Gesichtserkennung in Deutschland: Markt, Rechtslage & EU AI Act

Kurzantwort

Gesichtserkennung in Deutschland unterliegt strengen DSGVO-Vorgaben (Art. 9, besondere Datenkategorien) und dem EU AI Act, der biometrische Echtzeit-Identifizierung im öffentlichen Raum verbietet und die meisten kommerziellen Anwendungen als Hochrisiko-KI einstuft. Der deutsche Markt wächst trotz eines der aktivsten.

• Biometrische Echtzeit-Identifizierung in öffentlich zugänglichen Räumen ist nach Art. 5 KI-Verordnung für alle kommerziellen Betreiber absolut verboten.
• Zugangskontrolle und Identitätsverifizierung sind zulässig, aber als Hochrisiko-KI eingestuft — Konformitätsbewertung bis 2. August 2026 erforderlich.
• Biometrische Gesichtsdaten sind besondere Datenkategorien nach Art. 9 DSGVO. Ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a ist die häufigste.
• Beschäftigtenbezogene Systeme erfordern vor dem Einsatz eine Betriebsvereinbarung nach § 87 Abs. 1 Nr. 6 BetrVG.

Gesichtserkennung in Deutschland unterliegt einigen der strengsten gesetzlichen Anforderungen Europas. Nach Art. 9 DSGVO gelten biometrische Gesichtsdaten als besondere Datenkategorie und sind grundsätzlich der Verarbeitung entzogen. Die KI-Verordnung verbietet die biometrische Echtzeit-Identifizierung im öffentlichen Raum und stuft die meisten kommerziellen Anwendungen als Hochrisiko-KI ein. Dennoch ist Deutschland ein bedeutender und wachsender Markt für Gesichtserkennungstechnologie — angeführt durch Cognitec Systems (Dresden) und internationale Anbieter wie NEC, Idemia und Thales. Unternehmen, die Gesichtserkennungstechnologie in Deutschland einsetzen oder vertreiben möchten, müssen drei ineinandergreifende Rechtsrahmen beachten: die EU-KI-Verordnung, die DSGVO sowie — bei beschäftigtenbezogenen Systemen — das Betriebsverfassungsgesetz (BetrVG).

Ist Gesichtserkennung in Deutschland legal? Kurzantwort

Ja — mit erheblichen Einschränkungen. Die Antwort hängt vollständig vom Anwendungsfall ab:

Anwendungsfall	Rechtsstatus	Wesentliche Anforderungen
Echtzeit-Identifizierung im öffentlichen Raum	Verboten (Art. 5 KI-VO)	Keine kommerzielle Ausnahme
Aufbau biometrischer Datenbanken durch Scraping	Verboten (Art. 5 KI-VO)	Verboten seit 2. Februar 2025
Zugangskontrolle (Beschäftigte/Besucher)	Zulässig — Hochrisiko-KI	DSFA + Einwilligung + Betriebsvereinbarung + Konformitätsbewertung
Identitätsverifizierung (KYC/Onboarding)	Zulässig — Hochrisiko-KI	DSFA + Einwilligung + Konformitätsbewertung
Staatliche Grenz-/Biometriesysteme	Zulässig — gesondert geregelt	Sicherheitsbehördlicher Rahmen, nicht kommerzielle KI-VO-Regeln
Altersverifikation im Einzelhandel (Schätzung)	Rechtlich unsicher	DSGVO gilt auch ohne Identifizierungszweck
Zeiterfassung von Beschäftigten	Heikel	Betriebsvereinbarung zwingend; DPA-Prüfungen häufig

Die Verbotstatbestände der KI-Verordnung gelten seit dem 2. Februar 2025. Hochrisiko-Compliance-Pflichten gelten ab dem 2. August 2026.

Gesichtserkennung Deutschland: Marktgröße und Verbreitung

Deutschland gehört zu den drei größten europäischen Märkten für Gesichtserkennungstechnologie, getrieben durch Nachfrage aus dem Finanzsektor, der Grenzkontrolle, kritischer Infrastruktur und unternehmensweiter Sicherheit.

