Schau mir in die Augen

Schau mir in die Augen

KIT-Expertin erläutert Rahmenbedingungen des datenschutzkonformen Retina-Scannings.



Datenschutzkonformes Retina-Scanning

Die Retina (Netzhaut) des menschlichen Auges ist ein einzigartiges körperliches Merkmal (Bild: berwis / pixelio)


„Ihr Passwort muss mindestens 8 Zeichen umfassen aus einem Groß- und einem Kleinbuchstaben sowie einer Zahl und zwei Sonderzeichen bestehen“. Das Problem kennt fast jeder Computernutzer: sich für eigene Daten und Anwendungen, die man vor Zugriffen anderer schützen will, ein Passwort auszudenken, das sicherheitstechnisch wirksam ist und sich auch noch merken lässt, ist oft schwierig. Hinzu kommt, dass die Eingabegeräte immer kleiner werden. Wer schon mal auf einem Smartphone ein 12-stelliges Passwort aus Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen eingegeben hat, weiß, wie unkomfortabel das als Nutzer ist.
Eine aus Sicherheits- und Usability-Gesichtspunkten angenehmere Alternative sind biometrische Verfahren, bei denen sich der Nutzer mit individuellen äußeren bzw. körperlichen Merkmalen authentifizieren kann. Diese Merkmale sind sogar so einzigartig, dass biometrische Daten sogar eine Identifizierung der jeweiligen Person zulassen. Diesen Vorteilen auf der einen Seite stehen jedoch datenschutzrechtliche Einschränkungen gegenüber.
Was beim datenschutzkonformen Einsatz von biometrischer Authentifizierung, in diesem Fall des Retina-Scannings, zu beachten ist, hat Friederike Schellhas-Mende vom Zentrum für Angewandte Rechtssicherheit am KIT bei einem Vortrag der Karlsruher Sicherheits-Initiative erläutert.


Retina Scanning beschreibt die Erfassung der individuellen Merkmale der Netzhaut des Auges durch ein optisches System. Vorteile des Retina-Scannings gegenüber anderer biometrischer Verfahren wie z.b. dem Fingerabdruck, der Gesichts- oder Stimmerkennung liegen zum einen in der Kontrollmöglichkeit die der Betroffene hat: ein Retina-Scan kann nicht heimlich geschehen, da das Scanning-Verfahren eine aktive Beteiligung des Betroffenen erfordert. Zum anderen können die Informationen aus der Netzhaut nicht durch äußere Einwirkung verändert werden, sind daher fälschungssicher. Eine Besonderheit, die Retina-Scanning aus datenschutzrechtlicher Sicht kritischer macht als andere biometrische Verfahren, liegt darin dass über die Netzhaut automatisch auch sensible Informationen übermittelt werden, sogenannte Überschussinformationen, die mit dem eigentlichen Zweck der Erfassung nichts mehr zu tun haben. Bestimmte Krankheitsbilder schlagen sich auf die Netzhaut nieder und können so Informationen über den Gesundheitszustand der gescannten Person preisgeben.

Was müsste nun beispielsweise ein Arbeitgeber beachten, wollte er Retina-Scanning als Authentifizierungs-Verfahren in seinem Unternehmen einsetzen?

Retina Scanning fällt unter das Datenschutzrecht. Jeder Mensch hat nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 2 des Grundgesetz (GG) ein Recht auf informationelle Selbstbestimmung, d.h. das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Personenbezogene Daten sind nach Bundesdatenschutzgesetz definiert als „Einzelangaben über persönliche oder sachliche Verhältnisse einer [...] natürlichen Person (Betroffener).“. Gemäß der 7 Datenschutzprinzipien dürfen diese Daten nur unter bestimmten Voraussetzungen von anderen natürlichen oder juristischen Personen als dem Betroffenen selbst verwendet werden.

Grundsätzlich ist Erfassung von biometrischen Daten verboten, außer aber der Betroffene gibt aktiv seine Zustimmung. Grundlage für die Zustimmung ist eine umfassende und transparente Aufklärung über den Einsatz der Maßnahme. Der Arbeitgeber müsste zuerst also seine Mitarbeiter umfassend über das geplante Retina-Scanning informieren und sich von jedem betroffenen Mitarbeiter das Einverständnis zur Erfassung personenbezogener Daten einholen. Für die genannten beim Retina-Scanning anfallenden sensiblen Überschussdaten ist eine gesonderte Einwilligung nötig. Anstelle der gesetzlichen Erlaubnis für die Einführung eines Retin-Scan-Systems beispielsweise gem. § 32 BDSG oder durch Einwilligung kommt auch die Einführung (ob) mittels einer Betriebsvereinbarung in Betracht. Die Einwilligung für die Erhebung sensibler daten wird dadurch jedoch nicht ersetzt.

