glossaryDefinedTermmaschinenlesbar

Biometrische Identifizierung: Definition und rechtliche Bedeutung (AI Act / Data Act)

MenschMarkdown öffnen

Biometrische Identifizierung ordnet einer Person physische, physiologische oder verhaltensbezogene Merkmale zu (Art. 3 Nr. 35). Die strengste Regulierung trifft die Echtzeit-Fernidentifizierung biometrischer Daten (RBI) im öffentlichen Raum durch Strafverfolgungsbehörden: Sie ist nach Art. 5 Abs. 1 lit. h AI Act grundsätzlich verboten und nur in engen Ausnahmen mit vorab erteilter, regelmäßig richterlicher Autorisierung zulässig. Remote-RBI-Systeme, die nicht unter das Echtzeit-Verbot fallen, sind hochriskant nach Anhang III Nr. 1 und fallen unter Art. 43 Abs. 1 (notifizierte Stelle nur zwingend bei fehlenden harmonisierten Standards). Kombiniert wird dies mit Art. 9 DSGVO (besondere Datenkategorien) und nationalem Verfassungsrecht.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
begriffe

Begriffe: Identifizierung, Verifizierung, RBI

Art. 3 unterscheidet: biometrische Daten (Nr. 34), biometrische Identifizierung (Nr. 35: Zuordnung zu einer Person ohne Angabe ihrer Identität), biometrische Verifizierung (Nr. 36: Bestätigung einer beanspruchten Identität), biometrische Kategorisierung (Nr. 40: Zuordnung zu Kategorien). Fernidentifizierung biometrischer Daten (RBI, Nr. 41) meint die Identifizierung einer Person aus der Ferne ohne direkten Kontakt. Diese begriffliche Trennung entscheidet über die jeweilige Pflichtenstufe.

rbi verbot

Das RBI-Verbot (Art. 5 Abs. 1 lit. h)

Echtzeit-RBI im öffentlichen Raum durch Strafverfolgungsbehörden ist grundsätzlich verboten (Art. 5 Abs. 1 lit. h). Ausnahmen: Suche nach Opfern bestimmter Verbrechen, Abwehr konkreter Lebensgefahr/Terroranschläge, Lokalisierung Verdächtiger bei Katalog-Straftaten — jeweils mit vorab erteilter behördlicher (regelmäßig richterlicher) Autorisierung (Art. 5 Abs. 1 lit. h i.V.m. Abs. 2–5). Der Einsatz ist eng begrenzt, zu dokumentieren und nachgelagert zu prüfen. Verboten ist zudem untargeted Facial Scraping (lit. e) und biometrische Kategorisierung nach sensiblen Merkmalen (lit. g).

remote rbi hochrisiko

Remote-RBI als Hochrisiko (Anhang III Nr. 1)

Remote-RBI-Systeme, die nicht unter das Echtzeit-Verbot fallen (z. B. nachträgliche Identifizierung aus Aufnahmen), sind hochriskant nach Anhang III Nr. 1. Sie unterliegen dem Pflichtenbündel aus Art. 8–15 und fallen als biometrische Hochrisiko-KI unter Art. 43 Abs. 1 — notifizierte Stelle nur zwingend bei fehlenden harmonisierten Standards. Überlagert wird der AI Act durch Art. 9 DSGVO und nationales Verfassungs-/Polizeirecht (in Deutschland hat das BVerfG Gesichtserkennung eng begrenzt).

Sources

Quellen

FAQ

Häufige Fragen

Ist Gesichtserkennung im öffentlichen Raum erlaubt?

Echtzeit-RBI durch Strafverfolgung ist grundsätzlich verboten (Art. 5 Abs. 1 lit. h), außer in engen Ausnahmen mit vorab erteilter Autorisierung. Nachträgliche Remote-RBI ist hochriskant (Anhang III Nr. 1).

Was ist der Unterschied zwischen Identifizierung und Verifizierung?

Identifizierung ordnet Merkmale einer Person ohne Namensnennung zu (Art. 3 Nr. 35); Verifizierung bestätigt eine beanspruchte Identität (Nr. 36). Die Pflichtenstufe unterscheidet sich danach.

Greifen DSGVO und Verfassungsrecht?

Ja, kumulativ. Art. 9 DSGVO (besondere Datenkategorien) und nationales Verfassungs-/Polizeirecht (in DE das BVerfG) überlagern den AI Act.

KI-Compliance umsetzen

Du willst EU AI Act und Data Act praktisch umsetzen?

Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.

Jetzt beraten lassen
Related