Gesichtserkennung in Deutschland: Markt, Datenschutz und Recht

Kurzantwort

Deutschland hat einen regulierten, aber aktiven Markt fuer Gesichtserkennung. Echtzeit-Identifizierung im oeffentlichen Raum ist nach Art. 5 KI-Verordnung verboten. Zugangskontrolle bleibt mit Compliance-Programm zulaessig. Anbieter muessen KI-Verordnung, Art. 9 DSGVO und BetrVG erfuellen.

• Echtzeit-Gesichtserkennung in öffentlich zugänglichen Räumen ist für alle kommerziellen Betreiber ohne Ausnahme verboten.
• Zugangskontrolle und Identitaetsverifizierung sind zulaessig, aber als Hochrisiko-KI eingestuft — Konformitaetsbewertung bis August 2026.
• Biometrische Daten sind besondere Datenkategorien nach Art. 9 DSGVO — berechtigtes Interesse allein reicht als Rechtsgrundlage nicht aus.
• Cognitec Systems aus Dresden ist einer der weltweit führenden Hersteller von Gesichtserkennungstechnologie.

Gesichtserkennung in Deutschland ist ein regulierter, aber wachsender Markt. Die biometrische Echtzeit-Identifizierung von Personen in öffentlich zugänglichen Räumen ist nach Art. 5 der KI-Verordnung verboten. Kommerzielle Anwendungen wie Zugangskontrolle und Identitätsverifizierung bleiben zulässig — erfordern aber ein vollständiges Compliance-Programm. Zu den wichtigsten Anbietern zählen das Dresdner Unternehmen Cognitec Systems sowie internationale Akteure wie NEC, Idemia und Thales. Unternehmen, die Gesichtserkennung in Deutschland einsetzen oder anbieten möchten, bewegen sich in einem mehrschichtigen Rechtsrahmen aus KI-Verordnung, DSGVO (insbesondere Art. 9) und dem deutschen Betriebsverfassungsgesetz.

Gesichtserkennung in Deutschland: Marktüberblick

Deutschland ist einer der bedeutendsten europäischen Märkte für Gesichtserkennungstechnologie. Die Nachfrage wird von Finanzdienstleistungen, Grenzkontrolle, kritischer Infrastruktur und unternehmensweiter Zugangskontrolle getrieben. Der europäische Biometriemarkt — dessen größtes Segment die Gesichtserkennung darstellt — wächst nach Einschätzung von Marktanalysten bis 2030 mit einer jährlichen Rate von über 15 Prozent. Deutschland gehört dabei zu den drei größten nationalen Märkten.

Wesentliche Wachstumstreiber:

• Finanzdienstleistungen und Fintech: Digitale Identitätsverifizierung für Kontoeröffnungen und KYC-Compliance nach dem Geldwäschegesetz (GwG) und den EU-Geldwäscherichtlinien (AMLD)
• Grenzkontrolle und staatliche Identifizierung: Einsatzbereiche der Bundespolizei an Flughäfen und Grenzübergängen im Rahmen von ETIAS und EES
• Unternehmensweite Zugangskontrolle: Physische Sicherung von Bürogebäuden, Rechenzentren und Produktionsanlagen
• Transport und Logistik: Biometrisches Boarding, kontaktloser Abfertigungsprozess und Zugangsverwaltung in Logistikzentren
• Einzelhandel-Sicherheit: Verlustprävention — datenschutzrechtlich umstritten, aber in engen Grenzen diskutiert

Das Marktwachstum wird durch eines der aktivsten Datenschutz-Durchsetzungsumfelder Europas gebremst. Deutsche Aufsichtsbehörden gehören zu den aktivsten in der EU bei der Überprüfung biometrischer Verarbeitung, was Compliance-Aufwand erzeugt und als Marktbarriere für Anbieter ohne entsprechende Rechtsinfrastruktur wirkt.

