Eidgenössischer Datenschutzbeauftragter Préposé fédéral à la protection des données Incaricato federale per la protezione dei dati Incumbensà federal per la protecziun da datas
Pilotprojekt Secure Check – Einsatz von Biometrie beim Check-In und Boarding am Flughafen Zürich-Kloten Zusammenfassung des Schlussberichtes des Eidgenössischen Datenschutzbeauftragten (EDSB) vom 6. Juni 2005
Im Dezember 2004 wurde von Checkport Schweiz AG und Swissport Schweiz AG in Zusammenarbeit mit SWISS International Airlines das Pilotprojekt Secure Check gestartet. Secure Check dient der Verbesserung der Sicherheitsüberprüfung von Passagierdaten sowie Reisedokumenten vor Abflug und soll dazu beitragen, die Wartezeiten für Flugpassagiere an den Checkpoints zu verkürzen. Für die Testphase, welche von Anfang Dezember 2004 bis Mitte April 2005 gelaufen ist, wurde der Flug Zürich-Montreal (CAN) ausgewählt. Flugpassagiere, die diesen Flug gebucht hatten, konnten an drei speziellen Schaltern einchecken. Secure Check läuft wie folgt ab: Für das Check-In werden vor Abflug die Ausweise der Flugpassagiere eingescannt und die Passdaten automatisch mit den Einreisebestimmungen des Destinationslandes (im Rahmen des Pilotprojektes Kanada) verglichen. Die Passagier- und Passdaten werden zusammen mit den Flugdaten an das Destinationsland weiter geleitet. Zusätzlich erfolgt an jedem Checkpoint resp. am Gate eine Authentifizierung des Ausweisinhabers und Flugpassagiers mittels biometrischer Daten (Templates), welche am Check-In-Schalter nach der Ausweisüberprüfung vom Passagier erhoben und auf einer Smart Card dezentral gespeichert werden. Im Rahmen seiner Funktion als Datenschutzaufsichtsbehörde im Privatbereich (vgl. Art. 29 des Bundesgesetzes über den Datenschutz [DSG; SR 235.1]) hat der EDSB die Testphase des Pilotprojektes begleitet und einer datenschutzrechtlichen Kontrolle unterzogen. Die Datenschutzkontrolle konzentrierte sich auf die Erhebung und Bearbeitung der biometrischen Daten. Mit dem Pilotprojekt werden die Weichen für eine definitive Umsetzung des Projektes Secure Check gestellt, welches in Zukunft für eine Vielzahl von Flugpassagieren auf dem Flughafen Zürich-Kloten zur Verfügung stehen soll. Da im Rahmen des Pilotprojektes erstmalig eine neue Technologie zur Anwendung gelangte (biometrische Verfahren), bei welcher
2
sensible Personendaten bearbeitet werden, drängte sich die Sachverhaltsabklärung und Datenschutzprüfung bereits im Vorfeld der Implementierung des Pilotversuches auf. Der EDSB traf sich insgesamt zwei Mal für eine Sachverhaltsabklärung vor Ort mit den involvierten Akteuren von Swissport, Checkport und der SWISS. In einer ersten Phase des Pilotprojektes wurden von den Flugpassagieren zwei digitale Fingerabdrücke eingescannt und in Vorlagen (Templates) umgewandelt, um ihre Authentifikation am Gate zu ermöglichen. In einer zweiten Phase wurden die zwei Fingerabdrücke durch zwei Gesichtsbilder ersetzt. Die Zuverlässigkeit der biometrischen Wiedererkennung variierte während den beiden Augenscheinen je nach eingesetzten biometrischen Merkmalen, wobei der EDSB eine höhere Zuverlässigkeit der Authentifizierung bei den Gesichtsbildern feststellte. Sowohl die Templates der Fingerabdrücke als auch diejenigen der Gesichtsbilder wurden auf einer Smart Card gespeichert, welche der Flugpassagier bis zum Boarding am Gate bei sich behielt. Eine zentrale Speicherung dieser biometrischen Daten fand im Rahmen des Pilotprojektes Secure Check nicht statt. Die Sachverhaltsabklärung vor Ort vom 16. Dezember 2004 ergab aus Sicht des EDSB Anpassungsbedarf im Bereich der Einwilligung und Information der Flugpassagiere am Check-In- Schalter, bei der Wiedergabe des Namens der Flugpassagiere auf einem Display nach