Ungezieltes Scraping von Gesichtsbildern: Risikoklasse und Pflichten im EU-KI-Recht
Das ungezielte Scraping (Erfassen) von Gesichtsbildern aus dem Internet oder Überwachungsmaterial zum Aufbau oder Erweitern von Gesichtserkennungs-Datenbanken ist nach Art. 5 Abs. 1 lit. e AI Act VERBOTEN. „Untargeted" meint das massenhafte, ungerichtete Sammeln ohne konkreten Verdacht oder spezifischen Bezug zu einer Person. Das Verbot schützt die informationelle Selbstbestimmung und verhindert globale Gesichtserkennungs-Infrastrukturen (wie z. B. Clearview AI praktiziert hat). Es gilt seit dem 2. Februar 2025. Höchste Sanktion: bis 35 Mio. EUR / 7 % Umsatz (Art. 99 Abs. 3). Abzugrenzen ist das gezielte, befristete Erfassen im Rahmen der erlaubten RBI-Ausnahmen (Art. 5 Abs. 1 lit. h) sowie DSGVO-konforme Gesichtserkennung mit Einwilligung.
Steve Baka
Der Verbotstatbestand (Art. 5 Abs. 1 lit. e)
Art. 5 Abs. 1 lit. e verbietet das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI zum ungerichteten Sammeln (Scraping) von Gesichtsbildern aus dem Internet oder durch Fußkameras (body-worn cameras), um Gesichtserkennungsdatenbanken aufzubauen oder zu erweitern. Tatbestandsmerkmale: (1) Gesichtsbild-Erfassung, (2) ungerichtet/massenhaft (untargeted), (3) Zweck: Aufbau/Erweiterung einer Gesichtserkennungs-Datenbank. Erfasst sind Web-Scraping von Social-Media-Bildern und die Erfassung durch mobile Kameras im öffentlichen Raum ohne konkreten Verdacht.
Hintergrund und Praxisbezug
Der Verbotstatbestand reagiert auf Praktiken wie die von Clearview AI, die Milliarden Gesichtsbilder aus dem Internet scrapte und eine globale Identifizierungsdatenbank aufbaute. Die DSGVO hatte dies bereits untersagt (italienische Garante, französische CNIL Bußgelder), der AI Act schafft nun die allgemeine KI-spezifische Verbotsnorm. Sinn ist der Schutz vor lückenloser Gesichtserkennungs-Infrastruktur, die informationelle Selbstbestimmung, Versammlungs- und Meinungsfreiheit aushöhlen würde.
Abgrenzung zu zulässiger Sammlung
Nicht verboten: gezielte Gesichtsbild-Erfassung im Rahmen der erlaubten RBI-Ausnahmen (Art. 5 Abs. 1 lit. h ii/iii: Opfersuche, Katalog-Straftaten) mit vorab erteilter Autorisierung. Ebenso nicht erfasst: DSGVO-konforme Gesichtserkennung mit ausdrücklicher Einwilligung (z. B. Authentifizierungsdienst, bei dem Nutzer selbst Bilder hochladen) — hier greift DSGVO Art. 9 Abs. 2. Die Grenze zieht das Merkmal „untargeted" + „Gesichtserkennungsdatenbank". Eine Referenzdatenbank von freiwillig Angemeldeten ist kein „Scraping".
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Darf ich Gesichtsbilder aus dem Internet für eine Gesichtserkennungs-Datenbank scrapen?
Nein. Art. 5 Abs. 1 lit. e AI Act verbietet untargeted Facial Scraping seit dem 2. Februar 2025. Höchste Sanktion bis 35 Mio. EUR / 7 % Umsatz.
Warum gibt es dieses Verbot?
Als Reaktion auf Praktiken wie Clearview AI — massenhafte Gesichtserfassung untergräbt informationelle Selbstbestimmung, Versammlungs- und Meinungsfreiheit.
Was ist mit Gesichtserkennung mit Einwilligung?
Erlaubt, unter DSGVO Art. 9 Abs. 2 (ausdrückliche Einwilligung). Das Verbot erfasst nur untargeted Scraping zum Datenbankaufbau.
Rechtskonforme Umsetzung für Ungezieltes Scraping von Gesichtsbildern?
Wenn du Ungezieltes Scraping von Gesichtsbildern rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.