use_caseArticlemaschinenlesbar

Ungezieltes Scraping von Gesichtsbildern: Risikoklasse und Pflichten im EU-KI-Recht

MenschMarkdown öffnen

Das ungezielte Scraping (Erfassen) von Gesichtsbildern aus dem Internet oder Überwachungsmaterial zum Aufbau oder Erweitern von Gesichtserkennungs-Datenbanken ist nach Art. 5 Abs. 1 lit. e AI Act VERBOTEN. „Untargeted" meint das massenhafte, ungerichtete Sammeln ohne konkreten Verdacht oder spezifischen Bezug zu einer Person. Das Verbot schützt die informationelle Selbstbestimmung und verhindert globale Gesichtserkennungs-Infrastrukturen (wie z. B. Clearview AI praktiziert hat). Es gilt seit dem 2. Februar 2025. Höchste Sanktion: bis 35 Mio. EUR / 7 % Umsatz (Art. 99 Abs. 3). Abzugrenzen ist das gezielte, befristete Erfassen im Rahmen der erlaubten RBI-Ausnahmen (Art. 5 Abs. 1 lit. h) sowie DSGVO-konforme Gesichtserkennung mit Einwilligung.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
verbot

Der Verbotstatbestand (Art. 5 Abs. 1 lit. e)

Art. 5 Abs. 1 lit. e verbietet das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI zum ungerichteten Sammeln (Scraping) von Gesichtsbildern aus dem Internet oder durch Fußkameras (body-worn cameras), um Gesichtserkennungsdatenbanken aufzubauen oder zu erweitern. Tatbestandsmerkmale: (1) Gesichtsbild-Erfassung, (2) ungerichtet/massenhaft (untargeted), (3) Zweck: Aufbau/Erweiterung einer Gesichtserkennungs-Datenbank. Erfasst sind Web-Scraping von Social-Media-Bildern und die Erfassung durch mobile Kameras im öffentlichen Raum ohne konkreten Verdacht.

hintergrund

Hintergrund und Praxisbezug

Der Verbotstatbestand reagiert auf Praktiken wie die von Clearview AI, die Milliarden Gesichtsbilder aus dem Internet scrapte und eine globale Identifizierungsdatenbank aufbaute. Die DSGVO hatte dies bereits untersagt (italienische Garante, französische CNIL Bußgelder), der AI Act schafft nun die allgemeine KI-spezifische Verbotsnorm. Sinn ist der Schutz vor lückenloser Gesichtserkennungs-Infrastruktur, die informationelle Selbstbestimmung, Versammlungs- und Meinungsfreiheit aushöhlen würde.

abgrenzung

Abgrenzung zu zulässiger Sammlung

Nicht verboten: gezielte Gesichtsbild-Erfassung im Rahmen der erlaubten RBI-Ausnahmen (Art. 5 Abs. 1 lit. h ii/iii: Opfersuche, Katalog-Straftaten) mit vorab erteilter Autorisierung. Ebenso nicht erfasst: DSGVO-konforme Gesichtserkennung mit ausdrücklicher Einwilligung (z. B. Authentifizierungsdienst, bei dem Nutzer selbst Bilder hochladen) — hier greift DSGVO Art. 9 Abs. 2. Die Grenze zieht das Merkmal „untargeted" + „Gesichtserkennungsdatenbank". Eine Referenzdatenbank von freiwillig Angemeldeten ist kein „Scraping".

Sources

Quellen

Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).

EU AI Office

Europäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.

Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.

Datenschutz-Grundverordnung (DSGVO) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.

AI Act — konsolidierter Lesetext (ai-act-law.eu)

Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.

European Data Protection Supervisor (EDPS)

EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.

European Data Protection Board (EDPB)

EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.

EU AI Pact

Europäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.

Datenschutzkonferenz (DSK)

DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.

Der Bundesbeauftragte für Datenschutz (BfDI)

BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.

Rat für Künstliche Intelligenz (Österreich)

Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.

Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).

Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex

Amtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.

FAQ

Häufige Fragen

Darf ich Gesichtsbilder aus dem Internet für eine Gesichtserkennungs-Datenbank scrapen?

Nein. Art. 5 Abs. 1 lit. e AI Act verbietet untargeted Facial Scraping seit dem 2. Februar 2025. Höchste Sanktion bis 35 Mio. EUR / 7 % Umsatz.

Warum gibt es dieses Verbot?

Als Reaktion auf Praktiken wie Clearview AI — massenhafte Gesichtserfassung untergräbt informationelle Selbstbestimmung, Versammlungs- und Meinungsfreiheit.

Was ist mit Gesichtserkennung mit Einwilligung?

Erlaubt, unter DSGVO Art. 9 Abs. 2 (ausdrückliche Einwilligung). Das Verbot erfasst nur untargeted Scraping zum Datenbankaufbau.

Compliance für deinen Fall

Rechtskonforme Umsetzung für Ungezieltes Scraping von Gesichtsbildern?

Wenn du Ungezieltes Scraping von Gesichtsbildern rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.

Jetzt beraten lassen
Related