Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Die biometrische Zeitbombe

Ich möchte darstellen, was hier unter "biometrischen Daten" zu verstehen ist. Persona extrahiert die mathematische Geometrie eines Gesichts aus dem Selfie und dem Passfoto. Dabei handelt es sich nicht nur um ein Bild, sondern um eine numerische Karte der Abstände zwischen den Augen, der Form des Kinns und der Geometrie der Gesichtszüge. Es sind Daten, die eine Person eindeutig identifizieren. Im Gegensatz zu einem Passwort kann man das Gesicht nicht ändern, wenn es kompromittiert wird.

In den Richtlinien von Persona heißt es, diese Scandaten würden "nach Abschluss der Verifizierung oder innerhalb von sechs Monaten nach Ihrer letzten Interaktion" vernichtet. Gut.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Expertin / Experte IT-Betriebsadministration – Windows (w/m/d) Bundesanstalt für Immobilienaufgaben, Bonn (öffnet im neuen Fenster)
IT Systems Engineer (m/w/d) in Vollzeit (40 Std.) IfM Ingenieurbüro für Medizintechnik GmbH, Wettenberg (öffnet im neuen Fenster)
Software Entwickler (m/w/d) BlueMetering GmbH, München (öffnet im neuen Fenster)
Junior IT-Support Manager (m/w/d) IPPEN.MEDIA, München (öffnet im neuen Fenster)
Data Specialist (m/w/d) Orifarm GmbH, Leverkusen (öffnet im neuen Fenster)
Senior System Administrator & Onsite Lead (m/w/d) softgarden e-recruiting gmbh, Berlin (öffnet im neuen Fenster)
Manager (m/w/d) Serviceprozesse & Systeme Hallesche Krankenversicherung a. G., Stuttgart (öffnet im neuen Fenster)
Senior Account Manager ITK (w/m/d) in Magdeburg Telcat Multicom GmbH, Magdeburg (öffnet im neuen Fenster)

Aber es gibt eine Ausnahme: "... es sei denn, Persona ist gesetzlich oder aufgrund eines Rechtsverfahrens anderweitig verpflichtet, die Daten aufzubewahren" .

Diese Ausnahme bedeutet in Verbindung mit dem Cloud Act, dass ein US-Gerichtsverfahren Persona zwingen könnte, die biometrischen Daten einer Person auf unbestimmte Zeit aufzubewahren. Die Sechsmonatsfrist wird unbedeutend, wenn ein Gericht sagt: "Bewahren Sie das auf."

Das 50-US-Dollar-Sicherheitsnetz

Sprechen wir nun darüber, was passiert, wenn etwas schiefgeht. Nehmen wir an, es kommt zu einer Datenpanne und der Scan eines Reisepasses, die Gesichtsgeometrie und die zugehörige nationale Identifikationsnummer geraten in die falschen Hände.

Die Nutzungsbedingungen von Persona begrenzen die Haftung des Unternehmens auf 50 US-Dollar. Noch einmal: Dein Reisepass, dein Gesicht, deine biometrischen Daten, deine nationale Identifikationsnummer – 50 US-Dollar.

Die Nutzungsbedingungen beinhalten zudem ein obligatorisches, bindendes Schiedsverfahren: kein Gericht, keine Jury, keine Sammelklage. Man kann Ansprüche nur individuell geltend machen, und zwar über die American Arbitration Association, selbst wenn man in Europa sitzt und es um europäische Daten geht.

Für Einwohner der EU/des EWR gilt laut Nutzungsbedingungen irisches Recht für den Vertrag. Das klingt zunächst besser, bis man sich daran erinnert: Irisches Recht regelt den Vertrag, aber US-Recht regelt das Unternehmen. Dem Cloud Act ist es egal, was im Vertrag steht.

Was man tun sollte

Allen, die sich wie ich bereits verifiziert haben, empfehle ich Folgendes:

  1. Die eigenen Daten anfordern, und zwar per E-Mail an idv-privacy@withpersona.com oder privacy@withpersona.com. Gemäß der DSGVO muss innerhalb von 30 Tagen geantwortet werden.
  2. Die Löschung beantragen. Denn: Die Verifizierung ist abgeschlossen, Linkedin hat das Ergebnis bereits. Es gibt keinen Grund für Persona, den Pass-Scan und die Gesichtsgeometrie auf seinen Servern zu behalten.
  3. Sich an den Datenschutzbeauftragten wenden (dpo@withpersona.com). Er ist der richtige Ansprechpartner für einen Einspruch dagegen, dass die eigenen Dokumente unter dem Vorwand "berechtigter Interessen" als Trainingsdaten für KI verwendet werden.
  4. Künftig zweimal nachdenken, bevor man sich verifiziert. So ein blaues Abzeichen ist den Preis wohl nicht wert. Ein Häkchen ist nur Kosmetik, biometrische Daten bleiben für immer.

Drei Minuten

Der Verifizierungsprozess hat nur drei Minuten gedauert: Scan, Selfie, fertig. Zu verstehen, womit ich mich tatsächlich einverstanden erklärt habe, hat dagegen ein ganzes Wochenende in Anspruch genommen und die Lektüre von 34 Seiten juristischer Dokumente erfordert.

Ich habe einem US-Unternehmen meinen Reisepass, mein Gesicht und die mathematische Geometrie meines Schädels übergeben. Es hat mich mit Kreditauskunfteien und staatlichen Datenbanken abgeglichen und wird meine Daten nutzen, um KI zu trainieren. Und wenn die US-Regierung anklopft, wird es alles herausgeben, selbst, wenn die Daten in Europa gespeichert sind und ich Europäer bin – möglicherweise, ohne mir jemals davon zu erzählen.

Und das alles für ein kleines blaues Häkchen auf irgendeinem beruflichen Netzwerk. Ich will niemandem vorschreiben, die Verifizierung zu überspringen. Aber jeder sollte wissen, was er sich einhandelt. Persona weiß es. Linkedin weiß es. Der Einzige, der im Dunkeln tappt, ist derjenige, der seinen Reisepass vor die Kamera hält.

Übersetzt von Juliane Gunardono mit Unterstützung von DeepL

Der Autor veröffentlicht unter dem Pseudonym "rogi". Sein Name ist der Redaktion bekannt.

  1. Linkedin & Persona: In drei Minuten in den Datenschutz-Wahnsinn
  2. Mein Gesicht für die Trainingsdaten
  3. Der Cloud Act: Warum Frankfurt uns nicht schützt
  4. Die biometrische Zeitbombe
Zur Startseite 47 Kommentare

Relevante Themen

LinkedinPolitikDatenschutzSecurityDatensicherheitPrivacy ShieldDSGVO