Biometrische Gesichtskontrolle am BER - FastID Analyse

Heise titelte heute morgen „Mit Lufthansa: BER startet Zugang mit biometrischer Gesichtserkennung“ und nannte unter anderem die Stichworte „FastID“, „Biometrie“ und „Reisen ohne Flugticket“. Moment, biometrische Daten in eine App einpflegen, um ticketloses Reisen zu ermöglichen - hast du da nicht vor ein paar Jahren schon für die Tourismusreihe nachgesehen und die App für grenzwertig empfunden?

Grund genug noch einmal nachzusehen, denn heise zitiert den Hersteller wie folgt:

„die volle Kontrolle“ über ihre Informationen und könnten diese jederzeit vollständig löschen.

" Man verkaufe keine personenbezogenen Informationen und sammle keine Cookies. FastID gewährleiste, „dass Ihre digitale ID und Ihre persönlichen Daten sicher sind und unter Ihrer Kontrolle stehen“.

und das ganze wird sogar auf der FastID Website versichert.

Vertrauen ist gut, Kontrolle ist besser

Besucht man die Website fastid.nl, auf der versprochen wird wie sicher die Daten seien, dann werden ohne Erlaubnis und ohne Information des Nutzers Verbindungen zu folgenden Seiten hergestellt (Stand 18.05.23):

cloudflare.com
cdnjs.cloudflare.com
d3e54v103j8qbb.cloudfront.net
ajax.googleapis.com
website-files.com
assets.website-files.com
weglot.com
cdn.weglot.com

Dabei wird die eigene IP Adresse (persönliches Datum gem. DSGVO - Urteil europäischer Gerichtshof vom 19.10.2016) an diese Seiten übermittelt. Weder eine Information noch eine Einwilligung sind gegeben.
Sehen wir uns diesbezüglich das Endurteil im Google Fonts Verfahren an. Dort hieß es wie folgt:

Verletzung des Persönlichkeitsrechts durch Datenschutzverstoß
Normenketten:
BGB § 823 Abs. 1, § 1004
TMG § 12 Abs. 1 u. 2
BDSG § 3 Abs. 1
DS-GVO Art. 4 Nr. 1 und 2, Art. 6 Abs. 1, Art. 15, Art. 82
Leitsätze:

  1. Eine Verletzung des Rechts auf informationelle Selbstbestimmung und des Persönlichkeitsrechts stellt es dar, wenn der Inhaber einer Webseite bei Aufruf dieser Webseite durch einen Dritten dessen dynamische IP-Adresse automatisiert und ohne Zustimmung des Dritten an Google weiterleitet. (Rn. 6 – 7) (redaktioneller Leitsatz)
  2. Ein Rechtfertigungsgrund für die Weitergabe einer IP-Adresse liegt nicht vor, da das Angebot von Google Fonts auch genutzt werden kann, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet. (Rn. 8) (redaktioneller Leitsatz)

Die Website hat also bereits Makel in der Umsetzung der DSGVO. Prüfen wir den E-Mail Service von FastID, dann stellen wir fest das Mailserver von Google genutzt werden. Bei Herstellung eines E-Mailkontakts (und sei es nur für ein Auskunftsersuchen gem. DSGVO) gehen Daten in die USA oder die USA kann gem. Cloud Act darauf zugreifen.

aspmx.l.google.com
2a00:1450:400c:c00::1b

aspmx.l.google.com
173.194.76.27

alt2.aspmx.l.google.com
2a00:1450:4025:c03::1b

[u.v.m.]

Da wir noch nicht einmal bei der App, in der hochsensible Daten gespeichert werden sollen, angekommen sind, sondern nur die Website und den E-Mail Service nach den Werbeversprechen des Unternehmens unter die Lupe genommen haben, atmen wir am besten einmal tief ein und aus. Fertig?

Ok, navigieren wir zu den FAQs von FastID. Dort heißt es wie folgt:

Is FastID compliant with GDPR and other European legislation?