Wichtige Anwendungsfälle in Deutschland

1. Zugangskontrolle und physische Sicherheit

Der am weitesten verbreitete kommerzielle Anwendungsfall. Unternehmen ersetzen Kartenleser oder PIN-Systeme durch Gesichtserkennung an Zugangspunkten. Rechtlich zulässig, sofern das System freiwillig ist (mit nicht-biometrischer Alternative), auf ausdrücklicher Einwilligung beruht, durch eine Datenschutz-Folgenabschätzung (DSFA) abgesichert ist und — bei Beschäftigten — mit dem Betriebsrat abgestimmt wurde.

2. Grenzkontrolle und staatliche Identitätsverwaltung

Bundes- und Landesbehörden nutzen biometrische Identifizierungssysteme an Grenzübergängen und bei der Ausstellung von Reisepässen und Personalausweisen. Das EU-Einreise-/Ausreisesystem (EES) und das Europäische Reiseinformations- und -genehmigungssystem (ETIAS) treiben erhebliche Investitionen in staatliche Gesichtserkennungstechnik an deutschen Flughäfen voran.

3. Identitätsverifizierung im Finanzsektor

Banken, Neobanken und Zahlungsdienstleister nutzen Gesichtserkennung für die digitale Kundenauthentifizierung im Rahmen von Video-Ident- und eID-Verfahren. Dabei werden Ausweisdokumente per Liveabgleich mit einem Selfie verifiziert. Dieser Anwendungsfall bietet eine der klarsten gesetzlichen Grundlagen: Die Einwilligung erfolgt freiwillig im Rahmen der Kontoeröffnung, der Zweck ist eng definiert, und der Regulierungsrahmen sieht Fernidentifizierung ausdrücklich vor.

4. Arbeitszeiterfassung und Personalverwaltung

Die Gesichtserkennungsbasierte Zeiterfassung existiert in einigen deutschen Unternehmen, bleibt aber rechtlich heikel. Arbeitgeber müssen Mitbestimmungsrechte nach BetrVG beachten, strenge DSGVO-Anforderungen einhalten und mit Prüfungen durch Datenschutzbehörden rechnen. Die meisten rechtssicheren Einsätze beschränken sich auf die Zugangskontrolle, nicht auf die Leistungserfassung.

5. Altersverifikation im Einzelhandel

Die Gesichtsanalyse zur Altersschätzung (Alkohol, Tabak) ist eine aufkommende, aber rechtlich unsichere Kategorie. Systeme, die nur Altersgruppen schätzen statt Personen zu identifizieren, werfen andere Rechtsfragen auf — aber auch hier gilt die DSGVO für die Verarbeitung von Gesichtsbildern.

Welche Unternehmen bieten Gesichtserkennung in Deutschland an?

Inländische Anbieter

Cognitec Systems (Dresden) ist eines der weltweit führenden Unternehmen im Bereich Gesichtserkennungstechnologie und der bedeutendste deutsche Akteur. Cognitec liefert Gesichtserkennungstechnik an Grenzkontrollbehörden, Strafverfolgungsbehörden und gewerbliche Zugangskontrollbetreiber weltweit. Die FaceVACS-Technologie des Unternehmens wird von deutschen Behörden und internationalen Regierungsstellen eingesetzt. Cognitec gilt als Referenzpunkt für die deutsche Kompetenz in der Gesichtserkennungstechnologie.

Veridos (Berlin) ist ein Gemeinschaftsunternehmen von Giesecke+Devrient und der Bundesdruckerei, das staatliche Dokument- und Identitätslösungen einschließlich biometrischer Pass- und Grenzsystemkomponenten für die deutsche und internationale Regierung bereitstellt.

iProov (britischer Ursprung, in Deutschland aktiv) liefert biometrische Verifizierungstechnologie an europäische Finanzdienstleistungskunden, darunter in Deutschland tätige Banken.

Internationale Anbieter mit Deutschland-Präsenz

NEC bietet biometrische Identitätsmanagementsysteme für deutsche Strafverfolgungsbehörden und den Grenzschutz. NEC’s NeoFace-Technologie ist in staatlichen Identitätsprogrammen in ganz Europa im Einsatz.