erfolgtem Einlesen der biometrischen Daten sowie bei der Löschung der Smart Cards nach dem Boarding. Die Projektleitung setzte diese Anregungen sofort um. Die zweite Sachverhaltsabklärung vor Ort vom 11. Februar 2005 betreffend der Aufnahme von Gesichtsbildern führte zu keinen Interventionen des EDSB. Der EDSB gelangt gestützt auf die durchgeführte Kontrolle gemäss Art. 29 DSG zu einer überwiegend positiven Beurteilung der Handhabung biometrischer Daten. Er stellt in seinem Schlussbericht fest, dass die im Rahmen des Pilotprojektes getroffenen Massnahmen für die Überführung in ein Definitivum aus datenschutzrechtlicher Sicht in die richtige Richtung weisen. Aufgrund dieser positiven Gesamtbeurteilung vermag das Beispiel Secure Check auch eine Vorreiterfunktion für weitere private Anwender biometrischer Systeme zu erfüllen. Dennoch hat der EDSB im Schlussbericht einige grundsätzliche Überlegungen zum Einsatz von Biometrie aufgeführt, welche von der Projektleitung bei der definitiven Realisierung des Projektes Secure Check mitberücksichtigt und umgesetzt werden sollten. Insbesondere sollten aus Sicht des EDSB folgende Punkte eingehend geprüft werden: • Die Transparenz der Datenbearbeitung sollte durch eine klarere Information der Betroffenen über alle Kategorien von bearbeiteten Daten (Identität, Flug, Biometrie, Statistik, etc.)
3
erhöht werden, und dies ab der Erhebung der Daten bis zur ihrer Vernichtung. Besonders geachtet werden sollte auf die Datenlöschung, die insbesondere physikalisch (d.h. nicht nur logisch), zeitgerecht (d.h. frühestmöglich) und flächendeckend (inkl. temporärer Dateien) erfolgen muss. • Die nun erstmalig erfolgte Erhebung biometrischer Daten kann neue Begehrlichkeiten von Seiten Dritter, wie z.B. der Flughafenpolizei oder ausländischen Immigrationsbehörden, wecken. Die Projektleitung wird aufgefordert, sich dieser Begehrlichkeiten bei der definitiven Umsetzung von Secure Check bewusst zu sein und insbesondere keine biometrischen Daten an aussenstehende Dritte (wie Behörden) ohne Vorliegen eines Rechtfertigungsgrundes (wie z.B. eine gesetzliche Grundlage; vgl. Art. 13 Abs. 1 DSG) herauszugeben. • Eine Abänderung des Projektes Secure Check in Richtung einer zentralen Speicherung der biometrischen Daten oder in Richtung einer Speicherung von Rohdaten erfordert eine differenzierte datenschutzrechtliche Beurteilung, welche vom vorliegenden Kontrollbericht nicht abgedeckt wird. Ebenso wäre die Zweckbindung des Projektes Secure Check neu zu überdenken und zu definieren, sollten die erhobenen biometrische Daten in einer späteren Phase an aussenstehende Behörden weiter geleitet werden. Da eine Authentifikation mit biometrischen Merkmalen nicht zu 100% zuverlässig erfolgen kann, hat der EDSB ferner angeregt, bei einer definitiven Implementierung des Projektes Secure Check eine multimodale Authentifizierung (durch Kombination mit anderen personenbezogenen Merkmalen wie z.B. einer PIN) einzusetzen. Ebenso ist wichtig, dass für Personen, bei denen biometrische Merkmale fehlen oder nur schlecht lesbar vorhanden sind, eine äquivalente Alternative für die sichere und zuverlässige Authentifizierung geplant und zur Verfügung gestellt wird. Die durchgeführte Kontrolle ermöglichte es dem EDSB, einerseits auf die datenschutzkonforme Ausgestaltung von Secure Check einzuwirken und anderseits mit Anpassungsvorschlägen und weiterführenden Überlegungen die allfällige Überführung in ein Definitivum in Zusammenarbeit mit der Projektleitung mitzugestalten und zu optimieren.
Der EDSB hat die Datenschutzkontrolle im Rahmen des Pilotprojektes Secure Check am 24. Oktober 2005 für abgeschlossen erklärt.
Der vollständige Bericht ist in deutscher Sprache über das Internet abrufbar (www.edsb.ch).