Читать книгу DS-GVO/BDSG - David Klein - Страница 597

72

Als weitere Datenkategorie benennt Art. 9 Abs. 1 die biometrischen Daten.

73

Nach Art. 4 Nr. 14[133] sind biometrische Daten mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten. Zur näheren Bestimmung des Begriffs der biometrischen Daten kann auch das nach ISO/IEC JTC SC37[134] international standardisierte biometrische Vokabular herangezogen werden.[135] Hierbei ist allerdings zu beachten, dass der Begriff des biometrischen Datums unter Umständen von dem Begriffsverständnis der DS-GVO abweichen kann. Insofern kann das biometrisch standardisierte Vokabular lediglich ergänzend und flankierend zur DS-GVO herangezogen werden.[136]

74

Hinsichtlich der Systematik ist zu beachten, dass Art. 9 Abs. 1 eine enge Verbindung zur Begriffsdefinition der biometrischen Daten aus Art. 4 Nr. 14 aufweist. So enthält Art. 4 Nr. 14 Aussagen zu Inhalt und Reichweite der biometrischen Daten, während sich die Anforderungen an die Verarbeitung aus Art. 9 ergeben und insofern einem besonderen Schutz unterstehen. Indem biometrische Daten auch physiologische und physische Merkmale erfassen, bestehen insofern insbesondere inhaltliche Überschneidungen zu Art. 4 Nr. 13 und 15.

75

Biometrische Daten werden in ErwG 51 S. 3 insbesondere unter dem Gesichtspunkt von Lichtbildern aufgegriffen. Danach soll die Verarbeitung von Lichtbildern grundsätzlich nicht den Voraussetzungen der Verarbeitung nach Art. 9 unterfallen. Vielmehr sind diese lediglich dann als biometrische Daten und damit als besondere Kategorie personenbezogener Daten einzustufen, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.[137]

76

Biometrische Systeme nutzen bestimmte individuelle Merkmale einer natürlichen Person zur Identifikation oder Authentifikation und stellen so enge Verknüpfungen mit der betroffenen Person her.[138]

77

Der Begriff der biometrischen Daten wird dabei durch Art. 4 Nr. 14 sehr weit gefasst, indem ein bloßer Bezug zu physischen, physiologischen oder verhaltenstypischen Merkmalen der natürlichen Person ausreicht.[139] Biometrische Daten wirken sich insoweit auf die Verbindung von Körper und Identität der betroffenen natürlichen Person aus, indem sie Merkmale des menschlichen Körpers „maschinenlesbar“ machen.[140] Unter den Begriff der biometrischen Daten fallen dabei sowohl Rohdaten (etwa die Gesichtsvermessung als solche) als auch Templates, bei denen aus den Rohdaten Schlüsselmerkmale extrahiert werden, die dann als solche verarbeitet werden und die Grundlage für digitale Zuordnungen bilden.[141] So stellt etwa das hochgeladene Foto im Internet oder in sozialen Netzwerken ein biometrisches Datum dar. Werden diese Daten nunmehr ausgelesen und verarbeitet, so dass in der Folge mittels dieses Fotos das eigene Smartphone entsperrt werden kann, so wird dies durch ein Template ermöglicht.[142]

78

Als Beispiele für biometrische Daten sind etwa Finger- oder Handabdrücke, Iris- oder Netzhaut-Scans, Gesichtserkennungen, Venenmuster der menschlichen Hand oder Sprachidentifikationen aber auch eine charakteristische Gang- oder Sprechart einer Person zu nennen.[143] Dies beinhaltet die Feststellung, dass biometrische Daten einen Unterfall der personenbezogenen Daten[144] bilden.[145]

79

Darüber hinaus sind auch biometrische Daten wie genetische Daten besonders anfällig für Diskriminierungen.[146] Aufgrund dieser Sensitivität biometrischer Daten unterfallen sie dem besonderen Schutz des Art. 9.

80

Biometrische Daten werden zu Identifikationszwecken zunehmend auch von Privaten eingesetzt. Das Entsperren des Smartphones mittels eines Fingerabdrucks (Touch-ID) oder einer Gesichts- bzw. Iriserkennung (Face-ID) stellt dabei bspw. eine Nutzung biometrischer Daten durch Private dar.[147] Darüber hinaus haben biometrische Daten zunehmend im Rahmen von Zugangskontrollen[148] (z.B. für Bereiche, die eine besondere Sicherheit verlangen wie etwa Rechenzentren, Laboren, Flughäfen oder Kernkraftwerken)[149] eine große Bedeutung. Weitere Anwendungsfelder der Verarbeitung biometrischer Daten liegen in der Profilbildung, Überwachung, Registrierung oder der Verhaltenssteuerung.[150] Daneben können biometrische Verfahren aber auch im Rahmen der Werbung oder der Kommunikation zwischen Mensch und Maschine zum Einsatz kommen.[151]