Idemia (deutsch-französischer Betrieb) liefert Identitätsverifizierungssysteme für staatliche Ausweisdokumente, Grenzkontrolle und KYC im Bankwesen. Idemia verfügt über erhebliche staatliche Aufträge in Deutschland und der gesamten EU.

Thales ist im deutschen staatlichen Biometrie-Infrastrukturbereich, insbesondere bei Dokument- und Grenztechnologie, tätig.

Für die kommerzielle Identitätsverifizierung (KYC) sind SaaS-Anbieter wie Jumio, Onfido (jetzt Teil von Entrust) und Veriff im deutschen Markt aktiv.

Staatliche Einsätze

Das Bundeskriminalamt (BKA) und die Bundespolizei betreiben Gesichtserkennungssysteme zu Strafverfolgungszwecken. Das automatisierte Fingerabdruck-Identifizierungssystem des BKA (AFIS) umfasst auch biometrische Gesichtsdaten für kriminalistische Zwecke — diese Systeme operieren unter einem anderen Rechtsrahmen als kommerzielle Betreiber.

KI-Verordnung: Verbote und Hochrisiko-Einstufung

Die KI-Verordnung unterscheidet zwei relevante Kategorien für Gesichtserkennung in Deutschland: absolute Verbote (Art. 5) und die Hochrisiko-Einstufung (Anhang III).

Was verboten ist (Art. 5 KI-Verordnung)

Seit dem 2. Februar 2025 sind folgende Systeme für alle Betreiber — einschließlich kommerzieller Unternehmen — absolut verboten:

• Biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen — Live-Scans von Personen auf Straßen, in Einkaufszentren, Verkehrsknotenpunkten oder sonstigen öffentlich zugänglichen Orten. Enge Ausnahmen für Strafverfolgungsbehörden existieren; kommerzielle Ausnahmen gibt es nicht.
• Aufbau biometrischer Datenbanken durch Scraping — das Anlegen oder Erweitern von Gesichtserkennungsdatenbanken durch das Abgreifen von Bildern aus dem Internet oder aus Videoüberwachungsmaterial ohne gezielten Erhebungsprozess. Dieses Verbot richtet sich direkt gegen das Geschäftsmodell von Clearview AI.
• Anlasslose biometrische Massenüberwachung — KI-Systeme zur Verfolgung oder retrospektiven Analyse von Bevölkerungsgruppen ohne spezifischen Anlass.

Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist.

Hochrisiko-Einstufung (Anhang III KI-Verordnung)

Gesichtserkennungssysteme zur Zugangskontrolle, Identitätsverifizierung, Zahlungsauthentifizierung und Grenzkontrolle werden nach Anhang III als Hochrisiko-KI eingestuft. Das bedeutet kein Verbot — wohl aber erhebliche Compliance-Anforderungen vor dem Inverkehrbringen oder dem Einsatz. Die Compliance-Frist für die meisten Hochrisiko-Systeme ist der 2. August 2026.

Pflichten für Hochrisiko-Systeme:

• Ein dokumentiertes Risikomanagement-System mit identifizierten und behandelten vorhersehbaren Risiken
• Hochwertige Trainings-, Validierungs- und Testdatensätze mit demografischem Bias-Monitoring
• Technische Dokumentation und automatisiertes Logging für nachträgliche Überprüfungen
• Menschliche Aufsicht — Ausgaben müssen von qualifizierten Personen überprüfbar und korrigierbar sein
• Transparenz gegenüber von der Identifizierung betroffenen Personen
• Konformitätsbewertung (Selbstbewertung oder benannte Stelle, je nach Anwendungsfall)
• Registrierung in der EU-KI-Datenbank vor dem Einsatz

DSGVO und biometrische Daten: Datenschutzanforderungen

Gesichtserkennung verarbeitet zwingend biometrische Daten — körperliche Merkmale, die durch technische Verarbeitung die eindeutige Identifizierung natürlicher Personen ermöglichen. Nach Art. 9 DSGVO handelt es sich dabei um besondere Datenkategorien. Ihre Verarbeitung ist grundsätzlich untersagt.