Marktvolumen: Der europäische Biometriemarkt — dessen größtes Segment die Gesichtserkennung darstellt — wächst bis 2030 voraussichtlich mit einer jährlichen Wachstumsrate (CAGR) von über 15 %. Deutschland hat daran einen erheblichen Anteil, getragen durch obligatorische staatliche Investitionen in die biometrische Infrastruktur für EES und ETIAS.

Wesentliche Wachstumstreiber:

• Finanzdienstleistungen und Fintech: Digitale Identitätsverifizierung für KYC nach dem Geldwäschegesetz (GwG) und den EU-Geldwäscherichtlinien. Banken und Neobanken nutzen biometrischen Abgleich über Video-Ident und eID.
• Staatliche Grenzkontrolle: Das EU-Einreise-/Ausreisesystem (EES) und das Europäische Reiseinformations- und -genehmigungssystem (ETIAS) erfordern biometrische Identitätsverifizierung an deutschen Flughäfen, darunter Frankfurt, München und Berlin Brandenburg.
• Unternehmensweite Zugangskontrolle: Ablösung kartenbasierter Zutrittskontrollen durch Biometrie in Bürogebäuden, Rechenzentren und Produktionsstätten.
• Transport und Logistik: Kontaktloses Boarding, biometrische Abfertigung und Zugangsverwaltung in Logistikzentren.
• Einzelhandel-Sicherheit: Verlustprävention — datenschutzrechtlich umstritten, aber in Einzelfällen diskutiert.

Markthemmnis: Deutschland verfügt über eines der aktivsten Datenschutz-Durchsetzungsumfelder Europas. Dies erzeugt Compliance-Aufwand, der als Marktzugangsbarriere für Anbieter ohne entsprechende Rechtsinfrastruktur wirkt — und verschafft Unternehmen mit fundierter Compliance-Kompetenz einen Wettbewerbsvorteil.

Wichtige Anbieter im deutschen Markt

Inländische Anbieter:

• Cognitec Systems (Dresden) — Deutschlands führendes Gesichtserkennungsunternehmen und einer der bedeutendsten Anbieter weltweit. FaceVACS-Technologie wird von deutschen Grenzbehörden, Strafverfolgungsbehörden und kommerziellen Zugangskontrollbetreibern international eingesetzt.
• Veridos (Berlin) — Gemeinschaftsunternehmen von Giesecke+Devrient und Bundesdruckerei, Anbieter von biometrischen Passsystemen und staatlicher Identitätsinfrastruktur für deutsche und internationale Regierungen.

Internationale Anbieter mit Deutschland-Präsenz:

• NEC — Biometrische Identitätsmanagementsysteme für staatliche Stellen und Strafverfolgungsbehörden, darunter NeoFace-Technologie in europäischen Regierungsprogrammen.
• Idemia — Staatliche Ausweisdokumente, Grenzkontrolle und KYC-Systeme im Bankensektor mit erheblicher Auftragspräsenz in Deutschland.
• Thales — Staatliche Biometrie-Infrastruktur, insbesondere Dokument- und Grenztechnologie.
• Jumio, Onfido (Entrust), Veriff — Kommerzielle SaaS-Identitätsverifizierung im deutschen Markt nach DSGVO-konformen Rahmenbedingungen.

Staatliche Betreiber:

Das Bundeskriminalamt (BKA) und die Bundespolizei betreiben biometrische Identifizierungssysteme im Strafverfolgungskontext — unter einem gesonderten Rechtsrahmen, der von den kommerziellen KI-Verordnungsregeln abweicht.

Rechtsrahmen: DSGVO, BDSG und besondere Datenkategorien

Art. 9 DSGVO: Biometrische Daten als besondere Datenkategorie

Gesichtserkennung verarbeitet zwingend biometrische Daten — physische Merkmale, die zur eindeutigen Identifizierung natürlicher Personen verwendet werden. Dies löst Art. 9 DSGVO aus, der biometrische Identifikationsdaten als besondere Datenkategorie einstuft und ihre Verarbeitung grundsätzlich untersagt.

