Gesichtserkennung Markt Deutschland 2026: Größe, Anbieter und Rechtsrahmen

Kurzantwort

Deutschland ist ein Top-3-EU-Markt für Gesichtserkennung. Der europäische Biometriemarkt wächst von 577 Mio. USD (2026) auf 1,6 Mrd. USD bis 2034 (CAGR ~14 %). Echtzeit-Identifizierung im öffentlichen Raum ist nach Art. 5 KI-VO verboten; Zugangskontrolle gilt als Hochrisiko-KI.

• Europ. Biometriemarkt: 507 Mio. USD (2025) → 577 Mio. USD (2026) → 1,6 Mrd. USD bis 2034 (CAGR ~14 %). Deutschland ist Top-3-EU-Markt.
• Echtzeit-Gesichtserkennung in öffentlich zugänglichen Räumen ist für alle kommerziellen Betreiber ohne Ausnahme verboten.
• Zugangskontrolle und Identitätsverifizierung sind zulässig, aber als Hochrisiko-KI eingestuft — Konformitätsbewertung bis August 2026 erforderlich.
• Cognitec Systems aus Dresden ist einer der weltweit führenden Hersteller von Gesichtserkennungstechnologie und beliefert Grenzbehörden und Regierungen weltweit.

Deutschland gehört zu den drei größten nationalen Märkten für Gesichtserkennung in der EU — neben Frankreich und den Niederlanden. Der europäische Biometriemarkt wird 2026 auf rund 577 Millionen US-Dollar geschätzt und soll bis 2034 auf 1,6 Milliarden US-Dollar wachsen (CAGR ~14 %). Das Wachstum in 2026 wird getrieben durch den Aufbau der EES/ETIAS-Grenzinfrastruktur an deutschen Flughäfen, KYC-Pflichten im Finanzsektor und Compliance-Investitionen vor dem Hochrisiko-Fristablauf der KI-Verordnung im August 2026. Der Markt wird durch einen klaren regulatorischen Rahmen geprägt: Art. 5 der KI-Verordnung verbietet die biometrische Echtzeit-Identifizierung im öffentlichen Raum für alle kommerziellen Betreiber; zulässige Anwendungen wie Zugangskontrolle und Identitätsverifizierung sind nach Anhang III als Hochrisiko-KI eingestuft und erfordern eine Konformitätsbewertung vor dem Einsatz.

Gesichtserkennung Markt Deutschland: Größe und Wachstum

Deutschland ist einer der drei bedeutendsten nationalen Märkte für Gesichtserkennungstechnologie in der EU, getrieben von Finanzdienstleistungen, Grenzkontrolle, unternehmensweiter Zugangskontrolle und staatlicher Identitätsinfrastruktur.

Entwicklung des europäischen Biometriemarkt (Quelle: Market Data Forecast):

Jahr	EU-Biometriemarkt	Wichtigster Treiber
2025	506,57 Mio. USD	KYC-Pflichten, Zugangskontrolle
2026	576,89 Mio. USD	EES/ETIAS-Rollout, KI-VO-Compliance
2030	~1,0 Mrd. USD (Schätzung)	KI-integrierte Identitätssysteme
2034	1.631,62 Mio. USD	Vollständiger KI-VO-Compliance-Zyklus

CAGR: ~13,88 % (2026–2034) — Gesichtserkennung ist das größte Segment innerhalb des Biometriemarkt Deutschland und Europa.

Länderspezifische Daten nur für Deutschland werden von den meisten Marktforschungsanbietern nicht separat ausgewiesen. Basierend auf der Wirtschaftsleistung und den Compliance-Investitionen entfallen auf Deutschland schätzungsweise 20–25 % der europäischen Markterlöse. Wichtigste nationale Wachstumstreiber für 2026:

• EES/ETIAS-Rollout: Deutsche Flughäfen (Frankfurt, München, Berlin Brandenburg) sind zentrale Einsatzorte für die EU-Grenzinfrastruktur; die Bundespolizei betreibt Gesichtserkennungssysteme an EU-Außengrenzen.
• KYC-Pflichten im Finanzsektor: Anforderungen nach Geldwäschegesetz (GwG) und AMLD6 sowie das Fintech-Wachstum treiben die Nachfrage nach Gesichtserkennungslösungen für die digitale Kundenauthentifizierung.
• KI-Verordnungs-Compliance: Der Hochrisiko-Fristablauf im August 2026 veranlasst Unternehmen, in zertifizierte Gesichtserkennungssysteme zu investieren.
• Unternehmensweite Zugangskontrolle: Erneuerung von Legacy-Zugangssystemen in der deutschen Fertigungsindustrie, in Rechenzentren und kritischer Infrastruktur.