81

Zudem wird die Frage der Verarbeitung von biometrischen Daten im Rahmen der Videoüberwachung[152] relevant. Im Zuge der technischen Möglichkeiten findet so vermehrt eine Verzahnung von Videoüberwachung und biometrischen Systemen statt. So sind längst an vielen Orten Videoüberwachungssysteme zum Zwecke der Prävention von Straftaten oder der Strafverfolgung installiert. Dabei werden im Rahmen einer intelligenten Videoüberwachung und im Rahmen von Body-Cams zunehmend auch Gesichtserkennungen durchgeführt sowie zusätzliche Elemente (etwa die Gangart oder Gestik) erfasst, so dass diese Aufnahmen unter den Begriff der biometrischen Daten fallen und damit deren Verarbeitung den strengen Anforderungen der Art. 6 und 9 unterliegt. Vor diesem Hintergrund stellt sich die Frage nach dem Konkurrenzverhältnis von Art. 6 und 9 im Rahmen der Videoüberwachung (dazu bereits Rn. 21). Sofern es sich bei der Videoüberwachung um eine Verarbeitung besonderer Kategorien von Daten handelt, wäre dementsprechend Art. 9 und nicht Art. 6 anwendbar.[153] Die Unterscheidung hat weitreichende Folgen, weil die Videoüberwachung nach nationalem Recht etwa durch § 4 oder nach § 22 BDSG gerechtfertigt sein kann, aber unterschiedlichen Anforderungen unterliegt. Insofern entscheidet die Frage des Vorliegens eines sensiblen Datums über die jeweils anwendbare Rechtsgrundlage. Als Leitlinie ist hierbei festzuhalten: Eine Videoüberwachung fällt nur dann unter das strenge Regelungsregime des Art. 9, wenn die Datenverarbeitung der eindeutigen Identifizierung der betroffenen Person dient und daher mittels spezieller technischer Mittel die Erfassung und Verarbeitung zielgerichtet verfolgt wird und daher Zweck der Datenverarbeitung ist.[154] Andernfalls handelt es sich um die Anfertigung eines Lichtbildes, dessen Rechtmäßigkeit sich nach Art. 6 bzw. § 3 BDSG oder dem jeweiligen Landesdatenschutzgesetz richtet. Diese Sichtweise wird auch durch ErwG 51 S. 3 gestützt, der statuiert, dass Lichtbilder nur dann als besondere Kategorie personenbezogener Daten einzustufen sind, wenn die o.g. Voraussetzungen erfüllt sind. Dieses restriktive Verständnis einer Videoüberwachung als sensibles Datum ist konsequent, entspricht es doch der Regelungssystematik der DS-GVO und den nationalen Umsetzungsnormen und belässt dabei Art. 9 einen hinreichenden Anwendungsbereich, sofern die Datenverarbeitung ein erhöhtes Schutzniveau erforderlich macht.

82

Von entscheidender Bedeutung für die Praxis ist insbesondere die Frage, ob auch eingescannte Unterschriften als biometrische Daten zu qualifizieren sind. Insofern ist zu beachten, dass bereits eine charakteristische Gang- oder Sprechart wie oben bereits erwähnt unter den Begriff der biometrischen Daten fallen. Darüber hinaus nennt die Art.-29-Datenschutzgruppe in ihrem WP 193[155] konsequent auch ausdrücklich die Verifikation von Unterschriften als biometrisches Verfahren für die Erfassung der Verhaltensmerkmale einer Person. So stellt die Erfassung biometrischer Daten zu Unterschriften eine neue Nutzung biometrischer Technologien dar. Folglich stellt die Art.-29-Datenschutzgruppe klar, dass „biometrische Daten zu Unterschriften (. . .) durch biometrische Verfahren ermittelt [werden], bei denen das Verhalten einer Person aufgrund der Dynamik der jeweiligen Handschrift bewertet wird. Herkömmliche Systeme zur Erkennung von Unterschriften beruhen auf der Analyse statischer oder geometrischer Merkmale des jeweiligen Unterschriftsbildes.“ Für die Praxis hätte eine derartige Beurteilung weitreichende Konsequenzen: Denn so würde auch ein eingescannter herkömmlicher Personalausweis, nicht wegen des Lichtbildes (vgl. ErwG 51 S. 1), sondern wegen der darauf enthaltenen Unterschrift als biometrisches Datum eingestuft und daher den hohen Anforderungen des Art. 9 unterliegen. Dabei ist aber stets zu beachten, dass bspw. die eingescannte Unterschrift unter einem Word-Dokument demgegenüber nicht a priori ein biometrisches Datum darstellt. Denn grundsätzlich ist die eingescannte Unterschrift lediglich ein Lichtbild. Als Leitlinie lässt sich daher für die Praxis festhalten, dass eingescannte Unterschriften zwar biometrische Daten darstellen können, dies aber erst dann der Fall ist, wenn eine biometrische Erfassung der Unterschrift stattfindet. Ansonsten bleibt es bei der Beurteilung als schlichtes Lichtbild.