Yes. With the FastID technology your registration is compliant with the GDPR, eIDAS and the latest European legislation. It’s not only more compliant than most of the current registration and access methods, it’s also future-proof due to its compliance with the new European standards such as Self Sovereign IDentity.

auf Deutsch:

Ist FastID mit der GDPR und anderen europäischen Rechtsvorschriften konform?

Ja. Mit der FastID-Technologie ist Ihre Registrierung konform mit der GDPR, eIDAS und der neuesten europäischen Gesetzgebung. Sie ist nicht nur konformer als die meisten aktuellen Registrierungs- und Zugangsmethoden, sondern auch zukunftssicher, da sie den neuen europäischen Standards wie der Self Sovereign IDentity entspricht.

FastID soll also konformer als konform sein und brandaktuell mit der europäischen Gesetzgebung? Nun gut, lesen wir weiter…

What does FastID do with my data?

Nothing at all. Your data remains yours – you are in complete control. You can share it to get access to events, services, and locations, and make sure it’s deleted once you no longer want to use the service. Even we (FastID) can’t access your data. We don’t sell data and we don’t collect cookies. Instead, we ensure that your digital ID and personal data is safe and in your control. For fast and secure access with biometrics.

auf Deutsch:

Was macht FastID mit meinen Daten?

Überhaupt nichts. Ihre Daten bleiben in** Ihrem Besitz - Sie haben die volle Kontrolle**. Sie können sie freigeben, um Zugang zu Veranstaltungen, Diensten und Orten zu erhalten, und dafür sorgen, dass sie gelöscht werden, wenn Sie den Dienst nicht mehr nutzen wollen. Auch wir (FastID) haben keinen Zugriff auf Ihre Daten. Wir verkaufen keine Daten und wir sammeln keine Cookies. Stattdessen sorgen wir dafür, dass Ihre digitale ID und Ihre persönlichen Daten sicher sind und unter Ihrer Kontrolle stehen. Für einen schnellen und sicheren Zugang mit biometrischen Merkmalen.

Ok, „volle Kontrolle“. FastID verkauft (nach eigenen Aussagen) nichts und es passiert überhaupt nichts mit den Daten und alles ist konformer als konform? Ist dem so? Hält sich FastID wirklich an die DSGVO und bleiben Daten auf dem Gerät?

Sehen wir nach! Eine App Analyse zeigt, dass in der App vier Tracker verbaut sind:

Amazon Mobile Analytics (Amplify)
Google CrashLytics [zahlreiche Artikel auf dem Kuketzblog]
Google Firebase Analytics [zahlreiche Artikel auf dem Kuketzblog]
MixPanel

Dies sind diverse Analyse- und Werbedienste. MixPanel zum Beispiel:

MixPanel, Inc. is a privately-held marketing technology company with 250+ employees and offices in San Francisco, New York, Seattle, Salt Lake City, and London, UK. Source: OpenCorporates; Source: LinkedIn

auf Deutsch:

MixPanel, Inc. ist ein privates Marketing-Technologieunternehmen mit mehr als 250 Mitarbeitern und Niederlassungen in San Francisco, New York, Seattle, Salt Lake City und London, UK. Quelle: OpenCorporates; Quelle: LinkedIn

Was macht MixPanel?

Behavioral Analytics
Data Collection
Media Trend analysis See: Forbes article on 2018 report
Anonymous Profiling „Firmographics“

auf Deutsch:

Verhaltensanalytik
Datenerhebung
Medien-Trendanalyse Siehe: Forbes-Artikel zum Bericht 2018
Anonymes Profiling „Firmographics“

In dieser konformer als konformeren App, bei der hoch- und heilig versprochen wurde, dass sie dsgvo-konform sei und man überhaupt nichts mit den Daten mache, sind also Analysedienste und Werbeunternehmen eingebaut? Deren Ziel es ist Datenerhebungen und Verhaltensanalysen zu machen und das ohne Zustimmung oder Information des Nutzers gem. DSGVO (Art. 7)?