Für eine rechtmäßige Verarbeitung biometrischer Daten in Deutschland benötigen Unternehmen zwei getrennte Rechtsgrundlagen:

1. Eine Standardrechtsgrundlage nach Art. 6 DSGVO (z. B. Vertragserfüllung, rechtliche Verpflichtung, berechtigtes Interesse oder Einwilligung)
2. Zusätzlich einen Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO — am häufigsten die ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a

Wichtiger Hinweis: Das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO allein rechtfertigt nicht die Verarbeitung biometrischer Sonderkategoriedaten. Ein gesonderter Ausnahmetatbestand nach Art. 9 Abs. 2 ist stets erforderlich. Dies ist einer der häufigsten Compliance-Fehler in der Praxis.

BDSG-Ergänzungen des deutschen Rechts

Das Bundesdatenschutzgesetz (BDSG) legt nationale Anforderungen zusätzlich zur DSGVO fest:

• § 26 Abs. 3 BDSG regelt die Verarbeitung biometrischer Daten im Beschäftigungsverhältnis: Sie ist nur zulässig auf Grundlage einer Einwilligung oder Kollektivvereinbarung (Betriebsvereinbarung) und unter strengen Erforderlichkeits- und Verhältnismäßigkeitsanforderungen.
• Deutsche Datenschutzbehörden legen Art. 9 Abs. 2 lit. b (erhebliches öffentliches Interesse) für privatwirtschaftliche Arbeitgeber eng aus — Unternehmen können sich für die routinemäßige Gesichtserkennung von Beschäftigten nicht auf öffentliche Interessen berufen.

Pflicht zur Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

Eine Datenschutz-Folgenabschätzung (DSFA) ist bei allen systematischen Gesichtserkennungssystemen zwingend. Deutsche Datenschutzbehörden führen Gesichtserkennung ausdrücklich auf ihren Positivlisten für DSFA-pflichtige Verarbeitungstätigkeiten. Die DSFA muss prüfen:

• Notwendigkeit und Verhältnismäßigkeit der Verarbeitung
• Risiken für die Rechte und Freiheiten der betroffenen Personen
• Maßnahmen zur Risikoabschwächung

Die DSFA muss vor dem Systemstart abgeschlossen sein. Verbleiben hohe Restrisiken, die nicht abgemildert werden können, ist vor dem Einsatz eine Vorabkonsultation bei der zuständigen Datenschutzbehörde nach Art. 36 DSGVO erforderlich.

KI-Verordnung: Verbote und Hochrisiko-Einstufung

Was verboten ist (Art. 5 KI-VO, in Kraft seit 2. Februar 2025)

Folgende Anwendungen der Gesichtserkennung sind für alle Betreiber in Deutschland — einschließlich privater Unternehmen — absolut verboten:

• Biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen — Live-Scans von Personen auf Straßen, in Einkaufszentren, Verkehrsknotenpunkten oder sonstigen öffentlich zugänglichen Orten. Enge Ausnahmen existieren ausschließlich für Strafverfolgungsbehörden unter richterlicher Kontrolle. Kommerzielle Ausnahmen gibt es nicht.
• Aufbau biometrischer Datenbanken durch Scraping — Anlegen oder Erweitern von Gesichtserkennungsdatenbanken durch das Abgreifen von Bildern aus dem Internet oder aus Videoüberwachungsmaterial. Dieses Verbot richtet sich direkt gegen das Geschäftsmodell von Clearview AI.
• Anlasslose biometrische Massenüberwachung — KI-Systeme zur massenhaften oder anlasslosen Verfolgung von Personen über Standorte hinweg.

Sanktionen bei Verstößen gegen Verbotstatbestände: Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist.

