Tätigkeitsbericht 1998
Startseite

Wir über uns und Impressum
Berlin
Deutschland
Europa
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Adressen von Datenschutzbehörden
Materialien
Service und Verweise
Datenschutz nach Themen

Jahresbericht 1998
des Berliner Datenschutzbeauftragten

Zum vorherigen Kapitel 3.4 Jagdfieber im Internet


Zur Inhaltsübersicht

3.5

Biometrie - Sesam öffne Dich?

1983: Der James-Bond-Film "Sag niemals nie" flimmert weltweit über die Leinwände der Kinos: Am Auge eines durch seine Drogensucht erpressbar gewordenen Offiziers der US Air Force wird eine "Hornhauttransplantation" vorgenommen, um den per Augenscanning realisierten Zugriffsschutz für den Austausch von Gefechtsattrappen durch Nuklearsprengköpfe zu überlisten. Diese Befugnis ist nämlich einzig dem amerikanischen Präsidenten vorbehalten und so ist das Transplantat folgerichtig eine "Nachbildung" dessen Auges.

Alles nur "Kintopp"?

1998: Olympische Winterspiele im japanischen Nagano: Die Biathleten gelangen nur dann in die Waffenkammer und damit an die zu ihrer Disziplin notwendigen - in falschen Händen durchaus gefährlichen - Sportgeräte, wenn das biometrische Muster ihrer Iris/Regenbogenhaut mit dem zuvor individuell gespeicherten Referenzmuster übereinstimmt. Was in dem zuvor erwähnten Film noch als Fiktion erscheinen mochte, ist Realität geworden.

Biometrie - was ist das eigentlich?

Lexikalisch wird die Biometrie als Lehre von der Anwendung mathematischer (statistischer) Methoden auf die Mess- und Zahlenverhältnisse der Lebewesen und ihrer Einzelteile definiert. Im engeren, auf die Computerwelt bezogenen Sinne ist dieser Begriff ein Synonym für den Identitätsnachweis von Personen unter Verwendung ihrer individuellen körperlichen Merkmale. Diese Merkmale müssen allerdings so einzigartig sein, dass sie möglichst nur einer einzigen Person eindeutig zugeordnet werden können. Selbst eineiige Zwillinge sollten von einem ausgefeilten, einem dem menschlichen Unterscheidungsvermögen überlegenen biometrischen Verfahren als unverwechselbare Individuen erkannt werden können. Womöglich störende "Accessoires" (z.B. Brillen, Toupets, Bärte) sollten auf geeignete Weise eliminiert werden können.

Zu einem solchen Verfahren gehören in der Regel drei wesentliche Komponenten:

  • Zur Erfassung individueller biologischer Merkmale dienen technische Einrichtungen wie Sensoren oder Scanner.
  • Die erfassten Daten sind unter Einsatz mathematischer/statistischer Methoden so zu abstrahieren, dass von den wesentlichen Merkmalen Referenzmuster abgespeichert werden können.
  • Die dritte wesentliche Komponente ist der programmtechnisch umzusetzende Vergleichsalgorithmus.
Aus der Art der für ein biometrisches Verfahren genutzten Merkmale kann man eine Zweiteilung der Verfahren ableiten:
  • Statische Verfahren, basierend auf physiologischen Merkmalen, die unveränderlich sind: Fingerabdruck, Hand- und Venengeometrie, Augenmerkmale (Netzhaut, Regenbogenhaut), Gesichtserkennung (visuell, thermisch), der gesamte Körper,
  • Dynamische Verfahren, basierend auf verhaltenstypischen Merkmalen, die u.U. veränderlich sein können: Stimme, Motorik (Unterschrift, Tastenanschlag, Lippenbewegung).

Eine dritte Gruppe von Verfahren setzt Eingriffe in den Körper der Betroffenen voraus, wie z.B. die Blutbild- oder die DNA-Analyse. Da diese Verfahren zu Kontrollzwecken nicht geeignet sind, werden sie hier nicht behandelt.

Einige Verfahren sind lange eingeführt, andere Techniken haben die experimentelle Phase verlassen, sind auf dem Markt verfügbar und werden bereits intensiv genutzt. Dabei erweisen sich solche Verfahren als besonders erfolgreich, die zum einen hohen Sicherheitsstandards genügen (insbesondere beeinflusst durch die Invarianz und die Einzigartigkeit der zugrunde liegenden biometrischen Merkmale), sowie ein günstiges Kosten-Nutzen-Verhältnis aufweisen (geringer Erfassungs- und Verifikationsaufwand) und bei den Betroffenen ohne psychologische Hemmungen akzeptiert werden.

