Wie sich zusammenfassend festhalten lässt, stellt die Lieferung von sensiblen Betriebsdaten direkt vom IAB an
mit dem BIBB verbundene Auftragnehmer - wie bei PEREK - den Regelfall dar; das BIBB hat daher von diesen
Daten keine Kenntnis. Der vom IAB vorausgesetzte hohe Sicherheitsstandard für die Bereitstellung von Betriebsdaten strahlt positiv auf das BIBB aus. Durch ein eigenes, mit erfahrenen Mitarbeitern besetztes Forschungsdatenzentrum wird zudem sichergestellt, dass die Weitergabe der im BIBB generierten Forschungsdaten
an Wissenschaftler stets datenschutzgerecht erfolgt.
Im BIBB ist ein hohes Maß an datenschutzrechtlichem Problembewusstsein vorhanden und der Dokumentationsstand ist zufriedenstellend. Die laufende Novellierung des IT-Sicherheitskonzeptes begleite ich weiterhin. Im
Jahr 2014 führten meine Mitarbeiter außerdem auf Bitte des BIBB eine datenschutzrechtliche Grundschulung
durch. Diese Initiative hat mich gefreut, zeigt sie doch, dass Kontrollbesuche meiner Mitarbeiter auch eine vertrauensvolle Zusammenarbeit der kontrollierten Behörde mit meiner Dienststelle fördern können.
16.3 Neues in der Biometrie
Neue Techniken bei der Aufnahme von biometrischen Merkmalen wie auch die Nutzung von Komfortanwendungen bergen so manches datenschutzrechtliche Risiko.
Der Verbreitungsgrad von Produkten, die Biometrie als Zugangsschutz einsetzen, wird durch sogenannte Komfortanwendungen ständig größer. Immer mehr Nutzer verwenden z. B. die vom Hersteller ihres Handys oder des
Notebooks ermöglichte Absicherung des Gerätes durch Fingerabdruckscanner. Aber auch in anderen Geschäftsbereichen werden Fingerabdruckanwendungen eingesetzt, z. B. bei Bezahlsystemen. Vor einer entsprechenden
Nutzung müssen sich die Bürger zunächst mit ihren Daten inklusive des Fingerabdrucks am System anmelden.
Die Daten werden anschließend in einer Datenbank des Systembetreibers, auf einer Smartcard oder auf dem Gerät selbst gespeichert. Bei der Nutzung des Systems werden dann die aktuell aufgenommenen Daten mit den
hinterlegten verglichen. Bei einem erfolgreichen Vergleich wird die Nutzung des Gerätes freigegeben. Seitens
einer deutschen Bank ist geplant, Handys (derzeit nur das Modell eines bestimmten Herstellers) künftig im Zusammenspiel mit einer Applikation für das Online-Banking nutzbar zu machen. Der Fingerabdrucksensor des
Handys dient dabei als Verifikationsinstrument.
Ein grundsätzliches Datenschutz- und Sicherheitsproblem bei der Nutzung von Biometrieverfahren - nicht nur
bei Handy oder Notebook - ist dabei die Ungewissheit, wo die Biometriedaten gespeichert werden, wer Zugriff
auf diese Daten erhält und an wen die Daten möglicherweise weitergegeben werden. So haben Hersteller bereits
bestätigt, dass Fingerabdrücke nicht nur lokal auf dem Handy, sondern für Sicherungszwecke auch in der Datenbank des Herstellers (in der Regel im Ausland) gespeichert werden. Das hohe Datenschutzniveau Deutschlands
ist somit dafür nicht mehr garantiert.
Ein weiteres Problem ist die sog. Überwindungssicherheit der Biometriesysteme. Gemeint ist die Sicherheit,
dass das System nicht durch nachgeahmte oder auf eine andere Weise gefälschte Daten getäuscht und der Zugangsschutz somit überwunden werden kann. Diese ist häufig nicht garantiert, wie erfolgreiche Überwindungsversuche gezeigt haben. Beispielsweise wurden Bilder des Gesichts, der Iris oder eines Fingers, die mit einer geeigneten Digitalkamera aufgenommen wurden, für die Herstellung von gefälschten Datensätzen, sog. Fakes, genutzt, und das System akzeptierte diese. Besondere Brisanz erfährt das Thema daher bei neuen Verfahren zur
Erkennung des Fingerabdrucks, die berührungslos arbeiten. Ähnlich wie bei der Gesichts- oder Iriserkennung
wird ein Foto des Fingers mit seinen Merkmalen aufgenommen und mit den gespeicherten Daten abgeglichen.
Ein direkter physischer Kontakt ist hierbei nicht mehr notwendig. Die Bilder von den Merkmalen können dabei
auch unbeobachtet aufgenommen werden. Biometrieverfahren, die nicht über Sicherheitsfunktionen wie z. B.
der Lebenderkennung verfügen, können mit derartigen Techniken möglicherweise überwunden werden. Wie sicher die Systeme sind, werden Tests in der Zukunft zeigen.
– 218 –
BfDI 25. Tätigkeitsbericht 2013-2014