Für eine rechtmäßige Verarbeitung biometrischer Gesichtsdaten in Deutschland benötigt ein Unternehmen:

1. Eine Rechtsgrundlage nach Art. 6 DSGVO (Vertrag, berechtigtes Interesse, rechtliche Verpflichtung etc.)
2. Plus einen Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO — in den meisten Fällen die ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a

Wichtig: Das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO allein reicht nicht aus. Ein Unternehmen kann biometrische Daten nicht allein auf berechtigtes Interesse stützen — ein gesonderter Ausnahmetatbestand nach Art. 9 Abs. 2 ist zwingend erforderlich.

Ergänzende Pflichtmaßnahmen:

• Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO — bei systematischer biometrischer Verarbeitung regelmäßig obligatorisch
• Datenschutzbeauftragter (DSB), sofern nicht ohnehin bestellt
• Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO
• Klare Betroffeneninformation nach Art. 13 und 14 DSGVO
• Festgelegte Speicherfristen und dokumentierte Löschverfahren

Mitbestimmung des Betriebsrats: § 87 BetrVG

In Deutschland ist die Beteiligung des Betriebsrats eine eigenständige rechtliche Hürde, die unabhängig von DSGVO und KI-Verordnung besteht.

§ 87 Abs. 1 Nr. 6 BetrVG gewährt dem Betriebsrat zwingende Mitbestimmungsrechte bei der Einführung und Anwendung von technischen Einrichtungen, die zur Überwachung des Verhaltens oder der Leistung der Arbeitnehmer bestimmt sind oder geeignet sind, dies zu tun. Gesichtserkennungssysteme — auch wenn sie ausschließlich zur Zugangskontrolle eingesetzt werden — erfüllen diese Voraussetzung.

Ohne Betriebsvereinbarung darf kein Gesichtserkennungssystem in einem Betrieb mit Betriebsrat eingesetzt werden.

Eine rechtssichere Betriebsvereinbarung zur Gesichtserkennung sollte mindestens folgende Punkte regeln:

• Zweckbindung — z. B. ausschließlich Zugangskontrolle, keine Leistungsauswertung
• Erfasste Beschäftigtengruppen und Opt-out-Möglichkeit mit gleichwertiger Alternative
• Enrolling-Prozess und Information der Beschäftigten vor der Einschreibung
• Datensparsamkeit — biometrische Templates dürfen nur so lange gespeichert werden, wie für die Authentifizierung notwendig
• Zugriffsrechte auf Protokolldaten und unter welchen Bedingungen
• Ausdrückliches Verbot der Nutzung für Leistungs-, Disziplinar- oder Beförderungsentscheidungen
• Auditrechte des Betriebsrats und Überprüfungszyklen

Was Unternehmen vor dem Einsatz prüfen müssen

Checkliste für deutsche Unternehmen, die Gesichtserkennung einsetzen möchten:

1. Anwendungsfall klassifizieren — verboten nach Art. 5 KI-VO, Hochrisiko nach Anhang III oder geringes Risiko? Echtzeit-Identifizierung im öffentlichen Raum ist verboten; Zugangskontrolle ist Hochrisiko.
2. Rechtsgrundlagen festlegen — Art.-6-Grundlage und Art.-9-Abs.-2-Ausnahme identifizieren und schriftlich dokumentieren.
3. DSFA durchführen — bei nahezu allen Gesichtserkennungssystemen mit natürlichen Personen obligatorisch.
4. Betriebsrat frühzeitig einbinden — vor Vertragsschluss mit dem Anbieter, nicht danach.
5. Betriebsvereinbarung abschließen — mit Zweckbindung, Opt-out, Datenlöschung und Zugriffsregelung.
6. Nicht-biometrische Alternative bereitstellen — Beschäftigte und Kunden müssen den Dienst ohne biometrische Einschreibung nutzen können.
7. Anbieter prüfen — KI-Verordnungs-Klassifizierung, Konformitätsbewertung, Bias-Testberichte und Auftragsverarbeitungsvertrag nach Art. 28 DSGVO anfordern.
8. Löschkonzept erstellen — biometrische Templates müssen definierte Speicherfristen und durchsetzbare Löschprozesse haben.