Hochrisiko-Einstufung (Anhang III KI-VO, Compliance-Frist: 2. August 2026)

Gesichtserkennungssysteme für Zugangskontrolle, Identitätsverifizierung, Zahlungsauthentifizierung und Grenzkontrolle werden nach Anhang III als Hochrisiko-KI eingestuft. Dies stellt kein Verbot dar — verlangt aber ein umfassendes Compliance-Programm vor dem Inverkehrbringen oder dem Einsatz.

Pflichten für Hochrisiko-KI:

• Dokumentiertes Risikomanagement-System mit identifizierten und behandelten vorhersehbaren Risiken
• Hochwertige Trainings-, Validierungs- und Testdatensätze mit demografischem Bias-Monitoring
• Technische Dokumentation und automatisiertes Logging für nachträgliche Überprüfungen
• Menschliche Aufsicht — KI-Ausgaben müssen von qualifizierten Personen überprüfbar und korrigierbar sein
• Transparenz gegenüber von der Identifizierung betroffenen Personen
• Konformitätsbewertung (Selbstbewertung für die meisten Anwendungen; benannte Stelle bei kritischer Infrastruktur oder Strafverfolgungsbezug)
• Registrierung in der EU-KI-Datenbank vor dem Inverkehrbringen oder Einsatz

Die Compliance-Frist für die meisten Hochrisiko-Systeme ist der 2. August 2026. Bereits im Einsatz befindliche Systeme benötigen ein Übergangsprogramm.

Sektorspezifische Regeln: Flughäfen, Arbeitgeber, Einzelhandel

Flughäfen und Grenzkontrolle

Gesichtserkennung an deutschen Flughäfen erfolgt primär im Rahmen des EU-regulierten EES- und ETIAS-Rahmens, der die biometrische Erhebung, Speicherung und den Zugriff an EU-Außengrenzen regelt. Diese Einsätze der Bundespolizei unterliegen einem gesonderten Rechtsrahmen — nicht den kommerziellen Hochrisiko-Regelungen der KI-Verordnung, aber den behördlichen KI-Verordnungsvorschriften und spezifischen EU-Grenzverwaltungsregelungen.

Privatwirtschaftliche Flughafenbetreiber (Terminalgesellschaften, Fluggesellschaften), die Gesichtserkennung für beschleunigtes Boarding oder Zugangskontrolle einsetzen, müssen den kommerziellen Hochrisiko-Rahmen der KI-Verordnung und Art. 9 DSGVO einhalten — wie jeder andere privatwirtschaftliche Betreiber.

Arbeitgeber und betriebliche Einsätze

Betriebliche Gesichtserkennung in Deutschland unterliegt einer dritten Rechtsebene jenseits von DSGVO und KI-Verordnung: der Mitbestimmung nach BetrVG.

§ 87 Abs. 1 Nr. 6 BetrVG gewährt dem Betriebsrat zwingende Mitbestimmungsrechte bei der Einführung technischer Einrichtungen, die zur Überwachung des Verhaltens oder der Leistung der Beschäftigten bestimmt sind oder sich dafür eignen. Gesichtserkennungssysteme — auch solche, die ausschließlich der Zugangskontrolle dienen — erfüllen diese Voraussetzung.

Praktische Anforderung: Eine Betriebsvereinbarung muss zwischen Arbeitgeber und Betriebsrat verhandelt und unterzeichnet werden, bevor ein Gesichtserkennungssystem mit Beschäftigtenbezug in Betrieb genommen wird. Ein Verstoß hiergegen setzt den Arbeitgeber einstweiligem Rechtsschutz durch den Betriebsrat und DSGVO-Haftung aus.

