Biometrie in der EU: Navigation durch die DSGVO und das AI-Gesetz
Biometrische Technologien werden seit langem zur Identifizierung von Personen verwendet, hauptsächlich in Sicherheits- und Strafverfolgungskontexten. Heute expandiert die Nutzung jedoch rasant in neue Bereiche. Angetrieben durch Fortschritte in der Künstlichen Intelligenz beanspruchen biometrische Technologien zunehmend die Fähigkeit, die Emotionen, Persönlichkeitsmerkmale und andere Eigenschaften einer Person allein auf Grundlage physischer Merkmale zu inferieren.
Diese Werkzeuge werden in verschiedenen Kontexten eingesetzt: Unternehmen analysieren Gesichtsausdrücke, um die Kundenzufriedenheit zu messen und Bewerber zu bewerten. Arbeitgeber setzen Überwachungswerkzeuge ein, um die Fokussierung der Mitarbeiter zu messen, und Online-Plattformen nutzen biometrische Software, um Altersbeschränkungen durchzusetzen.
Die europäischen Vorschriften haben sich als Reaktion auf diese sich verändernde Landschaft weiterentwickelt. Seit 2018 regelt die Allgemeine Datenschutzverordnung (DSGVO) die Verarbeitung biometrischer Daten als Form personenbezogener Daten und, wenn sie zur eindeutigen Identifizierung von Personen verwendet werden, als „besondere Kategorie von Daten“. Die Verarbeitung besonderer Kategorien von Daten ist im Allgemeinen verboten, es sei denn, die Person gibt ihre ausdrückliche Zustimmung oder eine andere Bedingung nach Artikel 9(2) findet Anwendung.
Remote-biometrische Identifikation
Remote-biometrische Identifikationssysteme sind KI-Systeme, die entwickelt wurden, um Personen ohne deren aktive Beteiligung zu identifizieren, typischerweise aus der Ferne. Ein häufiges Beispiel ist die Gesichtserkennungssoftware, die Überwachungsaufnahmen analysiert, um Personen in Echtzeit oder rückblickend zu identifizieren, indem Bilder mit einer biometrischen Datenbank abgeglichen werden. Bemerkenswert ist, dass diese Definition biometrische Verifizierungs- und Authentifizierungstools ausschließt, wie z.B. die Fingerabdruckerkennung, die für den Zugang zu Gebäuden oder das Entsperren von Smartphones verwendet wird, da diese die aktive Teilnahme der Person erfordern.
Nach dem AI-Gesetz ist die Verwendung von Echtzeit-Remote-biometrischen Identifikationssystemen — das heißt, Systemen, die biometrische Daten gleichzeitig erfassen und analysieren — für Strafverfolgungszwecke verboten, es sei denn, es liegen eng definierte Umstände vor. Alle anderen Verwendungen von Remote-biometrischen Identifikationssystemen, einschließlich der Post-Remote — Systeme, die biometrische Daten nach der ursprünglichen Erfassung analysieren — sind erlaubt, jedoch als hochriskant klassifiziert. Diese Einstufung löst eine Reihe von Compliance-Verpflichtungen aus, einschließlich Anforderungen an Risikomanagement, Datenverwaltung, menschliche Aufsicht und Registrierung in der EU-Datenbank.
Biometrische Kategorisierung
Biometrische Kategorisierungssysteme sind KI-Systeme, die Individuen basierend auf ihren biometrischen Daten bestimmten Kategorien zuweisen. Diese Kategorien können sich auf relativ harmlose Merkmale wie Alter oder Augenfarbe beziehen, oder auf sensiblere und kontroverse Attribute wie Geschlecht, Ethnie, Persönlichkeitsmerkmale und persönliche Zugehörigkeiten. Die Definition schließt jedoch biometrische Kategorisierungen aus, die rein ancillary zu kommerziellen Dienstleistungen sind, wie z.B. virtuelle Anprobe-Features oder Gesichtsanpassungen in Online-Marktplätzen und Gaming-Apps, die Filter basierend auf dem Hautton oder der Gesichtsstruktur einer Person anpassen.
Nach dem AI-Gesetz sind biometrische Kategorisierungssysteme, die Individuen gemäß bestimmten verbotenen Merkmalen kategorisieren — einschließlich Rasse, politischen Meinungen, Gewerkschaftsmitgliedschaft, Religion und sexueller Orientierung — verboten, mit begrenzten Ausnahmen für die Kennzeichnung oder Filterung biometrischer Datensätze sowie bestimmten medizinischen, sicherheits- und strafverfolgungsbezogenen Verwendungen. Biometrische Kategorisierungssysteme, die andere sensible oder geschützte Merkmale betreffen, werden als hochriskant eingestuft und unterliegen den gleichen Verpflichtungen wie Remote-biometrische Identifikationssysteme. Alle anderen biometrischen Kategorisierungssysteme, bei denen die Kategorien nicht verbotene und nicht sensible Merkmale betreffen, gelten als eingeschränkt riskant und unterliegen Transparenzanforderungen.
