Die zunehmenden Auswirkungen von biometrischer Daten

In den letzten Jahren werden biometrische Technologien vom Fingerabdruck bis zur Gesichtserkennung von den Verbrauchern zunehmend für eine Vielzahl von Anwendungsfällen genutzt, vom Bezahlen über die Gepäckkontrolle am Flughafen bis hin zum Einsteigen in ein Flugzeug. Diese Technologien vereinfachen zwar oft die Benutzerauthentifizierung, stellen aber auch neue Herausforderungen an den Datenschutz bei der Erfassung und Speicherung biometrischer Daten. 

In den USA haben die staatlichen Regulierungsbehörden auf diese wachsenden Bedenken in Bezug auf biometrische Daten reagiert, indem sie Gesetze erlassen oder vorgeschlagen haben. Illinois war der erste Staat, der 2008 ein solches Gesetz, den Biometric Information Privacy Act (BIPA), verabschiedete. BIPA regelt, wie private Unternehmen biometrische Daten erheben, verwenden und speichern können. BIPA ermöglichte es Einzelpersonen auch, einzelne Unternehmen auf Schadenersatz aufgrund des Missbrauchs biometrischer Daten zu verklagen. 

Obwohl es ein Jahrzehnt alt ist, hat BIPA durch ein Urteil des Obersten Gerichtshofs von Illinois vom Januar 2019, Rosenbach v. Six Flags, wieder an Bedeutung gewonnen. In diesem Fall verklagten Eltern eines Minderjährigen den Six Flags Great America Vergnügungspark in Gurnell, Illinois, mit der Begründung, dass biometrische Daten ohne Zustimmung erhoben wurden und gegen BIPA verstießen. Nebenbei bemerkt, verlangen Freizeitparks zunehmend, dass Einzelpersonen ihr Ticket scannen, gefolgt von einem biometrischen Scan an einem Drehkreuz. Dieser Prozess ist in erster Linie eine Betrugsbekämpfungsmaßnahme - wenn Sie es schaffen, Ihren Ticketpass zu verlieren, geben Sie Ihre biometrischen Daten an einem Kundenserviceschalter weiter, um einen neuen zu erhalten. Dieser Prozess verhindert, dass Betrüger versuchen, einen Freipass zu erhalten, indem sie behaupten, dass er verloren ist. 

Der Oberste Gerichtshof von Illinois hob die Urteile des Untergerichts auf und entschied, dass Six Flags gegen BIPA verstoßen hatte. Wichtig ist, dass der Oberste Gerichtshof von Illinois entschieden hat, dass die Kläger keine Schäden (wie z.B. Identitätsdiebstahl) aus der Erhebung biometrischer Daten nachweisen müssen. Die unsachgemäße Erfassung biometrischer Daten reichte aus, um es einzelnen Verbrauchern zu ermöglichen, Unternehmen im Rahmen von BIPA zu verklagen. 

Diese Entscheidung ist ein Gewinn für die Verbraucher- und Datenschutzrechte und wird zu weiteren rechtlichen Herausforderungen für BIPA führen, von denen viele bereits über das Gerichtssystem arbeiten. Ein zu überwachender Fall ist Patel v. Facebook, das derzeit vor dem Neunten Bezirksgericht in San Francisco geprüft wird und gegen das Tagging von Gesichtsbildern, die auf Facebook hochgeladen wurden, durch Facebook angefochten wird.

Massachusetts, New York und Michigan haben alle Datenschutzgesetze in Entwicklung, die ähnliche Anforderungen wie BIPA stellen, und weitere Staaten werden wahrscheinlich die Ausarbeitung von Gesetzen zur Erfassung, Verwendung und Speicherung biometrischer Daten in Betracht ziehen.

Diese Entwicklungen bedeuten nicht das Todesurteil der Biometrie. Sie weisen lediglich darauf hin, dass Unternehmen, die die Erhebung biometrischer Daten in Betracht ziehen, sich an die Privacy-by-Design- Ansätze halten und angemessene Offenlegungs-, Zustimmungs- und Opt-out-Anforderungen stellen müssen, und achten auf dieses immer komplexere Gesetzesumfeld, um sicherzustellen, dass die Erfassung und Speicherung biometrischer Daten in Übereinstimmung mit diesen neuen Gesetzen erfolgt.