Biometrische Daten. Mehr als einfach nur personenbezogene Daten.

Da haben wir es wieder einmal. Innovationen sind toll. Über die Nutzung der einen oder anderen sollte man am Besten aber einmal mehr nachdenken.

Wie über die Gesichtserkennung bei Facebook. Wieder einmal führt das Netzwerk eine innovative Funktion ein, die Nutzern erweiterten Möglichkeiten und vorgeblich auch mehr Sicherheit bieten soll. Nutzer sollen bis zum 25. Mai entscheiden, ob sie die Gesichtserkennung aktivieren wollen. Der Zusammenfall des Termins mit dem Wirksamwerden der EU-Datenschutzgrundverordnung (DSGVO) ist sicherlich kein Zufall.

Denn man muss sich Folgendes klar machen: hier geht es nicht einfach nur um personenbezogene Daten (deren Erhebung und Nutzung der Betroffene gemäß DSGVO zustimmen muss), sondern biometrische Daten. Warum ist das problematisch?

Im normalen Betrieb ist das an sich unproblematisch. Vorausgesetzt man geht davon aus, dass Facebook sich an Gesetze hält, keine Tricks und Hintertürchen bereithält und den Nutzer nicht belügt (was aufgrund der immer wieder aufblitzenden Unwahrheiten bezüglich der Verwertung von WhatsApp-Daten durch Facebook eher unglaubwürdig erscheint). Aber gut, gehen wir mal davon aus.

Was passiert aber, wenn Daten abhanden kommen? Das ist keine Seltenheit und trifft die auch die größten Organisationen und Unternehmen, die oft durchaus bevorzugte Ziele sind. Bisher war das alles sehr unschön. Mailadresse und Passworte kommen in falsche Hände, man muss — sofern man es überhaupt herausbekommt — an zig Stellen sein Passwort ändern, bekommt ggf. auf die geleakte Mailadresse noch mehr originelle Angebote für Brustvergößerungen, Penispumpen und dergleichen. Das ist nervig, aber notfalls zu verkraften.

Nun stellen wir uns im nächsten Schritt vor, nicht ein Passwort käme abhanden, sondern die biometrischen Daten unseres Gesichts. Was nun? Jetzt wird es ein klein wenig schwieriger als ein Passwort zu ändern. Eine schlichte operative Nasenkorrektur reicht da nämlich nicht mehr aus (und die Brustvergrößerung aus der letzen Spam-Welle hilft auch irgendwie nicht weiter).

Man sollte sich also folgende Fragen stellen:

1. Vertraue ich der Organisation/dem Unternehmen, das meine hochsensiblen Daten erhebt und benutzt?
2. Kann ich damit leben, wenn aus irgendeinem Grund diese Daten gestohlen werden?
3. Ganz grundsätzlich: welche Einschränkungen in Komfort und “Nerdiness” müsste ich “erleiden”, wenn ich für manche neue Funktion vielleicht nicht direkt ein Early Adopter bin, sondern erst einmal warte, ob sich die Technik bewährt und der Anbieter das Vertrauen, das er von mir verlangt, rechtfertigt?