Trending
MIT
Sie sind hier:»»Tou­chID und Fin­ger­ab­druck­sen­sor unter­lie­gen deut­schem Datenschutzrecht

Tou­chID und Fin­ger­ab­druck­sen­sor unter­lie­gen deut­schem Datenschutzrecht

0
By on Gastbeitrag, Technologie

Fünf Tage ist es her, dass wir unsere Kri­tik an der Tou­chID und dem Fin­ger­print­sen­sor im neuen iPhone 5S zum Aus­druck brach­ten, der Bei­trag iPhone 5S — Nach vorne den­ken? OK! -> Apple steigt zum Waf­fen­her­stel­ler auf — Das Wett­ren­nen der Her­stel­ler um die Liebe der NSA war in den letz­ten fünf Tagen der meist­ge­le­sene Bei­trag hier im Blog und trifft die Mei­nung unse­rer Leser, was mehr als 40 Social-​Media-​Empfehlungen ein­drucks­voll unterstreichen.

Mitt­ler­weile war­nen die deut­schen Daten­schutz­be­auf­trag­ten auf brei­ter Front vor die­ser inak­zep­ta­blen Tech­no­lo­gie, die erste Kri­tik kam vom Ham­bur­ger Lan­des­da­ten­schutz­be­auf­trag­ten Johan­nes Cas­per, wor­auf der Spie­gel im Bei­trag Touch ID: Daten­schüt­zer warnt vor Fin­ger­scan­ner in iPhone ges­tern hin­wies. Aber natür­lich gibt es wie immer Befür­wor­ter, die diese Tech­no­lo­gie – oft mit an Nai­vi­tät nicht zu über­bie­ten­der Ein­fäl­tig­keit – ver­tei­di­gen. Das häu­figste Argu­ment ist immer wie­der, dass Apple ja die Tech­no­lo­gie als sicher erklärt habe, keine Daten zu Apple über­tra­gen wür­den und schlu­ßend­lich nicht der Fin­ger­ab­druck über­tra­gen würde son­dern nur ein Hash des­sel­ben im siche­ren Kryp­to­ele­ment des iPhone 5S abge­spei­chert werde.

Bingo!

Und genau an die­ser Stelle wird das Thema Daten­schutz rele­vant! Udo Vet­ter hat in sei­nem bemer­kens­wer­ten Bei­trag Danke, Apple ausgeführt:

Wer so ein mög­li­ches Beweis­mit­tel selbst aus der Hand gibt, um sein Handy beque­mer akti­vie­ren zu kön­nen, kann sich spä­ter nicht auf Ver­wer­tungs­ver­bote beru­fen. Die Fin­ger­ab­drü­cke sind noch nicht mal Kom­mu­ni­ka­ti­ons­da­ten im enge­ren Sinn, für wel­che die kar­gen Reste des Tele­kom­mu­ni­ka­ti­ons­ge­heim­nis­ses gelten.

Auch so wird die Poli­zei das Fingerabdruck-​Ident toll fin­den. Das Pass­wort zu mei­nem Handy muss ich nach gel­ten­der Rechts­lage als Beschul­dig­ter (und erst recht als Zeuge) nicht nen­nen. Dafür gibt es das Schweigerecht.

Par­al­lel dazu gilt auch das Prin­zip, dass nie­mand aktiv an Ermitt­lun­gen mit­wir­ken muss. Ich kann mich wei­gern, auf einer gera­den Linie zu gehen. Eine Schrift­probe abzu­ge­ben. Oder mit einem Arzt zu spre­chen. Ebenso wenig muss ich in ein Alko­hol­mess­ge­rät pus­ten oder auf einen Test­strei­fen pinkeln.

Aber ich bin zum Bei­spiel ver­pflich­tet, mir eine Blut­probe abneh­men zu las­sen. Mit den Fin­ger­ab­drü­cken ist es nicht anders. Auch hier­für bedarf es mei­ner akti­ven Mit­wir­kung nicht. Unab­hän­gig von juris­ti­schen Ein­zel­hei­ten ist es für die Poli­zei also ein­fa­cher, an Ort und Stelle Zugriff auf ein iPhone zu neh­men, wenn sie hier­für nur schnell den Fin­ger­ab­druck des Besit­zers braucht.

Das ist rich­tig, aber nicht zu Ende gedacht. Denn durch den Fin­ger­ab­druck­sen­sor der Tou­chID erlebt der Fin­ger­ab­druck eine Qua­li­täts­ver­än­de­rung – er wird zu einem ein­deu­ti­gen per­so­nen­be­zo­ge­nen Daten­satz für den unein­ge­schränkt sämt­li­che Regeln des Daten­schut­zes gel­ten. Natür­lich greift dies nicht in den klas­si­schen Ver­wer­tungs­kreis­lauf von Fin­ger­ab­drü­cken ein, die Poli­zei kann auch in Zukunft mit Fin­ger­ab­drü­cken wie bis­her arbeiten.

