Wenn der Finger teuer wird

Seit zwei Jahren gilt in Europa die Datenschutz- grundverordnung. Sie soll Bürger und Verbraucher vor Datenmissbrauch schützen. Der breiten Öffentlichkeit wurde das Regelwerk erst richtig bewusst, als am 25. Mai 2018 die zweijährige Übergangsfrist endete. Seit diesem Termin wird die Datenschutz- grundverordnung, kurz DSGVO genannt, in ganz Europa vollzogen. Nun drohen teure Abmahnungen. Vor allem im Mittelstand ist das neue Gesetz noch nicht richtig angekommen, was die vielen hektischen Anfragen bei Verbänden und Organisationen belegen. Viele Unternehmen glauben zudem, das Gesetz betreffe sie nicht, weil sie zu klein seien. Das ist ein Irrtum. Es gilt für alle, die sich in der EU aufhalten oder ihren Geschäften nachgehen. „Die Datenschutzgrundverordnung unterscheidet nicht nach Betriebsgrößen“, erläutert Rebekka Weiß, Bereichsleiterin Datenschutz und Verbraucherrecht beim Branchenverband Bitkom: „Auch der kleinste Mittelständler muss ihr in vollem Umfang genügen, ansonsten drohen empfindliche Sanktionen“. Die für Unternehmen einschlägigen Regelungen des BDSG werden seit Mai weitgehend durch die Regelungen der Verordnung ersetzt. Da es sich bei dem neuen Gesetz um eine europäische Verordnung handelt, gilt sie direkt in allen Mitgliedsstaaten und bedarf keines nationalen Umsetzungsgesetzes. Die nationalen Gesetzgeber sind an einigen Stellen der Verordnung sogenannte Öffnungsklauseln vorhanden. Diese ermächtigen die Mitgliedsstaaten, die Regelungen der Verordnung zu konkretisieren und zu ergänzen.

Im September 2017 gaben bei einer repräsentativen Umfrage unter mehr als 500 deutschen Unternehmen 19 Prozent der Betroffenen an, die Vorgaben der Verordnung zum Stichtag 25. Mai vollständig umsetzen zu können. Weitere 20 Prozent erwarteten, dies „zum größten Teil“ zu schaffen. Selbst grundlegende organisatorische Voraussetzungen für den Datenschutz im Unternehmen fehlen häufig. Obwohl zum Umfragezeitpunkt das Gesetz bereits über ein Jahr verabschiedet war, hatten erst 13 Prozent der befragten Unternehmen mit der Umsetzung begonnen. 42 Prozent der Unternehmen gaben an, dass sie kein sogenanntes Verfahrensverzeichnis besitzen, in dem die internen Prozesse für die Verarbeitung personenbezogener Daten dokumentiert sind.

Selbst die wichtigsten Grundlagen sind demnach oft noch nicht gelegt. Denn Dokumentation ist von entscheidender Bedeutung. Nur in engen Grenzen, und in begründeten Fällen sowie nach ausdrücklicher Einwilligung erlaubt das Gesetz den Einsatz von Biometrie im Betrieb. Ansonsten verbietet der Artikel 9 DSGVO die Verarbeitung personenbezogener Daten, die zur eindeutigen Identifikation eines Menschen führen können. Exakt dies ist die Aufgabe biometrischer Sensoren, vor allem bei der Zutrittskontrolle. „Die Einwilligung darf nicht vorausgesetzt werden, sondern muss aktiv eingeholt werden, in der Regel durch die Unterschrift unter eine Einwilligung oder eine andere aktive Bestätigung“, erläutert Rebekka Weiß.

„Die meisten Regeln galten schon vor der Datenschutzgrundverordnung, doch nun gelten sie für alle Anbieter in der EU und alle Anbieter, die ihre Dienste an Bürger in der EU anbieten“. Ausgenommen sind Polizei und Geheimdienste für die es gesonderte Regeln gibt. Ebenso ist es laut DSGVO untersagt, Informationen zu verarbeiten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Neben der Einwilligung ist der Schutz der erhobenen Daten vor Missbrauch ein entscheidendes Anliegen des Gesetzes. Im Gegensatz zur Rechtslage bis Mai 2018 ist die Systematik zur Ermittlung geeigneter technischer und organisatorischer Maßnahmen nun explizit auf eine Bewertung anhand der ermittelten Risiken ausgerichtet.

Solche sind zum Beispiel:

• Unangemessener Gebrauch
• Überwachung
• Überlastung
• Manipulation
• Beschädigung
• Veränderung
• Verlust

Vor allem der Fingerabdruck ist längst in der Mitte der Gesellschaft angekommen. Er dient zum Entsperren von Smartphones, ist aber auch Ausweis der eigenen Identität an Türen zu sensiblen Bereichen. Auch an vielen Arbeitsplätzen ersetzen biometrische Merkmale das Passwort. Letztere können allerdings leicht geändert werden. Biometrische Infor mationen sind untrennbar mit einer Person verbunden. Jeder Verlust wiegt daher schwer. Die zehn Fingerkuppen, das Venenmuster der Hand und die individuellen Muster der Iris sind neben dem fotografischen Abbild des Gesichts die gebräuchlichsten biometrischen Identifikationsverfahren. Dynamische Methoden, die etwa aus der aktiv geleisteten Unterschrift, der Sprachmelodie oder dem menschlichen Gang auf die Person schließen, sind weit weniger verbreitet.

