Biometrische Authentifizierung wie Fingerabdruck- und Gesichtserkennung ist etabliert und bietet hohe Sicherheit sowie Benutzerfreundlichkeit – besonders in Kombination mit MFA. Dennoch bestehen erhebliche Datenschutzbedenken, da biometrische Daten unveränderlich sind und Verstöße dauerhaft wirken können. Entscheidend ist eine sichere, datenschutzkonforme Umsetzung.
Trotz ihrer Vorteile wirft die Verwendung biometrischer Daten erhebliche Datenschutzbedenken auf. Da biometrische Daten unveränderlich sind, können Verstöße dauerhafte Folgen haben.
Biometrische Authentifizierung nutzt physische Merkmale wie Fingerabdrücke, Gesichtszüge, Stimmerkennung oder Iris-Scans, die für jede Person einzigartig sind. Auch Verhaltensbiometrie wie Tipp-Dynamik oder Mausaktivitäten gehören dazu. Diese Merkmale sind schwer zu fälschen und können schwerer verloren gehen. Ein unrechtmäßiger Zugriff durch Dritte kann somit weitgehend ausgeschlossen werden. Sie bieten daher eine höhere Sicherheit im Vergleich zu traditionellen Methoden wie Passwörtern oder PINs. Anwendung findet die biometrische Authentifizierung beim Entsperren von Endgeräten bis hin zu Zugangskontrollen in Hochsicherheitsbereichen.
Multimodale biometrische Authentifizierung
Entgegen der unimodalen Authentifizierung kommen bei der multimodalen biometrischen Authentifizierung verschiedene biometrische Daten zur Identitätsprüfung zum Einsatz. So wird das Risiko der Manipulation oder Täuschung erschwert. Zwar kann ein gehacktes Foto zum Täuschen der Gesichtserkennung genutzt werden, scheitert dann aber an einer weiteren Information. So sinkt die Erfolgswahrscheinlichkeit des Angriffs.
Anwender lieben sie wegen ihres praktischen Nutzens. Es muss kein komplexes Passwort gemerkt und monatlich geändert werden. Manche Systeme wie die Gesichtserkennung Hello von Microsoft authentifizieren die Nutzer ohne deren aktives zutun. Es reicht schon vor dem Computer zu sitzen.
Auch IT-Verantwortliche schätzen die Vorteile von biometrischen Anmeldungen. Sie erfordern weniger Schulungsaufwand und müssen nicht ständige geändert werden. Sie stehen nicht auf Post-its oder werden in Browsern gespeichert. Biometrie - Insbesondere multimodale Authentifizierungen - ist somit eine deutliche Verbesserung gegenüber Kennwörtern.
Datenschutzbedenken
Trotz der Sicherheitsvorteile gibt es erhebliche Datenschutzbedenken. Biometrische Daten sind unveränderlich; einmal gestohlen, können sie nicht wie Passwörter geändert werden. Zudem besteht die Gefahr, dass diese Daten für Überwachung oder Diskriminierung missbraucht werden. Dies bedeutet, dass ein Verstoß oder Missbrauch dauerhafte Folgen haben kann.
In der Datenschutzgrundverordnung (DSGVO) werden biometrische Daten definiert als „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“. Somit fallen Sie in die Kategorie besonderer personenbezogener Daten nach Artikel 9 DSGVO. Damit einher gehen die Anforderungen für deren Einsatz:
Die betroffene Person hat in die Verarbeitung für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt.
Die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person, die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann.
Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich, und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben.
Andernfalls ist die „Verarbeitung von (…) biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person (…) untersagt.“
Unternehmen sind gefordert, die Zulässigkeit der Verarbeitung biometrischer Daten sicherzustellen. Dazu zählt die Klärung und Einhaltung der gesetzlichen Vorgaben wie der Datenschutz-Grundverordnung (DSGVO). Sie müssen gewährleisten, dass biometrische Daten sicher gespeichert und verarbeitet werden und dass die Einwilligung der Nutzer transparent eingeholt wird.
Angemessene Sicherheitsmaßnahmen
Es bietet sich an, eine Datenschutz-Folgenabschätzung für die Nutzung biometrischer Daten zu erstellen. Und auch wenn eine Rechtsgrundlage gegeben ist, müssen Verantwortliche die Risiken, die sie in der DSFA dokumentieren, mit angemessenen Schutzmaßnahmen begegnen.
