Eidgenössischer Datenschutzbeauftragter Préposé fédéral à la protection des données Incaricato federale per la protezione dei dati Incumbensà federal per la protecziun da datas
Pilotprojekt Secure Check – Einsatz von Biometrie beim Check-In und Boarding am Flughafen Zürich-Kloten Zusammenfassung des Schlussberichtes des Eidgenössischen Datenschutzbeauftragten (EDSB) vom 6. Juni 2005
Im Dezember 2004 wurde von Checkport Schweiz AG und Swissport Schweiz AG in Zusam- menarbeit mit SWISS International Airlines das Pilotprojekt Secure Check gestartet. Secure Check dient der Verbesserung der Sicherheitsüberprüfung von Passagierdaten sowie Reise- dokumenten vor Abflug und soll dazu beitragen, die Wartezeiten für Flugpassagiere an den Checkpoints zu verkürzen. Für die Testphase, welche von Anfang Dezember 2004 bis Mitte April 2005 gelaufen ist, wur- de der Flug Zürich-Montreal (CAN) ausgewählt. Flugpassagiere, die diesen Flug gebucht hat- ten, konnten an drei speziellen Schaltern einchecken. Secure Check läuft wie folgt ab: Für das Check-In werden vor Abflug die Ausweise der Flugpassagiere eingescannt und die Pass- daten automatisch mit den Einreisebestimmungen des Destinationslandes (im Rahmen des Pilotprojektes Kanada) verglichen. Die Passagier- und Passdaten werden zusammen mit den Flugdaten an das Destinationsland weiter geleitet. Zusätzlich erfolgt an jedem Checkpoint resp. am Gate eine Authentifizierung des Ausweisinhabers und Flugpassagiers mittels bio- metrischer Daten (Templates), welche am Check-In-Schalter nach der Ausweisüberprüfung vom Passagier erhoben und auf einer Smart Card dezentral gespeichert werden. Im Rahmen seiner Funktion als Datenschutzaufsichtsbehörde im Privatbereich (vgl. Art. 29 des Bundesgesetzes über den Datenschutz [DSG; SR 235.1]) hat der EDSB die Testphase des Pilotprojektes begleitet und einer datenschutzrechtlichen Kontrolle unterzogen. Die Daten- schutzkontrolle konzentrierte sich auf die Erhebung und Bearbeitung der biometrischen Da- ten. Mit dem Pilotprojekt werden die Weichen für eine definitive Umsetzung des Projektes Secure Check gestellt, welches in Zukunft für eine Vielzahl von Flugpassagieren auf dem Flughafen Zürich-Kloten zur Verfügung stehen soll. Da im Rahmen des Pilotprojektes erstma- lig eine neue Technologie zur Anwendung gelangte (biometrische Verfahren), bei welcher
2
sensible Personendaten bearbeitet werden, drängte sich die Sachverhaltsabklärung und Da- tenschutzprüfung bereits im Vorfeld der Implementierung des Pilotversuches auf. Der EDSB traf sich insgesamt zwei Mal für eine Sachverhaltsabklärung vor Ort mit den invol- vierten Akteuren von Swissport, Checkport und der SWISS. In einer ersten Phase des Pilot- projektes wurden von den Flugpassagieren zwei digitale Fingerabdrücke eingescannt und in Vorlagen (Templates) umgewandelt, um ihre Authentifikation am Gate zu ermöglichen. In einer zweiten Phase wurden die zwei Fingerabdrücke durch zwei Gesichtsbilder ersetzt. Die Zuverlässigkeit der biometrischen Wiedererkennung variierte während den beiden Augen- scheinen je nach eingesetzten biometrischen Merkmalen, wobei der EDSB eine höhere Zu- verlässigkeit der Authentifizierung bei den Gesichtsbildern feststellte. Sowohl die Templates der Fingerabdrücke als auch diejenigen der Gesichtsbilder wurden auf einer Smart Card ge- speichert, welche der Flugpassagier bis zum Boarding am Gate bei sich behielt. Eine zentrale Speicherung dieser biometrischen Daten fand im Rahmen des Pilotprojektes Secure Check nicht statt. Die Sachverhaltsabklärung vor Ort vom 16. Dezember 2004 ergab aus Sicht des EDSB Anpas- sungsbedarf im Bereich der Einwilligung und Information der Flugpassagiere am Check-In- Schalter, bei der Wiedergabe des Namens der Flugpassagiere auf einem Display nach erfolg- tem