Gesichtserkennung in Deutschland nach KI-Verordnung und DSGVO
compliance

Ist Gesichtserkennung in Deutschland legal? KI-VO & DSGVO

Kurzantwort

Gesichtserkennung ist in Deutschland nicht generell verboten, aber stark eingeschraenkt. Biometrische Echtzeit-Identifizierung im oeffentlichen Raum und Datenbank-Scraping sind nach Art. 5 KI-Verordnung verboten. Die meisten privatwirtschaftlichen Einsaetze wie Zutrittskontrolle oder Identitaetspruefung gelten als Hochrisiko und loesen zusaetzlich Art. 9 DSGVO, eine DSFA und oft Mitbestimmungspflichten aus.

  • Live-Identifizierung im oeffentlichen Raum und biometrisches Datenbank-Scraping sind nach Art. 5 KI-Verordnung verboten.
  • Zutrittskontrolle, KYC und aehnliche Einsaetze sind meist Hochrisiko-KI und muessen bis 2. August 2026 belastbar compliant sein.
  • Biometrische Daten sind besondere Kategorien nach Art. 9 DSGVO; Art. 6 DSGVO allein reicht nicht.
  • Beschaeftigtenbezogene Einsaetze brauchen regelmaessig DSFA, Betriebsvereinbarung und eine echte nicht-biometrische Alternative.

Gesichtserkennung ist in Deutschland nur fuer begrenzte Anwendungsfaelle zulaessig. Die Kurzantwort lautet: Live-Identifizierung im oeffentlichen Raum ist verboten, die meisten kommerziellen Use Cases sind Hochrisiko, und biometrische Daten loesen von Anfang an Art. 9 DSGVO aus. Wer Gesichtserkennung fuer Zutrittskontrolle, KYC oder Beschaeftigtenkontexte einsetzen will, sollte die Rechtslage nach KI-Verordnung, DSGVO und bei Mitarbeiterbezug auch nach dem BetrVG vor dem Rollout pruefen.

Die schnelle Rechtsantwort

Die erste praktische Frage ist nicht “Welchen Anbieter nehmen wir?”, sondern “Ist der Use Case verboten, Hochrisiko oder nur schwer rechtssicher umzusetzen?”

AnwendungsfallStatus in DeutschlandWorauf es vor allem ankommt
Live-Identifizierung im oeffentlichen RaumVerbotenArt. 5 KI-Verordnung; keine normale kommerzielle Ausnahme
Aufbau biometrischer Datenbanken durch ScrapingVerbotenArt. 5 KI-Verordnung; Clearview-aehnliche Modelle sind das naheliegende Beispiel
Zutrittskontrolle fuer Standorte oder BuerosMeist zulaessig, aber HochrisikoArt. 9 DSGVO, DSFA, nicht-biometrische Alternative, oft Betriebsvereinbarung
Kundenidentitaetspruefung / KYCMeist zulaessig, aber HochrisikoArt. 9 DSGVO, Anbieterpruefung, Konformitaetsarbeit, Speichergrenzen
Zeiterfassung oder Verhaltensmonitoring von BeschaeftigtenBesonders heikelMitbestimmung, Verhaeltnismaessigkeit, Aufsichtsbehoerdenrisiko
Altersschaetzung ohne IdentifizierungRechtlich sensibelDSGVO bleibt relevant, sobald personenbezogene Daten verarbeitet werden

Das ist die Kernbotschaft fuer viele Suchanfragen: Deutschland verbietet nicht jede Gesichtserkennung, aber die eingriffsintensivsten Faelle sind verboten und die uebrigen Einsaetze sind teuer zu begruenden und zu betreiben.

Was die KI-Verordnung verbietet

Fuer Unternehmen ist zunaechst Art. 5 KI-Verordnung entscheidend.

Die wichtigsten Verbote sind:

  • biometrische Echtzeit-Fernidentifizierung in oeffentlich zugaenglichen Raeumen
  • Aufbau oder Erweiterung biometrischer Datenbanken durch Scraping von Internetbildern oder CCTV-Material
  • anlasslose biometrische Ueberwachung, die in Richtung Massenverfolgung geht

Wenn ein Projekt in diese Kategorie faellt, hilft keine bessere Richtlinie und kein staerkerer Vertrag. Dann ist der saubere rechtliche Schluss regelmaessig: Einsatzmodell stoppen oder grundlegend aendern.

Wann Gesichtserkennung Hochrisiko statt verboten ist

Viele kommerzielle Einsaetze sind nicht verboten, aber trotzdem schwer. Zutrittskontrolle, Identitaetspruefung und vergleichbare Identifizierungsprozesse sind regelmaessig Hochrisiko-KI und nicht bloss Komfortfunktionen.

