Nachdem die Gematik GmbH, deren Zweck die Digitalisierung der Gesundheitsbranche ist, Anfang August 2022 den deutschen Krankenkassen die Identifizierung ihrer Versicherten mittels Video-Ident-Verfahren untersagte, ist die Aufregung nicht nur bei den Dienstleistern solcher Verfahren, sondern auch bei den beauftragenden Verantwortlichen groß.
Inwiefern Unternehmen zukünftig auf Foto-Ident- und Video-Ident-Verfahren setzen können, welche Sicherheitsmängel laut Chaos Computer Club (CCC) aktuell vorliegen und welche Datenschutzvorgaben zu erfüllen sind, haben wir für Sie zusammengefasst.
Post-Ident-, Foto-Ident- und Video-Ident-Verfahren
“Post-Ident-Verfahren”
Das Post-Ident-Verfahren sollte der breiten Masse hinlänglich bekannt sein. Hierbei wird beispielsweise zur Eröffnung eines Bankkontos die persönliche Identifizierung durch einen Mitarbeiter der örtlichen Postfiliale vorgenommen. Der Abgleich des Beantragenden erfolgt unmittelbar durch Vorlage des Ausweisdokuments.
Das Post-Ident stellt die datensparsamste Weise dar, die Identität eines Antragstellers zu überprüfen. Es erfolgt weder eine (temporäre) Speicherung der Identifikationsmerkmale, noch werden weitere Unsicherheitsfaktoren wie das Internet im Rahmen des Live-Abgleichs einbezogen.
Abstriche müssen lediglich mangels Praktikabilität zuungunsten der Nutzer in Kauf genommen werden.
“Foto-Ident-Verfahren”
Bei dem Foto-Ident-Verfahren wird ein Originaldokument wie Reisepass, Personalausweis oder Führerschein fotografiert und zum Abgleich an die verifizierende Stelle häufig mittels App oder auf einer Website hochgeladen. Die Ablichtung des Legitimationspapiers ist für den Inhaber nach § 20 Abs. 2 Personalausweisgesetz (PAuswG) nicht verboten (siehe dazu unser Ratgeber zum Kopieren von Ausweisdokumenten).
Allerdings ist Vorsicht geboten. Da allein die elektronische Erfassung durch Ablichtung bereits eine Verarbeitung im Sinne der DSGVO (Datenschutz-Grundverordnung) darstellt, sind auch sämtliche Maßgaben an die Gewährleistung der Sicherheit personenbezogener Daten umzusetzen. Verantwortliche sind aufgefordert, risikoangemessene Maßnahmen zu ergreifen und die Datenschutzgrundsätze aus Art. 5 DSGVO wie Speicherbegrenzung und Datenminimierung einzuhalten. Die Verarbeitung ist daher nur eingeschränkt in den Grenzen der datenschutzrechtlichen Zulässigkeit möglich.
Die Ausweiskopien können nach dem Willen des Betroffenen entsprechend um nicht zur Identifizierung notwendige Teile geschwärzt werden, ohne den verfolgten Zweck zu vereiteln. Hierfür reichen im Normalfall Adresse, Name und Geburtsdatum. Einer Seriennummer bedarf es grundsätzlich nicht.
Da sich der Zweck darin erschöpft, die Person zu identifizieren, ist eine weitergehende Speicherung regelmäßig rechtswidrig. Die Daten sind unmittelbar nach der Prüfung unwiederbringlich zu löschen, da nicht mehr zur Zweckerreichung erforderlich. Es reicht etwa ein Vermerk „Ausweis/Identität geprüft.“ Gleiches gilt für eine weitergehende Offenbarung an Dritte.
Vielfach geht der Gesetzgeber von einer entsprechenden Löschverpflichtung bezüglich angefertigter Ausweiskopien des Verantwortlichen aus, sobald der zugrundeliegende Zweck entfallen ist. So etwa in § 7 Abs. 3 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz).
Eine anderslautende Auslegung, beispielsweise das Anführen eines berechtigten Interesses zur Betrugsprävention oder die Notwendigkeit für den Vertragsschluss, kann zugunsten einer längeren Speicherung nicht ins Feld geführt werden.
Eine weitergehende Speicherung ist nur ausnahmsweise zulässig, und zwar wenn ein Gesetz dies ausdrücklich vorsieht. Eine solche Verpflichtung ergibt sich beispielsweise aus § 8 Abs. 2 Geldwäschegesetz.