Emotionserkennung
Emotionserkennungssysteme sind KI-Systeme, die darauf ausgelegt sind, die Emotionen oder Absichten einer Person basierend auf ihren biometrischen Daten zu identifizieren oder abzuleiten. Das AI-Gesetz unterscheidet zwischen Emotioninferenz — reguliert — und der Erkennung von leicht erkennbaren Ausdrücken oder physischen Zuständen — nicht reguliert. Ein Beispiel für ein System, das erkennt, ob jemand lächelt oder müde ist, wird nicht als Emotionserkennungssystem betrachtet, während ein System, das Gesichtsausdrücke interpretiert, um zu schließen, dass die Person glücklich, traurig oder amüsiert ist, in den Anwendungsbereich fällt.
Das AI-Gesetz verbietet Emotionserkennungssysteme in Arbeits- und Bildungseinrichtungen, es sei denn, dies ist unbedingt für medizinische oder sicherheitsrelevante Zwecke erforderlich. In anderen Kontexten werden sie als hochriskant klassifiziert und unterliegen umfangreichen Compliance-Anforderungen. Das bedeutet, dass beispielsweise die Verwendung von Sprachanalysen zur Beurteilung der Kundenzufriedenheit während Supportanrufen als hochriskant gilt, während die Anwendung derselben Technologie zur Überwachung der Emotionen von Mitarbeitern im gleichen Kontext verboten wäre. Ähnlich sind KI-gestützte Lernwerkzeuge, die Emotionserkennung nutzen, im Allgemeinen hochriskant, aber ihre Verwendung ist innerhalb von Schulen und anderen Lernumgebungen verboten.
Gesichtserkennungsdatenbanken
Schließlich verbietet das AI-Gesetz die Entwicklung oder Erweiterung von Gesichtserkennungsdatenbanken durch das untargeted Scraping von Gesichtsaufnahmen aus dem Internet oder von Überwachungsaufnahmen. Dieses Verbot ist absolut und es gibt keine Ausnahmen. Es gilt jedoch speziell für Gesichtsaufnahmen und erstreckt sich nicht auf biometrische Datenbanken, die unter Verwendung anderer Arten biometrischer Daten, wie z.B. Sprachaufnahmen, erstellt wurden.
Navigation durch die Überschneidung
Die Schnittstelle zwischen der DSGVO und dem AI-Gesetz schafft einen geschichteten regulatorischen Rahmen für biometrische Technologien in der EU. Während die Verbote des AI-Gesetzes im Februar 2025 in Kraft traten, gelten die Regeln für hochriskante und eingeschränkt riskante Systeme erst ab August 2026. In der Zwischenzeit sehen sich Organisationen überlappenden Verpflichtungen gegenüber, die erhebliche Compliance-Herausforderungen für die Entwicklung und Nutzung dieser Technologien darstellen.
Erstens erfordert die Navigation durch die Überschneidung zwischen der DSGVO und dem AI-Gesetz eine sorgfältige Zuordnung von Rollen und Verantwortlichkeiten über beide Rahmenwerke hinweg. Ein Unternehmen, das ein biometrisches Werkzeug intern verwendet, kann gleichzeitig als Verantwortlicher gemäß der DSGVO und als Bereitsteller gemäß dem AI-Gesetz agieren, was unterschiedliche Compliance-Verpflichtungen auslöst. Gleichzeitig sehen sich Anbieter biometrischer Werkzeuge — die sich typischerweise als Auftragsverarbeiter gemäß der DSGVO betrachten — den umfangreichsten Anforderungen des AI-Gesetzes gegenüber, insbesondere für hochriskante Systeme.
Zweitens sind die Risikoklassifikationen des AI-Gesetzes komplex und oft schwer zu interpretieren. Zu bestimmen, ob ein System verboten, hoch oder eingeschränkt riskant ist, erfordert ein nuanciertes Verständnis der Technologie und des spezifischen Kontexts ihrer Nutzung. Obwohl die Europäische Kommission Leitlinien zu den Verboten veröffentlicht hat, bleiben einige Grenzen auch mehrdeutig. Dies betrifft beispielsweise die Unterscheidung zwischen verbotener und hochriskanter biometrischer Kategorisierung und ob eine Inferenz als Emotionserkennung oder einfach als Identifizierung der Gesichtsausdrücke einer Person qualifiziert.
Drittens stellen die substanziellen Anforderungen an hochriskante Systeme ein erhebliches operatives und finanzielles Unterfangen dar. Anbieter dieser Systeme müssen eine umfassende Reihe von Sicherheitsvorkehrungen implementieren — einschließlich Risikomanagementverfahren, Datenqualitäts- und Governance-Kontrollen, Marktüberwachung, Protokollierungsmechanismen und menschliche Aufsicht — während Bereitsteller begrenzte, aber verwandte Verpflichtungen haben. Für viele Organisationen, insbesondere Startups und kleine bis mittelständische Unternehmen, können diese Anforderungen Innovationen abschrecken oder die Markteinführung innerhalb der EU verzögern.
Zusammen bilden diese Herausforderungen einen Wandel vom Compliance-Modell der DSGVO, das auf Hinweis und Zustimmung basiert, hin zu einem, das eine proaktive, risikobasierte Lebenszyklusverwaltung erfordert. Für rechtliche Praktiker erfordert die effektive Compliance nicht nur ein starkes Verständnis des rechtlichen Rahmens, sondern auch ein tiefes Verständnis der zugrunde liegenden Technologie, ihrer beabsichtigten Verwendung und der Rolle der Organisation innerhalb der KI-Lieferkette.