Eine rechtssichere Betriebsvereinbarung zur Gesichtserkennung sollte mindestens regeln:

• Strenge Zweckbindung (z. B. ausschließlich Zugangskontrolle, keine Leistungsüberwachung)
• Nicht-biometrische Alternative für Beschäftigte, die keine Einschreibung wünschen
• Datensparsamkeit — biometrische Templates nur so lange speichern, wie betrieblich notwendig
• Festgelegte Zugriffsrechte auf Protokolldaten
• Ausdrückliches Nutzungsverbot für Disziplinar-, Beurteilungs- oder Beförderungsentscheidungen
• Auditrechte des Betriebsrats mit festgelegten Prüfungszyklen

Einzelhandel und verbrauchergerichtete Kontexte

Gesichtserkennung zur Verlustprävention im Einzelhandel bewegt sich in rechtlich unsicherem Gelände. Art. 9 DSGVO gilt für jede Verarbeitung von Gesichtsbildern zu Identifizierungszwecken, und die Verhältnismäßigkeitsschwelle für Sicherheitszwecke im Einzelhandel ist angesichts der Datensensibilität hoch. Mehrere Landesdatenschutzbehörden haben Hinweise veröffentlicht, wonach Einwilligungen im Einzelhandelskontext möglicherweise nicht das Merkmal der „Freiwilligkeit” erfüllen. Die rechtlich sicherste Position für Einzelhändler: Gesichtserkennung zur Verlustprävention erfordert eine formale Rechtsgrundlage nach Art. 9 Abs. 2, eine DSFA und — bei Beschäftigten — eine Betriebsvereinbarung.

BfDI-Vorgaben und Entscheidungen deutscher Gerichte

BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit)

Der BfDI hat Positionen veröffentlicht, die kommerzielle biometrische Identifizierung in Deutschland einschränken. Wesentliche Positionen zur Gesichtserkennung:

• Für kommerzielle Anwendungen ist ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a die gebotene Rechtsgrundlage — eine Berufung auf öffentliches Interesse oder berechtigtes Interesse ist für privatwirtschaftliche Betreiber nicht angemessen.
• Eine Verhältnismäßigkeitsprüfung ist vor dem Einsatz zwingend — der angestrebte Zweck darf nicht mit weniger eingriffsintensiven Mitteln erreichbar sein.
• Der BfDI hat gemeinsam mit dem Europäischen Datenschutzausschuss (EDSA) Positionen für ein Verbot biometrischer Massenüberwachung im öffentlichen Raum mitunterzeichnet, was die nationalen Durchsetzungsprioritäten beeinflusst.

Unternehmen, die biometrische Produkte in Deutschland einführen möchten, sollten aktuelle BfDI-Stellungnahmen zur biometrischen Verarbeitung vor dem Produktlaunch prüfen — BfDI-Leitlinien prägen die Durchsetzungsschwerpunkte der Landesdatenschutzbehörden unmittelbar.

HmbBfDI: Clearview AI als Präzedenzfall

Die Hamburgische Beauftragte für Datenschutz (HmbBfDI) hat einen der bedeutendsten europäischen Präzedenzfälle zur Gesichtserkennung gesetzt:

• Die HmbBfDI stellte DSGVO-Verstöße von Clearview AI fest — einschließlich der unzulässigen Verarbeitung biometrischer Sonderkategoriedaten durch Scraping öffentlich zugänglicher Bilder.
• Die HmbBfDI erließ eine Löschungsanordnung, die Clearview zur Löschung biometrischer Daten Hamburger Betroffener verpflichtete.
• Dieser Fall belegt, dass deutsche Datenschutzbehörden extraterritoriale Durchsetzungsmaßnahmen gegen Nicht-EU-Unternehmen einleiten, die Gesichtserkennungsdatenbanken für deutsche Kunden bereitstellen.

Deutsche Rechtsprechung

Deutsche Gerichte haben in mehreren Zusammenhängen zur Gesichtserkennung entschieden:

• Gerichte haben bestätigt, dass biometrische Zeiterfassung ohne Betriebsvereinbarung rechtswidrig ist und dem einstweiligen Rechtsschutz durch den Betriebsrat unterliegt.
• Verwaltungsgerichte haben DPA-Durchsetzungsmaßnahmen gegen biometrische Verarbeitung ohne gültige Rechtsgrundlage nach Art. 9 Abs. 2 bestätigt.
• Das Recht auf informationelle Selbstbestimmung aus dem Volkszählungsurteil des Bundesverfassungsgerichts von 1983 bildet den verfassungsrechtlichen Hintergrund, auf den sich deutsche Datenschutzbehörden bei der Auslegung der DSGVO-Verhältnismäßigkeit in biometrischen Kontexten beziehen.

