use_caseArticlemaschinenlesbar

Nachträgliche biometrische Identifizierung zur Strafverfolgung: Risikoklasse und Pflichten im EU-KI-Recht

MenschMarkdown öffnen

Nachträgliche biometrische Identifizierung zur Strafverfolgung (Remote-RBI aus gespeicherten Aufnahmen, nicht live) ist nach Anhang III Nr. 1 AI Act HOCHRISKANT — nicht verboten (im Gegensatz zur Echtzeit-RBI, Art. 5 Abs. 1 lit. h). Sie unterliegt spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026) dem Pflichtenbündel aus Art. 8–15 und fällt als biometrische Hochrisiko-KI unter Art. 43 Abs. 1 — notifizierte Stelle nur zwingend bei fehlenden harmonisierten Standards. Überlagert: Art. 9 DSGVO (besondere Datenkategorien), nationales Polizeirecht (in DE: Polizeirecht der Länder, BKA-Gesetz), BVerfG-Rechtsprechung zur Gesichtserkennung. Der Einsatz ist eng begrenzt, dokumentationspflichtig und grundrechtskonform auszugestalten.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
hochrisiko

Hochrisiko nach Anhang III Nr. 1

Nachträgliche Remote-RBI (Identifizierung aus gespeicherten Bildern/Videos, nicht live) ist nach Anhang III Nr. 1 hochriskant. Sie dient der Aufklärung bereits begangener Straftaten (z. B. Match gegen Watchlist nach Bankraub). Biometrische Hochrisiko-KI fällt unter Art. 43 Abs. 1 — notifizierte Stelle nur zwingend, wenn keine harmonisierten Standards angewendet werden. Volles Pflichtenbündel aus Art. 8–15 spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026), mit Aufzeichnung (Art. 12) und strenger Cybersecurity (Art. 15).

abgrenzung

Abgrenzung zur verbotenen Echtzeit-RBI

Scharfe Abgrenzung: Echtzeit-RBI im öffentlich zugänglichen Raum durch Strafverfolgung ist verboten (Art. 5 Abs. 1 lit. h), außer in engen Ausnahmen. Nachträgliche RBI (aus gespeicherten Aufnahmen) ist erlaubt, aber hochriskant. Die Grenze ist der zeitliche Bezug (live vs. nachträglich) und der Kontext (Echtzeit-Öffentlicher-Raum vs. Aufklärung). In der Praxis muss klar dokumentiert sein, dass keine Echtzeit-Erfassung stattfindet — eine „fast-Echtzeit"-Auswertung kann in den Verbotsbereich rutschen.

ueberlagerung

DSGVO und nationales Polizeirecht

Überlagert: Art. 9 DSGVO (biometrische Daten als besondere Kategorie — Verarbeitung nur unter engen Ausnahmen: erhebliches öffentliches Interesse, Geltendmachung von Rechtsansprüchen). Nationales Polizeirecht — in Deutschland BKA-Gesetz, Polizeirecht der Länder; das BVerfG hat Gesichtserkennung im öffentlichen Raum eng begrenzt (Volkszählungsurteil-Tradition). Einsatzbedingungen: konkreter Tatverdacht, Verhältnismäßigkeit, Dokumentation, Löschpflicht, richterliche Kontrolle bei tiefgreifenden Eingriffen. Die DSGVO-/Verfassungshürde ist in der Praxis oft höher als der AI Act.

Sources

Quellen

Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).

EU AI Office

Europäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.

Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.

Datenschutz-Grundverordnung (DSGVO) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.

AI Act — konsolidierter Lesetext (ai-act-law.eu)

Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.

European Data Protection Supervisor (EDPS)

EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.

European Data Protection Board (EDPB)

EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.

EU AI Pact

Europäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.

Datenschutzkonferenz (DSK)

DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.

Der Bundesbeauftragte für Datenschutz (BfDI)

BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.

Rat für Künstliche Intelligenz (Österreich)

Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.

Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).

Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.

FAQ

Häufige Fragen

Ist nachträgliche Gesichtserkennung verboten?

Nein, hochriskant (Anhang III Nr. 1), nicht verboten. Verboten ist nur Echtzeit-RBI im öffentlichen Raum durch Strafverfolgung (Art. 5 Abs. 1 lit. h).

Brauche ich eine notifizierte Stelle?

Bedingt. Biometrische Hochrisiko-KI fällt unter Art. 43 Abs. 1 — notifizierte Stelle nur zwingend, wenn keine harmonisierten Standards angewendet werden (sonst Wahlrecht für interne Kontrolle).

Greifen DSGVO und Verfassungsrecht?

Kumulativ. Art. 9 DSGVO (besondere Kategorie), nationales Polizeirecht (BKA-Gesetz, Länder), BVerfG-Rechtsprechung. Verhältnismäßigkeit, Dokumentation, richterliche Kontrolle.

Compliance für deinen Fall

Rechtskonforme Umsetzung für Nachträgliche biometrische Identifizierung zur Strafverfolgung?

Wenn du Nachträgliche biometrische Identifizierung zur Strafverfolgung rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.

Jetzt beraten lassen
Related