KI-Gesichtserkennung in Deutschland: Compliance-Leitfaden 2026

Kurzantwort

Kommerzielle Gesichtserkennung ist in Deutschland stark eingeschränkt. Echtzeit-Fernidentifizierung im öffentlichen Raum ist nach Art. 5 KI-Verordnung verboten. Die Hochrisiko-Compliance-Frist (2. August 2026) erfordert Konformitätsbewertungen und EU-Datenbankregistrierung.

• Art. 5 KI-Verordnung: Verbote (Echtzeit-Identifizierung im öffentlichen Raum, Scraping, anlasslose Überwachung) gelten seit 2. Februar 2025.
• Hochrisiko-Anforderungen (Konformitätsbewertung, Bias-Tests, EU-Datenbankregistrierung) gelten seit 2. August 2025 — Vollcompliance bis 2. August 2026.
• Biometrische Daten sind besondere Datenkategorien nach Art. 9 DSGVO. Das berechtigte Interesse reicht als Rechtsgrundlage nicht aus.
• Gesichtserkennung am Arbeitsplatz löst zwingende Mitbestimmung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG aus.

KI-Gesichtserkennung in Deutschland ist nur in klar definierten, engen Szenarien rechtmäßig. Die Echtzeit-Fernidentifizierung von Personen im öffentlichen Raum ist nach der KI-Verordnung (EU AI Act, Verordnung (EU) 2024/1689) verboten. Das Scrapen von Gesichtsbildern aus dem Internet ist untersagt. Kommerzielle Anwendungen — von der Zugangskontrolle bis zur Identitätsverifizierung — sind als Hochrisiko-KI eingestuft und müssen seit dem 2. August 2025 die Hochrisiko-Anforderungen erfüllen. Die vollständige Konformitätsfrist läuft bis zum 2. August 2026 — für Unternehmen, die noch keine Konformitätsbewertung begonnen haben, ist sofortiger Handlungsbedarf.

Was nach der KI-Verordnung verboten ist

Artikel 5 der KI-Verordnung enthält absolute Verbote, die seit dem 2. Februar 2025 gelten. Für Gesichtserkennung sind für deutsche Unternehmen drei Verbote unmittelbar relevant:

1. Echtzeit-Fernidentifizierung im öffentlichen Raum

KI-Systeme, die von Strafverfolgungsbehörden oder in deren Auftrag zur Echtzeit-Fernidentifizierung von Personen in öffentlich zugänglichen Räumen eingesetzt werden, sind mit engen Ausnahmen verboten — etwa bei der Suche nach vermissten Kindern oder der Abwehr konkreter Terroranschläge. Für kommerzielle Betreiber gilt keine Ausnahme. Ein Einkaufszentrum, ein Bahnhof, ein Flughafen oder eine öffentliche Straße darf kein Live-Gesichtserkennungssystem zur Identifizierung von Personen einsetzen.

2. Scrapen biometrischer Datenbanken

Die KI-Verordnung verbietet den Aufbau oder die Erweiterung von Gesichtserkennungsdatenbanken durch das Scrapen von Bildern aus dem Internet oder aus Videoüberwachungsmaterial ohne gezielten Erhebungsprozess. Dieses Verbot zielt direkt auf das Clearview-AI-Modell — den Aufbau einer massiven biometrischen Datenbank aus öffentlich zugänglichen Online-Fotos — und untersagt diese Praxis vollständig nach EU-Recht.

3. Anlasslose Gesichtserkennungsüberwachung

KI-Systeme zur anlasslosen Überwachung, einschließlich der Echtzeit-Verfolgung von Personen über verschiedene Orte hinweg oder der retrospektiven Analyse großer Bevölkerungsgruppen, sind durch das allgemeine Verbot der Massen-Biometrie-Überwachung erfasst. Ist ein Gesichtserkennungssystem nicht auf eine konkret identifizierte Person für einen zulässigen Zweck ausgerichtet, ist es wahrscheinlich verboten.

Bußgelder bei verbotenen Praktiken können bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes betragen.

