Biometrische Daten: Definition und rechtliche Bedeutung (AI Act / Data Act)
Biometrische Daten sind nach Art. 3 Nr. 34 AI Act (i.V.m. Art. 4 Nr. 14 DSGVO) personenbezogene Daten, die aus der spezifischen technischen Verarbeitung der physischen, physiologischen oder verhaltensbezogenen Merkmale einer natürlichen Person resultieren und ihre Bestätigung oder eindeutige Identifizierung ermöglichen — etwa Gesichtsbilder, Fingerabdrücke, Iris-Scans, Stimmmerkmale, Tippmuster. Sie sind eine „besondere Datenkategorie" nach Art. 9 DSGVO und dürfen nur unter engen Ausnahmen verarbeitet werden. Im AI Act sind sie Anknüpfungspunkt für die strengsten Pflichten: Echtzeit-RBI (Art. 5 verboten), biometrische Hochrisiko-KI (Anhang III Nr. 1, notifizierte Stelle) und biometrische Kategorisierungs-Verbote (Art. 5 Abs. 1 lit. g).
Steve Baka
Definition und Beispiele
Art. 3 Nr. 34 AI Act definiert biometrische Daten als personenbezogene Daten, die aus der spezifischen technischen Verarbeitung der physischen, physiologischen oder verhaltensbezogenen Merkmale einer Person resultieren und ihre Bestätigung oder eindeutige Identifizierung ermöglichen. Beispiele: Gesichtsbilder (für Gesichtserkennung), Fingerabdrücke, Iris-/Retina-Scans, Stimmmerkmale, Gangmuster, Tipp- und Wischmuster. Abzugrenzen sind „biometrische Daten zur eindeutigen Identifizierung" (besondere Kategorie nach DSGVO Art. 9) von bloßen biometrischen Merkmalen ohne Identifizierungsfunktion (z. B. Gesichtsbild ohne Referenzdatenbank).
Sonderstatus nach DSGVO Art. 9
Biometrische Daten zur eindeutigen Identifizierung sind eine besondere Datenkategorie nach Art. 9 Abs. 1 DSGVO — ihr Verarbeitung grundsätzlich verboten, erlaubt nur unter engen Ausnahmen (Art. 9 Abs. 2: ausdrückliche Einwilligung, erhebliches öffentliches Interesse, Geltendmachung/Verteidigung von Rechtsansprüchen, medizinische Diagnose/Behandlung etc.). Das bedeutet: Eine KI-gestützte Gesichtserkennung kann AI-Act-konform (z. B. hochrisiko nach Anhang III Nr. 1) und trotzdem datenschutzrechtlich unzulässig sein. Beide Regime sind kumulativ; die DSGVO-Hürde ist in der Praxis oft die höhere.
Anknüpfung im AI Act
Biometrische Daten sind der Anknüpfungspunkt für die strengsten AI-Act-Pflichten: (1) Echtzeit-RBI im öffentlichen Raum durch Strafverfolgung = verboten (Art. 5 Abs. 1 lit. h); (2) untargeted Facial Scraping = verboten (lit. e); (3) biometrische Kategorisierung nach sensiblen Merkmalen = verboten (lit. g); (4) sonstige Remote-RBI und Emotionserkennung = hochriskant (Anhang III Nr. 1, Konformitätsbewertung nach Art. 43 Abs. 1); (5) Emotionserkennung am Arbeitsplatz/Bildung = verboten (lit. f). Wer biometrische KI einsetzt, muss die mehrfache Hürde (Verbot/Hochrisiko/DSGVO) sorgfältig prüfen.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Datenschutz-Aufsichten.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesdatenschutzbeauftragter Deutschland.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde.
Häufige Fragen
Was sind biometrische Daten?
Personenbezogene Daten aus technischer Verarbeitung physischer/physiologischer/verhaltensbezogener Merkmale zur Identifizierung — Gesichter, Fingerabdrücke, Iris, Stimme (Art. 3 Nr. 34).
Sind sie besonders geschützt?
Ja. Biometrische Daten zur Identifizierung sind eine besondere Kategorie nach Art. 9 DSGVO — Verarbeitung nur unter engen Ausnahmen. Die DSGVO-Hürde ist in der Praxis oft höher als der AI Act.
Welche AI-Act-Pflichten greifen?
Die strengsten: RBI-Verbot (Art. 5), Kategorisierungs-Verbot, untargeted Scraping-Verbot, sonstige Remote-RBI/Emotionserkennung hochriskant (Anhang III Nr. 1, notifizierte Stelle).
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.