Ist Gesichtserkennung in Deutschland legal? KI-VO & DSGVO
Kurzantwort
Gesichtserkennung ist in Deutschland nicht generell verboten, aber stark eingeschraenkt. Biometrische Echtzeit-Identifizierung im oeffentlichen Raum und Datenbank-Scraping sind nach Art. 5 KI-Verordnung verboten. Die meisten privatwirtschaftlichen Einsaetze wie Zutrittskontrolle oder Identitaetspruefung gelten als Hochrisiko und loesen zusaetzlich Art. 9 DSGVO, eine DSFA und oft Mitbestimmungspflichten aus.
- Live-Identifizierung im oeffentlichen Raum und biometrisches Datenbank-Scraping sind nach Art. 5 KI-Verordnung verboten.
- Zutrittskontrolle, KYC und aehnliche Einsaetze sind meist Hochrisiko-KI und muessen bis 2. August 2026 belastbar compliant sein.
- Biometrische Daten sind besondere Kategorien nach Art. 9 DSGVO; Art. 6 DSGVO allein reicht nicht.
- Beschaeftigtenbezogene Einsaetze brauchen regelmaessig DSFA, Betriebsvereinbarung und eine echte nicht-biometrische Alternative.
Gesichtserkennung ist in Deutschland nur fuer begrenzte Anwendungsfaelle zulaessig. Die Kurzantwort lautet: Live-Identifizierung im oeffentlichen Raum ist verboten, die meisten kommerziellen Use Cases sind Hochrisiko, und biometrische Daten loesen von Anfang an Art. 9 DSGVO aus. Wer Gesichtserkennung fuer Zutrittskontrolle, KYC oder Beschaeftigtenkontexte einsetzen will, sollte die Rechtslage nach KI-Verordnung, DSGVO und bei Mitarbeiterbezug auch nach dem BetrVG vor dem Rollout pruefen.
Die schnelle Rechtsantwort
Die erste praktische Frage ist nicht “Welchen Anbieter nehmen wir?”, sondern “Ist der Use Case verboten, Hochrisiko oder nur schwer rechtssicher umzusetzen?”
| Anwendungsfall | Status in Deutschland | Worauf es vor allem ankommt |
|---|---|---|
| Live-Identifizierung im oeffentlichen Raum | Verboten | Art. 5 KI-Verordnung; keine normale kommerzielle Ausnahme |
| Aufbau biometrischer Datenbanken durch Scraping | Verboten | Art. 5 KI-Verordnung; Clearview-aehnliche Modelle sind das naheliegende Beispiel |
| Zutrittskontrolle fuer Standorte oder Bueros | Meist zulaessig, aber Hochrisiko | Art. 9 DSGVO, DSFA, nicht-biometrische Alternative, oft Betriebsvereinbarung |
| Kundenidentitaetspruefung / KYC | Meist zulaessig, aber Hochrisiko | Art. 9 DSGVO, Anbieterpruefung, Konformitaetsarbeit, Speichergrenzen |
| Zeiterfassung oder Verhaltensmonitoring von Beschaeftigten | Besonders heikel | Mitbestimmung, Verhaeltnismaessigkeit, Aufsichtsbehoerdenrisiko |
| Altersschaetzung ohne Identifizierung | Rechtlich sensibel | DSGVO bleibt relevant, sobald personenbezogene Daten verarbeitet werden |
Das ist die Kernbotschaft fuer viele Suchanfragen: Deutschland verbietet nicht jede Gesichtserkennung, aber die eingriffsintensivsten Faelle sind verboten und die uebrigen Einsaetze sind teuer zu begruenden und zu betreiben.
Was die KI-Verordnung verbietet
Fuer Unternehmen ist zunaechst Art. 5 KI-Verordnung entscheidend.
