Biometrische Identifizierung: Definition und rechtliche Bedeutung (AI Act / Data Act)
Biometrische Identifizierung ordnet einer Person physische, physiologische oder verhaltensbezogene Merkmale zu (Art. 3 Nr. 35). Die strengste Regulierung trifft die Echtzeit-Fernidentifizierung biometrischer Daten (RBI) im öffentlichen Raum durch Strafverfolgungsbehörden: Sie ist nach Art. 5 Abs. 1 lit. h AI Act grundsätzlich verboten und nur in engen Ausnahmen mit vorab erteilter, regelmäßig richterlicher Autorisierung zulässig. Remote-RBI-Systeme, die nicht unter das Echtzeit-Verbot fallen, sind hochriskant nach Anhang III Nr. 1 und fallen unter Art. 43 Abs. 1 (notifizierte Stelle nur zwingend bei fehlenden harmonisierten Standards). Kombiniert wird dies mit Art. 9 DSGVO (besondere Datenkategorien) und nationalem Verfassungsrecht.
Steve Baka
Begriffe: Identifizierung, Verifizierung, RBI
Art. 3 unterscheidet: biometrische Daten (Nr. 34), biometrische Identifizierung (Nr. 35: Zuordnung zu einer Person ohne Angabe ihrer Identität), biometrische Verifizierung (Nr. 36: Bestätigung einer beanspruchten Identität), biometrische Kategorisierung (Nr. 40: Zuordnung zu Kategorien). Fernidentifizierung biometrischer Daten (RBI, Nr. 41) meint die Identifizierung einer Person aus der Ferne ohne direkten Kontakt. Diese begriffliche Trennung entscheidet über die jeweilige Pflichtenstufe.
Das RBI-Verbot (Art. 5 Abs. 1 lit. h)
Echtzeit-RBI im öffentlichen Raum durch Strafverfolgungsbehörden ist grundsätzlich verboten (Art. 5 Abs. 1 lit. h). Ausnahmen: Suche nach Opfern bestimmter Verbrechen, Abwehr konkreter Lebensgefahr/Terroranschläge, Lokalisierung Verdächtiger bei Katalog-Straftaten — jeweils mit vorab erteilter behördlicher (regelmäßig richterlicher) Autorisierung (Art. 5 Abs. 1 lit. h i.V.m. Abs. 2–5). Der Einsatz ist eng begrenzt, zu dokumentieren und nachgelagert zu prüfen. Verboten ist zudem untargeted Facial Scraping (lit. e) und biometrische Kategorisierung nach sensiblen Merkmalen (lit. g).
Remote-RBI als Hochrisiko (Anhang III Nr. 1)
Remote-RBI-Systeme, die nicht unter das Echtzeit-Verbot fallen (z. B. nachträgliche Identifizierung aus Aufnahmen), sind hochriskant nach Anhang III Nr. 1. Sie unterliegen dem Pflichtenbündel aus Art. 8–15 und fallen als biometrische Hochrisiko-KI unter Art. 43 Abs. 1 — notifizierte Stelle nur zwingend bei fehlenden harmonisierten Standards. Überlagert wird der AI Act durch Art. 9 DSGVO und nationales Verfassungs-/Polizeirecht (in Deutschland hat das BVerfG Gesichtserkennung eng begrenzt).
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Datenschutz-Aufsichten.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesdatenschutzbeauftragter Deutschland.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde.
Häufige Fragen
Ist Gesichtserkennung im öffentlichen Raum erlaubt?
Echtzeit-RBI durch Strafverfolgung ist grundsätzlich verboten (Art. 5 Abs. 1 lit. h), außer in engen Ausnahmen mit vorab erteilter Autorisierung. Nachträgliche Remote-RBI ist hochriskant (Anhang III Nr. 1).
Was ist der Unterschied zwischen Identifizierung und Verifizierung?
Identifizierung ordnet Merkmale einer Person ohne Namensnennung zu (Art. 3 Nr. 35); Verifizierung bestätigt eine beanspruchte Identität (Nr. 36). Die Pflichtenstufe unterscheidet sich danach.
Greifen DSGVO und Verfassungsrecht?
Ja, kumulativ. Art. 9 DSGVO (besondere Datenkategorien) und nationales Verfassungs-/Polizeirecht (in DE das BVerfG) überlagern den AI Act.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.