüllen, damit sie als „biometrisch“ gelten.
Erstens muss es sich um „personenbezogene Daten“ handeln, die in Artikel 4 Absatz 1 DSGVO als „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ definiert sind. Zweitens erfordern sie „spezielle technische Verfahren“, um die Informationen aus der Rohdatenquelle zu gewinnen (z. B. die Extraktion von Gesichtszügen aus einem Bild). In Erwägungsgrund 51 DSGVO heißt es: „Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen“. Somit sind biometrische Daten ohne „spezielle technische Verfahren“ zu deren Gewinnung keine biometrischen Daten im Sinne der DSGVO[2]. Aber auch wenn Daten in einem bestimmten Stadium keine biometrischen Daten sind, können sie Teil einer Datenverarbeitung sein, die sie in einem späteren Stadium zu biometrischen Daten macht. So können beispielsweise in einer Datenbank Bilder gespeichert sein, die zu einem späteren Zeitpunkt durch ein spezielles technisches Verfahren zur biometrischen Identifizierung verwendet werden (sodass sie vorerst noch keine biometrischen Daten darstellen). Stellen Sie sich ein Szenario vor, in dem diese Datenbank direkt mit dem System verbunden ist, das die biometrische Identifizierung durchführt (siehe auch Abschnitt Biometrisches System). In diesem Fall könnten Unbefugte diese Verbindung ausnutzen, um auf biometrische Daten zuzugreifen. Sie könnten beispielsweise die in der Datenbank gespeicherten (nicht biometrischen) Bilder exfiltrieren, in das System zur biometrischen Identifizierung eindringen, das Bild durchlaufen lassen und die biometrische Identifizierung durchführen, wodurch sie Zugang zu den biometrischen Daten erhalten. In diesem Szenario ermöglicht eine schwache Sicherheit, dass externe Parteien biometrische Daten erhalten können, auch wenn diese biometrischen Daten noch gar nicht existieren. Die Verantwortlichen sollten dies unter dem Gesichtspunkt des Risikomanagements betrachten. Wenn sie keine angemessene Risikominderung für die nicht-biometrischen Daten gewährleisten können (d. h. Auswertungsrisiken), sollten diese Datensätze als biometrische Daten betrachtet werden und allen rechtlichen Anforderungen unterliegen, auch wenn sie – für sich genommen – nicht die Kriterien für die Einstufung als biometrische Daten erfüllen.
Biometrische Daten Szenario 1
Biometrische Daten Szenario 2
Das dritte Kriterium bezieht sich auf die Merkmale der betroffenen Personen, die durch die oben erwähnte speziellen technischen Verfahren erfasst werden. Diese Merkmale können „physisch“, „physiologisch“ oder „verhaltenstypisch“ sein und unterscheiden sich von zufälligen Eigenschaften wie der Adresse der betroffenen Person, ihrem Standort zu einem bestimmten Zeitpunkt, Beschäftigungsdaten usw. Das vierte und letzte Kriterium besagt, dass personenbezogene Daten nur dann als biometrisch gelten, wenn sie die eindeutige Identifizierung einer natürlichen Person ermöglichen oder bestätigen. In der Tat identifizieren biometrische Daten Personen nicht unbedingt per se eindeutig. So könnten biometrische Daten beispielsweise verwendet werden, um zwischen Menschen und Tieren oder zwischen Männern und Frauen zu unterscheiden[3]. Anders als bei anderen Identifikatoren wie Namen oder Identifizierungscodes führt die Verarbeitung biometrischer Daten jedoch nicht zu einer eindeutigen Identifizierung. Vielmehr ermöglicht sie die Identifizierung von Personen mit einem gewissen Grad an Wahrscheinlichkeit. Nach gängiger Auffassung sind Daten als biometrisch zu betrachten, „auch wenn die in der Praxis angewandten Modelle für ihre technische Messung in gewissem Umfang auf Wahrscheinlichkeiten beruhen“[4].
Quellenangaben
1Zur Analyse der Definition in der Datenschutz-Grundverordnung siehe: C. Jasserand, Legal Nature of Biometric Data: From “Generic” Personal Data to Sensitive Data, European Data Protection Law Review 2, Nr. 3 (2016): 297–311, https://doi.org/10.21552/EDPL/2016/3/6. ↑
2In der Wissenschaft ist umstritten, ob dies auch auf technische Verarbeitungsverfahren angewandt werden sollte, die Voraussetzung für die Identifizierung sind, wie etwa die bloße Speicherung in Datenbanken. Siehe z. B.: Kindt, Having yes, using no? About the new legal regime for biometric data, Computer Law and Security Review, 34, 2018, Seiten 523–538. Eine Analyse der Probleme im Zusammenhang mit anderen Formaten als Lichtbildern finden Sie in: Andras Nautsch et al., Preserving privacy in speaker and speech characterisation, Computer Speech & Language, 58, 2018, Seite 445. ↑
3Siehebeispielsweise: 14 Misunderstandings with Regard to Identification and Authentication’ (Agencia Espanola Proteccion Datos, European Data Protection Supervisor, Juni 2020), 3. ↑
4Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“, 2007, 8. Siehe auch: Artikel-29-Datenschutzgruppe, Stellungnahme 03/2012 zu Entwicklungen im Bereich biometrischer Technologien, 2012, 6. ↑