Die wichtigsten Verbote sind:
- biometrische Echtzeit-Fernidentifizierung in oeffentlich zugaenglichen Raeumen
- Aufbau oder Erweiterung biometrischer Datenbanken durch Scraping von Internetbildern oder CCTV-Material
- anlasslose biometrische Ueberwachung, die in Richtung Massenverfolgung geht
Wenn ein Projekt in diese Kategorie faellt, hilft keine bessere Richtlinie und kein staerkerer Vertrag. Dann ist der saubere rechtliche Schluss regelmaessig: Einsatzmodell stoppen oder grundlegend aendern.
Wann Gesichtserkennung Hochrisiko statt verboten ist
Viele kommerzielle Einsaetze sind nicht verboten, aber trotzdem schwer. Zutrittskontrolle, Identitaetspruefung und vergleichbare Identifizierungsprozesse sind regelmaessig Hochrisiko-KI und nicht bloss Komfortfunktionen.
Das bedeutet typischerweise Arbeit an:
- einem dokumentierten Risikomanagement
- technischer Dokumentation und Logging
- menschlicher Aufsicht und Eskalationspfaden
- Leistungs- und Bias-Pruefung
- einem realistischen Konformitaets- und Implementierungsplan bis 2. August 2026
Wenn Sie noch in der Beschaffung sind, ist genau deshalb eine fruehe Anbieterpruefung wichtig. Unsere Leitfaeden zu KI-Gesichtserkennung, biometrischer KI-Identifizierung und der EU-AI-Act-Frist bis August 2026 gehen tiefer in diese Umsetzungsfragen.
Art. 9 DSGVO: Warum biometrische Daten die Analyse verschaerfen
Gesichtserkennung ist nicht nur ein KI-Act-Thema, sondern auch ein Fall fuer besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO.
In der Praxis braucht ein deutsches Unternehmen meist:
- eine Art.-6-DSGVO-Rechtsgrundlage
- zusaetzlich einen Art.-9-DSGVO-Ausnahmetatbestand
- eine dokumentierte Verhaeltnismaessigkeitspruefung
- eine abgeschlossene Datenschutz-Folgenabschaetzung (DSFA) vor dem Start
Ein haeufiger Fehler ist, sich so zu verhalten, als reiche berechtigtes Interesse nach Art. 6 DSGVO aus. Das ist bei biometrischer Identifizierung regelmaessig nicht tragfaehig, weil die Art.-9-Ebene zusaetzlich geprueft werden muss.
Fuer Beschaffung und Vertragspruefung ist es sinnvoll, parallel den Auftragsverarbeiter-Rahmen und den allgemeinen DSGVO-Leitfaden zur KI-Beschaffung zu pruefen, bevor aus einem Pilot ein Produktiveinsatz wird.
Warum Beschaeftigteneinsaetze in Deutschland noch schwerer sind
Sobald Beschaeftigte betroffen sind, kommt in Deutschland eine weitere grosse Regelungsebene hinzu: die Mitbestimmung des Betriebsrats.
Nach § 87 Abs. 1 Nr. 6 BetrVG brauchen Systeme, die Verhalten oder Leistung ueberwachen koennen, regelmaessig eine Betriebsvereinbarung. Gesichtserkennung erzeugt dieses Risiko fast immer, auch wenn das offizielle Ziel nur Zutrittskontrolle lautet.
Die arbeitsrechtliche Mindestlinie ist meist:
- eine unterschriebene Betriebsvereinbarung
- eine DSFA
- klare Zweckbindung
- eingeschraenkte Zugriffe auf Protokolle
- eine echte nicht-biometrische Alternative
- kein Umwidmen fuer Leistungsbewertung oder Disziplinarzwecke
Gerade deshalb ist Gesichtserkennung fuer einfache Zeiterfassung sehr viel schwerer zu rechtfertigen, als viele Teams annehmen. Unsere Seiten zu KI-Mitarbeiterueberwachung und KI-Recruiting-Screening beleuchten benachbarte Risiken.
Was Unternehmen vor dem 2. August 2026 tun sollten
Wenn der Use Case nicht verboten ist, lautet die naechste Frage: Lässt sich der Einsatz bis zum 2. August 2026 operativ belastbar aufsetzen?
