Fingerprint Device Smartphone

Fingerprint Devices & Datenschutz – Wie datensicher sind Fingerabdruck-Lesegeräte?

Fingerprint Devices werden sowohl im privaten als auch im geschäftlichen Umfeld eingesetzt, um z.B. Hardware zu sichern. Wie sieht es bei solchen Fingerabdruck-Lesegeräten mit dem Datenschutz aus? Und welche weiteren Sicherheitsbedenken gibt es?

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2021-05-31

Logo
  • Author: Kathrin Strauß
    Ursprünglich aus dem Fotografie- & Medien-Bereich kommend, beobachtet Kathrin nun als TÜV-zertifizierte Datenschutzbeauftragte für datenschutzexperte.de alle Entwicklungen der digitalen Datenschutzwelt und macht auch schwierige juristische Sachverhalte zugänglich.

Ein Fingerabdruck-Lesegerät, auch Fingerprint Device genannt, brauchen viele von uns im privaten und geschäftlichen Alltag: Per eingescanntem Fingerabdruck werden Geräte entsperrt oder Überweisungen freigegeben. Wie sieht es bei diesem Thema mit dem Datenschutz aus? Und sind Fingerabdrücke eigentlich das Nonplusultra, um Daten zu schützen?
 

Was ist ein Fingerprint Device?

Im Deutschen wird das Fingerprint Device mit Fingerabdruck-Lesegerät übersetzt. Kurz gesagt können diese Vorrichtungen den eigenen Fingerabdruck digitalisieren, indem er gescannt wird. Wird ein Fingerprint Device genutzt, um beispielsweise das Smartphone zu entsperren, muss zuerst der gewünschte Finger an das eingebaute Lesegerät (auch Fingerprint Sensor genannt) gehalten werden, damit das Gerät den Fingerabdruck scannen und im System hinterlegen kann. Soll das Laptop nun entsperrt werden, muss der Finger zum Abgleich des Abdruckes wieder über den Leser gehalten werden. Das Gerät vergleicht sodann den gerade eingescannten Abdruck mit dem ursprünglich hinterlegten Bild des Fingerabdrucks.

Wichtig: Fingerprint Devices sind nicht mit den ähnlich klingenden Device Fingerprints, die auch Browser Fingerprints genannt werden, zu verwechseln. Bei letzterem handelt es sich um die Spuren, die wir z.B. via Cookies beim Surfen im Internet hinterlassen und die nur durch anonymes Surfen drastisch reduziert werden können.
 

Wo werden Fingerabdruck-Lesegeräte eingesetzt?

Fingerabdruck-Lesegeräte kennen die meisten wohl beim Smartphone oder Laptop, um die Bildschirmsperre aufzuheben oder beispielsweise Überweisungen zu autorisieren. Aber auch im geschäftlichen und öffentlichen Umfeld kommen sie zum Einsatz, wie bei:

  • Zugangskontrollen: Einige Gebäude haben digitale Türschlösser, die sich mittels Fingerabdruckscans öffnen lassen.

  • Strafvollzug: Werden Menschen erkennungsdienstlich erfasst, dann wird u.a. der Fingerabdruck von ihnen genommen. Dazu wird er bei der Strafvollzugsbehörde eingescannt und in AFIS, dem automatisierten Fingerabdruckidentifizierungssystem der deutschen Polizei, hinterlegt.

  • Behörden: Manche deutschen Gesetze bedingen, dass zur korrekten Bearbeitung bestimmter Anträge einer oder mehrere Fingerabdrücke genommen werden. Beispielsweise für den Pass oder einen Asylantrag sind die Abnahme eines oder mehrerer Fingerabdrücke nötig.

 

Fingerprint Device & Datenschutz Bedenken: Wie sicher sind Fingerabdruck-Lesegeräte?

Bei Fingerabdrücken handelt es sich um personenbezogene Daten, genauer gesagt um biometrische Daten nach Art. 4 Nr. 13 und 14 DSGVO. Gemäß Art. 9 DSGVO fallen diese biometrischen Daten in die sog. besonders schützenswerte Kategorie personenbezogene Daten. Das heißt, dass ein Fingerabdruck einen Menschen so eindeutig identifizierbar macht, dass der erforderliche Schutz dafür als besonders hoch eingestuft wird. Außerdem gibt es für die Verarbeitungen besonderer Kategorien personenbezogener Daten bestimmte Rechtsgrundlagen in Art. 9 II DSGVO, dies sogar im sog. „Verbot mit Erlaubnisvorbehalt“.

Dementsprechend sicher müssen auch die Fingerprint Devices konzipiert werden: Die Sicherheit muss nicht nur bei dem Scanner (auch Fingerprint Reader genannt), der den Fingerabdruck aufnimmt, sehr hoch sein, sondern auch bei der Software, die den eingescannten Fingerabdruck anschließend digitalisiert und (hoffentlich) verschlüsselt speichert. Aber auch das System, das den Fingerabdruck darüber hinaus verarbeitet – ob Betriebssystem des Smartphones oder AFIS – muss ausreichend vor Angriffen von außen gesichert sein.
 

Fingerprint Device & Datenschutz

Neben den Sicherheitsbedenken hinsichtlich der Devices selbst bleibt noch die Tatsache, dass Fingerabdrücke nicht unfälschbar sind: So reproduzierte der Chaos Computer Club bereits vor etlichen Jahren medienwirksam die Fingerabdrücke des Politikers Wolfgang Schäuble und setzte diese auch erfolgreich mittels Fingerabdruck-Attrappe ein. Das Sicherheitsmerkmal der Einmaligkeit eines Fingerabdruckes wurde so widerlegt und zeigt deutlich, dass der Schutz von Daten mittels Fingerabdrucks zwar erhöht, aber nicht garantiert werden kann.

Fazit: Ob Sie Ihren Fingerabdruck privaten Endgeräten zur Verfügung stellen, bleibt im privaten Umfeld Ihnen überlassen. Sie sollten sich aber über zwei Dinge im Klaren sein:

  • Was das jeweilige Betriebssystem mit den eingescannten Fingerabdrücken macht, ist von Hersteller zu Hersteller unterschiedlich. Bevor Sie Ihren Fingerabdruck einscannen, sollten Sie dies nachlesen. Sie sollten auf jeden Fall sicherstellen, dass Ihr eingescannter Fingerabdruck nicht mit Apps geteilt und nicht auf Servern sondern nur auf Ihrem Endgerät gespeichert wird.

  • Fingerabdrücke sind nicht fälschungssicher und stellen daher keinen absoluten Schutz für Ihre Daten dar.

Dass Fingerabdrücke keine endgültige Sicherung für Zugänge oder Daten darstellen, sollte vor allem im geschäftlichen Umfeld hinsichtlich der Datensicherheit eine wichtige Überlegung sein. Um den Datenschutz im Unternehmen zu stärken und Fingerprint Devices im Zuge einer zwei-Faktor-Authentifizierung einzusetzen, kann aber eine gute Lösung darstellen.

Autorin: Kathrin Strauß
Artikel veröffentlicht am: 31.05.2021

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr