Nachträgliche biometrische Identifizierung zur Strafverfolgung: Risikoklasse und Pflichten im EU-KI-Recht
Nachträgliche biometrische Identifizierung zur Strafverfolgung (Remote-RBI aus gespeicherten Aufnahmen, nicht live) ist nach Anhang III Nr. 1 AI Act HOCHRISKANT — nicht verboten (im Gegensatz zur Echtzeit-RBI, Art. 5 Abs. 1 lit. h). Sie unterliegt spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026) dem Pflichtenbündel aus Art. 8–15 und fällt als biometrische Hochrisiko-KI unter Art. 43 Abs. 1 — notifizierte Stelle nur zwingend bei fehlenden harmonisierten Standards. Überlagert: Art. 9 DSGVO (besondere Datenkategorien), nationales Polizeirecht (in DE: Polizeirecht der Länder, BKA-Gesetz), BVerfG-Rechtsprechung zur Gesichtserkennung. Der Einsatz ist eng begrenzt, dokumentationspflichtig und grundrechtskonform auszugestalten.
Steve Baka
Hochrisiko nach Anhang III Nr. 1
Nachträgliche Remote-RBI (Identifizierung aus gespeicherten Bildern/Videos, nicht live) ist nach Anhang III Nr. 1 hochriskant. Sie dient der Aufklärung bereits begangener Straftaten (z. B. Match gegen Watchlist nach Bankraub). Biometrische Hochrisiko-KI fällt unter Art. 43 Abs. 1 — notifizierte Stelle nur zwingend, wenn keine harmonisierten Standards angewendet werden. Volles Pflichtenbündel aus Art. 8–15 spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026), mit Aufzeichnung (Art. 12) und strenger Cybersecurity (Art. 15).
Abgrenzung zur verbotenen Echtzeit-RBI
Scharfe Abgrenzung: Echtzeit-RBI im öffentlich zugänglichen Raum durch Strafverfolgung ist verboten (Art. 5 Abs. 1 lit. h), außer in engen Ausnahmen. Nachträgliche RBI (aus gespeicherten Aufnahmen) ist erlaubt, aber hochriskant. Die Grenze ist der zeitliche Bezug (live vs. nachträglich) und der Kontext (Echtzeit-Öffentlicher-Raum vs. Aufklärung). In der Praxis muss klar dokumentiert sein, dass keine Echtzeit-Erfassung stattfindet — eine „fast-Echtzeit"-Auswertung kann in den Verbotsbereich rutschen.
DSGVO und nationales Polizeirecht
Überlagert: Art. 9 DSGVO (biometrische Daten als besondere Kategorie — Verarbeitung nur unter engen Ausnahmen: erhebliches öffentliches Interesse, Geltendmachung von Rechtsansprüchen). Nationales Polizeirecht — in Deutschland BKA-Gesetz, Polizeirecht der Länder; das BVerfG hat Gesichtserkennung im öffentlichen Raum eng begrenzt (Volkszählungsurteil-Tradition). Einsatzbedingungen: konkreter Tatverdacht, Verhältnismäßigkeit, Dokumentation, Löschpflicht, richterliche Kontrolle bei tiefgreifenden Eingriffen. Die DSGVO-/Verfassungshürde ist in der Praxis oft höher als der AI Act.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Ist nachträgliche Gesichtserkennung verboten?
Nein, hochriskant (Anhang III Nr. 1), nicht verboten. Verboten ist nur Echtzeit-RBI im öffentlichen Raum durch Strafverfolgung (Art. 5 Abs. 1 lit. h).
Brauche ich eine notifizierte Stelle?
Bedingt. Biometrische Hochrisiko-KI fällt unter Art. 43 Abs. 1 — notifizierte Stelle nur zwingend, wenn keine harmonisierten Standards angewendet werden (sonst Wahlrecht für interne Kontrolle).
Greifen DSGVO und Verfassungsrecht?
Kumulativ. Art. 9 DSGVO (besondere Kategorie), nationales Polizeirecht (BKA-Gesetz, Länder), BVerfG-Rechtsprechung. Verhältnismäßigkeit, Dokumentation, richterliche Kontrolle.
Rechtskonforme Umsetzung für Nachträgliche biometrische Identifizierung zur Strafverfolgung?
Wenn du Nachträgliche biometrische Identifizierung zur Strafverfolgung rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.