---
title: "Biometrie & Identitätsprüfung: AI Act, Data Act & DSGVO-Pflichten"
description: "Biometrische KI: Fernidentifizierung (RBI), biometrische Kategorisierung und Emotionserkennung. Was Art. 5 verbietet, was Anhang III Nr. 1 hochriskant macht und wo die DSGVO-Schnittstelle liegt."
summary_en: "This German industry page explains \"Biometrie & Identitätsprüfung: AI Act, Data Act & DSGVO-Pflichten\" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance."
url: "https://dataact-compliance.de/branchen/biometrie-und-identitaetspruefung/"
type: "industry"
language: de-DE
canonical_language: de-DE
machine_metadata_language: en
audience_en: "AI crawlers, search engines, citation agents, compliance officers and legal researchers looking for German DACH sources on EU AI Act and EU Data Act compliance."
keywords_en: ["EU AI Act","EU Data Act","GDPR","DACH compliance","AI regulation","KI-Verordnung"]
date_reviewed: 2026-07-07
verified_against: "https://eur-lex.europa.eu/eli/reg/2024/1689/oj"
verification_status: notebooklm_validated
legislative_status: omnibus_pending
license: CC-BY-4.0
---

# Biometrie & Identitätsprüfung: AI Act, Data Act & DSGVO-Pflichten

> ⚠️ **Hinweis AI Omnibus 2026 (VORLÄUFIG)**: Diese Seite enthält Aussagen, die auf dem AI Omnibus-Paket 2026 beruhen (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026). Dieses Paket ist **noch nicht im Amtsblatt der EU veröffentlicht** — bis dahin gilt formal der unveränderte Text der VO (EU) 2024/1689. Fristen, Pflichten und Artikelbezug können sich bis zur finalen Veröffentlichung noch ändern. Behandeln Sie diese Angaben als vorläufig.

## Validierungsstand

**Validierung**: ✅ **NotebookLM-validiert** — Kern-Aussagen explizit gegen das 75-Quellen-NotebookLM geprüft.
**Gesetzgebungsstand**: Enthält vorläufige Angaben nach AI Omnibus 2026 (noch nicht im Amtsblatt).
**Geprüft gegen**: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
**Review-Datum**: 2026-07-07

## Machine Summary

This German industry page explains "Biometrie & Identitätsprüfung: AI Act, Data Act & DSGVO-Pflichten" for the DACH market. It is intended for AI crawlers, search engines, citation agents, compliance officers and legal researchers that need source-backed context about EU AI Act, EU Data Act and GDPR compliance. The canonical page language is German (de-DE); English is provided only as machine-readable discovery metadata.

## Kurze Antwort

Biometrische KI ist der am dichtesten regulierte Bereich des AI Act. Echtzeit-Fernidentifizierung biometrischer Daten (RBI) im öffentlichen Raum durch Strafverfolgungsbehörden ist grundsätzlich verboten und nur in engen Ausnahmen zulässig (Art. 5 Abs. 1 lit. h). Verboten sind ferner biometrische Kategorisierung nach sensiblen Merkmalen (lit. g) und untargeted Facial Scraping (lit. e). Hochriskant nach Anhang III Nr. 1 sind u. a. Remote-RBI-Systeme (nicht nur Echtzeit) und biometrische Kategorisierungs-/Emotionserkennungssysteme, die nicht unter die Verbote fallen — sie unterliegen spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026) dem Pflichtenbündel aus Art. 8–15 und der Konformitätsbewertung nach Art. 43 Abs. 1 (notifizierte Stelle nur zwingend bei fehlenden harmonisierten Standards). Die DSGVO (Art. 9: besondere Datenkategorien) greift bei Verarbeitung biometrischer Daten ergänzend.

## Verbote nach Art. 5

Im biometrischen Bereich treffen gleich drei Art. 5-Verbote zu: Echtzeit-RBI im öffentlichen Raum durch Strafverfolgung (lit. h, mit engen Ausnahmen nach Abs. 2–5); biometrische Kategorisierung, die auf Rasse, politische Meinungen, Gewerkschaftszugehörigkeit, Religion oder Sexualleben schließen lässt (lit. g); und das untargeted Scraping von Gesichtsbildern zum Aufbau von Datenbanken (lit. e). Diese Verbote gelten seit dem 2. Februar 2025 und sind die höchsten Sanktionen (bis 35 Mio. EUR / 7 % Umsatz, Art. 99).