Eintritt in den deutschen Markt als Gesichtserkennungsanbieter

Für Technologieunternehmen, die Gesichtserkennungsprodukte in den deutschen oder EU-Markt einbringen möchten, sind die Compliance-Anforderungen erheblich, aber erfüllbar.

Anbieterpflichten nach der KI-Verordnung

Als Anbieter (Entwickler oder Hersteller) tragen Sie die primäre Verantwortung für die Einhaltung der KI-Verordnung:

• Konformitätsbewertung: Die meisten kommerziellen Gesichtserkennungssysteme sind Hochrisiko-KI. Für viele Hochrisiko-Systeme kann eine interne Selbstbewertung mit technischer Dokumentation genügen — für Systeme im Bereich kritischer Infrastruktur oder Strafverfolgung kann jedoch eine benannte Stelle (notified body) erforderlich sein.
• CE-Kennzeichnung und Konformitätserklärung: Hochrisiko-KI-Systeme benötigen vor dem Inverkehrbringen eine Konformitätserklärung und CE-Kennzeichnung.
• Registrierung in der EU-KI-Datenbank: Das System muss vor dem Einsatz in der öffentlichen Datenbank der EU-Kommission registriert werden.
• Marktüberwachung nach dem Inverkehrbringen: Anbieter müssen die Überwachung der realen Systemperformance, von Bias-Vorfällen und schwerwiegenden Fehlfunktionen sicherstellen. Schwerwiegende Vorfälle sind der nationalen Marktüberwachungsbehörde zu melden — in Deutschland der Bundesnetzagentur.
• Gebrauchsanweisung: Betreiber benötigen ausreichende Dokumentation, um das System bestimmungsgemäß einzusetzen. Unzureichende Anleitungen schützen Anbieter nicht vor Haftung.

Besonderheiten des deutschen Markts

• BfDI-Positionierungen: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit gehört zu den aktivsten Aufsichtsbehörden Europas. Vor dem Markteintritt mit biometrischen Produkten sollten die veröffentlichten Positionen des BfDI geprüft werden.
• Hamburger Precedent: Der HmbBfDI hat mit seinen Maßnahmen gegen Clearview AI maßgebliche Präzedenzfälle gesetzt. Neue Marktteilnehmer sollten die Leitlinien des HmbBfDI zur biometrischen Verarbeitung kennen.
• Deutschsprachige Dokumentation: Nutzerdokumentation, Datenschutzinformationen und DSFA-Vorlagen sollten für in Deutschland tätige Betreiber auf Deutsch verfügbar sein.
• Betriebsratsbeteiligung unterstützen: Anbieter, die Muster-Betriebsvereinbarungen und technische Dokumentation zur Unterstützung des Mitbestimmungsprozesses bereitstellen können, verschaffen sich im deutschen Unternehmensmarkt einen erheblichen Wettbewerbsvorteil.

Häufig gestellte Fragen

Ist Gesichtserkennung in Deutschland für Unternehmen legal?

Ja, in definierten Anwendungsfällen. Zugangskontrolle, Identitätsverifizierung und Zahlungsauthentifizierung sind zulässig, aber als Hochrisiko-KI nach der KI-Verordnung eingestuft. Unternehmen müssen eine Konformitätsbewertung abschließen, eine DSFA durchführen und eine gültige Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO nachweisen. Für beschäftigtenbezogene Systeme ist eine Betriebsvereinbarung zwingend. Die biometrische Echtzeit-Identifizierung im öffentlichen Raum ist für alle kommerziellen Betreiber ohne Ausnahme verboten.

