So halten Sie die Vorschriften zu biometrischen Daten ein
Inhaltsverzeichnis:
KI-gestützte Gesichtserkennungstechnologie ist ein immer beliebter werdendes Werkzeug für Unternehmen, die die Zugangskontrollen optimieren und die Sicherheit erhöhen möchten. Doch wie Serco Leisure kürzlich herausfand, werden solche Rollouts von den Datenschutzbehörden einer verstärkten Prüfung unterzogen. Datenschutzrisikobewertungen und andere Best Practices werden immer wichtiger, um sicherzustellen, dass Bereitstellungen auf der richtigen Seite des Gesetzes bleiben.
Face / Off
Die Aufsichtsbehörden des Information Commissioner's Office (ICO) bestraft Serco Leisure, weil es keine Alternative zum Scannen der Gesichter und Fingerabdrücke der Mitarbeiter zum Ein- und Ausstempeln angeboten hat. Weniger aufdringliche Mittel wie Ausweise oder Schlüsselanhänger hätten stattdessen problemlos verwendet werden können, urteilte das ICO.
Mehr als 2,000 Mitarbeiter in 38 Freizeiteinrichtungen waren verpflichtet, biometrische Daten für Anwesenheitskontrollen abzugeben. Serco Leisure konnte nicht nachweisen, dass der Einsatz biometrischer Technologien bei der Erfassung der Anwesenheiten der Arbeitnehmer „notwendig und verhältnismäßig“ war.
„Biometrische Daten sind völlig individuell für eine Person, daher ist das Schadensrisiko im Falle von Ungenauigkeiten oder einer Sicherheitsverletzung viel größer – Sie können das Gesicht oder den Fingerabdruck einer Person nicht zurücksetzen, so wie Sie ein Passwort zurücksetzen können“, John Edwards, britischer Datenschutzbeauftragter , sagte in a Aussage. „Serco Leisure hat die Risiken vor der Einführung biometrischer Technologie zur Überwachung der Anwesenheit des Personals nicht vollständig berücksichtigt und dabei Geschäftsinteressen Vorrang vor der Privatsphäre seiner Mitarbeiter eingeräumt.“
Das ICO warf Serco darüber hinaus vor, dass es den Arbeitnehmern, die sich mit biometrischen Kontrollen nicht wohl fühlen, keinen Mechanismus zur Verfügung gestellt habe, mit dem sie sich aus dem System zurückziehen könnten. Serco Leisure, Serco Jersey und sieben angeschlossene Gemeindestiftungen wurden angewiesen, die Verarbeitung biometrischer Daten zur Überwachung der Anwesenheit von Mitarbeitern am Arbeitsplatz einzustellen. Den Unternehmen wurde außerdem auferlegt, alle biometrischen Daten zu vernichten, zu deren Aufbewahrung sie gesetzlich nicht verpflichtet sind.
Die Sanktionen fielen mit der Veröffentlichung durch das ICO zusammen neue Anleitung darüber, wie Organisationen biometrische Daten rechtmäßig verarbeiten können.
Access Control
Die Gesichtserkennungstechnologie gewinnt in Unternehmen zunehmend an Bedeutung, um den Zugang zu sicheren Standorten zu kontrollieren und Benutzer durch ID-Verifizierungsdienste zu authentifizieren. unter anderem. Aber biometrische Daten sind im Gegensatz zu Passwörtern untrennbar mit einer Person verbunden, sodass die Auswirkungen ihrer Offenlegung im Falle einer Datenpanne schwerwiegender und länger anhaltend sein können.
Die EU erkennt den erhöhten Schutz der Privatsphäre an, den sie verdient Allgemeine Datenschutzverordnung (DSGVO) legt strengere Regeln für die Verarbeitung biometrischer Daten fest, einschließlich der Zweckbindung als Schutz gegen Mission Creep, Transparenz und Einwilligungsanforderungen.
Hürden bei der Bereitstellung
Experten zufolge kann die Einführung biometrischer Technologien am Arbeitsplatz mit regulatorischen Anforderungen vereinbar sein, allerdings nur unter der Voraussetzung, dass sie nach einer umfassenden Datenschutz-Folgenabschätzung (DSFA) eingeführt wird.
Jon Bartley, Partner und Leiter der Data Advisory Group bei der internationalen Anwaltskanzlei RPC, erklärt gegenüber ISMS.online, dass es „von entscheidender Bedeutung ist, einen klaren Prozess für die Einführung von Technologien zu haben“, die die Verwendung biometrischer Daten wie Fingerabdruck- oder Iris-Scans beinhalten.
„Aus datenschutzrechtlicher Sicht müssen sich Unternehmen der Hürden für den Einsatz bewusst sein“, erklärt er. „Je nach Anwendungsfall der Technologie kann es beispielsweise schwierig sein, eine rechtmäßige Grundlage für die Verarbeitung der biometrischen Daten zu schaffen, es sei denn, die betroffenen Personen haben eine echte Wahl, ob sie die Technologie akzeptieren oder eine Alternative wählen möchten.“
Da sie zur eindeutigen Identifizierung von Personen genutzt werden können, stellen biometrische Daten eine besondere Kategorie dar und unterliegen daher strengeren Datenverarbeitungsregeln.
