Wir alle haben uns daran gewöhnt, dass per Fingerprint oder Gesichtsscan Handy oder Computer entsperrt sowie Kreditkarten-Zahlungen bestätigt werden können. Sogar Zutrittskontrollen werden immer öfter mittels biometrischer Scans durchgeführt. Das ist bequem, aber nicht ungefährlich.

Denn gelangen diese Daten in die falschen Hände, wird es schwierig. "Wie weist man dann seine Identität nach? Ist der Schlüssel weg, kann man ihn nachmachen lassen, Körpermerkmale nicht", warnt AK Konsumentenschützerin Daniela Zimmer.

Die AK hat beim Institut für Technikfolgen-Abschätzung (ITA) der Österreichischen Akademie der Wissenschaften dazu eine entsprechende Studie in Auftrag gegeben: "Der Körper als Schlüssel? - Biometrische Methoden für KonsumentInnen".

Probleme sehen die Datenschützer demnach nicht nur bei der Sicherheit der Daten - ob am Endgerät oder in der Cloud - sondern auch bei der hohen Fehlerquote und der mangelnden Kontrolle, was mit einmal erhobenen Daten weiter geschieht.

Daten-Begehrlichkeiten nicht nur kriminell

Studienautotor Walter Peissl führt aus: "Biometrie ist längst nicht mehr auf Fingerprints oder Gesichtsbilder beschränkt. Körpereigenschaften werden zu einer Art Code. Verhaltensmuster werden analysiert, wie die individuelle Art eines Menschen zu gehen oder Emotionen in Gesichtern." Emotionserkennung werde in der Werbebranche und - besonders bedenklich - bei Bewerbungsgesprächen oder in Callcentern angewandt.

Fitnesstracker seien besonders kritisch, warnt Peissl. Wo nämlich Bewegungsprofile und Gesundheitsdaten zu persönlichen Daten hinzukommen, erweckt dieser Mix extreme Begehrlichkeiten.

Interesse für diese Daten gibt es übrigens nicht nur in der kriminellen Szene, sondern auch bei Behörden. Letztere argumentieren mit zunehmender Vehemenz, Biometrie-Daten für Sicherheitszwecke, Überwachung im öffentlichen Raum oder auch Terror-Abwehr zu benötigen.

Dieser Wunsch ist offenbar sogar bei der EU-Kommission angekommen: "Einem geleakten Papier zur EU-Verordnung über Künstliche Intelligenz zufolge soll die biometrische Fernidentifkation von Personen auf öffentlichen Plätzen unter bestimmten Voraussetzungen erlaubt sein", erläutert Daniela Zimmer.

In ihrem Weißbuch zu Künstlicher Intelligenz (KI) hatte die EU-Kommission ursprünglich Missbrauch beim Einsatz von KI für die biometrische Fernidentifikation, wie die Auswertung von Videokamerabildern, als realistisch eingestuft. Es wurde sogar ein vorübergehendes Verbot für Gesichtserkennung im öffentlichen Raum erwogen. Aber der Wind hat sich offenbar gedreht.

Die Erfassung, Vermessung und Überwachung körperlicher Merkmale sei ein gefährlicher Schritt in Richtung Massenüberwachung mit enormen Gefahren für Freiheit und Menschenrechte, warnen AK und ITA unisono.

Zeit für klare Regeln und Kontrolle

Die Datenschützer verlangen daher klare Gebote und Verbote für den Einsatz von Biometrie, gäbe es doch noch zu viele rechtliche Lücken und Graubereiche.

"Biometrie darf kein Geschäft sein, die Weitergabe dieser Daten an Dritte gehört verboten, beim Online-Banking darf es diesbezüglich keine Speicherung geben", fordert Konsumentenschützerin Zimmer. Besonders wichtig sei, dass es eine Wahlfreiheit gibt, ob man seine biometrischen Daten verwenden will oder nicht. Damit dürfe aber kein unverhältnismäßiger Mehraufwand entstehen, betont sie.

Datenschutz bei Grünem Pass und Gurgeltest

Auf Nachfrage der "Wiener Zeitung", wie es denn um die Datensicherheit beim Grünen Pass stehe, zeigen sich die Daten- und Konsumentenschützer etwas ratlos: Man wisse noch kaum etwas über die technischen Hintergründe des Grünen Passes, der Gesundheitsdaten und Passdaten verbinden würde.

"Die Prozesse zwischen Bund, Ländern und EU sind intransparent", so Studienautor Peissl. Bekannt sei nur, dass das Zertifikat "interoperabel auslesbar" und ab Juni fertig sein solle.

Und wie steht es um den bereits massenhaft angewandten Gurgeltest, wo Gesundheitsdaten, persönliche Daten und Videodaten zusammenkommen? Hier müsste die Datenschutzgrundverordnung (DSGVO) gelten, so die Experten. Wer allerdings überprüft, ob die so gesammelten Daten, wie versprochen, tatsächlich gelöscht werden, sei unklar.

Gerade bei Gesundheitsdaten gibt es noch viel Handlungsbedarf in Sachen Datenschutz, so Studienautor Peissl. Konsumentenschützerin Zimmer betont, das Selbstverständnis des Verbraucherschutzes müsse sich weiterentwickeln.