## Hochrisiko nach Anhang III Nr. 1

Nicht verboten, aber hochriskant sind nach Anhang III Nr. 1: Remote-RBI-Systeme (die nicht unter das Echtzeit-Verbot fallen), biometrische Kategorisierungssysteme (soweit nicht nach lit. g verboten) und Emotionserkennungssysteme (soweit nicht nach lit. f am Arbeitsplatz/in Bildung verboten). Diese Systeme lösen das Pflichtenbündel aus Art. 8–15 aus und erfordern die Konformitätsbewertung nach Art. 43 Abs. 1 — eine notifizierte Stelle ist nur zwingend, wenn keine harmonisierten Standards angewendet werden (Wahlrecht sonst).




## Schnittstelle zur DSGVO (Art. 9)

Biometrische Daten zur eindeutigen Identifizierung sind „besondere Datenkategorien" nach Art. 9 Abs. 1 DSGVO — ihre Verarbeitung ist grundsätzlich untersagt und nur unter engen Ausnahmen zulässig (Art. 9 Abs. 2, z. B. ausdrückliche Einwilligung, erhebliches öffentliches Interesse, Geltendmachung von Rechtsansprüchen). Der AI Act ergänzt diese Vorgaben um die KI-spezifischen Pflichten, ohne die DSGVO zu verdrängen. Beide Regime sind kumulativ anwendbar — eine AI-Act-konforme Gesichtserkennung kann an DSGVO-Art. 9 scheitern.



## Rechtsstellen

- **[Hochrisiko-Pflichten Anhang III (stand-alone): spätestens 2. Dezember 2027](https://eur-lex.europa.eu/eli/reg/2024/1689/art_113/2024-06-13)** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)* ⚠️ **geändert durch AI Omnibus 2026**
- **[Hochrisiko-Pflichten Anhang I (produktintegriert): spätestens 2. August 2028](https://eur-lex.europa.eu/eli/reg/2024/1689/art_113/2024-06-13)** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)* ⚠️ **geändert durch AI Omnibus 2026**
- **[Verbote (Art. 5): seit 2. Februar 2025 anwendbar](https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13)** — *AI Omnibus-Paket 2026 (Trilog-Einigung 7.5.2026, EP-Zustimmung 16.6.2026)*
- **[Art. 99 Abs. 3 — Verbote: bis 35 Mio. EUR oder 7 %](https://eur-lex.europa.eu/eli/reg/2024/1689/art_99/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 9 — Risikomanagementsystem](https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 43 — Konformitätsbewertung](https://eur-lex.europa.eu/eli/reg/2024/1689/art_43/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 5 Abs. 1 lit. e — Untargeted Facial Scraping](https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 5 Abs. 1 lit. f — Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen](https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 5 Abs. 1 lit. g — Biometrische Kategorisierung nach sensiblen Merkmalen](https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*
- **[Art. 5 Abs. 1 lit. h — Echtzeit-RBI im öffentlichen Raum durch Strafverfolgung](https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13)** — *EU AI Act (VO (EU) 2024/1689)*

## Validierung

**Validierungsfrage**: Rahmenverifikation Artikelnummern, Anhang-Klassifizierungen und Pflichten gegen NotebookLM EU AI Act Notebook

**Ergebnis**: ⚠️ korrigiert am 2026-07-08.

**Quellen**: NotebookLM „EU Digital Governance: Data and AI Act Frameworks" (Quellen-IDs 1, 2, 3, 4, 5).

**Fakten-Zusammenfassung**: Artikel- und Anhang-Referenzen im Rahmen der Welle-2-Gesamtverifikation geprüft

## Verwandte Themen

- [risikobasierter ansatz](/glossar/risikobasierter-ansatz/)
- [ki mit hohem risiko](/glossar/ki-mit-hohem-risiko/)
- [verbotene ki praktiken](/glossar/verbotene-ki-praktiken/)
- [eu ai office](/glossar/eu-ai-office/)
- [transparenzpflicht](/glossar/transparenzpflicht/)