Das bedeutet typischerweise Arbeit an:

  • einem dokumentierten Risikomanagement
  • technischer Dokumentation und Logging
  • menschlicher Aufsicht und Eskalationspfaden
  • Leistungs- und Bias-Pruefung
  • einem realistischen Konformitaets- und Implementierungsplan bis 2. August 2026

Wenn Sie noch in der Beschaffung sind, ist genau deshalb eine fruehe Anbieterpruefung wichtig. Unsere Leitfaeden zu KI-Gesichtserkennung, biometrischer KI-Identifizierung und der EU-AI-Act-Frist bis August 2026 gehen tiefer in diese Umsetzungsfragen.

Art. 9 DSGVO: Warum biometrische Daten die Analyse verschaerfen

Gesichtserkennung ist nicht nur ein KI-Act-Thema, sondern auch ein Fall fuer besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO.

In der Praxis braucht ein deutsches Unternehmen meist:

  1. eine Art.-6-DSGVO-Rechtsgrundlage
  2. zusaetzlich einen Art.-9-DSGVO-Ausnahmetatbestand
  3. eine dokumentierte Verhaeltnismaessigkeitspruefung
  4. eine abgeschlossene Datenschutz-Folgenabschaetzung (DSFA) vor dem Start

Ein haeufiger Fehler ist, sich so zu verhalten, als reiche berechtigtes Interesse nach Art. 6 DSGVO aus. Das ist bei biometrischer Identifizierung regelmaessig nicht tragfaehig, weil die Art.-9-Ebene zusaetzlich geprueft werden muss.

Fuer Beschaffung und Vertragspruefung ist es sinnvoll, parallel den Auftragsverarbeiter-Rahmen und den allgemeinen DSGVO-Leitfaden zur KI-Beschaffung zu pruefen, bevor aus einem Pilot ein Produktiveinsatz wird.

Warum Beschaeftigteneinsaetze in Deutschland noch schwerer sind

Sobald Beschaeftigte betroffen sind, kommt in Deutschland eine weitere grosse Regelungsebene hinzu: die Mitbestimmung des Betriebsrats.

Nach § 87 Abs. 1 Nr. 6 BetrVG brauchen Systeme, die Verhalten oder Leistung ueberwachen koennen, regelmaessig eine Betriebsvereinbarung. Gesichtserkennung erzeugt dieses Risiko fast immer, auch wenn das offizielle Ziel nur Zutrittskontrolle lautet.

Die arbeitsrechtliche Mindestlinie ist meist:

  • eine unterschriebene Betriebsvereinbarung
  • eine DSFA
  • klare Zweckbindung
  • eingeschraenkte Zugriffe auf Protokolle
  • eine echte nicht-biometrische Alternative
  • kein Umwidmen fuer Leistungsbewertung oder Disziplinarzwecke

Gerade deshalb ist Gesichtserkennung fuer einfache Zeiterfassung sehr viel schwerer zu rechtfertigen, als viele Teams annehmen. Unsere Seiten zu KI-Mitarbeiterueberwachung und KI-Recruiting-Screening beleuchten benachbarte Risiken.

Was Unternehmen vor dem 2. August 2026 tun sollten

Wenn der Use Case nicht verboten ist, lautet die naechste Frage: Lässt sich der Einsatz bis zum 2. August 2026 operativ belastbar aufsetzen?

Eine kurze Arbeitsliste:

  1. Use Case klassifizieren - vor Beschaffung und Pilot.
  2. Beide DSGVO-Ebenen abbilden - Art. 6 und Art. 9.
  3. DSFA frueh starten, solange das Design noch veraenderbar ist.
  4. Beschaeftigtenbezug pruefen und den Betriebsrat rechtzeitig einbinden.
  5. Anbieter-Nachweise verlangen: technische Dokumentation, Risikokontrollen, Registrierungsstatus, Vertragsunterstuetzung.
  6. Alternative ohne Biometrie einplanen.
  7. Speicher- und Loeschregeln vor dem Start festlegen.

Der haeufigste kommerzielle Fehler ist, Gesichtserkennung wie einen normalen IT-Einkauf zu behandeln und die Rechtspruefung erst nach einem erfolgreichen Pilot nachzuholen. In Deutschland scheitert genau diese Reihenfolge oft.

Marktbezug: Warum das Thema trotzdem waechst

Trotz der strengen Rechtslage bleibt Deutschland ein relevanter Markt fuer Gesichtserkennung, vor allem in:

  • regulierter Identitaetspruefung
  • unternehmerischer Zutrittskontrolle
  • Flughafen- und Transportinfrastruktur
  • staatlichen und grenzbezogenen Biometriesystemen unter eigenen Rechtsrahmen

Das Marktwachstum lockert die Rechtslage nicht. Es bedeutet nur, dass Unternehmen mit sauberer Dokumentation, Governance und Beschaffungsdisziplin bessere Einsatzchancen haben als solche, die sich auf Produktmarketing verlassen.

FAQ

Ja, aber nur in engen Konstellationen. Live-Identifizierung im oeffentlichen Raum und Datenbank-Scraping sind verboten. Zutrittskontrolle und Identitaetspruefung koennen zulaessig sein, wenn DSGVO, DSFA und KI-VO-Anforderungen eingehalten werden.

Was ist nach der KI-Verordnung verboten?