Compliance-Checkliste für Unternehmen in Deutschland

Vor dem Einsatz eines Gesichtserkennungssystems in Deutschland sollten Unternehmen diese Checkliste abarbeiten:

1. Anwendungsfall klassifizieren — Ist der Einsatz nach Art. 5 KI-VO verboten (Echtzeit-Identifizierung im öffentlichen Raum, Datenbankscaping)? Hochrisiko nach Anhang III (Zugangskontrolle, KYC, Zahlungsauthentifizierung)? Das KI-Verordnungs-Risikoprofil muss vor jeder weiteren Planung feststehen.

2. Rechtsgrundlagen festlegen — Sowohl die Art.-6-Rechtsgrundlage als auch den Art.-9-Abs.-2-Ausnahmetatbestand identifizieren und schriftlich dokumentieren. Ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a ist für kommerzielle Einsätze die rechtssicherste Grundlage.

3. DSFA durchführen — Zwingend vor dem Einsatz. Die DSFA klärt, ob verbleibende Restrisiken eine Vorabkonsultation bei der zuständigen Datenschutzbehörde erfordern.

4. Betriebsrat frühzeitig einbinden — Wenn das System Beschäftigte betrifft, vor der Anbieterauswahl — nicht nach dem Vertragsschluss. § 87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat ein Veto, das nicht umgangen werden kann.

5. Betriebsvereinbarung abschließen — Eine Betriebsvereinbarung mit Zweckbindung, nicht-biometrischer Alternative, Datensparsamkeit und ausdrücklichem Verbot der Leistungsüberwachung ist rechtliche Voraussetzung für jeden beschäftigtenbezogenen Einsatz.

6. Nicht-biometrische Alternative anbieten — Beschäftigte und Kunden müssen den Dienst ohne biometrische Einschreibung nutzen können. Freiwillige Einwilligung setzt eine echte Alternative voraus.

7. Anbieter sorgfältig prüfen — KI-VO-Klassifizierungsdokumentation, Konformitätsbewertungsnachweise, Bias-Testergebnisse, EU-KI-Datenbankregistrierung und einen DSGVO-konformen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO anfordern. Der Betreiber übernimmt Compliance-Risiken aus unzureichender Anbieterdokumentation.

8. Compliance-Frist 2. August 2026 einhalten — Für bereits im Einsatz befindliche oder vor August 2026 eingeführte Systeme jetzt den Zeitplan für die Konformitätsbewertung aufstellen. Gap-Analysen für Hochrisiko-Systeme erfordern typischerweise drei bis sechs Monate.

9. Löschkonzept erstellen — Biometrische Templates müssen definierte Speicherfristen haben. Durchsetzbare Löschprozesse implementieren und im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO dokumentieren.

10. In der EU-KI-Datenbank registrieren — Hochrisiko-Systeme müssen vor dem Inverkehrbringen oder Einsatz in der öffentlichen KI-Datenbank der EU-Kommission eingetragen sein.

Häufig gestellte Fragen

Ist Gesichtserkennung in Deutschland legal?

Kontextabhängig. Biometrische Echtzeit-Identifizierung in öffentlich zugänglichen Räumen ist absolut verboten nach Art. 5 KI-Verordnung — für alle kommerziellen Betreiber, ohne Ausnahme. Privatwirtschaftliche Anwendungen wie Zugangskontrolle, Identitätsverifizierung und KYC sind zulässig, wenn eine gültige Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO vorliegt, eine DSFA abgeschlossen wurde und — für Hochrisiko-KI-Systeme — bis zum 2. August 2026 eine Konformitätsbewertung vorliegt.