## Rechtsquellen

- [Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2024/1689/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext des EU AI Act.
- [EU AI Office](https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai) - Europäische Kommission; Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
- [Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2023/2854/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext des EU Data Act.
- [Datenschutz-Grundverordnung (DSGVO) — EUR-Lex](https://eur-lex.europa.eu/eli/reg/2016/679/oj) - Amtsblatt der Europäischen Union; Verbindlicher Primärtext der DSGVO.
- [AI Act — konsolidierter Lesetext (ai-act-law.eu)](https://ai-act-law.eu/) - Future of Life Institute / Konsortium; Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
- [European Data Protection Supervisor (EDPS)](https://www.edps.europa.eu/) - EDPS; EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
- [European Data Protection Board (EDPB)](https://www.edpb.europa.eu/) - EDPB; EU-Datenschutzgremium mit KI-Leitlinien.
- [EU AI Pact](https://digital-strategy.ec.europa.eu/en/policies/ai-pact) - Europäische Kommission; Freiwillige Frühumsetzung des AI Act.
- [Datenschutzkonferenz (DSK)](https://www.datenschutzkonferenz-online.de/) - DSK; Zusammenschluss der deutschen Datenschutz-Aufsichten.
- [Der Bundesbeauftragte für Datenschutz (BfDI)](https://www.bfdi.bund.de/) - BfDI; Bundesdatenschutzbeauftragter Deutschland.
- [Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)](https://www.edoeb.admin.ch/) - EDÖB / FDPIC; Schweizer Datenschutzbehörde.
- [Council of Europe Framework Convention on AI](https://www.coe.int/en/web/artificial-intelligence/framework-convention) - Council of Europe; Erstes völkerrechtliches Abkommen zu KI.

## FAQ

### Ist Gesichtserkennung verboten oder hochriskant?

Echtzeit-RBI durch Strafverfolgung im öffentlichen Raum ist verboten (Art. 5 Abs. 1 lit. h). Nicht-verbotene Remote-RBI-Systeme sind hochriskant (Anhang III Nr. 1) und benötigen ggf. eine notifizierte Stelle (Art. 43 Abs. 1 — nur zwingend bei fehlenden harmonisierten Standards).

### Was ist biometrische Kategorisierung?

Die Zuordnung von Personen zu Kategorien anhand biometrischer Merkmale. Nach sensiblen Merkmalen (Rasse, Religion etc.) ist sie verboten (Art. 5 Abs. 1 lit. g); sonstige Kategorisierung ist hochriskant (Anhang III Nr. 1).

### Greift zusätzlich die DSGVO?

Ja, kumulativ. Biometrische Daten zur Identifizierung sind besondere Kategorien nach Art. 9 DSGVO und dürfen nur unter engen Ausnahmen verarbeitet werden.