Einlesen der biometrischen Daten sowie bei der Löschung der Smart Cards nach dem Boarding. Die Projektleitung setzte diese Anregungen sofort um. Die zweite Sachverhaltsab- klärung vor Ort vom 11. Februar 2005 betreffend der Aufnahme von Gesichtsbildern führte zu keinen Interventionen des EDSB. Der EDSB gelangt gestützt auf die durchgeführte Kontrolle gemäss Art. 29 DSG zu einer überwiegend positiven Beurteilung der Handhabung biometrischer Daten. Er stellt in seinem Schlussbericht fest, dass die im Rahmen des Pilotprojektes getroffenen Massnahmen für die Überführung in ein Definitivum aus datenschutzrechtlicher Sicht in die richtige Richtung weisen. Aufgrund dieser positiven Gesamtbeurteilung vermag das Beispiel Secu- re Check auch eine Vorreiterfunktion für weitere private Anwender biometrischer Systeme zu erfüllen. Dennoch hat der EDSB im Schlussbericht einige grundsätzliche Überlegun- gen zum Einsatz von Biometrie aufgeführt, welche von der Projektleitung bei der definiti- ven Realisierung des Projektes Secure Check mitberücksichtigt und umgesetzt werden soll- ten. Insbesondere sollten aus Sicht des EDSB folgende Punkte eingehend geprüft werden: • Die Transparenz der Datenbearbeitung sollte durch eine klarere Information der Betroffe- nen über alle Kategorien von bearbeiteten Daten (Identität, Flug, Biometrie, Statistik, etc.)
3
erhöht werden, und dies ab der Erhebung der Daten bis zur ihrer Vernichtung. Besonders geachtet werden sollte auf die Datenlöschung, die insbesondere physikalisch (d.h. nicht nur logisch), zeitgerecht (d.h. frühestmöglich) und flächendeckend (inkl. temporärer Datei- en) erfolgen muss. • Die nun erstmalig erfolgte Erhebung biometrischer Daten kann neue Begehrlichkeiten von Seiten Dritter, wie z.B. der Flughafenpolizei oder ausländischen Immigrationsbehörden, wecken. Die Projektleitung wird aufgefordert, sich dieser Begehrlichkeiten bei der definiti- ven Umsetzung von Secure Check bewusst zu sein und insbesondere keine biometri- schen Daten an aussenstehende Dritte (wie Behörden) ohne Vorliegen eines Rechtferti- gungsgrundes (wie z.B. eine gesetzliche Grundlage; vgl. Art. 13 Abs. 1 DSG) herauszuge- ben. • Eine Abänderung des Projektes Secure Check in Richtung einer zentralen Speicherung der biometrischen Daten oder in Richtung einer Speicherung von Rohdaten erfordert eine dif- ferenzierte datenschutzrechtliche Beurteilung, welche vom vorliegenden Kontrollbericht nicht abgedeckt wird. Ebenso wäre die Zweckbindung des Projektes Secure Check neu zu überdenken und zu definieren, sollten die erhobenen biometrische Daten in einer späte- ren Phase an aussenstehende Behörden weiter geleitet werden. Da eine Authentifikation mit biometrischen Merkmalen nicht zu 100% zuverlässig erfolgen kann, hat der EDSB ferner angeregt, bei einer definitiven Implementierung des Projektes Se- cure Check eine multimodale Authentifizierung (durch Kombination mit anderen personen- bezogenen Merkmalen wie z.B. einer PIN) einzusetzen. Ebenso ist wichtig, dass für Perso- nen, bei denen biometrische Merkmale fehlen oder nur schlecht lesbar vorhanden sind, eine äquivalente Alternative für die sichere und zuverlässige Authentifizierung geplant und zur Verfügung gestellt wird. Die durchgeführte Kontrolle ermöglichte es dem EDSB, einerseits auf die datenschutzkon- forme Ausgestaltung von Secure Check einzuwirken und anderseits mit Anpassungsvor- schlägen und weiterführenden Überlegungen die allfällige Überführung in ein Definitivum in Zusammenarbeit mit der Projektleitung mitzugestalten und zu optimieren.
Der EDSB hat die Datenschutzkontrolle im Rahmen des Pilotprojektes Secure Check am 24. Oktober 2005 für abgeschlossen erklärt.
Der vollständige Bericht ist in deutscher Sprache über das Internet abrufbar ( www.edsb.ch).