Gesichtserkennung in Deutschland: Marktüberblick

Wesentliche Marktsegmente:

• Finanzdienstleistungen und Fintech: Digitale Identitätsverifizierung für Kontoeröffnungen und KYC-Compliance nach dem Geldwäschegesetz (GwG) und den EU-Geldwäscherichtlinien
• Grenzkontrolle und staatliche Identifizierung: Einsatzbereiche der Bundespolizei an Flughäfen und Grenzübergängen im Rahmen von ETIAS und EES
• Unternehmensweite Zugangskontrolle: Physische Sicherung von Bürogebäuden, Rechenzentren und Produktionsanlagen
• Transport und Logistik: Biometrisches Boarding, kontaktloser Abfertigungsprozess und Zugangsverwaltung in Logistikzentren
• Einzelhandel: Verlustprävention — datenschutzrechtlich umstritten, aber in engen Grenzen diskutiert

Das Marktwachstum wird durch eines der aktivsten Datenschutz-Durchsetzungsumfelder Europas gebremst. Deutsche Aufsichtsbehörden — insbesondere der BfDI und der HmbBfDI — gehören zu den proaktivsten in der EU bei der Überprüfung biometrischer Verarbeitung.

Wichtige Anbieter im deutschen Markt für Gesichtserkennung

Inländische Anbieter

Cognitec Systems (Dresden) ist eines der weltweit führenden Unternehmen im Bereich Gesichtserkennungstechnologie und der bedeutendste deutsche Akteur im Biometriemarkt Deutschland. Cognitec liefert Gesichtserkennungstechnik an Grenzkontrollbehörden, Strafverfolgungsbehörden und gewerbliche Zugangskontrollbetreiber weltweit. Die FaceVACS-Technologie des Unternehmens wird von deutschen Behörden und internationalen Regierungsstellen eingesetzt.

Veridos (Berlin) ist ein Gemeinschaftsunternehmen von Giesecke+Devrient und der Bundesdruckerei, das staatliche Dokument- und Identitätslösungen einschließlich biometrischer Pass- und Grenzsystemkomponenten für die deutsche und internationale Regierung bereitstellt.

iProov (britischer Ursprung, in Deutschland aktiv) liefert biometrische Verifizierungstechnologie an europäische Finanzdienstleistungskunden, darunter in Deutschland tätige Banken.

Internationale Anbieter mit Deutschland-Präsenz

NEC NeoFace bietet biometrische Identitätsmanagementsysteme für deutsche Strafverfolgungsbehörden und den Grenzschutz. Die NeoFace-Technologie ist in staatlichen Identitätsprogrammen in ganz Europa im Einsatz.

Idemia (deutsch-französischer Betrieb) liefert Identitätsverifizierungssysteme für staatliche Ausweisdokumente, Grenzkontrolle und KYC im Bankwesen. Idemia verfügt über erhebliche staatliche Aufträge in Deutschland und der gesamten EU.

Thales ist im deutschen staatlichen Biometrie-Infrastrukturbereich tätig, insbesondere bei Dokument- und Grenztechnologie.

SaaS-Anbieter für Identitätsverifizierung

Den deutschen KYC- und Digital-Onboarding-Markt bedienen internationale SaaS-Anbieter:

• Jumio — Dokumentenprüfung und biometrischer Selfie-Abgleich für Finanzdienstleistungs-Onboarding
• Onfido (Entrust) — automatisierte Identitätsverifizierung für deutsche Fintech-Unternehmen und Banken
• Veriff — Identitätsverifizierungsplattform mit EU-Marktpräsenz

Diese Anbieter operieren auf Basis von DSGVO-konformen Auftragsverarbeitungsverträgen und stufen ihre Systeme in der Regel nach Anhang III als Hochrisiko-KI ein.

Staatliche Einsätze

Das Bundeskriminalamt (BKA) und die Bundespolizei betreiben Gesichtserkennungssysteme zu Strafverfolgungszwecken. Das Automatisierte Fingerabdruck-Identifizierungssystem des BKA (AFIS) umfasst biometrische Gesichtsdaten für kriminalistische Zwecke — diese Systeme operieren unter einem anderen Rechtsrahmen als kommerzielle Betreiber.