## Strukturierte Daten

```json
{
  "@context": "https://schema.org",
  "@graph": [
    {
      "@type": "WebPage",
      "@id": "https://dataact-compliance.de/branchen/biometrie-und-identitaetspruefung/#webpage",
      "url": "https://dataact-compliance.de/branchen/biometrie-und-identitaetspruefung/",
      "name": "Biometrie & Identitätsprüfung: AI Act, Data Act & DSGVO-Pflichten",
      "description": "Biometrische KI: Fernidentifizierung (RBI), biometrische Kategorisierung und Emotionserkennung. Was Art. 5 verbietet, was Anhang III Nr. 1 hochriskant macht und wo die DSGVO-Schnittstelle liegt.",
      "isPartOf": {
        "@id": "https://dataact-compliance.de/#website"
      },
      "breadcrumb": {
        "@id": "https://dataact-compliance.de/branchen/biometrie-und-identitaetspruefung/#breadcrumb"
      },
      "inLanguage": "de-DE",
      "about": {
        "@id": "https://dataact-compliance.de/branchen/biometrie-und-identitaetspruefung/#article"
      }
    },
    {
      "@type": "Article",
      "@id": "https://dataact-compliance.de/branchen/biometrie-und-identitaetspruefung/#article",
      "headline": "Biometrie & Identitätsprüfung: AI Act, Data Act & DSGVO-Pflichten",
      "name": "Biometrie & Identitätsprüfung: AI Act, Data Act & DSGVO-Pflichten",
      "description": "Biometrische KI: Fernidentifizierung (RBI), biometrische Kategorisierung und Emotionserkennung. Was Art. 5 verbietet, was Anhang III Nr. 1 hochriskant macht und wo die DSGVO-Schnittstelle liegt.",
      "author": {
        "@id": "https://dataact-compliance.de/autoren/steve-baka/#person"
      },
      "publisher": {
        "@id": "https://dataact-compliance.de/#organization"
      },
      "mainEntityOfPage": {
        "@id": "https://dataact-compliance.de/branchen/biometrie-und-identitaetspruefung/#webpage"
      },
      "datePublished": "2026-07-07",
      "dateModified": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
      "license": "https://creativecommons.org/licenses/by/4.0/",
      "copyrightYear": 2026,
      "copyrightHolder": {
        "@id": "https://dataact-compliance.de/#stevebaka-organization"
      },
      "inLanguage": "de-DE",
      "citation": [
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/regulatory-platform-ai",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2023/2854/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2016/679/oj",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://ai-act-law.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.edps.europa.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.edpb.europa.eu/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://digital-strategy.ec.europa.eu/en/policies/ai-pact",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.datenschutzkonferenz-online.de/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.bfdi.bund.de/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.edoeb.admin.ch/",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://www.coe.int/en/web/artificial-intelligence/framework-convention",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_113/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_5/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_99/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_9/2024-06-13",
          "inLanguage": "de-DE"
        },
        {
          "@type": "CreativeWork",
          "url": "https://eur-lex.europa.eu/eli/reg/2024/1689/art_43/2024-06-13",
          "inLanguage": "de-DE"
        }
      ],
      "mentions": [
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/risikobasierter-ansatz/#article",
          "url": "https://dataact-compliance.de/glossar/risikobasierter-ansatz/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/ki-mit-hohem-risiko/#article",
          "url": "https://dataact-compliance.de/glossar/ki-mit-hohem-risiko/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/verbotene-ki-praktiken/#article",
          "url": "https://dataact-compliance.de/glossar/verbotene-ki-praktiken/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/eu-ai-office/#article",
          "url": "https://dataact-compliance.de/glossar/eu-ai-office/"
        },
        {
          "@type": "DefinedTerm",
          "@id": "https://dataact-compliance.de/glossar/transparenzpflicht/#article",
          "url": "https://dataact-compliance.de/glossar/transparenzpflicht/"
        }
      ],
      "additionalType": "https://dataact-compliance.de/vocab/OmnibusImpactedArticle"
    },
    {
      "@type": "BreadcrumbList",
      "@id": "https://dataact-compliance.de/branchen/biometrie-und-identitaetspruefung/#breadcrumb",
      "itemListElement": [
        {
          "@type": "ListItem",
          "position": 1,
          "name": "Startseite",
          "item": "https://dataact-compliance.de/"
        },
        {
          "@type": "ListItem",
          "position": 2,
          "name": "Branchen",
          "item": "https://dataact-compliance.de/branchen/"
        },
        {
          "@type": "ListItem",
          "position": 3,
          "name": "Biometrie & Identitätsprüfung: AI Act, Data Act & DSGVO-Pflichten",
          "item": "https://dataact-compliance.de/branchen/biometrie-und-identitaetspruefung/"
        }
      ]
    },
    {
      "@type": "FAQPage",
      "@id": "https://dataact-compliance.de/branchen/biometrie-und-identitaetspruefung/#faq",
      "mainEntity": [
        {
          "@type": "Question",
          "name": "Ist Gesichtserkennung verboten oder hochriskant?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Echtzeit-RBI durch Strafverfolgung im öffentlichen Raum ist verboten (Art. 5 Abs. 1 lit. h). Nicht-verbotene Remote-RBI-Systeme sind hochriskant (Anhang III Nr. 1) und benötigen ggf. eine notifizierte Stelle (Art. 43 Abs. 1 — nur zwingend bei fehlenden harmonisierten Standards)."
          }
        },
        {
          "@type": "Question",
          "name": "Was ist biometrische Kategorisierung?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Die Zuordnung von Personen zu Kategorien anhand biometrischer Merkmale. Nach sensiblen Merkmalen (Rasse, Religion etc.) ist sie verboten (Art. 5 Abs. 1 lit. g); sonstige Kategorisierung ist hochriskant (Anhang III Nr. 1)."
          }
        },
        {
          "@type": "Question",
          "name": "Greift zusätzlich die DSGVO?",
          "acceptedAnswer": {
            "@type": "Answer",
            "text": "Ja, kumulativ. Biometrische Daten zur Identifizierung sind besondere Kategorien nach Art. 9 DSGVO und dürfen nur unter engen Ausnahmen verarbeitet werden."
          }
        }
      ]
    }
  ]
}
```