Fingerabdruck-Verfahren sind weit verbreitet, kostengünstig und hinreichend sicher. Sie sind abgeleitet aus dem seit über 100 Jahren bekannten daktyloskopischen Verfahren im polizeilichen Erkennungsdienst.

Handgeometrie-Verfahren werden zwar auch kostengünstig angeboten, gewährleisten allerdings nur eingeschränkte Sicherheit, da es hier zu viele Ähnlichkeiten bei unterschiedlichen Individuen gibt. Dafür gibt es kaum Akzeptanzprobleme, sieht man einmal von Einwänden aus hygienischen Gründen ab.

Verfahren, die auf der Auswertung von Augenmerkmalen beruhen, befriedigen zwar hohe Sicherheitsbedürfnisse, sind aber mit hohem Kostenaufwand verbunden und werden wegen des zur Merkmalserfassung benutzten (ungefährlichen) Laserstrahls nicht vorbehaltlos akzeptiert.

Gesichtserkennungs-Verfahren gewinnen aufgrund der geringen Akzeptanzprobleme - der Vergleich mit dem Fotografieren liegt nahe - in jüngster Zeit größere Bedeutung. Hier liegen die Probleme bei der Reduzierbarkeit der erfassten Merkmale auf Dateigrößen, die von preisgünstigen Geräten zu bewältigen wären.

Dynamische Verfahren, die sich auf den Vergleich von Verhaltensmerkmalen stützen, haben ebenfalls bereits Marktreife erlangt, sind allerdings wegen des meist damit verbundenen Zeitaufwands nicht derart universell einsetzbar (z.B. zur Zutrittskontrolle) wie die zuvor erwähnten statischen Verfahren.

Gesteigerten Sicherheitsbedürfnissen kommt man zunehmend durch sog. Hybridverfahren entgegen, d.h. solche Verfahren, bei denen eine Kombination verschiedener biometrischer Merkmale zum Vergleich herangezogen wird.

Bisher waren die Verfahren hinsichtlich der verwendeten Geräte (Hardware) und der damit verbundenen Verifikationsprozesse (Software) in hohem Maße herstellerabhängig (proprietär). Wie die derzeitige Entwicklung zeigt, bemüht man sich verstärkt darum, standardisierte Schnittstellen zu definieren, die es ermöglichen, Hard- und Software unterschiedlicher Hersteller zu kombinieren. Dies dürfte einen zunehmenden Einsatz biometrischer Systeme zur Folge haben.

Sinn des Einsatzes

Biometrische Verfahren erhalten zunehmende Bedeutung für Kontrollsysteme, mit deren Hilfe zwischen berechtigten und unberechtigten Personen unterschieden werden kann. Den bisher üblichen Kontrollsystemen liegen zumeist zwei Komponenten zugrunde. Das eine Element ist der Besitz des Sicherungsmechanismus, wie Schlüssel, Ausweise sowie Magnetstreifen- oder Chipkarten. Die zweite Komponente besteht im Wissen um ein individuell festgelegtes Geheimnis: Im Zahlungsverkehr als PIN, in der Datenverarbeitung als Passwort geläufig. Neben dem möglicherweise unangenehmen Verlust dieses Wissens durch Vergessen - der Geldautomat verweigert die Ausgabe dringend benötigten Bargeldes - weisen die beiden Kontrollelemente aber eine wesentlich unangenehmere Eigenschaft auf: Sie sind - gewollt oder ungewollt - übertragbar. Das hat zur Folge, dass jede Person, die über Besitz oder Wissen verfügt, davon auch Gebrauch machen kann, mithin zur Benutzung eines zu schützenden Systems autorisiert wird.

Erst durch die Kombination einer oder beider Komponenten mit einem nicht übertragbaren, eindeutig zuordenbaren persönlichen Kennzeichen erreichen Berechtigungsprüfungen eine neue Qualität: Aus der Autorisierung wird die Authentifizierung, d.h. es kann geprüft werden, ob der "Berechtigte" auch tatsächlich die Person ist, für die sie sich ausgibt. Das Missbrauchsrisiko wird also ganz erheblich gemindert werden. Biometrische Verfahren können dies leisten.