“Video-Ident-Verfahren”
In Abkehr zum Foto-Ident-Verfahren, hat man ein Verfahren zur Identifikation mittels Videochat geschaffen. Bei der videobasierten Online-Identifizierung, kurz Video-Ident, wird ein in die Kamera gehaltenes Ausweisdokument mit der zu identifizierenden Person abgeglichen und live auf Echtheit überprüft. Vorteil ist, dass Verantwortliche das Ausweisdokument nicht abspeichern müssen. Sämtliche Unsicherheitsfaktoren wie ein Verlust nach der Erhebung können ausgeräumt werden.
Daher erfreut sich das Video-Ident-Verfahren in der Praxis zunehmender Beliebtheit und wird mittlerweile regelmäßig zwecks Überprüfung für beispielsweise digitale Signaturen, einem Online-Vertragsschluss, der (Erst)Registrierung bei Online-Konten oder aber bei einem Zugriff auf die elektronische Patientenakte (ePA) eingesetzt. Dabei kann der Live-Abgleich sowohl durch natürliche Prüfpersonen (Operatoren), als auch ausschließlich automatisiert erfolgen. Wird in letztgenannten Fall zwecks Stichproben eine temporäre Speicherung durchgeführt und im Anschluss kein Anfangsverdacht eines Betrugsversuches oder einer Fehlprüfung festgestellt, müssen die Daten hiernach ebenfalls unverzüglich gelöscht werden.
Erhebliche Missbrauchsgefahr bei Identifizierungsverfahren
Ein Manko beider Fernidentifizierungen ist die Missbrauchsgefahr. Bei der Online-Identifizierung müssen neben dem Identifikationsverfahren selbst auch der dahinterliegende Zweck datenschutzrechtlich betrachtet werden. Denn das Verfahren soll in vielen Fällen den Zugriff auf (sensible) personenbezogene Daten gerade schützen und erst ermöglichen.
Die Gefahr liegt naturgemäß sowohl in der missbräuchlichen Ersterhebung der Identifikationsdaten oder deren Diebstahl, als auch in der mit der Identifikation verbunden Absicherung und damit die Zugriffsmöglichkeit auf weitere sensible Daten. Aufgrund dieser Doppelgefahr, Identitätsdiebstahl bzw. Identitätsmissbrauch, sowie der Zugriffsmöglichkeit im Falle eines erfolgreichen Hacks, ist die Hürde an eine entsprechende Verarbeitung per se sehr hoch.
Aufgrund der möglichen Reichweite eines Missbrauchs gelten gesteigerte Pflichten des Verantwortlichen zur Missbrauchsprävention. Diese muss grundsätzlich mittels ausreichender technischer und organisatorischer Maßnahmen (TOM) gewährleistet werden. Eine Ende-zu-Ende verschlüsselte Übertragung ist standardmäßig für beide Fernidentifizierungsverfahren zu fordern.
Die Missbrauchsgefahr durch gefälschte Legitimationspapiere ist damit aber nicht vom Tisch.
Gravierende Sicherheitsmängel bei Foto-Ident- und Video-Ident-Verfahren
Alle in der Praxis durchgeführten Versuche zeigen insbesondere bei Einsatz des Foto-Ident-Verfahrens, dass sämtliche Apps leicht überlistet werden können, indem man dem System beispielsweise schlechte Fälschungen unterjubeln kann. Das führt zuweilen zu irrwitzigen Fake-Accounts, die im Namen längst verstorbener Filmstars betrieben werden. Gerade aus Gründen der Fälschungssicherheit wurden Plastikausweise mit fälschungssicheren Merkmalen ausgestattet und EU-weit verbreitet. Eine schnelle Abkehr hin zur digitalen Variante würde dieses Vorgehen ad absurdum führen. Demgemäß spielt das Foto-Ident-Verfahren zum Schutze sensibler Daten allen voran bei der Aufgabenwahrnehmung durch die öffentliche Hand, wie Behördengänge, keine Rolle. Hierfür ist gerade das Verfahren mittels elektronischen Personalausweises realisiert worden.
Auch in Hinblick auf das vermeintlich datenschutzfreundlichere Video-Ident-Verfahren wird seit mehreren Jahren immer wieder über die unzureichende Sicherheit berichtet.