Vor allem Echtzeit-Fernidentifizierung in oeffentlich zugaenglichen Raeumen und das Scraping von Bildern fuer biometrische Datenbanken. Das sind keine normalen Compliance-Probleme, sondern klare Verbotsfaelle.

Brauche ich immer ausdrueckliche Einwilligung?

Nicht in jedem theoretischen Sonderfall, aber fuer viele privatwirtschaftliche Modelle ist sie der am besten vertretbare Art.-9-Weg. Sie muss dann aber auch wirklich freiwillig, informiert und widerruflich ausgestaltet sein.

Warum ist der Einsatz am Arbeitsplatz schwieriger?

Weil Deutschland Arbeitsrecht, Mitbestimmung und Datenschutz kumuliert. Sobald Beschaeftigte betroffen sind, werden Betriebsrat, Verhaeltnismaessigkeit und Monitoring-Risiken zentral.

Ist eine DSFA Pflicht?

In den meisten realen Gesichtserkennungsprojekten ja. Je systematischer Personen identifiziert werden, desto schwerer ist es, eine DSFA fuer entbehrlich zu halten.

Was sollte ein Due-Diligence-Paket des Anbieters enthalten?

Mindestens: Systemklassifizierung, technische Dokumentation, KI-VO-Roadmap, DSGVO-Unterstuetzung, Logging-Konzept, Speicherlogik und Vertragsunterlagen passend zu den tatsaechlichen Datenflussen.


Compound Law beraet Unternehmen zur Gesichtserkennung in Deutschland, insbesondere zu KI-VO-Klassifizierung, Art. 9 DSGVO, DSFA, Betriebsratsverhandlungen und Anbieter-Due-Diligence. Diese Seite enthaelt allgemeine Informationen und ersetzt keine Rechtsberatung fuer einen konkreten Einzelfall.

Weitere Compliance-Guides

EU AI Act Fristen Deutschland mit den Daten 2026 2027 und 2028
compliance

EU AI Act Fristen Deutschland: 2026, 2027 und 2028

EU AI Act Fristen Deutschland: was am 2. August 2026, 2. Dezember 2027 und 2. August 2028 fuer KI-Beschaffung und Compliance zaehlt.

Kommunikations APIs Deutschland DSGVO Datenresidenz Loeschfristen Vergleich
compliance

Voice-API-Anbieter für Deutschland: DSGVO, AVV, Datenresidenz

Welche Voice-API- und CPaaS-Anbieter eignen sich für Deutschland? Vergleich für Ihre Shortlist zu DSGVO, AVV, Datenresidenz, Löschfristen und Support.

KI-Rechtsberatung für Unternehmen in Deutschland
Leitfäden

KI-Rechtsberatung für Unternehmen in Deutschland

Compound Law berät Unternehmen in Deutschland zu KI-Verordnung, DSGVO, AVV/DPA, Betriebsrat und KI-Beschaffung.

Häufige Fragen

Ja, aber nur in engen und sauber dokumentierten Konstellationen. Biometrische Echtzeit-Identifizierung in oeffentlich zugaenglichen Raeumen und der Aufbau biometrischer Datenbanken durch Scraping sind nach Art. 5 KI-Verordnung verboten. Privatwirtschaftliche Einsaetze wie Zutrittskontrolle oder Identitaetspruefung koennen zulaessig sein, brauchen aber regelmaessig Art. 9 DSGVO, eine DSFA und Hochrisiko-Compliance vor dem 2. August 2026.

Besonders klar verboten sind die Echtzeit-Fernidentifizierung im oeffentlichen Raum, das Scraping von Gesichtsbildern aus Internet oder CCTV zum Datenbankaufbau und weitergehende anlasslose biometrische Ueberwachung. Diese Verbote gelten nicht nur fuer Grosskonzerne, sondern fuer den gesamten Markt.

In aller Regel ja. Gesichtserkennung verarbeitet biometrische Daten zur Identifizierung natuerlicher Personen und faellt damit unter Art. 9 DSGVO. Unternehmen brauchen deshalb sowohl eine Rechtsgrundlage nach Art. 6 DSGVO als auch einen gesonderten Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO.

In den meisten deutschen Workplace-Szenarien ja. § 87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat Mitbestimmungsrechte bei Systemen, die Verhalten oder Leistung ueberwachen koennen. Selbst bei Zutrittskontrolle ist eine Betriebsvereinbarung vor Go-live regelmaessig noetig.

Fuer die meisten Hochrisiko-Systeme ist der 2. August 2026 die zentrale Umsetzungsmarke. Bis dahin sollten Risikomanagement, Dokumentation, Aufsicht, Vertragslage und die praktischen Compliance-Schritte fuer den jeweiligen Einsatzfall stehen.

Fast immer. Systematische biometrische Identifizierung ist ein klassischer Art.-35-DSGVO-Fall und wird von deutschen Aufsichtsbehoerden regelmaessig als DSFA-pflichtig behandelt. Die DSFA sollte vor dem Rollout abgeschlossen sein, nicht erst nach Pilot oder Einkauf.

Kostenlos beraten