Aktuelle Entwicklungen 2025–2026: Was sich geändert hat

Die KI-Verordnung ist kein Zukunftsprojekt mehr — sie ist geltendes Recht mit laufenden Fristen. Für Unternehmen mit Gesichtserkennungssystemen in Deutschland sind folgende Entwicklungen unmittelbar relevant:

2. August 2025: Hochrisiko-Anforderungen sind in Kraft getreten

Seit dem 2. August 2025 gelten die vollständigen Hochrisiko-Anforderungen der KI-Verordnung für Gesichtserkennungssysteme, die in Anhang III fallen — darunter Zugangskontrolle, Identitätsverifizierung und biometrische Kategorisierung. Betreiber und Anbieter, die diese Systeme bereits einsetzen, befinden sich im Compliance-Fenster: Konformitätsbewertungen, Risikomanagementsysteme und technische Dokumentation müssen bis zum 2. August 2026 abgeschlossen sein.

EU-Datenbank für Hochrisiko-KI ist operativ

Die öffentliche EU-Datenbank für Hochrisiko-KI-Systeme ist seit dem zweiten Halbjahr 2025 in Betrieb. Anbieter, die Gesichtserkennungssysteme nach Anhang III auf dem EU-Markt bereitstellen, sind registrierungspflichtig. Unternehmen, die mit nicht registrierten Lieferanten arbeiten, tragen erhöhte Haftungsrisiken.

Verstärkte Durchsetzung durch Datenschutzbehörden

Deutsche und europäische Datenschutzbehörden haben ihre Kontrolltätigkeit im Bereich der biometrischen KI intensiviert. Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien veröffentlicht, die klarstellen, dass der bloße Einsatz eines Gesichtserkennungssystems — auch in privaten Räumlichkeiten — bei fehlender Rechtsgrundlage eine DSGVO-Verletzung darstellt. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat koordinierte Prüfaktionen zu KI-gestützten biometrischen Systemen angekündigt.

Marktüberwachungsinfrastruktur nimmt Form an

Die nationalen Marktüberwachungsbehörden der EU-Mitgliedstaaten — in Deutschland federführend die Bundesnetzagentur für bestimmte KI-Bereiche — bauen die Aufsicht über Hochrisiko-KI-Systeme operativ auf. Meldepflichten für schwerwiegende Vorfälle und Fehlfunktionen sind jetzt live, nicht hypothetisch.

Frist nähert sich: Noch rund vier Monate bis August 2026

Unternehmen, die bis April 2026 keine laufende Konformitätsbewertung haben, sind ernsthaft in Verzug. Conformitätsbewertungen für Hochrisiko-Gesichtserkennung können je nach Anwendungsfall mehrere Monate dauern — insbesondere wenn eine notifizierte Stelle einzubinden ist.

Hochrisiko-Gesichtserkennung: Was jetzt gilt

Nicht alle Gesichtserkennung ist verboten. Systeme für Zugangskontrolle, Identitätsverifizierung, Zahlungsauthentifizierung und Altersverifizierung werden nach Anhang III der KI-Verordnung als Hochrisiko eingestuft, nicht verboten. Seit dem 2. August 2025 sind die zugehörigen Anforderungen jedoch rechtlich bindend.

Ein Hochrisiko-Gesichtserkennungssystem muss:

• Ein dokumentiertes Risikomanagementsystem nach Art. 9 KI-Verordnung implementieren, das vorhersehbare Risiken und Minderungsmaßnahmen erfasst
• Hochwertige Trainings-, Validierungs- und Testdatensätze verwenden, mit Bias-Monitoring über demografische Gruppen hinweg — insbesondere über Geschlecht, Hautfarbe und Altersgruppen
• Ausreichende technische Dokumentation nach Anhang IV und Protokolle nach Art. 12 für retrospektive Überprüfungen vorhalten
• Menschliche Aufsicht operativ verankern — Ergebnisse müssen von qualifizierten Personen übersteuert oder korrigiert werden können
• Transparenzanforderungen gegenüber identifizierten Personen erfüllen
• Eine Konformitätsbewertung vor dem Inverkehrbringen auf dem EU-Markt durchlaufen
• In der EU-Datenbank der KI-Verordnung registriert sein, wenn ein entsprechender Anhang-III-Tatbestand vorliegt
• Post-Market-Surveillance implementieren: Schwerwiegende Vorfälle und Fehlfunktionen sind den Marktüberwachungsbehörden zu melden

