EDSA: Biometrische Überwachung an Flughäfen
Die Verwendung von Gesichtserkennungstechnologien an Flughäfen hat in den letzten Jahren weltweit zugenommen. Während diese Technologien Effizienz steigern können, werfen sie gleichzeitig erhebliche datenschutzrechtliche Fragen auf. In seiner jüngsten Pressemitteilung vom 24.05.2024 hat der Europäische Datenschutzausschuss (EDSA) eine Stellungnahme über biometrische Überwachung an Flughäfen veröffentlicht. Darin kommt er zum Ergebnis, dass Einzelpersonen die größtmögliche Kontrolle über ihre biometrischen Daten haben sollten.
Die Stellungnahme des EDSA
Die „Stellungnahme zur Verwendung von Gesichtserkennung zur Optimierung des Passagierflusses am Flughafen“ wurde auf Ersuchen der französischen Datenschutzbehörde auf der letzten Plenarsitzung des EDSA verabschiedet. Diese Stellungnahme befasst sich damit, ob die an Flughäfen genutzten Gesichtserkennungstechnologien mit den Grundsätzen der Datenschutzgrundverordnung (DSGVO) vereinbar sind. Dabei beleuchtet er vorrangig die Aspekte der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSVGO), der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO), des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) sowie der Sicherheit der Verarbeitung (Art. 32 DSGVO).
Risiken und Herausforderungen der Gesichtserkennung
Flughafenbetreiber und Fluggesellschaften setzten Gesichtserkennungstechnologien ein, um die verschiedenen Kontrollstellen an Flughäfen für Passagiere und Angestellte zu vereinfachen. Beispiele hierfür sind etwa die, Sicherheitskontrollen, Gepäckabgabe, Boarding und der Zugang zu Lounges. Diese biometrischen Daten stellen allerdings besonders sensible und damit schutzbedürftige personenbezogene Daten gemäß Art. 9 DSGVO dar. Wie Anu Talus, die Vorsitzende des EDSA, anmerkt birgt die Verwendung dieser Technologie erhebliche Risiken, wie etwa Diskriminierung oder Identitätsbetrug. Ähnlich sah dies 2020 auch der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), als er sich für ein Verbot von Gesichtserkennung im öffentlichen Raum aussprach. Laut der Pressemitteilung des EDSA bedürfe es insbesondere alternativer Methoden, wenn das Gesetz kein Abgleich der Identität des Fluggastes mit dem Namen auf der Bordkarte vorschreibt.
Prüfung von Speicherlösungen
Der EDSA hat in seiner Stellungnahme (abrufbar hier) vom 23.05.2024 vier verschiedene Speicherarten von biometrischen Daten betrachtet und auf ihre Zulässigkeit überprüft.
Zulässige Modelle
Die Speicherung der Daten ausschließlich in den Händen des Einzelnen könnte nach Ansicht des EDSA grundsätzlich möglich sein. Das bedeutet, dass die sensiblen Daten lediglich auf dem Gerät des Individuums gespeichert sind. Auch eine zentrale Speicherung kann rechtmäßig sein, wenn der Zugangsschlüssel allein beim Betroffenen liegt. Das gelte umso mehr, wenn der Einzelne durch eine aktive Handlung (z. B. Zustimmung auf dem Endgerät) die Datennutzung bestätigt. Setzen die Verantwortlichen zudem sämtliche empfohlenen Mindeststandards um, kann dies die Verarbeitung rechtfertigen.
Unzulässige Modelle
Eine zentrale Speicherung am Flughafen oder in einer Cloud ohne, dass der Verschlüsselungsschlüssen der Kontrolle durch den Einzelnen unterliegt, genüge hingegen nicht den Anforderungen an „Privacy by Design“. Dann müsste der Verantwortlich über das Mindestmaß hinausgehende Sicherheitsvorkehrungen treffen. Das liege daran, dass es einfachere Alternativen gebe, um die einzelnen Kontrollen effizienter zu gestalten.
Jedenfalls könne die Speicherung nur rechtmäßig sein, wenn die Betroffenen sich zur Verarbeitung biometrischer Daten angemeldet und dieser zugestimmt haben.
Fazit
Die Stellungnahme des EDSA über biometrische Überwachung an Flughäfen unterstreicht die Notwendigkeit, den Schutz biometrischer Daten streng zu regeln. Flughafenbetreiber und Fluggesellschaften müssen sicherstellen, dass die Verarbeitung dieser sensiblen Daten im Einklang mit den Grundsätzen der DSGVO erfolgt. Dafür sollte sich zumindest an die vorgeschlagenen Speicherlösungen und Mindestgarantien gehalten werden.