glossaryDefinedTermmaschinenlesbar

Biometrische Daten: Definition und rechtliche Bedeutung (AI Act / Data Act)

MenschMarkdown öffnen

Biometrische Daten sind nach Art. 3 Nr. 34 AI Act (i.V.m. Art. 4 Nr. 14 DSGVO) personenbezogene Daten, die aus der spezifischen technischen Verarbeitung der physischen, physiologischen oder verhaltensbezogenen Merkmale einer natürlichen Person resultieren und ihre Bestätigung oder eindeutige Identifizierung ermöglichen — etwa Gesichtsbilder, Fingerabdrücke, Iris-Scans, Stimmmerkmale, Tippmuster. Sie sind eine „besondere Datenkategorie" nach Art. 9 DSGVO und dürfen nur unter engen Ausnahmen verarbeitet werden. Im AI Act sind sie Anknüpfungspunkt für die strengsten Pflichten: Echtzeit-RBI (Art. 5 verboten), biometrische Hochrisiko-KI (Anhang III Nr. 1, notifizierte Stelle) und biometrische Kategorisierungs-Verbote (Art. 5 Abs. 1 lit. g).

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
definition

Definition und Beispiele

Art. 3 Nr. 34 AI Act definiert biometrische Daten als personenbezogene Daten, die aus der spezifischen technischen Verarbeitung der physischen, physiologischen oder verhaltensbezogenen Merkmale einer Person resultieren und ihre Bestätigung oder eindeutige Identifizierung ermöglichen. Beispiele: Gesichtsbilder (für Gesichtserkennung), Fingerabdrücke, Iris-/Retina-Scans, Stimmmerkmale, Gangmuster, Tipp- und Wischmuster. Abzugrenzen sind „biometrische Daten zur eindeutigen Identifizierung" (besondere Kategorie nach DSGVO Art. 9) von bloßen biometrischen Merkmalen ohne Identifizierungsfunktion (z. B. Gesichtsbild ohne Referenzdatenbank).

dsgvo

Sonderstatus nach DSGVO Art. 9

Biometrische Daten zur eindeutigen Identifizierung sind eine besondere Datenkategorie nach Art. 9 Abs. 1 DSGVO — ihr Verarbeitung grundsätzlich verboten, erlaubt nur unter engen Ausnahmen (Art. 9 Abs. 2: ausdrückliche Einwilligung, erhebliches öffentliches Interesse, Geltendmachung/Verteidigung von Rechtsansprüchen, medizinische Diagnose/Behandlung etc.). Das bedeutet: Eine KI-gestützte Gesichtserkennung kann AI-Act-konform (z. B. hochrisiko nach Anhang III Nr. 1) und trotzdem datenschutzrechtlich unzulässig sein. Beide Regime sind kumulativ; die DSGVO-Hürde ist in der Praxis oft die höhere.

ki act anknuepfung

Anknüpfung im AI Act

Biometrische Daten sind der Anknüpfungspunkt für die strengsten AI-Act-Pflichten: (1) Echtzeit-RBI im öffentlichen Raum durch Strafverfolgung = verboten (Art. 5 Abs. 1 lit. h); (2) untargeted Facial Scraping = verboten (lit. e); (3) biometrische Kategorisierung nach sensiblen Merkmalen = verboten (lit. g); (4) sonstige Remote-RBI und Emotionserkennung = hochriskant (Anhang III Nr. 1, Konformitätsbewertung nach Art. 43 Abs. 1); (5) Emotionserkennung am Arbeitsplatz/Bildung = verboten (lit. f). Wer biometrische KI einsetzt, muss die mehrfache Hürde (Verbot/Hochrisiko/DSGVO) sorgfältig prüfen.

Sources

Quellen

FAQ

Häufige Fragen

Was sind biometrische Daten?

Personenbezogene Daten aus technischer Verarbeitung physischer/physiologischer/verhaltensbezogener Merkmale zur Identifizierung — Gesichter, Fingerabdrücke, Iris, Stimme (Art. 3 Nr. 34).

Sind sie besonders geschützt?

Ja. Biometrische Daten zur Identifizierung sind eine besondere Kategorie nach Art. 9 DSGVO — Verarbeitung nur unter engen Ausnahmen. Die DSGVO-Hürde ist in der Praxis oft höher als der AI Act.

Welche AI-Act-Pflichten greifen?

Die strengsten: RBI-Verbot (Art. 5), Kategorisierungs-Verbot, untargeted Scraping-Verbot, sonstige Remote-RBI/Emotionserkennung hochriskant (Anhang III Nr. 1, notifizierte Stelle).

KI-Compliance umsetzen

Du willst EU AI Act und Data Act praktisch umsetzen?

Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.

Jetzt beraten lassen
Related