Aktuell im ITRB

Biometrische Anwendungen im Finanzsektor (Kartheuser/Kohpeiß, ITRB 2019, 62)

Verbraucher nutzen verstärkt Funktionen des Onlinebankings. Banken und Finanzdienstleister sind ihrerseits bemüht, diese Angebote kundenfreundlich zu gestalten. Eine Möglichkeit hierzu besteht in der Bereitstellung biometrischer Anwendungen, wie etwa Fingerabdruck- oder Iris-Scans zum Einloggen in das eigene Bankkonto oder zur Vornahme von Transaktionen, die in der Bevölkerung zunehmend auf Akzeptanz stoßen. Der Beitrag stellt die datenschutz- und datensicherheitsrechtlichen Anforderungen an diese biometrischen Anwendungen im Überblick dar und geht auch auf die Frage ein, ob Willenserklärungen durch Eingabe biometrischer Daten abgegeben werden können.


1. Datenschutzrechtliche Vorgaben

a) Definition biometrischer Daten

b) Problematik der Erlaubnisgründe

c) Einwilligung

c) Informationspflichten

d) Datenschutz-Folgeabschätzung

e) Einsatz von Auftragnehmern

2. IT-sicherheitsrechtliche Anforderungen

a) Anforderungen für Finanzinstitute

b) Anforderungen für Zahlungsdienstleister

c) Anforderungen für KRITIS-Betreiber

d) Allgemeine datenschutzrechtliche Anforderungen

3. Biometrisches Datum als Willenserklärung

4. Zusammenfassung


1. Datenschutzrechtliche Vorgaben

Biometrische Daten werden nur in wenigen, auf den privaten Finanzsektor anwendbaren Vorschriften explizit genannt. Ein prominentes Beispiel ist die seit 25.5.2018 anwendbare DSGVO, die – anders als das bisherige BDSG – nunmehr explizite Vorgaben für biometrische Daten enthält.

a) Definition biometrischer Daten

Art. 4 Nr. 14 DSGVO legaldefiniert biometrische Daten als „mit speziellen Verfahren gewonnene, personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die eine eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen“. Beispielhaft genannt werden in der DSGVO Gesichtsbilder oder daktyloskopische Daten. Weitere Beispiele sind Retina oder Stimme, Verhalten (etwa Unterschriftsausführung) oder Geruch. Die zur Gewinnung biometrischer Daten eingesetzten „speziellen Verfahren“ können einfach gehalten sein, müssen aber die Erfassung biometrischer Daten zulassen – dies schließt etwa Lichtbilder aus, die die Gesichtsgeometrie nicht erkennen lassen, oder elektronische Identifizierungsverfahren wie etwa implantierte Chips.

b) Problematik der Erlaubnisgründe

Die DSGVO unterscheidet zwischen personenbezogenen Daten und „besonderen Kategorien personenbezogener Daten“. Die Einordnung biometrischer Daten in die Kategorien besonderer personenbezogener Daten führt dazu, dass deren Verarbeitung den restriktiveren Erlaubnistatbeständen des Art. 9 Abs. 2 DSGVO unterliegt. Dies soll nach der Intention des Verordnungsgebers gravierende Eingriffe in das Persönlichkeitsrecht Betroffener, etwa durch das Erstellen vollumfänglicher Persönlichkeitsprofile, verhindern, führt aber gleichzeitig dazu, dass die Datenverarbeitung bei biometrischen Anwendungen im Finanzsektor oft nur über eine ausdrückliche Einwilligung des Betroffenen nach Art. 9 Abs. 2 lit. a DSGVO möglich ist. Denn bei biometrischen Anwendungen im Finanzsektor steht in der Regel die Erleichterung der Kundenkommunikation im Vordergrund, bspw. zur effizienteren Vertragsbegründung oder -abwicklung, etwa bei der Eröffnung eines Kontos. Bei „normalen“ personenbezogenen Daten wären die Erlaubnistatbestände der Vertragsausnahme (Art. 6 Abs. 1 Unterabs.1 lit. b DSGVO) oder der Interessensabwägung (Art. 6 Abs. 1 Unterabs.1 lit. f DSGVO) einschlägig, diese fehlen jedoch im Katalog des Art. 9 Abs. 2 DSGVO.

c) Einwilligung

Die Einwilligung zur Verarbeitung biometrischer Daten ist qualifiziert. Sie muss sich explizit auf die Verarbeitung dieser Daten beziehen, was eine konkludente Erklärung ausschließt – anders als bei „normalen“ personenbezogenen Daten, bei denen auch ein „affirmativer Akt“ ausreicht. Daneben muss die Einwilligung in informierter und freiwilliger Weise erfolgen. Informiertheit setzt mindestens voraus, dass in der Einwilligung der Verantwortliche, der Verarbeitungszweck und das Widerrufsrecht enthalten sind, z.T. werden auch zusätzliche Kriterien genannt. Freiwilligkeit erfordert entsprechend Erwgrd. 41 eine selbstbestimmte Entscheidung des Betroffenen.

Problematisch mit Blick auf die Freiwilligkeit der Einwilligung ist das Kopplungsverbot (Art. 7 Abs. 4 DSGVO), mit dem vermieden werden soll, dass (...)
 

Verlag Dr. Otto Schmidt vom 26.02.2019 16:00
Quelle: Verlag Dr. Otto Schmidt

zurück zur vorherigen Seite