Für Systemanbieter gelten die vollständigen Hochrisiko-Anforderungen. Für Betreiber — Unternehmen, die Hochrisiko-Systeme konfigurieren oder einsetzen — verlagern sich die Pflichten auf ordnungsgemäße Implementierung, Schulung, Nutzungsüberwachung und Kooperation mit der Marktüberwachung.

Die vollständige Hochrisiko-Compliance-Frist ist der 2. August 2026.

DSGVO-Anforderungen für biometrische Daten in Deutschland

Gesichtserkennung verarbeitet per Definition biometrische Daten — Daten, die aus der spezifischen technischen Verarbeitung körperlicher Merkmale hervorgehen und die eindeutige Identifizierung natürlicher Personen ermöglichen. Nach Art. 9 DSGVO handelt es sich dabei um besondere Datenkategorien, deren Verarbeitung grundsätzlich verboten ist.

Für die rechtmäßige Verarbeitung biometrischer Gesichtsdaten benötigt ein deutsches Unternehmen:

• Eine Rechtsgrundlage nach Art. 6 DSGVO (in der Regel Vertrag, berechtigtes Interesse oder rechtliche Verpflichtung)
• Zusätzlich einen spezifischen Ausnahmetatbestand nach Art. 9 Abs. 2 — am häufigsten die ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a oder für beschäftigungsbezogene Verarbeitungen die einschlägige nationale Rechtsvorschrift

Das berechtigte Interesse allein reicht nicht aus. Der europäische Datenschutzrahmen lässt keine Interessenabwägung als Grundlage für die Verarbeitung besonderer Datenkategorien zu. Die Einwilligung nach Art. 9 Abs. 2 lit. a muss spezifisch, informiert und freiwillig sein — wobei „freiwillig” im DSGVO-Sinne bedeutet, dass die betroffene Person die Einwilligung ohne Nachteil verweigern kann.

Weitere Anforderungen bei der Verarbeitung biometrischer Daten:

• Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO, die bei systematischer biometrischer Verarbeitung in der Regel obligatorisch ist
• Bestellung eines Datenschutzbeauftragten (DSB), sofern noch nicht erfolgt
• Einträge im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO
• Klare Betroffeneninformation nach Art. 13 und 14 DSGVO
• Festgelegte Aufbewahrungsfristen und robuste Löschverfahren

Besonderheiten in Deutschland: BDSG und Durchsetzung durch Datenschutzbehörden

Deutschland ergänzt die DSGVO um zusätzliche Schutzvorschriften. Im Beschäftigungskontext regelt § 26 BDSG die Verarbeitung von Beschäftigtendaten und ist restriktiver als die reine DSGVO. Für biometrische Daten im Beschäftigungskontext schreibt § 26 Abs. 3 BDSG eine ausdrückliche Einwilligung oder eine kollektivrechtliche Vereinbarung (Betriebsvereinbarung) vor; der Grundsatz der Verhältnismäßigkeit wird streng geprüft.

Deutsche Datenschutzbehörden haben ihre Bereitschaft gezeigt, Gesichtserkennungsfälle aktiv zu verfolgen:

• Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) untersuchte Clearview AI, stellte DSGVO-Verstöße fest und ordnete die Löschung der Daten von Hamburger Bürgerinnen und Bürgern an
• Der BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) hat Positionen vertreten, die biometrische Identifizierung in kommerziellen Kontexten einschränken
• Landesbeauftragte für Datenschutz sind berechtigt, Betreiber von Gesichtserkennungssystemen zu prüfen, zu untersuchen und zu sanktionieren — auch ohne vorherige Beschwerden
• Die DSK hat koordinierte Prüfaktionen zu KI-gestützten biometrischen Systemen angekündigt, die parallel zu KI-Act-Marktüberwachungsmaßnahmen laufen

Das Verhältnismäßigkeitsprinzip spielt in der deutschen Datenschutzrechtspraxis eine zentrale Rolle. Selbst wenn eine Rechtsgrundlage technisch vorhanden ist, können Behörden die Verarbeitung beanstanden, wenn weniger eingriffsintensive Alternativen zur Verfügung stünden. Unternehmen sollten dieses Prinzip von Beginn an in ihre Compliance-Planung einbeziehen.