„Diese Daten stellen ein höheres Risiko dar und es muss eine weitere Bedingung erfüllt sein, um die Verarbeitung zu legitimieren, was aufgrund der begrenzten Anzahl und des begrenzten Umfangs solcher Bedingungen schwierig sein kann“, sagt Bartley.
KI erhöht das Risiko
Sarah Pearce, Partnerin bei der Anwaltskanzlei Hunton Andrews Kurth und Expertin für Datenschutz, behauptet, das Serco Leisure-Urteil des ICO zeige, warum Unternehmen Rechtsexperten zur Einhaltung gesetzlicher Vorschriften konsultieren sollten. Abgesehen vom Datenschutzrecht führt die auf KI-Technologie basierende Gesichtserkennung zu Anforderungen zur Einhaltung einer wachsenden Zahl von Gesetzen, die diesen aufstrebenden Technologiebereich regeln, sagt sie gegenüber ISMS.online.
Das kürzlich ratifizierte EU-KI-Gesetz legt einen risikobasierten Rechtsrahmen für die KI-Governance fest, der den Einsatz von KI in Verbindung mit Gesichtserkennungstechnologien als „hohes Risiko“ charakterisiert.
Dies würde bedeuten, dass Unternehmen, um dieses Gesetz vollständig einzuhalten, „eine menschliche Aufsicht über das KI-System übertragen, eine Folgenabschätzung für die Grundrechte durchführen (nicht unähnlich einer Datenschutz-Folgenabschätzung gemäß der DSGVO) und die Mitarbeiter und Mitarbeiter informieren müssten.“ gegebenenfalls den Betriebsrat“, erklärt sie.
Die Einstufung als Hochrisiko gilt sowohl für den kundenorientierten als auch für den mitarbeiterorientierten Einsatz biometrischer Technologien in Verbindung mit KI.
Bartley von RPC fügt hinzu: „Der Einsatz von Gesichtserkennungstechnologie zur Nachverfolgung von Mitarbeitern kann gemäß dem AI Act als hochriskanter Einsatz von KI eingestuft werden, der verschiedene Verpflichtungen nach sich zieht, wie z. B. menschliche Aufsicht, Überwachung, Führung von Aufzeichnungen und Mitarbeiterberatung.“
Betriebliche Vorteile
Ashley Avery, Partnerin der britischen Anwaltskanzlei Foot Anstey, erklärt gegenüber ISMS.online, dass sie einen „erheblichen Anstieg“ des Anfragenvolumens von Kunden verzeichnet habe, die biometrische Technologie einsetzen möchten. Diese Organisationen sehen die geschäftlichen Vorteile aus Sicherheitsgründen oder als Teil eines Kundenangebots, sind jedoch „vorsichtig“ hinsichtlich der Datenschutzrisiken, erklärt Avery.
„Die vom ICO herausgegebenen Leitlinien sind nützlich, da sie die Punkte detailliert beschreiben, die vor der Einführung einer solchen Technologie berücksichtigt werden müssen, und wie Unternehmen die Einhaltung der Datenschutzgesetze nachweisen können“, fügt sie hinzu.
Frameworks und Standards – wie z ISO 27001 – kann Unternehmen dabei helfen, sich bei der Einführung von Gesichtserkennungstechnologien konform zu positionieren. ISO 27001 bietet einen systematischen Ansatz zur Verwaltung und zum Schutz sensibler Informationen, einschließlich Daten, die von Gesichtserkennungstechnologien verarbeitet werden.
Die Leitlinien des ICO legen einen starken Fokus auf die Anforderung, DPIAs durchzuführen.
„Unserer Erfahrung nach sind DPIAs ein wertvolles Instrument zur Identifizierung datenschutzbezogener Risiken. Das bedeutet, dass Unternehmen von Anfang an Maßnahmen ergreifen können, um solche Risiken zu minimieren – das ist bei der Verarbeitung solch sensibler Daten von entscheidender Bedeutung“, schließt Avery.
Unternehmen, die biometrische Technologien einsetzen möchten, sollten Folgendes berücksichtigen:
⦁ Erwägen Sie weniger aufdringliche Authentifizierungs- oder Zugriffskontrolloptionen
⦁ Befolgen Sie die neuen biometrischen Leitlinien des ICO
⦁ Führen Sie eine strenge DSFA durch
⦁ Konsultieren Sie vor der Bereitstellung die Stakeholder (Kunden, Partner und Mitarbeiter).
⦁ Stellen Sie klare und transparente Informationen darüber bereit, wie biometrische Daten verwendet werden
⦁ Implementieren Sie geeignete technische und organisatorische Maßnahmen, um die Sicherheit und Integrität der biometrischen Daten zu gewährleisten – gegebenenfalls unter Verwendung von Standards wie ISO 27001
