Biometrische Kategorisierung sensibler Merkmale: Risikoklasse und Pflichten im EU-KI-Recht
Die biometrische Kategorisierung, die allein oder zusammen mit anderen Daten Rückschlüsse auf Rasse, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse oder weltanschauliche Überzeugungen, das Sexualleben oder die sexuelle Ausrichtung zulässt, ist nach Art. 5 Abs. 1 lit. g AI Act VERBOTEN. Das Verbot schützt besonders sensible Identitätsdimensionen vor biometrischem Profiling. Es gilt seit dem 2. Februar 2025, höchste Sanktion bis 35 Mio. EUR / 7 % Umsatz (Art. 99 Abs. 3). Nicht-sensible biometrische Kategorisierung (z. B. reine Alters-/Geschlechts-Klassifikation ohne sensiblen Rückschluss) ist hochriskant nach Anhang III Nr. 1 und benötigt eine notifizierte Stelle.
Steve Baka
Der Verbotstatbestand (Art. 5 Abs. 1 lit. g)
Art. 5 Abs. 1 lit. g verbietet KI zur Schlussfolgerung biometrischer Kategorien natürlicher Personen, die allein oder zusammen mit anderen Daten Rückschlüsse auf Rasse, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse oder weltanschauliche Überzeugungen, das Sexualleben oder die sexuelle Ausrichtung zulassen. Tatbestandsmerkmale: (1) biometrische Kategorisierung, (2) sensibler Rückschluss (Rasse, Religion, Politik etc.). Die Sensibilitätsliste deckt sich weitgehend mit Art. 9 DSGVO und dem AGG — der AI Act ergänzt die KI-spezifische Dimension. Verbot seit dem 2. Februar 2025.
Praxisbeispiele und Risiko
Verboten sind u. a.: automatische ethische Klassifikation aus Gesichtsbildern (Pseudowissenschaft, die dennoch vertrieben wird), Religionsschluss aus Kleidung/Stimme, sexuelle Orientierung aus Gesichtsausdrücken, politische Einstellung aus Online-Verhalten mit biometrischem Anteil. Solche Systeme sind diskriminierungsgefährdet und grundrechtsverletzend. Das Verbot erfasst auch Systeme, die „nur" solche Daten als Nebeneffekt ableiten und weiterverwenden. Die Praxis hat gezeigt, dass die zugrundeliegenden Techniken wissenschaftlich umstritten und diskriminierend sind — deshalb die klare Verbotsnorm.
Abgrenzung zur nicht-sensiblen Kategorisierung
Nicht verboten, aber hochriskant: biometrische Kategorisierung nach nicht-sensiblen Merkmalen (z. B. reine Altersschätzung, Haarfarbe) — Anhang III Nr. 1, Konformitätsbewertung nach Art. 43 Abs. 1 (notifizierte Stelle nur zwingend bei fehlenden harmonisierten Standards). Die Abgrenzung ist schwierig: Geschlecht kann sensibel sein (im Kontext sexueller Orientierung), ethnische Herkunft ist stets sensibel, Religion kann aus Kleidung geschlussfolgert werden. Konservative Auslegung empfiehlt, bei Grenzfällen vom Verbot auszugehen und den Datenschutzbeauftragten hinzuzuziehen. Kombiniert mit DSGVO Art. 9 (besondere Datenkategorien) ist die Hürde doppelt hoch.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Ist automatische Ethnie-Erkennung aus Gesichtsbildern verboten?
Ja. Art. 5 Abs. 1 lit. g verbietet biometrische Kategorisierung nach sensiblen Merkmalen (Rasse/Ethnie), seit 2. Feb. 2025.
Was ist mit Alters- oder Geschlechts-Klassifikation?
Nicht verboten, aber hochriskant (Anhang III Nr. 1) — notifizierte Stelle. Bei sensiblen Rückschlüssen (sexuelle Orientierung) droht das Verbot.
Welche Merkmale sind „sensibel"?
Rasse, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse/weltanschauliche Überzeugungen, Sexualleben, sexuelle Ausrichtung (Art. 5 Abs. 1 lit. g) — deckt sich weitgehend mit DSGVO Art. 9.
Rechtskonforme Umsetzung für Biometrische Kategorisierung sensibler Merkmale?
Wenn du Biometrische Kategorisierung sensibler Merkmale rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.