Gesichtserkennung am Arbeitsplatz in Deutschland

Der Einsatz von Gesichtserkennung in deutschen Unternehmen ist in begrenzten Szenarien rechtlich möglich, sollte aber grundsätzlich als eingriffsintensiv behandelt werden.

Die Mitbestimmung des Betriebsrats ist die erste Hürde. Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat zwingende Mitbestimmungsrechte bei der Einführung und Anwendung technischer Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Gesichtserkennung — auch für reine Zugangskontrolle — erfüllt dieses Kriterium zweifellos. Eine Einführung ohne Aushandlung einer Betriebsvereinbarung ist nicht möglich.

Eine rechtskonforme Betriebsvereinbarung zu Gesichtserkennung am Arbeitsplatz sollte in der Regel folgende Punkte regeln:

• Den spezifischen Zweck (z. B. ausschließlich Gebäudezugang, keine Anwesenheitserfassung)
• Die betroffenen Beschäftigtengruppen
• Den Anmeldeprozess und Alternativen für Beschäftigte, die eine Teilnahme ablehnen
• Datensparsamkeit — biometrische Templates sollten nicht länger als für die Authentifizierung erforderlich gespeichert werden
• Zugriffsrechte auf Protokolldaten und die Bedingungen für den Zugriff
• Ausdrückliches Verbot der Nutzung von Erkennungsdaten für Leistungs-, Disziplinar- oder Beförderungsentscheidungen
• Prüfrechte und Überprüfungszyklen

Die DSGVO-BDSG-Einwilligung für biometrische Daten im Beschäftigungsverhältnis ist komplex. Da das Machtgefälle zwischen Arbeitgeber und Beschäftigten die Freiwilligkeit der Einwilligung infrage stellen kann, ist die Bereitstellung einer sinnvollen Alternative (z. B. PIN oder Schlüsselkarte) häufig unerlässlich, damit die Einwilligung als freiwillig gilt.

Zulässige Anwendungsfälle für deutsche Unternehmen

Trotz der Einschränkungen sind einige kommerzielle Gesichtserkennungsanwendungen in Deutschland rechtlich realisierbar:

Anwendungsfall	Rechtlicher Status	Wesentliche Anforderungen
Freiwillige Zugangskontrolle mit alternativen Optionen	Möglich	Ausdrückliche Einwilligung, DSFA, Betriebsvereinbarung, keine Leistungsverknüpfung
Identitätsverifizierung für regulierte Finanzdienstleistungen	Möglich	Hochrisiko-KI-Act-Compliance, DSGVO-Einwilligung, GwG-Kontext
Altersverifizierung in regulierten Branchen	Möglich	Verhältnismäßigkeit, Hochrisiko-Compliance, Datensparsamkeit
Betrugsprävention in klar abgegrenzten Kontexten	Möglich mit Auflagen	Starke Rechtsgrundlage, enger Anwendungsbereich, Bias-Prüfung
Echtzeit-Identifizierung im öffentlichen Raum	Verboten	Keine kommerzielle Ausnahme vorhanden
Scrapen zum Aufbau biometrischer Datenbanken	Verboten	Verboten nach KI-Verordnung und DSGVO
Anlasslose Verhaltensüberwachung von Beschäftigten	Faktisch verboten	Kombination aus KI-Verordnung, DSGVO und BetrVG-Barrieren

Das verbindende Element rechtmäßiger Anwendungsfälle ist stets: Freiwilligkeit, enger Zweck, sinnvolle Alternativen und keine Verknüpfung mit weitreichenden Entscheidungen über den angegebenen Zweck hinaus.

