Biometrie & Identitätsprüfung: AI Act, Data Act & DSGVO-Pflichten
Biometrische KI ist der am dichtesten regulierte Bereich des AI Act. Echtzeit-Fernidentifizierung biometrischer Daten (RBI) im öffentlichen Raum durch Strafverfolgungsbehörden ist grundsätzlich verboten und nur in engen Ausnahmen zulässig (Art. 5 Abs. 1 lit. h). Verboten sind ferner biometrische Kategorisierung nach sensiblen Merkmalen (lit. g) und untargeted Facial Scraping (lit. e). Hochriskant nach Anhang III Nr. 1 sind u. a. Remote-RBI-Systeme (nicht nur Echtzeit) und biometrische Kategorisierungs-/Emotionserkennungssysteme, die nicht unter die Verbote fallen — sie unterliegen spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026) dem Pflichtenbündel aus Art. 8–15 und der Konformitätsbewertung nach Art. 43 Abs. 1 (notifizierte Stelle nur zwingend bei fehlenden harmonisierten Standards). Die DSGVO (Art. 9: besondere Datenkategorien) greift bei Verarbeitung biometrischer Daten ergänzend.
Steve Baka
Verbote nach Art. 5
Im biometrischen Bereich treffen gleich drei Art. 5-Verbote zu: Echtzeit-RBI im öffentlichen Raum durch Strafverfolgung (lit. h, mit engen Ausnahmen nach Abs. 2–5); biometrische Kategorisierung, die auf Rasse, politische Meinungen, Gewerkschaftszugehörigkeit, Religion oder Sexualleben schließen lässt (lit. g); und das untargeted Scraping von Gesichtsbildern zum Aufbau von Datenbanken (lit. e). Diese Verbote gelten seit dem 2. Februar 2025 und sind die höchsten Sanktionen (bis 35 Mio. EUR / 7 % Umsatz, Art. 99).
Hochrisiko nach Anhang III Nr. 1
Nicht verboten, aber hochriskant sind nach Anhang III Nr. 1: Remote-RBI-Systeme (die nicht unter das Echtzeit-Verbot fallen), biometrische Kategorisierungssysteme (soweit nicht nach lit. g verboten) und Emotionserkennungssysteme (soweit nicht nach lit. f am Arbeitsplatz/in Bildung verboten). Diese Systeme lösen das Pflichtenbündel aus Art. 8–15 aus und erfordern die Konformitätsbewertung nach Art. 43 Abs. 1 — eine notifizierte Stelle ist nur zwingend, wenn keine harmonisierten Standards angewendet werden (Wahlrecht sonst).
Schnittstelle zur DSGVO (Art. 9)
Biometrische Daten zur eindeutigen Identifizierung sind „besondere Datenkategorien" nach Art. 9 Abs. 1 DSGVO — ihre Verarbeitung ist grundsätzlich untersagt und nur unter engen Ausnahmen zulässig (Art. 9 Abs. 2, z. B. ausdrückliche Einwilligung, erhebliches öffentliches Interesse, Geltendmachung von Rechtsansprüchen). Der AI Act ergänzt diese Vorgaben um die KI-spezifischen Pflichten, ohne die DSGVO zu verdrängen. Beide Regime sind kumulativ anwendbar — eine AI-Act-konforme Gesichtserkennung kann an DSGVO-Art. 9 scheitern.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Datenschutz-Aufsichten.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesdatenschutzbeauftragter Deutschland.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
Häufige Fragen
Ist Gesichtserkennung verboten oder hochriskant?
Echtzeit-RBI durch Strafverfolgung im öffentlichen Raum ist verboten (Art. 5 Abs. 1 lit. h). Nicht-verbotene Remote-RBI-Systeme sind hochriskant (Anhang III Nr. 1) und benötigen ggf. eine notifizierte Stelle (Art. 43 Abs. 1 — nur zwingend bei fehlenden harmonisierten Standards).
Was ist biometrische Kategorisierung?
Die Zuordnung von Personen zu Kategorien anhand biometrischer Merkmale. Nach sensiblen Merkmalen (Rasse, Religion etc.) ist sie verboten (Art. 5 Abs. 1 lit. g); sonstige Kategorisierung ist hochriskant (Anhang III Nr. 1).
Greift zusätzlich die DSGVO?
Ja, kumulativ. Biometrische Daten zur Identifizierung sind besondere Kategorien nach Art. 9 DSGVO und dürfen nur unter engen Ausnahmen verarbeitet werden.
KI-Compliance für Biometrie & Identitätsprüfung?
Wenn du im Sektor Biometrie & Identitätsprüfung KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.