Identifizierungsanwendungsfälle sind Sache der Regierungen, die sich um mehr Sicherheit machen. Bildaufnahme/Gesichtserkennung wird an internationalen Flughäfen auf der ganzen Welt verwendet, um bei der Erkennung bekannter Krimineller oder ausländischer Aktivisten zu helfen.
Die Prämisse ist, dass die Gesichtszüge der gewöhnlichen Bürger gescannt werden, im Vergleich zu bekannten Daten, dann fallen gelassen, wenn es keine Übereinstimmung. Probleme können auftreten, wenn die Daten für die Bürger nicht fallen gelassen werden, oft für die besten Absichten, wie diese Person könnte zu einem späteren Zeitpunkt als Kriminelle identifiziert werden, wissend, wo diese Person gewesen war, wäre sehr wertvoll.
Dies ist eine rutschige Steigung, Datenspeicherung ist billig, bescheidene Preis digitale Videokameras bieten hervorragende Leistung, und kann drahtlos fast überall installiert werden. Die Versuchung für Sicherheitsexperten, alles von so vielen Kameras aufzuzeichnen, wie sie sich leisten können, ist sehr hoch.
Werden biometrische Daten unter die DSGVO fallen?
DSGVO und biometrische Daten werden durch die Verordnung und mit Regeln behandelt, die bei jeder Datenschutzbehörde (DPA) festgelegt werden. Die DSGVO verhindert ausdrücklich die Verwendung biometrischer Daten für die Authentifizierung oder Identifizierung, es gibt jedoch mehrere Ausnahmen, die in Artikel 9 Absatz 2 genannt werden. Für die Authentifizierung muss die Anwendung eine hohe Zuverlässigkeit erfordern, die von anderen Technologien nicht abgerufen werden kann. Biometrische Daten für Einzelpersonen gelten als sensible personenbezogene Daten und erfordern daher ein höheres Schutzniveau.
Verschiedene Länder haben spezifische Positionen zur biometrischen Identifizierung eingenommen, zum Beispiel hat die französische CNIL kürzlich ein Positionspapier veröffentlicht, in dem sie die Notwendigkeit einer Regierung zur Sicherung der Grenzen erkannten, sich aber weigerten, harte Regeln festzulegen, und es vorzogen, von Fall zu Fall zu überprüfen.
- Gemäß diesen Vorschriften muss die Notwendigkeit solcher Geräte von Fall zu Fall festgestellt werden: Gesichtserkennung kann nicht ohne eine besondere Anforderung verwendet werden, um eine hohe Zuverlässigkeit bei der Überprüfung der Identität von Personen zu gewährleisten. Diese Texte schreiben auch vor, dass sowohl die Verhältnismäßigkeit der eingesetzten Mittel als auch der besondere Schutz der Kinder gewährleistet sind. Sie fordern, dass die Menschen im Mittelpunkt der Systeme stehen, indem sie beispielsweise ihre Zustimmung einholen oder sicherstellen, dass sie die Kontrolle über ihre Daten haben. Durch die Anwendung dieser Grundsätze, die kürzlich auf europäischer Ebene bekräftigt wurden, hatte die CNIL bereits die Möglichkeit, bestimmte Verwendungszwecke grundsätzlich zuzulassen und gleichzeitig praktisch zu regeln (Grenzkontrolle an Flughäfen) und andere zu verweigern (Kontrolle des Zugangs von Schülern in Schulen).
Die CNIL warnte auch Unternehmen vor der Förderung von experimentellen oder Experimentellen Anwendungen mit dem alleinigen Ziel, die Öffentlichkeit zu diesen Technologien zu sozialisieren und ihre stillschweigende Zustimmung zu erhalten, werden diese von der CNIL nicht erlaubt werden.
Die italienische DPA (The Garante) hat in ihren Leitlinien für 2014 einen anderen Ansatz gewählt, indem sie sich auf die Methode der Sammlung und nicht auf die Verwendung konzentrierte und sich dafür entschied, passive und interaktive biometrische Sammelsysteme zu definieren:
- Biometrische Systeme werden als interaktiv oder partizipativ bezeichnet, wenn sie die Beteiligung der betroffenen Person ins Auge fassen und sie zur Mitarbeit in der biometrischen Datenerfassungsphase verpflichten – z.B. beim Retinal-Scannen oder beim Platzieren der handschriftlichen Unterschrift. Umgekehrt erheben passive Systeme biometrische Daten, ohne dass die betroffene Person sie wahrnimmt oder kennt – z. B. bei der Gesichtsbildaufnahme oder Sprachaufzeichnungen, die ohne auf diese von der betroffenen Person erfasst werden.
Dies ist seit 2014 im Wesentlichen unverändert geblieben, obwohl ein Gesetzesdekret (nur Italienisch) die Einführung neuer Bestimmungen alle zwei Jahre (ab 2018) forderte, die die Leitlinien entsprechend dem Einsatz neuer Technologien überarbeiten würden.
Deutschland hat keine zentrale Datenschutzbehörde. Die Verantwortung liegt bei staatlichen Organisationen, von denen es 16 gibt.
Lösung der Biometrie-Debatte
Die Debatte über die Verwendung biometrischer Daten zur Identifizierung oder Authentifizierung in einer datenschutzorientierten Welt ist im Gange und findet seit über 20 Jahren statt. Die Feststellung, dass die Debatte in der Tat zwei unterschiedliche Anwendungsfälle hat, wird wahrscheinlich sehr dazu führen, dass eine gewisse Übereinstimmung und Verständigung erzielt wird. Der Fall der Identifizierung garantiert fast, dass die Informationen ohne die ausdrückliche Zustimmung des Einzelnen gesammelt werden. Auf der anderen Seite gibt es viele Anwendungsfälle für die Authentifizierung, die die Zustimmung und aktive Teilnahme des Einzelnen einholen, und die Individuelle profitiert oft von einem zuverlässigeren Zugang und einer besseren Sicherheit. Es wird zwar davon ausgegangen, dass die Strafverfolgung auf Nationalstaatlicher Ebene dringend biometrische Identifizierung benötigt, aber die Verwendung durch andere kann unnötig sein, wenn andere weniger invasive Ansätze akzeptabel sein können.