Compliance-Checkliste bis August 2026

Für deutsche Unternehmen, die Gesichtserkennungssysteme einsetzen oder beschaffen, ist die Zeit bis zum 2. August 2026 knapp. Die folgende Checkliste strukturiert die wesentlichen Schritte:

Phase 1: Bestandsaufnahme und Klassifizierung (sofort)

• Alle Gesichtserkennungssysteme inventarisieren — intern entwickelt und eingekauft
• Jeden Anwendungsfall als verboten, Hochrisiko oder begrenztes Risiko klassifizieren
• Lieferanten nach KI-Act-Einstufung, Konformitätsdokumentation und EU-Datenbankregistrierung befragen
• Bereits bestehende DSGVO-Dokumente (DSFA, Verarbeitungsverzeichnis) auf Aktualität prüfen

Phase 2: DSGVO-Rechtsgrundlagen sichern

• Art.-6-Rechtsgrundlage und Art.-9-Abs.-2-Ausnahme für jedes System dokumentieren
• Einwilligungsmechanismen auf DSGVO-Konformität prüfen — insbesondere Freiwilligkeit im Beschäftigungskontext
• DSFA aktualisieren oder neu erstellen (bei systematischer biometrischer Verarbeitung obligatorisch)
• Datenschutzbeauftragten einbinden und Verarbeitungsverzeichnis aktualisieren

Phase 3: KI-Act-Hochrisiko-Compliance

• Risikomanagementsystem nach Art. 9 KI-Verordnung einrichten und dokumentieren
• Technische Dokumentation nach Anhang IV erstellen
• Bias-Tests durchführen und dokumentieren — Ergebnisse über Geschlecht, Hautfarbe und Altersgruppen
• Protokollierung und Aufzeichnung nach Art. 12 KI-Verordnung einrichten
• Menschliche Aufsicht operativ verankern — wer übersteuert Systemergebnisse, wie und unter welchen Bedingungen?
• Konformitätsbewertungsverfahren einleiten (Selbstbewertung oder notifizierte Stelle prüfen)
• EU-Datenbankregistrierung für Anhang-III-Systeme anstoßen (Anbieter) oder Registrierungsnachweis vom Lieferanten einfordern (Betreiber)

Phase 4: Betrieb und Post-Market-Governance

• Post-Market-Surveillance-Prozesse einrichten: reale Leistung, Bias-Vorfälle, Beinahe-Unfälle
• Meldewege für schwerwiegende Vorfälle an nationale Marktüberwachungsbehörden einrichten
• Lieferantenverträge auf KI-Act-Pflichten, Haftungsverteilung und Auftragsverarbeitung prüfen
• Schulungen für Personal, das Hochrisiko-KI-Systeme betreibt, durchführen und dokumentieren

Phase 5: Betriebsrat und Arbeitnehmerrechte (falls relevant)

• Betriebsrat frühzeitig einbinden — vor Beschaffung, nicht nach Vertragsunterzeichnung
• Betriebsvereinbarung aushandeln oder bestehende auf KI-Act-Anforderungen aktualisieren
• Alternative für Beschäftigte bereitstellen, die biometrische Einschreibung ablehnen

Was Anbieter wissen müssen

Wenn Ihr Unternehmen Gesichtserkennungstechnologie entwickelt oder an deutsche bzw. EU-Kunden vertreibt, gelten besondere Pflichten:

Konformitätsbewertung: Hochrisiko-KI-Systeme müssen vor dem Inverkehrbringen eine Konformitätsbewertung durchlaufen. Je nach konkretem Anwendungsfall kann dies eine Selbstbewertung mit technischer Dokumentation sein oder die Einbindung einer notifizierten Stelle erfordern.

Registrierung in der EU-Datenbank: Hochrisiko-Systeme nach Anhang III müssen in der öffentlich zugänglichen EU-Datenbank der KI-Verordnung der Kommission registriert werden. Diese Pflicht gilt für Anbieter, die Systeme auf dem EU-Markt bereitstellen — und ist seit August 2025 eine aktive Pflicht.

