Sind das zuordenbare personenbezogene Daten?

 

Hallo,

ich beschäftige mich gerade mit der Programmierung einer Software. Im Ergebnis sollen Kundendaten elektronisch verfügbar sein, wenn der Kunde das möchte. Es muß (aus anderen rechtlichen Gründen) sichergestellt sein, daß sich niemand anderes als dieser Kunde ausgeben kann.

Dazu habe ich nun folgende Idee entwickelt, die ich mit der zum Verständnis notwendigen technischen Detailtiefe kurz beschreibe:

Der Kunde gibt seine persönlichen Daten (Namen, Adresse) an, die eine Mitarbeiterin mit einem Computerprogramm (die Software, die ich gerade programmiere) erfaßt.

Dann legt der Kunde einen beliebigen Finger auf einen Fingerabdruckscanner und es wird ein ca. 600 Bytes langer String erzeugt, der alle Informationen zu diesem Fingerabdruck enthält.

Diese Daten befinden sich nur im Arbeitsspeicher und werden nicht dauerhaft gespeichert. Sie werden zu einer Zeichenkette (String) zusammengesetzt. Die Trennung der Personendaten und des Fingerabdrucks erfolgt mit nur einem Zeichen, das ansonsten nicht vorkommt (z.B. einem Semikolon). Es gibt keine festen Bestandteile wie z.B. eine XML-Struktur. Insgesamt entsteht ein String mit einer Länge von ca. 700-800 Zeichen (Bytes).

Das Computerprogramm geniert nun einen zufälligen String mit einer Länge von 300 Bytes, dessen Bytes Werte (01h bis FFh) haben. Dieser Verschlüsselungs-String wird auf einer Chipkarte gespeichert.

Das Computerprogramm führt nun eine XOR-Verknüpfung (symmetrisches Verschlüsselungsverfahren) von Kundendaten und dem (mit sich selbst verlängerten) Zufallsstring durch und speichert das Ergebnis in einer Datei auf der Festplatte des Computers ab. Der Dateiname ist eine eindeutige und zufällige Zeichenfolge, die ebenfalls auf der Chipkarte gespeichert wird.

Die Chipkarte wird dem Kunden ausgehändigt. Die Datei liegt ohne jeden herstellbaren Personenbezug auf der Festplatte des Computers.

Kommt der Kunde erneut ins Ladenlokal und möchte, daß seine Daten nutzbar sind, läuft das so:

1. Die Chipkarte wird ausgelesen.

2. Die Datei (der Dateiname steht auf der Chipkarte) wird geöffnet und ausgelesen.

3. Der Dateiinhalt wird mit dem Verschlüsselungs-String (der steht ebenfalls auf der Chipkarte) entschlüsselt.

4. Der Kunde legt seinen Finger auf den Fingerabdruckscanner und das Computerprogramm vergleicht die Signatur des gerade gescannten Fingerabdrucks mit dem, der verschlüsselt auf der Chipkarte gespeichert ist.

5. Seine persönlichen Daten sind dann (wieder nur im Arbeitsspeicher, also ohne Dauerhafte Speicherung) für die Aktion verfügbar, die der Kunde möchte.

 

Technischer Hinweis:

Ohne den Verschlüsselungsstring auf der Chipkarte ist es, unter den hier vorliegenden informationstechnischen Gegebenheiten, unmöglich, die persönlichen Daten zu entschlüsseln. Da hilft selbst in 100 Jahren kein Quantencomputer, kein Brute-Force-Angriff und auch nicht der CCC.

 

Wie ist das aus Sicht des Datenschutzes zu beurteilen? Der Knackpunkt dürfte wohl sein, ob der Inhalt der auf der Festplatte des Computers gespeicherten Datei als identifizierbare personenbezogene Daten anzusehen ist. Hier handelt es sich erstmal um einen Datensalat, aus dem man – je nach Verschlüsselungs-String – jedes beliebige (natürlich falsche!) Ergebnis „entschlüsseln“ kann. Ausschließlich durch den echten Verschlüsselungs-String auf der Karte (und die hat ja der Kunde) wird eine zutreffende Entschlüsselung möglich.

Wenn der Kunde die Karte die Karte verliert, könnte der Finder (sofern er Zugriff auf den Computer erlangt), die Daten entschlüsseln. Aber vielleicht hat der Kunde auch gleich seinen BPA mit verloren; und da steht alles im Klartext drauf…

 

Über Hinweise und Denkanstöße würde ich mich sehr freuen!

