Kostenlos beraten
KI-Gesichtserkennung Compliance
compliance

KI-Gesichtserkennung: Was deutsche Unternehmen wissen müssen

Gesichtserkennung gehört zu den am stärksten regulierten KI-Anwendungen unter dem EU AI Act. Einige Verwendungen sind vollständig verboten. Andere sind Hochrisiko mit umfassenden Compliance-Anforderungen. Die Unterscheidungen sind enorm wichtig.

Was verboten ist

Echtzeit-biometrische Identifizierung im öffentlichen Raum für Strafverfolgung ist verboten, mit engen Ausnahmen. Ebenso das Scraping von Gesichtsbildern aus dem Internet zum Aufbau von Erkennungsdatenbanken. Und ungezielte Gesichtserkennungs-Überwachung ist verboten.

Für kommerzielle Anwendungen: Sie können keine Gesichtserkennungsdatenbanken aufbauen, indem Sie Social Media oder andere Online-Quellen scrapen. Dieses Verbot zielt auf das Clearview-AI-Modell—und es gilt bereits.

Hochrisiko-Anwendungen

Gesichtserkennung für Zugangskontrolle, Identitätsverifizierung und Authentifizierung ist generell Hochrisiko, nicht verboten. Aber sie unterliegt den strengsten Compliance-Anforderungen: Risikomanagementsysteme, Bias-Testing, Human Oversight und Transparenz.

Das umfasst Gebäudezugangssysteme, Zahlungsauthentifizierung, Altersverifizierung und Identitätsverifizierung für regulierte Dienste.

Arbeitsplatz-Überlegungen

Gesichtserkennung zur Mitarbeiterüberwachung erfordert Betriebsratszustimmung nach §87 BetrVG. Selbst für Zugangskontrolle hat der Betriebsrat Mitbestimmungsrechte. Erwarten Sie detaillierte Fragen zu Datenspeicherung, Falsch-Positiv-Raten und alternativen Authentifizierungsmethoden.

Gesichtserkennung zur Mitarbeiterüberwachung oder Leistungsbeurteilung steht sowohl vor AI-Act-Beschränkungen als auch deutschen arbeitsrechtlichen Hürden.

DSGVO-Überschneidung

Gesichtsdaten sind biometrische Daten unter der DSGVO—besondere Datenkategorie mit erhöhtem Schutz. Sie brauchen ausdrückliche Einwilligung oder eine andere Rechtsgrundlage aus Artikel 9(2). Berechtigtes Interesse reicht nicht.

Das bedeutet, Gesichtserkennung für Kunden erfordert typischerweise ausdrückliche, informierte Einwilligung vor der Registrierung.

So hilft Compound Law

  • Klassifizierung von Gesichtserkennungs-Anwendungsfällen
  • Hochrisiko-Compliance-Framework für erlaubte Anwendungen
  • DSGVO-Biometrie-Daten-Compliance
  • Betriebsratsverhandlung für Arbeitsplatzsysteme
  • Audit bestehender Systeme gegen neue Anforderungen

Häufig gestellte Fragen

Ist Gebäudezugangs-Gesichtserkennung verboten? Nein, aber sie ist Hochrisiko. Volle Compliance-Anforderungen gelten, plus DSGVO-Einwilligung für biometrische Verarbeitung.

Können wir Gesichtserkennung für Kundenidentitätsverifizierung nutzen? Ja, mit ordnungsgemäßer Compliance. Hochrisiko-Anforderungen, DSGVO-Einwilligung und Transparenzpflichten gelten alle.

Was ist mit Gesichtserkennung von Überwachungskameras? Ungezielte Überwachung ist problematisch. Spezifische, begründete Anwendungsfälle können mit ordnungsgemäßer Compliance zulässig sein.

Weitere Compliance-Guides

Werbe-Targeting Compliance
compliance

Werbe-Targeting: Was deutsche Unternehmen wissen müssen

Wie der EU AI Act Werbe-Targeting in Deutschland betrifft.
KI-Chatbots Compliance
compliance

KI-Chatbots: Was deutsche Unternehmen wissen müssen

Wie der EU AI Act Chatbots in Deutschland betrifft. Transparenzregeln, DSGVO-Aspekte und Betriebsratsanforderungen.
Biometrische Identifizierung Compliance
compliance

Biometrische Identifizierung: Was deutsche Unternehmen wissen müssen

Wie der EU AI Act Biometrische Identifizierung in Deutschland betrifft.
Kostenlos beraten