Dürfen Arbeitgeber Gesichtserkennung in Deutschland einsetzen?

Ja, aber unter drei gesonderten Rechtsanforderungen: (1) eine Betriebsvereinbarung nach § 87 Abs. 1 Nr. 6 BetrVG; (2) eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO (in der Regel ausdrückliche Einwilligung); und (3) eine zwingende DSFA. Beschäftigte müssen eine nicht-biometrische Alternative erhalten. Ein Einsatz ohne Betriebsvereinbarung ist unzulässig und setzt den Arbeitgeber einstweiligem Rechtsschutz aus.

Was regelt der EU AI Act zur Gesichtserkennung?

Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum ist verboten (Art. 5, seit 2. Februar 2025). Gesichtserkennung für Zugangskontrolle, Identitätsverifizierung, Zahlungsauthentifizierung und Grenzkontrolle gilt als Hochrisiko-KI (Anhang III) mit Anforderungen an Risikomanagement, Bias-Monitoring, menschliche Aufsicht, technische Dokumentation und Konformitätsbewertung bis zum 2. August 2026. Verstöße gegen Verbotstatbestände werden mit bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes geahndet.

Wie groß ist der Markt für Gesichtserkennung in Deutschland?

Deutschland gehört zu den drei größten europäischen Märkten für Gesichtserkennungstechnologie. Der europäische Biometriemarkt wächst bis 2030 um über 15 % jährlich. Wichtigste Segmente: KYC im Finanzsektor, staatliche Grenzkontrolle (EES/ETIAS), Unternehmens-Zugangskontrolle und staatliche Identitätssysteme. Cognitec Systems (Dresden) ist der führende inländische Anbieter; NEC, Idemia und Thales sind die dominanten internationalen Lieferanten.

Brauche ich eine DSFA für Gesichtserkennung in Deutschland?

Ja, bei nahezu jedem Einsatz. Eine DSFA nach Art. 35 DSGVO ist vor dem Einsatz jedes systematischen biometrischen Identifizierungssystems zwingend. Deutsche Datenschutzbehörden führen Gesichtserkennung auf ihren DSFA-Positivlisten. Die DSFA muss abgeschlossen sein, bevor das System in Betrieb geht — bei hohen Restrisiken ist zudem eine Vorabkonsultation bei der zuständigen Datenschutzbehörde nach Art. 36 DSGVO erforderlich.

Welche Maßnahmen haben deutsche Behörden ergriffen?

Der Hamburgische Beauftragte für Datenschutz (HmbBfDI) hat gegen Clearview AI wegen DSGVO-Verstößen Durchsetzungsmaßnahmen eingeleitet und die Löschung biometrischer Daten Hamburger Betroffener angeordnet. Der BfDI hat sich einschränkend zur kommerziellen biometrischen Identifizierung positioniert und gemeinsam mit dem EDSA für Verbote biometrischer Massenüberwachung eingesetzt. Landesbeauftragte für Datenschutz prüfen Gesichtserkennungssysteme proaktiv — Bußgelder und Systemstilllegungen sind ohne vorherige Beschwerde möglich.

---

Weiterführende Informationen finden Sie auf unseren Seiten zu KI-Gesichtserkennung — Compliance-Leitfaden, biometrischer KI-Identifizierung sowie zum EU AI Act Überblick. Zum Markt und Markteintritt als Anbieter empfehlen wir unseren Leitfaden zum Gesichtserkennungsmarkt in Deutschland.

Compound Law berät Anbieter und Betreiber von Gesichtserkennungssystemen zu deutschem und europäischem Markteintritt, KI-Verordnungs-Compliance, DSGVO-Rahmenbedingungen für biometrische Daten, Datenschutz-Folgenabschätzungen und Betriebsratsverhandlungen. Diese Seite enthält allgemeine rechtliche Informationen und ersetzt keine anwaltliche Beratung zu konkreten Einsatzvorhaben.