CE-Kennzeichnung: Wie bei anderen Produktkategorien kann für KI-Act-konforme Hochrisiko-Systeme eine Konformitätserklärung und CE-Kennzeichnung erforderlich sein.

Marktüberwachung nach der Markteinführung: Anbieter müssen Post-Market-Surveillance implementieren, die reale Leistung, Bias-Vorfälle, Beinahe-Unfälle und Rückmeldungen von Betreibern erfasst. Schwerwiegende Vorfälle und Fehlfunktionen sind den nationalen Marktüberwachungsbehörden zu melden.

Gebrauchsanweisung: Betreiber benötigen ausreichende Dokumentation, um das System im Rahmen seines vorgesehenen Zwecks zu nutzen. Anbieter können sich nicht durch den Hinweis auf Fehlkonfigurationen durch Betreiber entlasten, wenn die Anleitung unzureichend war.

Praktische Compliance-Schritte für deutsche Unternehmen

Vor dem Einsatz eines Gesichtserkennungssystems sollten deutsche Unternehmen folgende Schritte durchlaufen:

1. Anwendungsfall klassifizieren — verboten, Hochrisiko oder begrenztes Risiko? Die meisten kommerziellen Anwendungen sind mindestens als Hochrisiko einzustufen.
2. Rechtsgrundlagen ermitteln — Art. 6 DSGVO-Rechtsgrundlage plus Art. 9 Abs. 2-Ausnahme für biometrische Daten; beides dokumentieren.
3. DSFA durchführen — bei nahezu allen Gesichtserkennungssystemen mit natürlichen Personen obligatorisch.
4. Betriebsrat frühzeitig einbinden — vor der Beschaffung, nicht nach Vertragsunterzeichnung.
5. Alternative bereitstellen — Beschäftigte und Kunden, die eine biometrische Einschreibung ablehnen, müssen die Dienstleistung dennoch nutzen können.
6. Lieferanten prüfen — KI-Act-Einstufung, Konformitätsdokumentation, EU-Datenbankregistrierung, Bias-Testergebnisse und Auftragsverarbeitungsverträge anfordern.
7. Löschung planen — biometrische Templates und Protokolldaten müssen festgelegte Aufbewahrungsfristen und durchsetzbare Löschpläne haben.

---

Compound Law berät Unternehmen zur Gesichtserkennung-Compliance in Deutschland, darunter KI-Act-Klassifizierung, DSGVO-Biometrie-Rahmenwerke, Datenschutz-Folgenabschätzungen, Betriebsratsverhandlungen und Lieferanten-Due-Diligence. Zu verwandten Themen siehe unsere Leitfäden zu KI-Biometrie-Identifizierung, KI-Mitarbeiterüberwachung und KI-Recruiting-Screening.

Diese Seite enthält allgemeine Informationen und ersetzt keine Rechtsberatung zu einem konkreten Einsatzszenario.

Unternehmen, die Azure OpenAI Compliance-Funktionen für biometrische Systeme oder AWS Bedrock für Identifikationsanwendungen in Kombination mit Gesichtserkennung einsetzen, brauchen ein vollständiges Hochrisiko-Compliance-Framework. Besonders strenge Anforderungen gelten für Systeme, die im öffentlichen Sektor und bei Behörden oder im Bereich Verteidigung und Sicherheit eingesetzt werden. Unser EU AI Act Compliance-Hub bietet einen vollständigen Überblick über alle relevanten Pflichten für biometrische KI-Systeme.

Häufig gestellte Fragen

Ist Gesichtserkennung in Deutschland verboten?

Nicht vollständig, aber die eingriffsintensivsten Anwendungen sind untersagt. Die Echtzeit-Fernidentifizierung im öffentlichen Raum ist verboten, ebenso das Scrapen von Gesichtsbildern zum Aufbau von Datenbanken. Kommerzielle Anwendungen wie Zugangskontrolle und Identitätsverifizierung sind grundsätzlich zulässig, jedoch als Hochrisiko eingestuft und erfordern umfangreiche Compliance-Maßnahmen vor dem Einsatz.