Welche Unternehmen bieten Gesichtserkennung in Deutschland an?

Zu den wichtigsten Anbietern gehören Cognitec Systems (Dresden), der führende deutsche Hersteller von Gesichtserkennungstechnologie; Veridos (Berlin), ein Anbieter staatlicher Identitätslösungen; sowie internationale Unternehmen wie NEC, Idemia und Thales, die in staatlichen und gewerblichen Märkten tätig sind. Für kommerzielle Identitätsverifizierung (KYC) operieren Anbieter wie Jumio, Onfido (Entrust) und Veriff im deutschen Markt nach DSGVO-konformen Rahmenbedingungen.

Was schreibt die DSGVO zu biometrischen Daten vor?

Art. 9 DSGVO stuft biometrische Daten zur eindeutigen Identifizierung natürlicher Personen als besondere Datenkategorie ein. Ihre Verarbeitung ist grundsätzlich verboten. Zusätzlich zur Rechtsgrundlage nach Art. 6 DSGVO ist ein Ausnahmetatbestand nach Art. 9 Abs. 2 zwingend erforderlich — meistens die ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a. Im Beschäftigungskontext gelten die strengeren Anforderungen des § 26 Abs. 3 BDSG. Das berechtigte Interesse allein reicht nicht aus.

Was sind die KI-Verordnungs-Kategorien für Gesichtserkennung?

Gesichtserkennungssysteme fallen in zwei Kategorien: verboten (Art. 5) oder Hochrisiko (Anhang III). Verbotene Anwendungen umfassen die biometrische Echtzeit-Identifizierung im öffentlichen Raum und das Scraping zum Aufbau biometrischer Datenbanken. Hochrisiko-Anwendungen — Zugangskontrolle, Identitätsverifizierung, Zahlungsauthentifizierung — erfordern dokumentiertes Risikomanagement, Bias-Tests, menschliche Aufsicht, technische Dokumentation und Konformitätsbewertung bis zum 2. August 2026.

Brauche ich eine Betriebsvereinbarung für Gesichtserkennung am Arbeitsplatz?

Ja. § 87 Abs. 1 Nr. 6 BetrVG gewährt dem Betriebsrat zwingende Mitbestimmungsrechte bei technischen Einrichtungen, die das Verhalten oder die Leistung der Beschäftigten überwachen können. Gesichtserkennungssysteme — selbst bei reiner Zugangskontrolle — erfüllen diese Voraussetzung. Ohne Betriebsvereinbarung ist der Einsatz nicht zulässig; der Arbeitgeber riskiert einstweiligen Rechtsschutz und DSGVO-Bußgelder.

Welche Maßnahmen haben deutsche Datenschutzbehörden ergriffen?

Der Hamburgische Beauftragte für Datenschutz (HmbBfDI) hat gegen Clearview AI DSGVO-Verstöße festgestellt und die Löschung der Daten Hamburger Betroffener angeordnet. Der BfDI hat sich positionierend zu biometrischer Identifizierung im kommerziellen Kontext geäußert. Landesbeauftragte für Datenschutz können Betreiber von Gesichtserkennungssystemen proaktiv prüfen, Bußgelder verhängen und die Systemabschaltung anordnen — ohne dass eine Beschwerde vorliegen muss.

---

Compound Law berät Anbieter und Betreiber von Gesichtserkennungssystemen zu deutschem und europäischem Markteintritt, KI-Verordnungs-Compliance, DSGVO-Rahmenbedingungen für biometrische Daten, Datenschutz-Folgenabschätzungen und Betriebsratsverhandlungen. Weiterführende Informationen finden Sie auf unseren Seiten zu KI-Gesichtserkennung — rechtliche Grundlagen, biometrischer KI-Identifizierung und KI-Emotionserkennung.

Diese Seite enthält allgemeine rechtliche Informationen und ersetzt keine anwaltliche Beratung zu konkreten Einsatzvorhaben oder Markteintrittsstrategien.