Ist es nicht sogar genau das Gegenteil von Information nämlich Missinformation, wenn man verspricht, dass diese App, der hochsensible Daten anvertraut werden sollen, das Gegenteil tut? Ist nicht genau das irreführende Werbung?

Hier heißt es schon im ersten Satz:

Eine Handlung ist hierbei irreführend, wenn sie unwahre Angaben über verschiedene Produktmerkmale enthält.

Zusammenfassung

Fassen wir kurz die Lage zusammen: Lufthansa testet am BER das ticketlose Reisen anhand von Biometrie. Heise zitiert die Aussagen des Unternehmens mit die App ist sicher und alles dsgvo-konform - wenn auch als Zitat ohne einen Faktencheck oder Einordnung dieser Aussagen. Ein paar Minuten Recherche, die meiner Meinung nach eigentlich die Aufgabe der Heise-Redaktion gewesen wäre, um die Aussagen zu verifizieren, zeigen mir, dass das nicht stimmen kann.

Das Unternehmen verstößt meiner Meinung nach gegen die DSGVO beim Besuch der Website, das Unternehmen scheint nicht sonderlich viel Wert auf Datenschutz zu legen, da es seine gesamten E-Mails bei Google hostet, und zu allem überfluß in eine App, in der besonders schützenswerte Daten gem. DSGVO (Art. 9) eingepflegt werden sollen, sind Analyse- als auch Werbedienste aktiv.

Und als besonderes Schmankerl oben drauf sagt fastid noch in den FAQ:

How does FastID improve my privacy?

Naturally, you should be the one to have ownership of your personal data and identity – not the big companies. When you use FastID we store your ID and personal data encrypted on your own mobile phone. This means you’re the only person who can access it. It’s the perfect way to take back ownership of your data. When you make a booking with FastID, you only share the information that is legally required for that purpose. The FastID app also enables you to keep track of all your registrations and to get an overview of the organisations with who you’ve shared your data with. By clicking on the GDPR button in the FastID app, you can send a legally valid request to delete all your data held by the company with who you’ve shared it…

auf Deutsch:

Wie verbessert FastID meine Privatsphäre?

Natürlich sollten Sie derjenige sein, der über Ihre persönlichen Daten und Ihre Identität verfügt - nicht die großen Unternehmen. Wenn Sie FastID nutzen, speichern wir Ihre ID und persönlichen Daten verschlüsselt auf Ihrem eigenen Mobiltelefon. Das bedeutet, dass Sie die einzige Person sind, die darauf zugreifen kann. Das ist der perfekte Weg, um die Kontrolle über Ihre Daten zurückzuerlangen. Wenn Sie eine Buchung mit FastID vornehmen, geben Sie nur die Informationen weiter, die für diesen Zweck gesetzlich erforderlich sind. Die FastID-App ermöglicht es Ihnen auch, alle Ihre Registrierungen zu verfolgen und einen Überblick über die Organisationen zu erhalten, mit denen Sie Ihre Daten geteilt haben. Mit einem Klick auf die GDPR-Schaltfläche in der FastID-App können Sie einen rechtsgültigen Antrag auf Löschung aller Ihrer Daten stellen, die sich im Besitz des Unternehmens befinden, mit dem Sie sie geteilt haben.

Richtig, die Passagiere/Nutzer sollten völlige Kontrolle über ihre eigenen Daten haben und nicht die großen Unternehmen. Was ist Google? Was ist Amazon? Was ist MixPanel?
Große Unternehmen, denen fastID uninformiert Daten weiterleitet und das ohne Einwilligung, Information, Notwendigkeit und zu allem Überfluss auch noch außerhalb der EU (unsicheres Drittland).

Noch ist die Registrierung freiwillig, aber jeder mögliche Nutzer sollte sich fragen, ob diese Werbeversprechen ihm oder ihr authentisch erscheinen und ob er oder sie das unterstützen möchte.