Im Prüfbericht des CCC vom 8. August 2022 werden anhand eingängiger, praktischer Demonstrationen inhärente Schwachstellen der videobasierten Echtheitsprüfung physischer ID-Dokumente angeprangert. In einem Versuch die Sicherheitsanforderungen mehrerer gängiger Video-Ident-Lösungen zu knacken, war es stets gelungen, nur mit Open-Source-Software und roter wasserlöslicher Aquarellfarbe, den Mitarbeitern (Operatoren) bzw. der Software selbst eine fremde Identität vorzuspielen. Der CCC kam daher zu dem Ergebnis, dass es selbst Laien mit überschaubarem Aufwand möglich ist, die Video-Ident-Verfahren zu überlisten. Im Nachgang an die Angriffe war der Zugriff zur elektronischen Patientenakte eines eingeweihten Probanden möglich. Auch Angriffe auf digitale Signaturen und weitere Anwendungen waren erfolgreich. Diese blieben laut CCC unerkannt. Im Lichte dessen befürwortet dieser eine Einstellung des Video-Ident-Verfahrens zumindest dann, wenn ein hoher Schutzbedarf besteht.
Der Bericht macht deutlich, dass Schwachstellen nicht nur bei einem Foto-Ident-Verfahren eine Rolle spielen, sondern laut CCC ebenso für das Video-Ident-Verfahren gelten. Das Risiko eines weitergehenden Missbrauchs ist als hoch einzuschätzen. Daher bedarf es zweifelsohne im Vorfeld eines Einsatzes einer substantiierten Auseinandersetzung mit den Risiken sowie der Ergreifung risikoangemessener Maßnahmen.
Geht es bei dem Video-Ident-Verfahren um die Absicherung besonders schützenswerter Daten (Art. 9 DSGVO), dann muss der Maßstab der an die einzusetzenden technischen und organisatorischen Maßnahmen freilich höher sein. Hierbei kann man – wie berechtigterweise vielerorts gefordert – auch die Frage in den Raum stellen, ob ein Video-Ident-Verfahren grundsätzlich für derartige Verarbeitungen überhaupt zulässig ist – oder ob Ergebnis einer entsprechenden Datenschutzfolgenabschätzung nur lauten kann, dass die Verarbeitung aufgrund des immanenten Risikos zu unterlassen ist.
Diese Auffassung kann man auch in der Grundsatzentscheidung des Bundesbeauftragten für den Datenschutz und die Informationssicherheit in seinem 29. Tätigkeitsbericht 2020 (7.11) finden. Hier heißt es:
„Videoidentifizierungsverfahren sind risikobehaftet. Wo ein sehr hohes Vertrauensniveau erreicht werden muss, sind sie datenschutzrechtlich sogar unzulässig“. In Bereichen „in denen die Identifizierung ein sehr hohes Vertrauensniveau erfüllen muss“ wie beispielsweise „zum Schutz besonders schutzbedürftiger Kategorien von personenbezogenen Daten nach Artikel 9 DSGVO, wie etwa im Gesundheitswesen, (…) können Videoidentifizierungen diesen sehr hohen Schutzbedarf nicht gewährleisten.“
Datenschutzrechtliche Bewertung
Ein Meilenstein der DSGVO war der zarte Versuch des Verordnungsgebers, die beiden Welten Recht und Technik zu vereinen. So findet man in zahlreichen Anforderungen, allen voran Art. 5 Abs. 1 lit. f, 24, 25 und 32 DSGVO, die Gewährleistung eines Datenschutzniveaus durch Technikgestaltung oder Ergreifen technischer Maßnahmen.
Da die Verordnung aber keine konkreten technischen Maßgaben an die Verarbeitung vorgibt, sondern wie in Art. 32 DSGVO vielmehr exemplarisch Maßnahmen aufzählt, zieht sich der risikobasierte Ansatz wie ein roter Faden durch die Verordnung. Der Ansatz enthält die Verpflichtung des für die Verarbeitung Verantwortlichen, sich über die Risikoangemessenheit von Maßnahmen nachweislich Gedanken zu machen und hiernach ausreichende Maßnahmen zu ergreifen, um das mit der konkreten Verarbeitung verbundene Risiko ausreichend zu beherrschen.
Im Kern geht es immer um eine Einzelfallbetrachtung, welche dem Verantwortlichen zwar einen Spielraum zur Beurteilung lässt, ihm aber gleichsam ein verpflichtendes Minimum auferlegt. Orientierung für den Verantwortlichen und Grenze nach unten ist dabei der Stand der Technik.
