Biometrische Daten im EU AI Act: Verbote, Hochrisiko und Transparenz

Vollständig verboten sind ab Februar 2025: Echtzeit-biometrische Fernidentifikation im öffentlichen Raum durch Strafverfolgungsbehörden (mit engen Ausnahmen), biometrische Kategorisierungssysteme zur Ableitung von Rasse, politischer Meinung, Religion, Gewerkschaftszugehörigkeit, Gesundheitszustand oder sexueller Orientierung, Emotionserkennungssysteme am Arbeitsplatz und in Bildungseinrichtungen. Letzteres ist besonders praxisrelevant: Systeme, die Mitarbeitende auf Stress, Müdigkeit oder Stimmung analysieren, sind verboten.

Als Hochrisiko eingestuft sind biometrische Identifikationssysteme (nicht real-time, für Strafverfolgung), biometrische Kategorisierungssysteme (ohne verbotene Merkmale), Emotionserkennung außerhalb verbotener Kontexte (z.B. für Sicherheitsanwendungen). Für diese Systeme gelten alle Hochrisiko-Anforderungen: technische Dokumentation, Risikomanagement, menschliche Aufsicht, CE-Kennzeichnung, Datenbankregistrierung.

Biometrische Daten sind nach Art. 9 DSGVO besondere Kategorien personenbezogener Daten. Ihre Verarbeitung ist grundsätzlich verboten, außer bei: ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a), Verarbeitung für arbeitsrechtliche Zwecke bei nationaler gesetzlicher Grundlage (Art. 9 Abs. 2 lit. b), erheblichem öffentlichem Interesse (Art. 9 Abs. 2 lit. g). In der Praxis bedeutet das: Zutrittskontrolle per Fingerabdruck erfordert ausdrückliche Einwilligung und Opt-out-Möglichkeit.

Art. 50 Abs. 3 EU AI Act verlangt besondere Transparenz bei Emotionserkennungs- und biometrischen Kategorisierungssystemen: Personen müssen informiert werden, wenn solche Systeme eingesetzt werden. Diese Information muss vor dem Einsatz des Systems erfolgen. Ausnahmen nur für Strafverfolgung und begrenzte Sicherheitskontexte. Kombiniert mit der Informationspflicht nach Art. 13/14 DSGVO ergibt sich ein umfassender Transparenz-Standard.