Zusätzlich ist eine biometrische Authentifikation an einen unmittelbaren Zweck gebunden und darf auch nur erfolgen, wenn Nutzen in einem angemessenen Verhältnis zum Verfahren steht. Der Arbeitgeber muss also genau definieren, wofür Retina-Scanning zum Einsatz kommen soll, z.B. eine Zutrittskontrolle, gleichzeitig wäre der Einsatz eines daten-sensiblen Verfahrens wie Retina-Scanning nur in sicherheitserhöhten Bereichen wie Server- oder Tresorräumen angemessen. Ändert sich der Zweck der Maßnahme, so ist eine erneute Information und Einwilligung der Mitarbeiter nötig.

Das Prinzip der Datensparsamkeit begrenzt den Umfang der erfassten Daten auf das erforderliche Minimum begrenzt. Wie bereits erwähnt, werden beim Retina-Scanning automatisch Überschussinformationen generiert. Hier muss der Arbeitgeber sich verbürgen, dass derartige Daten nicht verwendet werden bzw. unmittelbar nach Erfassung unkenntlich gemacht oder gelöscht werden. Am ZAR arbeitet man in der Forschungsgruppe Compliance an einer weitergehenden Lösung. Bei der sogenannten Entbesonderung soll ein neues technisches Verfahren nicht relevante Informationen wie gesundheitsbezogene Daten von vorneherein ausschließen.
Nach Erfassung der Daten muss der Arbeitgeber eine sichere Verarbeitung und Speicherung gewährleisten. Beispielsweise sollten keine Rohdaten gespeichert werden, sondern aus bestimmten Teilen der Bildinformation wird ein Template generiert, das zum Abgleich bei der Authentizierung verwendet und gespeichert wird. Eine dezentrale Speicherung einzelne Datenbestandteile an unterschiedlichen Orten abgelegt werden ist gegenüber einer zentralen Speicherung zu bevorzugen.
Schlussendlich muss der Betroffene in der Lage sein, die Verwendung zu kontrollieren und gegebenfalls zu widerrufen.

Zusammenfassend gilt, dass das Retina-Scanning für sensible, sicherheitskritische Bereiche eine zuverlässige und nahezu täuschungssichere Authentifizierungs-Methode darstellt, vorausgesetzt der jeweiligen Betroffene ist ausreichend informiert und hat seine Einwilligung in die Erfassung der allgemeinen personenbezogenen Daten sowie der Folgedaten erteilt. In Zukunft können Verfahren wie die Entbesonderung sowie einfachere und schnellere Scan-Methoden das Retina-Scanning von Rechts- wie Handhabungsseite vereinfachen.


Friderike Schellhas-MendeFriederike Schellhas-Mende (Bild) hat in Passau Rechtswissenschaften studiert und ist Volljuristin mit den Schwerpunkten Datenschutzrecht und Energierecht. Sie arbeitet seit April 2012 in der Forschungsgruppe Compliance am Zentrum für Angewandte Rechtswissenschaft (ZAR) am KIT. Im Projekt MARS - Mobile Authentifikation mittels Retina Scanning forscht Friederike Schellhas-Mende gemeinsam mit Kollegen an einer technischen Lösung für die Erfassung des biometrischen Merkmals „Retina“, die in personalisierte Mobilgeräte integrierbar ist, so dass eine biometrische Verifikation der Identität ihres Benutzers „on time“ möglich wird.


Das Zentrum für Angewandte Rechtswissenschaft (ZAR) vereint unter seinem Dach sämtliche rechtswissenschaftlichen Aktivitäten des gesamten KIT. Zum einen obliegt dem ZAR die Aufgabe der rechtswissenschaftlichen Lehre für alle Fakultäten. Zum anderen findet am ZAR auch rechtswissenschaftliche Forschungsarbeiten oftmals in Kombination mit technischen Fragestellungen statt.
Eine wesentliche Säule, die das Dach des ZAR trägt, bildet das Institut für Informations- und Wirtschaftsrecht (IIWR). Es ist der Fakultät für Informatik zugeordnet und forscht und lehrt auf der Schnittstelle von Informationstechnologie und Recht. Es befasst sich schwerpunktmäßig mit den Rechtsfragen, welche die Digitalisierung und die weltweite Vernetzung in der nationalen und internationalen Informationsgesellschaft aufwerfen. Die Forschungsgruppe Compliance befasst sich mit Fragen des „Energieinformationsrechts“, der „Formalisierung des Rechts“, und der „Neuen Rechtsinformatik“ (Internet der Dienste, Internet der Dinge und Cloud).