Alles darüber hinaus ist risikoabhängig und setzt entsprechend eine Risikobetrachtung voraus. Vor Einsatz der Online-Identifizierungsverfahren ist eine solche für den Verantwortlichen regelmäßig nach Art. 35 DSGVO im Zuge einer Datenschutzfolgenabschätzung verpflichtend. Hier müssen prognostisch Risiken beurteilt, der Aufwand von Angreifern miteinbezogen, Maßnahmen festgelegt und ein Ergebnis formuliert werden.
Alle spezifischen Umstände sind substantiiert abzuwägen. So wird es eine Rolle spielen, ob man durch die Erstidentifizierung im weiteren Verlauf Zugriff auf sensible Daten erhalten soll, welche Daten hiervon umfasst sind oder damit nur eine Einmal-Verifizierung erfolgt. Ebenso, ob die Verarbeitung bei dem Verantwortlichen selbst stattfindet oder durch einen Dienstleister (Auftragsverarbeiter) durchgeführt wird.
Fazit: Hohes Risiko birgt hohen Aufwand
Insbesondere seit der Corona-Pandemie haben Onlinelösungen in jedweder Hinsicht Hochkonjunktur. Vielfach musste der Datenschutz hintenanstehen. Noch nicht ausgereifte Technologien wurden im Hau-Ruck-Verfahren eingesetzt.
Wichtig ist, Datenschutz und Digitalisierung nicht gegeneinander auszuspielen. Die Digitalisierung muss vorangetrieben, gleichzeitig dem Schutz der Betroffenen ausreichend Rechnung getragen werden. Daher ist es wichtig, dass bestehende Sicherheitslücken und notwendige Maßnahmen öffentlich diskutiert werden dürfen.
Aufgrund derzeit voraussichtlich immer noch bestehenden Sicherheitslücken bei einem Einsatz von Video-Ident-Verfahren und insbesondere Foto-Ident-Verfahren, begeben sich einsetzende Verantwortliche derzeit auf dünnes Eis. Kosten und Nutzen sollten unbedingt in Relation gebracht, eine entsprechend eingriffsintensive Verarbeitung nach Möglichkeit unterlassen werden.
Will man dennoch nicht auf entsprechende Technologien verzichten, muss der Betroffenenschutz – darunter auch der Datenschutz – Gebot der Stunde sein. Verantwortliche haben die Risiken im Vorfeld gebührend zu würdigen und müssen mittels nachvollziehbarer Sicherheitskonzepte zu einem vertretbaren Ergebnis gelangen.
Erste Krankenkassen haben bereits auf die Untersagung der Gema reagiert und bieten zunächst wieder ausschließlich das Post-Ident-Verfahren an. Da technische und organisatorische Maßnahmen dem stetigen Fortschritt und der Weiterentwicklung unterliegen, sind die Fragen nach einer ausreichenden Sicherheitsarchitektur und zu fordernde Datenschutzgesichtspunkte bei der Technikgestaltung dynamisch. Die Auffassung zum Video-Ident-verfahren kann künftig anders zu bewerten sein, wenn Anbieter der Technologien hier sinnvoll nachsteuern.
Denn gänzlich vor menschlichen Angriffen gefeilte Technologien wird es nicht geben. Ausschlaggebend ist der zu betreibende Aufwand durch die Angreifer. Wird dieser für selbige wirtschaftlich aufgrund Zeit und Mitteleinsatz nicht mehr sinnvoll, kann ein Einsatz auch von Online-Ident-Verfahren zum Schutz sensibler Daten durchaus vertretbar sein.
Das inhärente Risiko bei einem Einsatz von Brücken- oder Übergangstechnologie für den Verantwortlichen bleibt. Bei einem Einsatz von Dienstleistern wird es für Verantwortliche zunehmend wichtiger, technische Maßgaben zu Privacy by Design vertraglich als geschuldete Leistung zu formulieren.
Sinnig erscheint es, den datenschutzfreundlicheren Lösungen zwischenzeitig den Vorzug zu geben und auf eine gesicherte Behördenmeinung zu warten. Es ist zu erwarten, dass entsprechende Dienstleister und Verantwortliche in der jüngeren Vergangenheit und auch künftig im Fokus der Aufsichtsbehörden und Betroffenen standen und stehen werden. Mögliche anhängige Verfahren sind abzuwarten.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!