industryArticlemaschinenlesbar

Biometrie & Identitätsprüfung: AI Act, Data Act & DSGVO-Pflichten

MenschMarkdown öffnen

Biometrische KI ist der am dichtesten regulierte Bereich des AI Act. Echtzeit-Fernidentifizierung biometrischer Daten (RBI) im öffentlichen Raum durch Strafverfolgungsbehörden ist grundsätzlich verboten und nur in engen Ausnahmen zulässig (Art. 5 Abs. 1 lit. h). Verboten sind ferner biometrische Kategorisierung nach sensiblen Merkmalen (lit. g) und untargeted Facial Scraping (lit. e). Hochriskant nach Anhang III Nr. 1 sind u. a. Remote-RBI-Systeme (nicht nur Echtzeit) und biometrische Kategorisierungs-/Emotionserkennungssysteme, die nicht unter die Verbote fallen — sie unterliegen spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026) dem Pflichtenbündel aus Art. 8–15 und der Konformitätsbewertung nach Art. 43 Abs. 1 (notifizierte Stelle nur zwingend bei fehlenden harmonisierten Standards). Die DSGVO (Art. 9: besondere Datenkategorien) greift bei Verarbeitung biometrischer Daten ergänzend.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
verbote

Verbote nach Art. 5

Im biometrischen Bereich treffen gleich drei Art. 5-Verbote zu: Echtzeit-RBI im öffentlichen Raum durch Strafverfolgung (lit. h, mit engen Ausnahmen nach Abs. 2–5); biometrische Kategorisierung, die auf Rasse, politische Meinungen, Gewerkschaftszugehörigkeit, Religion oder Sexualleben schließen lässt (lit. g); und das untargeted Scraping von Gesichtsbildern zum Aufbau von Datenbanken (lit. e). Diese Verbote gelten seit dem 2. Februar 2025 und sind die höchsten Sanktionen (bis 35 Mio. EUR / 7 % Umsatz, Art. 99).

hochrisiko anhang iii 1

Hochrisiko nach Anhang III Nr. 1

Nicht verboten, aber hochriskant sind nach Anhang III Nr. 1: Remote-RBI-Systeme (die nicht unter das Echtzeit-Verbot fallen), biometrische Kategorisierungssysteme (soweit nicht nach lit. g verboten) und Emotionserkennungssysteme (soweit nicht nach lit. f am Arbeitsplatz/in Bildung verboten). Diese Systeme lösen das Pflichtenbündel aus Art. 8–15 aus und erfordern die Konformitätsbewertung nach Art. 43 Abs. 1 — eine notifizierte Stelle ist nur zwingend, wenn keine harmonisierten Standards angewendet werden (Wahlrecht sonst).

dsgvo schnittstelle

Schnittstelle zur DSGVO (Art. 9)

Biometrische Daten zur eindeutigen Identifizierung sind „besondere Datenkategorien" nach Art. 9 Abs. 1 DSGVO — ihre Verarbeitung ist grundsätzlich untersagt und nur unter engen Ausnahmen zulässig (Art. 9 Abs. 2, z. B. ausdrückliche Einwilligung, erhebliches öffentliches Interesse, Geltendmachung von Rechtsansprüchen). Der AI Act ergänzt diese Vorgaben um die KI-spezifischen Pflichten, ohne die DSGVO zu verdrängen. Beide Regime sind kumulativ anwendbar — eine AI-Act-konforme Gesichtserkennung kann an DSGVO-Art. 9 scheitern.

Sources

Quellen

FAQ

Häufige Fragen

Ist Gesichtserkennung verboten oder hochriskant?

Echtzeit-RBI durch Strafverfolgung im öffentlichen Raum ist verboten (Art. 5 Abs. 1 lit. h). Nicht-verbotene Remote-RBI-Systeme sind hochriskant (Anhang III Nr. 1) und benötigen ggf. eine notifizierte Stelle (Art. 43 Abs. 1 — nur zwingend bei fehlenden harmonisierten Standards).

Was ist biometrische Kategorisierung?

Die Zuordnung von Personen zu Kategorien anhand biometrischer Merkmale. Nach sensiblen Merkmalen (Rasse, Religion etc.) ist sie verboten (Art. 5 Abs. 1 lit. g); sonstige Kategorisierung ist hochriskant (Anhang III Nr. 1).

Greift zusätzlich die DSGVO?

Ja, kumulativ. Biometrische Daten zur Identifizierung sind besondere Kategorien nach Art. 9 DSGVO und dürfen nur unter engen Ausnahmen verarbeitet werden.

Beratung für deinen Sektor

KI-Compliance für Biometrie & Identitätsprüfung?

Wenn du im Sektor Biometrie & Identitätsprüfung KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.

Jetzt beraten lassen
Related