Auch hier liegt ein Risiko. Gerade weil viele Dienste auf einer relativ geringen Zahl biometrischer Verfahren basieren, kann ein gestohlener Datensatz mit guten Erfolgsaussichten missbraucht werden. Etwa zum Identitätsdiebstahl und Identitätsmissbrauch. Schon ein entsperrtes Handy kann enorme Folgeschäden verursachen, zum Beispiel, wenn Onlinegeschäfte in betrügerischer Absicht getätigt werden. Ein Risiko besteht im unbefugten Zutritt zu eben jenem Bereich, zu dessen Schutz dort Zugangskontrollsysteme installiert sind. In der Vergangenheit hat der „Chaos Computer Club“ mehrfach gezeigt, wie leicht simpel gestrickte Sensoren mit falschen Fingern zu täuschen sind. Das prominenteste Opfer war der damalige Innenminister Wolfgang Schäuble.

Bei ihm wurde der Fingerabdruck von einem Glas abgenommen und dupliziert. Aus diesem Grund wird der Bereich um die Zutrittskontrolle in vielen Betrieben zusätzlich per Video überwacht. Eine sinnvolle Kombination zweier Sicherheitsverfahren, die aber zu Problemen mit dem Datenschutz und der DS- GVO führen kann. Einmal mehr stehen plötzlich wünschenswerte und technisch machbare Verfahren in einer gesetzlichen Grauzone. Der Gesetzestext selbst ist eher allgemein formuliert, und gibt daher für sich genommen zunächst keine konkreten Handlungsempfehlungen. Wer nicht auf das Thema eingearbeitet ist, dem fehlt oft der konkrete Ansatz, was zu tun ist. Dies beklagen die Unternehmen immer wieder. Jeder Verantwortliche muss sich fragen: Wer könnte sensible Informationen unberechtigt einsehen oder kopieren, und er muss Wege finden, das zu verhindern.

„Wichtig ist, die entsprechenden Analysen schriftlich zu fixieren und zu dokumentieren, denn diese Unterlagen sind im Streitfall von entscheidender Bedeutung“, so Rebekka Weiß. Im Leitfaden „Risk Assessment & Datenschutz-Folgenabschätzung“ hat der Bitkom seine Empfehlungen zusammengefasst. Übermäßig konkret ist auch die Broschüre des Bitkom nicht. Aber klare Zugangsberechtigungen zu Computersystemen sowie die Verschlüsselung der sensiblen Datensätze ist sicher ein wichtiges Mittel der Wahl. Für Großbetriebe ist das alles nichts Neues, für Kleinunternehmen hingegen schon. „Jeder Fall ist individuell zu behandeln“, ist von den Verantwortlichen in den Verbänden zu hören. Biometrische Zugangssysteme werden inzwischen für kleines Geld bei Elektronikhändlern angeboten.

Wie viele dieser Systeme in Kleinstbetrieben verwendet werden, ist unbekannt. Der Schutz der biometrischen Daten ist in solchen Systemen oft nur bedingt gegeben, ebenso die Verknüpfung mit Einwilligungserklärungen. Erschwerend kommt hinzu, dass der Datenschutz Sache der 16 Bundesländer ist. Die Interpretation des Gesetzestextes obliegt also den Datenschutzbeauftragten der jeweiligen Länder. Schon in der Vergangenheit war hier oft zu beobachten, dass die Aufsichtsbehörden Sachverhalte ganz unterschiedlich bewerten. Beobachter stellten immer wieder ein Nord-Süd-Gefälle fest. Was im Norden zu Problemen mit den Aufsichtsbehörden führte, war in Bayern ganz legal. „Im Zweifelsfall einfach die zuständige Behörde um eine Stellungnahme bitten“, rät Rebekka Weiß. Einer dieser Zweifelsfälle ist die Kombination aus Videoüberwachung und Biometrie. Zwar ist es nicht ganz einfach, die Lebenderkennung moderner Sensoren auszutricksen, gänzlich ausgeschlossen sind Manipulationen aber nie. Darum ist die Kombination aus Videoüberwachung und Biometrie durchaus sinnvoll. Einige Aufsichtsbehörden haben sich aber bereits kritisch zu dieser Kombination geäußert. Durch Kombination der diversen Daten könnten Rückschlüsse auf das soziale Verhalten und die Arbeitsleitung gezogen werden. Vor allem, wenn diese Daten nicht unverzüglich gelöscht würden. Dies wäre dann nicht mehr mit dem ursprünglichen Zweck der Datenerhebung gedeckt. Auch das im Gesetz verankerte Gebot der Verhältnismäßigkeit sei berührt.

Bernd Schöne, freier Journalist in München