Wichtige Anwendungsfälle in Deutschland

1. Zugangskontrolle und physische Sicherheit

Der am weitesten verbreitete kommerzielle Anwendungsfall. Unternehmen ersetzen Kartenleser oder PIN-Systeme durch Gesichtserkennung an Zugangspunkten. Rechtlich zulässig, sofern das System freiwillig ist (mit nicht-biometrischer Alternative), auf ausdrücklicher Einwilligung beruht, durch eine Datenschutz-Folgenabschätzung abgesichert ist und — bei Beschäftigten — mit dem Betriebsrat abgestimmt wurde.

2. Grenzkontrolle und staatliche Identitätsverwaltung

Bundes- und Landesbehörden nutzen biometrische Identifizierungssysteme an Grenzübergängen und bei der Ausstellung von Reisepässen und Personalausweisen. Das EU-Einreise-/Ausreisesystem (EES) und das Europäische Reiseinformations- und -genehmigungssystem (ETIAS) treiben erhebliche Investitionen in staatliche Gesichtserkennungstechnik an deutschen Flughäfen voran.

3. Identitätsverifizierung im Finanzsektor

Banken, Neobanken und Zahlungsdienstleister nutzen Gesichtserkennung für die digitale Kundenauthentifizierung im Rahmen von Video-Ident- und eID-Verfahren. Dieser Anwendungsfall bietet eine der klarsten gesetzlichen Grundlagen: Die Einwilligung erfolgt freiwillig im Rahmen der Kontoeröffnung, der Zweck ist eng definiert, und der Regulierungsrahmen sieht Fernidentifizierung ausdrücklich vor.

4. Arbeitszeiterfassung und Personalverwaltung

Die gesichtserkennungsbasierte Zeiterfassung existiert in einigen deutschen Unternehmen, bleibt aber rechtlich heikel. Arbeitgeber müssen Mitbestimmungsrechte nach BetrVG beachten, strenge DSGVO-Anforderungen einhalten und mit Prüfungen durch Datenschutzbehörden rechnen. Die meisten rechtssicheren Einsätze beschränken sich auf die Zugangskontrolle.

5. Altersverifikation im Einzelhandel

Die Gesichtsanalyse zur Altersschätzung (Alkohol, Tabak) ist eine aufkommende, aber rechtlich unsichere Kategorie. Auch bei Systemen, die nur Altersgruppen schätzen statt Personen zu identifizieren, gilt die DSGVO für die Verarbeitung von Gesichtsbildern.

KI-Verordnung: Was die Regulierung für den Markt bedeutet

Die KI-Verordnung unterscheidet zwei relevante Kategorien für Gesichtserkennung in Deutschland: absolute Verbote (Art. 5) und die Hochrisiko-Einstufung (Anhang III). Der Fristablauf im August 2026 ist ein definierendes Marktereignis — nicht zertifizierte Anbieter werden von Betreibern ausgeschlossen, die rechtlich zur Nutzung nur zertifizierter Systeme verpflichtet sind.

Verbotene Anwendungen (Art. 5 KI-Verordnung) — Marktauswirkungen

Seit dem 2. Februar 2025 sind folgende Systeme für alle Betreiber — einschließlich kommerzieller Unternehmen — absolut verboten:

• Biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen — Live-Scans von Personen auf Straßen, in Einkaufszentren, Verkehrsknotenpunkten oder sonstigen öffentlich zugänglichen Orten. Enge Ausnahmen für Strafverfolgungsbehörden existieren; kommerzielle Ausnahmen gibt es nicht.
• Aufbau biometrischer Datenbanken durch Scraping — das Anlegen oder Erweitern von Gesichtserkennungsdatenbanken durch das Abgreifen von Bildern aus dem Internet oder aus Videoüberwachungsmaterial ohne gezielten Erhebungsprozess.
• Anlasslose biometrische Massenüberwachung — KI-Systeme zur Verfolgung oder retrospektiven Analyse von Bevölkerungsgruppen ohne spezifischen Anlass.

Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist.

Hochrisiko-Einstufung (Anhang III) — Compliance-Kosten als Marktfaktor

Gesichtserkennungssysteme zur Zugangskontrolle, Identitätsverifizierung, Zahlungsauthentifizierung und Grenzkontrolle werden nach Anhang III als Hochrisiko-KI eingestuft. Die Compliance-Frist für die meisten Hochrisiko-Systeme ist der 2. August 2026.

