Biometrische Identifikation
Biometrische Identifikation bezeichnet die Erkennung von Personen anhand einzigartiger körperlicher oder verhaltensbezogener Merkmale wie Fingerabdruck, Gesicht oder Iris. Sie gilt unter dem EU AI Act als Hochrisiko-KI-Anwendung und unterliegt strengen DSGVO-Anforderungen.
Ausführliche Erklärung
Biometrische Identifikation nutzt technische Verfahren zur Erfassung und Auswertung physiologischer Merkmale wie Fingerabdrücke, Gesichtszüge, Irismuster oder Stimme sowie verhaltensbezogener Charakteristika wie Gangmuster oder Tipp-Dynamik. Ziel ist die eindeutige Zuordnung einer Person – entweder zur Identifikation in einer Gruppe oder zur Verifikation einer bereits behaupteten Identität. Im Unterschied zu klassischen Authentifizierungsmethoden sind biometrische Merkmale unmittelbar an die Körperlichkeit einer Person gebunden und können nicht wie ein Passwort geändert oder wie eine Zugangskarte ersetzt werden.
Die rechtliche Einordnung ist zweigeteilt: Nach der DSGVO gelten biometrische Daten zur eindeutigen Identifizierung als besondere Kategorie personenbezogener Daten gemäß Artikel 9. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es greift ein Ausnahmetatbestand wie ausdrückliche Einwilligung, arbeitsrechtliche Erforderlichkeit oder Schutz lebenswichtiger Interessen. Unternehmen müssen in der Regel eine Datenschutz-Folgenabschätzung durchführen, nur Templates statt Rohdaten speichern und alternative Verfahren anbieten, insbesondere im Arbeitsverhältnis.
Zusätzlich stuft der EU AI Act biometrische Identifikationssysteme gemäß Annex III, Punkt 1, als Hochrisiko-KI ein. Diese Klassifikation umfasst Systeme zur Fern-Identifikation, biometrischen Kategorisierung und Emotionserkennung. Anbieter solcher Systeme müssen umfassende Compliance-Pflichten erfüllen, darunter Risikomanagementsysteme, technische Dokumentation und Konformitätsbewertungen. Die ursprünglich für August 2026 vorgesehenen Pflichten wurden durch den Digital Omnibus bis Dezember 2027 verlängert. Echtzeitüberwachung im öffentlichen Raum ist nach Artikel 5 des AI Act weitgehend verboten.
Für KMU ist entscheidend: Nicht jede biometrische Anwendung ist automatisch hochriskant. Einfache Verifikation zur Geräteentsperrung oder zur reinen Login-Funktion fällt nicht unter die Hochrisiko-Kategorie. Kritisch sind Systeme, die Personen fernidentifizieren, kategorisieren oder überwachen. Bei der Planung biometrischer Zugangskontrolle sollten die Erforderlichkeit geprüft, der Datenschutzbeauftragte eingebunden und mildere Mittel wie Chipkarten erwogen werden.
Praxisbeispiel
Ein österreichisches Steuerberatungsbüro mit 18 Mitarbeitenden erwägt die Einführung eines Fingerabdruck-Scanners für den Zugang zum Serverraum. Nach Rücksprache mit dem externen Datenschutzbeauftragten entscheidet sich die Geschäftsführung gegen die Biometrie: Eine Chipkarte erfüllt denselben Zweck, erfordert keine DSGVO-Ausnahme und keine aufwendige Datenschutz-Folgenabschätzung. Damit bleibt das Büro unter dem rechtlichen Radar und vermeidet Compliance-Risiken.
Quellen
- EU AI Act Hochrisiko-KI: Pflichten & Anforderungen | ADVISORI
- BfDI - Technische Anwendungen - Biometrie und Datenschutz
- Biometrische Daten im Unternehmen – DSGVO-Anforderungen und Praxis
- Biometrische Zutrittskontrollen: Tipps zum Datenschutz
- EU Digital Omnibus AI Act Zeitplan erklärt | Hochrisiko-KI Frist verschoben auf 2027/2028