Aber der Fin­ger­ab­druck auf einem iPhone 5S erlebt eine tech­no­lo­gi­sche Ver­än­de­rung. Er wird, egal wel­che Tech­no­lo­gie Apple am Ende für die Spei­che­rung und den Abgleich ein­setzt (dies ist im Detail bis­her nicht nach­voll­zieh­bar doku­men­tiert, was auch gegen diese Tech­nik spricht), zu einem per­so­nen­be­zo­ge­nen Daten­satz, sogar zu einem ein­zig­ar­ti­gen per­so­nen­be­zo­ge­nen Daten­satz. Und inso­fern wird sich m. E. in der Recht­spre­chung auch ein Ver­wer­tungs­ver­bot von Infor­ma­tio­nen eta­blie­ren, die durch eine zwang­weise Bedie­nung des Fin­ger­ab­druck­sen­sors – bei­spiels­weise durch die Auf­for­de­rung durch die Poli­zei – erlangt wer­den. Denn die Erlan­gung die­ser Infor­ma­tio­nen wird nur durch einen Daten­schutz­ver­stoß mög­lich, näm­lich den Abgleich mit den aus dem Fin­ger­ab­druck erlang­ten Daten­satz, für des­sen Nut­zung der Betrof­fene in vie­len Fäl­len die Zustim­mung gemäß Bun­des­da­ten­schutz­ge­setz ertei­len müsste, was er bei ver­stän­di­ger Wür­di­gung der Situa­tion natür­lich nie­mals tun wird.

Dem Miss­brauch aus Sicht des Daten­schut­zes sind bei Anwen­dung die­ser Tech­no­lo­gie aber in vie­len wei­te­ren Fel­dern Tür und Tor geöff­net. So wird durch die Nut­zung der Tech­no­lo­gie eine neue Qua­li­tät von Mit­ar­bei­ter­über­wa­chung mög­lich, die in eine Total­kon­trolle mün­den kann – Betriebs­räte und Per­so­nal­räte müs­sen die von ihnen ver­tre­te­nen vor sol­chen mög­li­chen Ansin­nen schüt­zen. Denn heute kön­nen Mit­ar­bei­ter bei­spiels­weise noch jeder­zeit die Ein­rede erhe­ben, dass sie das Gerät zu Hause ver­ga­ßen, die Bedie­nung durch andere erfolgt sein muss etc. Diese Mög­lich­kei­ten zu ver­schlei­ern oder die Unwahr­heit zu sagen wer­den durch Tou­chID unmög­lich, die Über­wa­chung wird total, denn wenn bei­spiels­weise die Sper­rung des Gerä­tes alle 5 Minu­ten erzwun­gen wird ist die dann fol­gende Bedie­nung der sichere Beweis, dass der auto­ri­sierte Bedie­ner das Gerät benutzt hat.

All dies muss nicht per se nega­tiv und gegen den Mit­ar­bei­ter gerich­tet sein, es kann in Ein­zel­fäl­len ggf. auch die Sicher­heit erhö­hen. Im nega­ti­ven Fall ermög­licht es aber die Total­kon­trolle des Mit­ar­bei­ters in einem bis zum 10.09.2013 nicht vor­stell­ba­ren Aus­mass und ist vor dem Hin­ter­grund der gül­ti­gen Daten­schutz­ge­setze daten­schutz­re­le­vant und regel­mä­ßig mit­be­stim­mungs­pflich­tig. Denn eine ganz ent­schei­dende Daten­schutz– und Sicher­heits­lü­cke wird das Sys­tem dau­er­haft für den Business-​Einsatz dis­qua­li­fi­zie­ren. Dies ist die sehr ein­fa­che Frage: “Ist der Sen­sor wirk­lich deak­ti­viert, wenn der Sen­sor abge­schal­tet wird?”

Und diese Frage kann und wird ein ame­ri­ka­ni­sches Unter­neh­men wie Apple nie­mals glaub­wür­dig beant­wor­ten. Warum soll der Anwen­der denn glau­ben, dass Apple nicht von der NSA durch einen Natio­nal Secu­rity Let­ter gezwun­gen wurde genau die­ses Fea­ture ein­zu­bauen? Denn die ein­deu­tige Iden­ti­fi­zie­rung von Per­so­nen ist für die Wirt­schafts­spione der NSA das Traum­sze­na­rio. Denn wenn die NSA 10 Explo­ra­ti­ons­in­ge­nieure eines Explo­ra­ti­ons­un­ter­neh­mens im Urwald des Kongo ein­deu­tig loka­li­siert, weiss die NSA, dass man genau dort bestimmte Roh­stoffe sucht oder gefun­den haben könnte. Ein Gerät aus den USA, dass neben der Loka­li­sie­rung die ein­deu­tige Iden­ti­fi­zie­rung von Per­so­nen ermög­licht, ist de facto ein gegen den Anwen­der und sein Unter­neh­men gerich­tete Waffe.

Und genau des­halb hat das iPhone 5S nichts in Unter­neh­men zu suchen. Und bei intel­li­gen­ten Con­su­mern genauso wenig!

Bild: Fotolia

Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“

Share.

Related Posts

Eine Antwort verfassen