Jedoch: "Wo Licht ist, ist auch Schatten". Durch den Einsatz biometrischer Verfahren entstehen neue datenschutzrechtliche Risiken. Die abgespeicherten Referenzdaten können zu Zwecken genutzt werden, die über die Authentifizierung hinaus gehen. Beispielsweise kann in einer zentralen Datenbank, in der die Referenzdaten abgelegt wurden, nicht nur überprüft werden, ob eine Person zu einer Gruppe von - dem System bekannten - Berechtigten gehört ("one-to-one"), sondern es besteht auch die Möglichkeit, eine zunächst unbekannte Person mit Hilfe der gleichen Datenbank zu identifizieren ("one-to-many").

Auch für diese Art der Nutzung biometrischer Verfahren gibt es bereits praktische Anwendungen: In Großbritannien haben Videoüberwachungssysteme geradezu Hochkonjunktur und werden teilweise bereits flächendeckend zur Beobachtung öffentlicher Plätze, ja ganzer Städte eingesetzt. Mit Hilfe hochauflösender Videokameras, die eine digitalisierte Aufzeichnung der von der Kamera erfassten Bilder ermöglichen, werden die Gesichtsmerkmale einzelner Personen derart aufbereitet, dass sie mit den durch ein biometrisches Gesichtserkennungs-Verfahren gewonnenen und in einer zentralen Datenbank gespeicherten Referenzmustern verglichen werden können, um unliebsame Zeitgenossen zu identifizieren und gegebenenfalls entsprechende Maßnahmen einzuleiten.

Biometrische Verfahren sind daher datenschutzrechtlich sehr zwiespältig zu beurteilen. Einerseits verletzt ihr Einsatz die informationelle Selbstbestimmung der Betroffenen, wenn deren biometrische Merkmale hinter ihrem Rücken mit denen gesuchter Personen verglichen oder für spätere Kontrollzwecke auf Vorrat registriert werden. Andererseits lassen sie wesentlich sicherere Authentifikationsverfahren erhoffen, damit die informationelle Selbstbestimmung durch die Verhinderung unbefugter Datenzugriffe geschützt wird.

Es muss also auf die unbedingte Zweckbindung der durch biometrische Verfahren gewonnenen personenbezogenen Daten geachtet werden. Im Sinne des Einsatzes datenschutzfreundlicher Technologien bei der Verarbeitung personenbezogener Daten sind in jüngster Zeit auch bei der Entwicklung von biometrischen Kontrollsystemen Tendenzen erkennbar, die diesem Anliegen Rechnung tragen. So werden mittlerweile solche Systeme auf dem Markt angeboten, die sich von zentral vorgehaltenen Datenbanken lösen und die Verfügungsgewalt über die persönlichen biometrischen Merkmale beim Betroffenen belassen.

Als ein dazu geeignetes Medium hat sich beispielsweise die Chipkarte erwiesen. Zum einen kann durch geeignete Maßnahmen bei der Erstellung von Referenzmustern und deren Speicherung (Einwegverschlüsselung, hinreichend kleine Dimensionierung) auf dem Chip verhindert werden, dass diese Daten selbst dann wieder auf ihren Ursprung zurückgeführt werden können, wenn die Karte in falsche Hände gelangt. Zum anderen weisen die mittlerweile entwickelten Chips eine so hohe Funktionalität auf, dass sie es gestatten, auch die Verifizierungsalgorithmen auf dem Chip zu implementieren. Eine geeignete "Versiegelung" der Chipkarten sollte zudem böswillige Angriffe auf den Chip verhindern.

Es ist davon auszugehen, dass insbesondere die zuletzt beschriebene Entwicklung dazu beitragen wird, die Akzeptanz biometrischer Kontrollsysteme bei den Betroffenen zu erhöhen, auch - oder gerade weil - auf diese Weise die datenschutzrechtlichen Bedenken gegen deren Einsatz wesentlich reduziert werden können.

Seitenanfang
Zum nächsten Kapitel 3.6 Der schwere Stand der behördlichen Datenschuzbeauftragten
 Letzte Änderung:
 am 22.11.1999
E-Mail an den Webmaster