E-ID und biometrische Daten — worum geht es?
Was ist in Bezug auf biometrische Daten bei der E-ID zu sagen?
Warum ist die Diskussion wichtig?
Art. 5 Abs. 3 BGEID nennt das Gesichtsbild. Das Gesichtsbild kommt im Geltungsbereich des BGEID bei der Verifikation der Sicherheitsniveaus “substanziell” und “hoch” zum Einsatz und wird nur für E-ID der Stufe “hoch” beim IdP gespeichert.
Zunächst einige Grundlagen: Das schweizerische Datenschutzgesetz (DSG) unterscheidet zwischen «normalen» Personendaten und besonders schützenswerten Personendaten.
Daten, für die schon mal jemand umgebracht wurde
Besonders schützenswerte Personendaten sind solche, für die schon einmal Menschen umgebracht wurden (Religion, Rasse, die Hautfarbe, etc.). Hier will man sicherstellen, dass ein Staat, der plötzlich korrupt oder “böse” wird, nicht an solche Daten gelangt. Es sind historische Gründe, warum gewisse Daten besonders schützenswert sind.
Daten, die gleichsam “an der Haut kleben”
Das revidierte Datenschutzgesetz (Inkrafttreten erwartet für das Jahr 2022) zählt zu den besonders schützenswerten Personendaten auch solche biometrischen Daten, die eine natürliche Person eindeutig identifizieren (Art. 5 lit. c Ziffer 4 revDSG).
Damit sind Daten gemeint, die gleichsam “an der Haut kleben” (das Bild der eigenen Iris, die Aufnahme der eigenen Stimme, der Scan des Fingerabdrucks, die Dokumentation der eigenen DNA). Solche Angaben sind aus Gründen der Fairness besonders schützenswert: Ist eine Verknüpfung mal erstellt, müsste man gleichsam “aus der Haut fahren” oder sich des betreffenden Körpermerkmals entledigen, um die Datenverknüpfung zu kappen. Der Datenbearbeiter hat im Vergleich dazu ein leichtes Spiel.
“Normale Personendaten”
Die Daten, die nicht als besonders schützenswert bezeichnet wurden, kann man als “normale” Personendaten bezeichnen.
Was sagt das Datenschutzgesetz dazu?
(Anmerkung: Wir diskutieren hier auf das revidierte Datenschutzgesetz, dass voraussichtlich im Jahr 2022 in Kraft treten wird. Dass das BGEID noch unter dem Geltungsbereich des jetzigen DSG in Kraft treten könnte, ist so gut wie ausgeschlossen.)
Man muss wissen, dass das Datenschutzgesetz besonders schützenswerte Personendaten im Wesentlichen in Bezug auf die folgenden Punkte anders als “normale” Personendaten behandelt:
- Die Weitergabe von besonders schützenswerten Personendaten an Dritte ist grundsätzlich verboten.
- Amtsstellen und Behörden benötigen zur Grundlage ein Bundesgesetz; eine blosse Verordnung würde demgegenüber als Grundlage für die Bearbeitung nicht genügen.
- Wenn nach dem Datenschutzgesetz (DSG) eine Einwilligung für eine Bearbeitung verlangt wird, muss diese ausdrücklich erfolgen (stillschweigende Einwilligung oder nur implizit gegebene Einwilligung genügt nicht).
Es handelt sich um die drei wichtigsten Unterschiede. Weitere betreffen die Erforderlichkeit zur Vornahme einer Datenschutzfolgenabschätzung, Kreditprüfungen und Auswertungen z.B. zu statistischen Zwecken. Diese erscheinen im Kontext des BGEID nicht als relevant.
Was man feststellen kann: Die unterschiedliche Behandlung erklärt sich aus den beiden Zielsetzungen, deretwegen gewisse Personendaten als besonders schützenswert bezeichnet wurden. Es geht um den Schutz vor Staatswesen, die die Personendaten missbrauchen könnten.
Nun: Zur Qualifikation des Gesichtsbilds
Ob ein Passfoto ein besonders schützenswertes Personendatum gilt, darf man kritisch hinterfragen. Während dies unter dem jetzt noch geltenden DSG oft noch bejaht wurde, lässt sich dies unter dem revDSG mit Blick auf die ausdrücklich einengende Formulierung in Art. 5 lit. c Ziffer 4 revDSG kaum noch halten; denn biometrische Angaben sind nur dann besonders schützenswerte Personendaten, wenn sie eine natürliche Person eindeutig identifizieren.
Wenn eindeutig dasselbe sein sollte wie “eineindeutig”, kann man durchaus in Frage ziehen, ob ein Passfoto ein besonders schützenswertes Personendatum darstellt.
Man muss aber festhalten, dass die Qualifikation des Passfotos in der juristischen Doktrin und Rechtsprechung nicht eindeutig gehandhabt wird. Es gibt viele Stimmen, die jedenfalls noch unter dem geltenden DSG der Auffassung sind, dass es sich beim Passfoto um ein besonders schützenswertes Personendatum handle.
Keine Personendaten mit erhöhtem Risiko im BGEID
Die im Rahmen der E-ID anfallenden Personendaten sind meines Erachtens keine Personendaten mit einem erhöhten Gefährdungspotential. Dies zeigt sich an den folgenden Beispielen:
(a) Das Gesichtsbild verändert sich über Zeit:
Junges Alter 
Mittleres Alter
Die Aussage dieses Vergleichs: Im Gesichtsbild ist kein schreiendes Fairnessproblem zu erkennen (siehe oben). Der besondere Schutz ist auch nicht zwingend nötig, um sich vor einem plötzlich korrumpierten Staat zu schützen.
(b) Ereignisse in einem Menschenleben können das Gesichtsbild verändern
Vor dem Ereignis 
Nach dem Ereignis
Die Aussage dieses Vergleichs ist die folgende: Es gibt aufgrund eines blossen Fotos keine zwingende Verknüpfung zu einer Person. Dies gilt umso mehr mit Blick darauf, dass es heute hochleistungsfähige Bildbearbeitungssoftware gibt, welche Fotos verändern können.
Jedenfalls kann man nicht von eindeutiger (eineindeutiger) Identifiziergbarkeit über ein Gesichtsbild sprechen. Besonders schützenswerte Personendaten haben eine andere Qualität.
(c) Referenzverhalten
Gesichtsbilder sind haufenweise im Internet zu finden. Es gibt Personen, die besonders achtsam mit ihrem eigenen Bild umgehen. Aber viele sind es nicht. Zurückhaltung ist durchaus am Platz. Ohne dies recherchiert zu haben: Gesichtsbilder werden wohl weniger zu Scams oder Identitätsklau eingesetzt, als eher dazu, eine andere Person zu verunglimpfen (Überarbeitung per Bildbearbeitungsprogrammen). Es handelt sich nicht um ein “hartes” Argument. Was sich aber sagen lässt: Das Gesichtsbild wird im Alltag als weniger schutzfähig angesehen wie z.B. Fingerabdruckbilder, Angaben über die eigene DNA, etc.
Schlussbemerkung
Es gibt noch Weiteres zu sagen zum Gesichtsbild im Kontext des BGEID (wie sind jene Daten geschützt, wie wird in der öffentlichen Diskussion darauf verwiesen?). Dies muss anderswo oder später geschehen.
Was man aber sagen muss: Das Gesichtsbild kann man nicht als einen Datensatz behandeln, an dem die Welt zu Grunde gehen würde, wenn andere Personen darauf Zugriff hätten. Dazu ist der Datensatz zu banal.