Die Herausforderung in dieser Aufgabe besteht in der Komplexität dieser Systeme. Die Risikobetrachtung umfasst alle zugehörigen Komponenten bzw. deren Schwachstellen wie Erfassungsgeräte, Verarbeitungslogiken, Referenzdatenbanken, Berechtigungsdatenbanken, diverse Schnittstellen, Systembetreiber uvm. Dazu kommen Risiken, die sich aus den Schwachstellen oder einer Kombination dieser ergibt. Ein Beispiel: Werden biometrische Daten mit weiteren personenbezogenen Daten verknüpft, lassen sich die biometrischen Zutrittskontrollen und Zugangskontrollen dazu missbrauchen, heimlich Nutzerprofile anzulegen, zum Beispiel für die Verhaltenskontrolle von Beschäftigten.
Gerade die technologischen Entwicklungen im Bereich der Künstlichen Intelligenz (KI) führen zu weiteren Risiken für die informationelle Selbstbestimmung der Menschen. Ein Beispiel: KI kann das Alter und Geschlecht einer Person zuverlässig anhand von Videoaufnahmen und Gesichtsauswertung bestimmen. Zusätzlich ermöglicht eine Mimik Analyse Rückschlüsse auf die Gefühlslage (Emotional Decoding). Dies geschieht oft ohne Wissen oder Zustimmung der Betroffenen. Solche Techniken messen u.a. die Wirksamkeit von Werbung und passen sie besser an Zielgruppen an.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ein weiteres Beispiel ist das moderne KI-Algorithmen bereits zum Generieren von Fingerabdrücken eingesetzt werden und mit Erfolg Fingerabdruckscanner täuschen konnten.
Neben den möglichen Schwachstellen können biometrische Systeme sehr wohl manipuliert werden, wie Beispiele jüngster Vergangenheit zeigen. Der Einsatz von Fotos, 3-D-Masken und Silikon-Fingerabdrücke ermöglichen Präsentationsangriffe. Auch reichen bei Fingerabdruckscannern von Smartphones oftmals teilweise Übereinstimmungen mittels Master-Abdruck. Auch kommt es vor, dass berechtigte Nutzer nicht erkannt werden. Beispielsweise bei einer neuen Brille, einem anderen Make-up oder einer gesundheitlichen Beeinträchtigung.
Bei einigen Technologien zur biometrischen Authentifizierung gibt es ernstzunehmende ethische Bedenken durch z. B: systematische Fehler. Gesichtserkennungssysteme erkennen People of Color nicht mit der gleichen Genauigkeit. Grund dafür ist, dass diese Technologien mit Männern weißer Hautfarbe trainiert wurden. Dadurch ist eine gewisse Voreingenommenheit gegenüber Frauen und People of Color in die Systeme integriert.
Fazit
Biometrie ist und bleibt uns erhalten. Ihre Vorteile überwiegen die Nachteile, sodass Unternehmen weiterhin auf biometrische Authentifizierung setzen werden. Die Herausforderung für Unternehmen liegt darin die Grundlagen für die datenschutzrechtliche Nutzung zu schaffen, aber auch die Fragen zur Sicherheit zu klären. Dadurch können Unternehmen sicherstellen, dass biometrische Technologien sicher und verantwortungsvoll genutzt werden. Biometrie kann ein Schlüssel zur Sicherheit sein, wenn die biometrischen Daten selbst auch sicher sind.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/1e/ad/1eadbda01eb4ee5fedd49c2483ee1312/0122240532v2.jpeg "Windows Hello for Business erweitert die biometrische Authentifizierungslösung Windows Hello um Features, die speziell für den Einsatz in Unternehmensumgebungen entwickelt wurden. (Bild: everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/aa/10/aa10214b24fdcef8e94546e6d3391c79/0104987063.jpeg "Auf EU-Ebene scheint sich gegenüber einer automatisierten Gesichtserkennung eine gewisse Skepsis zu manifestieren. (Bild: DedMityay - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b5/eb/b5eb4c12dcf863e10fe1b198dc87bae2/0125743538v1.jpeg "Biometrie ist kein Zukunftsthema mehr – sie ist längst fester Bestandteil moderner Sicherheitsarchitekturen. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/10/0c10e267fbe0733b1cfd1e50e5559852/0126745178v2.jpeg "Edge AI macht Netzwerkkameras zu intelligenten Sensoren, die Bild- und Kontextdaten direkt vor Ort analysieren. (Bild: Axis Communications)")