Eine kurze Arbeitsliste:
- Use Case klassifizieren - vor Beschaffung und Pilot.
- Beide DSGVO-Ebenen abbilden - Art. 6 und Art. 9.
- DSFA frueh starten, solange das Design noch veraenderbar ist.
- Beschaeftigtenbezug pruefen und den Betriebsrat rechtzeitig einbinden.
- Anbieter-Nachweise verlangen: technische Dokumentation, Risikokontrollen, Registrierungsstatus, Vertragsunterstuetzung.
- Alternative ohne Biometrie einplanen.
- Speicher- und Loeschregeln vor dem Start festlegen.
Der haeufigste kommerzielle Fehler ist, Gesichtserkennung wie einen normalen IT-Einkauf zu behandeln und die Rechtspruefung erst nach einem erfolgreichen Pilot nachzuholen. In Deutschland scheitert genau diese Reihenfolge oft.
Marktbezug: Warum das Thema trotzdem waechst
Trotz der strengen Rechtslage bleibt Deutschland ein relevanter Markt fuer Gesichtserkennung, vor allem in:
- regulierter Identitaetspruefung
- unternehmerischer Zutrittskontrolle
- Flughafen- und Transportinfrastruktur
- staatlichen und grenzbezogenen Biometriesystemen unter eigenen Rechtsrahmen
Das Marktwachstum lockert die Rechtslage nicht. Es bedeutet nur, dass Unternehmen mit sauberer Dokumentation, Governance und Beschaffungsdisziplin bessere Einsatzchancen haben als solche, die sich auf Produktmarketing verlassen.
FAQ
Ist Gesichtserkennung in Deutschland legal?
Ja, aber nur in engen Konstellationen. Live-Identifizierung im oeffentlichen Raum und Datenbank-Scraping sind verboten. Zutrittskontrolle und Identitaetspruefung koennen zulaessig sein, wenn DSGVO, DSFA und KI-VO-Anforderungen eingehalten werden.
Was ist nach der KI-Verordnung verboten?
Vor allem Echtzeit-Fernidentifizierung in oeffentlich zugaenglichen Raeumen und das Scraping von Bildern fuer biometrische Datenbanken. Das sind keine normalen Compliance-Probleme, sondern klare Verbotsfaelle.
Brauche ich immer ausdrueckliche Einwilligung?
Nicht in jedem theoretischen Sonderfall, aber fuer viele privatwirtschaftliche Modelle ist sie der am besten vertretbare Art.-9-Weg. Sie muss dann aber auch wirklich freiwillig, informiert und widerruflich ausgestaltet sein.
Warum ist der Einsatz am Arbeitsplatz schwieriger?
Weil Deutschland Arbeitsrecht, Mitbestimmung und Datenschutz kumuliert. Sobald Beschaeftigte betroffen sind, werden Betriebsrat, Verhaeltnismaessigkeit und Monitoring-Risiken zentral.
Ist eine DSFA Pflicht?
In den meisten realen Gesichtserkennungsprojekten ja. Je systematischer Personen identifiziert werden, desto schwerer ist es, eine DSFA fuer entbehrlich zu halten.
Was sollte ein Due-Diligence-Paket des Anbieters enthalten?
Mindestens: Systemklassifizierung, technische Dokumentation, KI-VO-Roadmap, DSGVO-Unterstuetzung, Logging-Konzept, Speicherlogik und Vertragsunterlagen passend zu den tatsaechlichen Datenflussen.
Compound Law beraet Unternehmen zur Gesichtserkennung in Deutschland, insbesondere zu KI-VO-Klassifizierung, Art. 9 DSGVO, DSFA, Betriebsratsverhandlungen und Anbieter-Due-Diligence. Diese Seite enthaelt allgemeine Informationen und ersetzt keine Rechtsberatung fuer einen konkreten Einzelfall.