Internet-Sicherheit

Amazon und Mastercard: Online-Käufe mit Selfies statt mit Passwort?

Ein Bild sagt mehr als tausend Passwörter.
Ein Bild sagt mehr als tausend Passwörter.

Quelle: Woweries/corbisimages.com

Amazon hat ein Patent für das Bezahlen per Selfie angemeldet. Der Titel des Patents: „Image Analysis for User Authentication“(Übersetzung: „Bild-Analyse zur Nutzer-Feststellung“). Die Idee: Kunden können demnächst ein Bild oder ein Video von sich machen, um einen Kaufvorgang abzuschließen.

Online-Shopping soll so noch einfacher werden – und sicherer. Denn ein Passwort wäre damit unnötig –  und könnte nicht mehr geknackt oder gehackt werden. Auch könnten Kinder nicht mehr aus Versehen (oder mit voller Absicht) unerlaubt mit dem Account der Eltern einkaufen gehen.

MasterCard testet bereits das Selfie zur Verifizierung

Amazon ist allerdings kein Vorreiter. MasterCard testet nach eigenen Angaben derzeit bereits ein entsprechendes System, das anhand eines Video-Selfies den Nutzer verifiziert. Und ihn somit von der Pflicht entbindet, alle geforderten Kreditkarteninformationen einzugeben. Angeblich soll das System ab Sommer bereits in einigen Ländern zum Einsatz kommen. Darunter soll auch Deutschland sein.

Der Wunsch nach neuen Verifizierungsmethoden kommt nicht von ungefähr: Mastercard hat mittels Umfragen festgestellt, dass über die Hälfte der Befragten mehrmals pro Woche wichtige Passwörter vergessen. Abgesehen davon zeigen Untersuchungen immer wieder, dass viele Nutzer in der Auswahl Ihrer Sicherheitspasswörter nicht besonders einfallsreich sind.

Die Verifizierung durch Selfies könnte Online-Shopping und -Banking also sicherer machen. Sie wirft allerdings auch rechtliche Fragen auf, besonders in Bezug auf Datenschutz. Denn ein Foto kann mehr Informationen preisgeben, als viele ahnen.

Selfies und Datenschutz: Wirklich vereinbar?

Jede Foto-Videoaufnahme einer Person enthält personenbezogene Daten. Den Umgang mit ihnen regelt das Bundesdatenschutzgesetz (BDSG). Augen- oder Haarfarbe sind klassische Beispiele für personenbezogene Daten. Aber zum Beispiel auch, ob jemand Brillenträger ist. Da das bereits einen Rückschluss auf die Gesundheit der abgebildeten Person zulässt, gehört diese Information zu einer Extra-Kategorie, den „besonderen personenbezogenen Daten“. Sie heißen auch „sensible Daten“.

Dazu gehören Informationen wie die rassische und ethnische Herkunft, politische Meinungen und religiöse oder philosophische Überzeugungen. Über Kennzeichen wie Hautfarbe, Kopfbedeckung, Tattoos oder andere Merkmale kann bereits ein Foto ausreichen, um diese Informationen aufzudecken. Die Verarbeitung dieser sensiblen Daten ist rechtlich aber nur unter sehr engen Voraussetzungen möglich.

Rechtsanwältin Friederike Lemme von der Arbeitsgemeinschaft IT-Recht im Deutschen Anwaltverein (DAV) erklärt: „Sofern jemand zur Datenverarbeitung seine Einwilligung gibt – was beim Hochladen eines Selfies zur Identifikation regelmäßig der Fall sein dürfte – muss sich die Einwilligung im Falle besonderer Arten personenbezogener Daten auch genau auf diese beziehen.“
Die Nutzer müssten also mindestens vor jedem Verifizierungs-Selfie noch eine Einverständniserklärung zur Verarbeitung ihrer sensiblen Daten abgeben.

Kundenselfies bei Amazon: Wirklich nur zur Verifizierung gedacht?

Aber was passiert abgesehen von der eindeutigen Identifizierung mit der Foto-/Video-Aufnahme? Können Kunden das wirklich nachvollziehen?
Hier sieht Rechtsexpertin Lemme die Gefahr für Missbrauch: „Ich kann mir vorstellen, dass die Unternehmen ein großes Interesse daran haben, nicht nur die üblichen Daten von Kunden zu sammeln. Sondern darüber hinaus auch ein Portfolio an Kundenfotos aufzubauen.“

Denn nicht nur die Frage, was wer wann gekauft hat, ist für die Konzerne interessant. Sie wollen wissen: Was hat der Kunde während des Kaufs gedacht? Wie hat er sich gefühlt? Moderne Software zur Bildanalyse kann diese Daten aus Fotos filtern.

Wie sieht die Wohnung des Käufers aus? Was für Kleidung trägt er? Immer mehr Schlüsse zu einer einzelnen Person werden möglich. Erhält jemand, der auf seinen Selfies oft Hemden trägt, plötzlich Werbeanzeigen von Hemden-Herstellern?

Fazit: Selfie-Verifizierung löst alte Probleme und schafft neue

Die derzeitig gängigen Sicherheitssysteme im Internet unter Verwendung von Passwörtern, TAN-Nummern und Sicherheitsfragen sind verbesserungswürdig. Verifizierung per Selfie könnte etliche dieser Probleme lösen. Nutzer müssten sich keine Passwörter mehr merken und keine Zeit damit verschwenden, ständig ihre Konten neu aufzusetzen. Kauf- und Zahlungsvorgänge könnten in der Praxis schneller, sicherer und kundenfreundlicher abgewickelt werden.

Das stete Übermitteln von Foto/Video-Material an private Unternehmen ist allerdings datenschutzrechtlich bedenklich. Denn in diesen Daten steckt eine Fülle an Information, was Ihre Weiterverwendung für die Wirtschaft äußerst attraktiv macht. Rechtlich müsste das System einer Selfie-Verifizierung so zugeschnitten sein, dass es nicht zum Missbrauch personenbezogener und besonders sensibler Daten kommen kann.

Gero Wilke Sven Teuber Dominic Baumüller Gerrit Müller Wolfgang A. Schmid

Wählen Sie aus über 66.000 Anwältinnen und Anwälten in Deutschlands großer Anwaltssuche

Aus dem Magazin

  • Grundgesetz der Bundesrepublik Deutschland

    Die Grundgesetz-App des Deutschen Anwaltvereins bietet u. a. alle Artikel der neuesten Fassung des Deutschen Grundgesetzes in ansprechender und übersichtlich gestalteter Form.

  • Bußgeldrechner

    Sie haben eine rote Ampel übersehen oder sind geblitzt worden? Mit der App des Deutschen Anwaltvereins können Sie direkt Ihr Bußgeld ermitteln – und sofort einen Anwalt finden.

  • Unterhaltsrechner

    Mit der Unterhalts-App lässt sich schnell und simpel ermitteln, welchen Unterhaltsanspruch Sie haben.

  • Blutalkoholrechner

    Sie möchten wissen, wie sich Alkoholkonsum auf den Blutalkoholspiegel auswirkt? Der Blutalkoholrechner des Deutschen Anwaltvereins hilft Ihnen weiter.