Wann gilt die Hochrisiko-Compliance-Frist nach dem AI Act für Gesichtserkennung?

Die vollständige Konformitätspflicht für Hochrisiko-Gesichtserkennungssysteme nach der KI-Verordnung endet am 2. August 2026. Die Hochrisiko-Anforderungen gelten bereits seit dem 2. August 2025. Unternehmen ohne laufende Konformitätsbewertung sind in ernstem Verzug und sollten unverzüglich handeln — Konformitätsbewertungen können je nach Anwendungsfall mehrere Monate in Anspruch nehmen.

Dürfen Arbeitgeber in Deutschland Gesichtserkennung nutzen?

Nur in engen, gut begründeten Szenarien. Die Mitbestimmung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG ist zu beachten, eine ausdrückliche Einwilligung oder ein anderer Art.-9-Abs.-2-DSGVO-Tatbestand ist erforderlich, und eine DSFA ist in der Regel obligatorisch. Bei der Zugangskontrolle sollten Arbeitgeber eine nicht-biometrische Alternative für ablehnende Beschäftigte bereitstellen.

Was gilt nach der DSGVO für biometrische Daten in Deutschland?

Biometrische Daten sind besondere Datenkategorien nach Art. 9 DSGVO. Ihre Verarbeitung ist grundsätzlich verboten. Neben einer Standardrechtsgrundlage nach Art. 6 DSGVO ist ein Ausnahmetatbestand nach Art. 9 Abs. 2 erforderlich — in den meisten Fällen die ausdrückliche Einwilligung. Das berechtigte Interesse allein reicht nicht aus. Im Beschäftigungskontext stellt § 26 Abs. 3 BDSG weitere Anforderungen.

Ist Clearview AI in Deutschland verboten?

In der Praxis ja. Der HmbBfDI hat DSGVO-Verstöße festgestellt und die Löschung der Daten von Hamburgerinnen und Hamburgern angeordnet. Die KI-Verordnung verbietet das Scrapen von Internetbildern zum Aufbau biometrischer Datenbanken nun ausdrücklich — diese Praxis ist damit nach beiden Rechtsrahmen untersagt.

Was droht bei unzulässiger Gesichtserkennung?

Bußgelder nach Art. 83 Abs. 5 DSGVO können 4 % des weltweiten Jahresumsatzes erreichen. Nach der KI-Verordnung drohen bei verbotenen Praktiken Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Deutsche Aufsichtsbehörden können zudem die Löschung rechtswidrig verarbeiteter Daten anordnen und Systeme stilllegen. Das Durchsetzungsrisiko ist real — deutsche Behörden haben Gesichtserkennungsfälle aktiv verfolgt.

Benötige ich eine notifizierte Stelle für die Gesichtserkennung-Compliance?

Das hängt vom konkreten Anwendungsfall ab. Viele Hochrisiko-Gesichtserkennungssysteme können eine Selbstbewertung mit technischer Dokumentation verwenden. Bei bestimmten Anwendungsfällen — insbesondere im Strafverfolgungsbereich oder bei kritischer Infrastruktur — kann jedoch eine notifizierte Stelle erforderlich sein. Anbieter sollten den Anhang der KI-Verordnung prüfen und gegebenenfalls rechtliche Beratung zu dem anwendbaren Konformitätsbewertungsverfahren einholen.

Welche Behörde ist in Deutschland für die KI-Act-Durchsetzung bei Gesichtserkennung zuständig?

Die Bundesnetzagentur ist als Marktüberwachungsbehörde für bestimmte KI-Bereiche benannt. Datenschutzrelevante Aspekte bleiben Aufgabe der Datenschutzbehörden (BfDI und Landesbeauftragte). Bei sektorspezifischen Anwendungen — etwa im Finanzbereich oder bei kritischer Infrastruktur — können die BaFin oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusätzliche Zuständigkeiten haben. In der Praxis ist eine Koordination zwischen den Behörden zunehmend wahrscheinlich.