 

Logiker

Klingt spannend , interessant wäre etwas mehr zum Hintergrund zu wissen. Ist das ein Login-Mechanisus für eine Software? Es gibt ja auch Chipkarten zur Computerentsperrung. Ohne Karte und PIN kein Zugriff. Dein Fingerabdruck ersetzt den PIN ?

Ob die Daten nun im RAM zwischengespeichert werden oder persistent abgelegt werden ist erstmal egal. Beides ist eine Verarbeitung der Daten. Biometrische Daten sind besonders sensibel und könnten sogar zur Verarbeitung verboten sein (Art. 9 DSGVO) wenn keine der dort genannten Ausnahmen zutrifft (gesetzliche Grundlage, freiwillige Einwilligung). Es bedarf dann auf jeden Fall einer Datenschutz-Folgeabschätzung, äußerst guter technisch org. Maßnahmen die auch umgesetzt werden uvm. 

Ein normaler "Loginmechanismus" macht ja im Prinzip nix anderes, das Passwort wird one way gehashed und mit etwas Salt abgespeichert. Beim Login wird der Hasch verglichen - was anderes sehe ich deinem Fall hier auch nicht (nur ist es halt ein gehashter Fingerabdruck statt eingegebenem PIN/Passwort, richtig?)

Kann man anhand des gespeicherten String den Fingerabdruck als Bild refactorisieren? Wenn ja würde ich die Finger davon lassen und eine Alternative suchen, dass wäre mir zu riskant. Wenn die Fingerabdrücke einmal im Umlauf sind kann das schlimme Folgen haben, Passwörter kann man zurücksetzen den Fingerabdruck nicht.

Mit BPA meinst du Bundespersonalausweis? Das ist ja dann sein Problem, wenn er das verliert. Sollte er die Chipkarte verlieren, muss er euch das mitteilen und ihr löscht den gespeicherten Fingerabdruck, er muss sich dann neu "registrieren".

Warten wir mal ob noch jemand anderes eine Meinung zum Thema hat.

Nico

 

Nein, kein Login-Mechanismus. Der Kunde hat selbst mit der Software gar nichts zu tun, das macht das Personal des Ladengeschäftes. Der Kunde muß seine Daten angeben, weil er sonst die Produkte im Laden nicht kaufen darf (genaugenommen nicht mal hinein darf). Das beruht soweit auf einer gesetzlichen Grundlage.

Die Erfassung der eindeutigen Personendaten (Name, Adresse) ist selbst mit technischen Hilfsmitteln wie Ausweisscannern nicht immer einfach. Zudem kann ein Lichtbildausweis weitergegeben werden. Wenn das Bild nicht deutlich anders als die Person aussieht, merkt das in der Praxis kaum jemand. Die Erschleichung des Zugangs durch Weitergabe von Ausweispapieren wäre mit meiner Idee nicht möglich.

Der Kunde soll nicht gezwungen werden dieses Verfahren zu nutzen. Es vereinfacht nur den Vorgang für das Personal, weil die fallweise schwierige Erfassung der Daten und die kritische Kontrolle des Lichtbildes entfällt. Insofern wäre die Einwilligung freiwillig. Wichtig ist, daß der Kunde nichts unterschreiben muß.

Der Fingerabdruck wird nicht als Bild gespeichert werden. Das wäre einige zig KB groß. Es handelt sich sozusagen um das Ergebnis der maschinellen Auswertung des Bildes. Daraus wird man zwar nicht den exakten Fingerabdruck zurückrechnen können, wohl aber die für die Auswertung wesentlichen Merkmale. Insofern sind das sensible und schützenswerte Daten. Diese Daten befinden sich jedoch nur kurz unverschlüsselt im Arbeitsspeicher des Computers. Ansonsten sind sie extrem einfach aber gleichzeitig maximal sicher verschlüsselt. Es ist ausgeschlossen, daß jemand ohne die Kenntnis des Verschlüsselungs-Strings auf der Chipkarte die Daten entschlüsseln kann.

Mein Plan B wäre die Speicherung der Adreßdaten nebst Fingerabdruck auf einer Chipkarte. Plan C die Erstellung eines QR-Codes auf dem Kassenbondrucker. Die Informationen auf der Chipkarte wären dann logischerweise nicht mehr individuell und wirkungsvoll verschlüsselt, befänden sich jedoch immer in Obhut des Kunden. Sie würden lediglich kurzzeitig im Computer des Ladengeschäftes verarbeitet werden. Für den QR-Code gilt im Grunde dasselbe.

Ja, mit BPA meinte ich den Bundespersonalausweis.

Logiker

Bitte melden Sie sich an, um auf diese Frage zu antworten.