Pflichten für Hochrisiko-Systeme:

• Ein dokumentiertes Risikomanagement-System mit identifizierten und behandelten vorhersehbaren Risiken
• Hochwertige Trainings-, Validierungs- und Testdatensätze mit demografischem Bias-Monitoring
• Technische Dokumentation und automatisiertes Logging für nachträgliche Überprüfungen
• Menschliche Aufsicht — Ausgaben müssen von qualifizierten Personen überprüfbar und korrigierbar sein
• Transparenz gegenüber von der Identifizierung betroffenen Personen
• Konformitätsbewertung (Selbstbewertung oder benannte Stelle, je nach Anwendungsfall)
• Registrierung in der EU-KI-Datenbank vor dem Einsatz

DSGVO-Anforderungen für Gesichtserkennungsbetreiber

Gesichtserkennung verarbeitet zwingend biometrische Daten — körperliche Merkmale, die durch technische Verarbeitung die eindeutige Identifizierung natürlicher Personen ermöglichen. Nach Art. 9 DSGVO handelt es sich dabei um besondere Datenkategorien. Ihre Verarbeitung ist grundsätzlich untersagt.

Für eine rechtmäßige Verarbeitung biometrischer Gesichtsdaten in Deutschland benötigt ein Unternehmen:

1. Eine Rechtsgrundlage nach Art. 6 DSGVO (Vertrag, berechtigtes Interesse, rechtliche Verpflichtung etc.)
2. Plus einen Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO — in den meisten Fällen die ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a

Wichtig: Das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO allein reicht nicht aus. Ein Unternehmen kann biometrische Daten nicht allein auf berechtigtes Interesse stützen — ein gesonderter Ausnahmetatbestand nach Art. 9 Abs. 2 ist zwingend erforderlich.

Ergänzende Pflichtmaßnahmen:

• Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO — bei systematischer biometrischer Verarbeitung regelmäßig obligatorisch
• Datenschutzbeauftragter (DSB), sofern nicht ohnehin bestellt
• Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO
• Klare Betroffeneninformation nach Art. 13 und 14 DSGVO
• Festgelegte Speicherfristen und dokumentierte Löschverfahren

Mitbestimmung des Betriebsrats: § 87 BetrVG

In Deutschland ist die Beteiligung des Betriebsrats eine eigenständige rechtliche Hürde, die unabhängig von DSGVO und KI-Verordnung besteht.

§ 87 Abs. 1 Nr. 6 BetrVG gewährt dem Betriebsrat zwingende Mitbestimmungsrechte bei der Einführung und Anwendung von technischen Einrichtungen, die zur Überwachung des Verhaltens oder der Leistung der Arbeitnehmer bestimmt oder geeignet sind. Gesichtserkennungssysteme — auch wenn sie ausschließlich zur Zugangskontrolle eingesetzt werden — erfüllen diese Voraussetzung.

Ohne Betriebsvereinbarung darf kein Gesichtserkennungssystem in einem Betrieb mit Betriebsrat eingesetzt werden.

Eine rechtssichere Betriebsvereinbarung sollte mindestens regeln:

• Zweckbindung — z. B. ausschließlich Zugangskontrolle, keine Leistungsauswertung
• Erfasste Beschäftigtengruppen und Opt-out-Möglichkeit mit gleichwertiger Alternative
• Enrolling-Prozess und Information der Beschäftigten vor der Einschreibung
• Datensparsamkeit — biometrische Templates nur so lange gespeichert, wie für die Authentifizierung notwendig
• Zugriffsrechte auf Protokolldaten und unter welchen Bedingungen
• Ausdrückliches Verbot der Nutzung für Leistungs-, Disziplinar- oder Beförderungsentscheidungen
• Auditrechte des Betriebsrats und Überprüfungszyklen

Was Unternehmen vor dem Einsatz prüfen müssen

Checkliste für deutsche Unternehmen, die Gesichtserkennung einsetzen möchten:

1. Anwendungsfall klassifizieren — verboten nach Art. 5 KI-VO, Hochrisiko nach Anhang III oder geringes Risiko? Echtzeit-Identifizierung im öffentlichen Raum ist verboten; Zugangskontrolle ist Hochrisiko.
2. Rechtsgrundlagen festlegen — Art.-6-Grundlage und Art.-9-Abs.-2-Ausnahme identifizieren und schriftlich dokumentieren.
3. DSFA durchführen — bei nahezu allen Gesichtserkennungssystemen mit natürlichen Personen obligatorisch.
4. Betriebsrat frühzeitig einbinden — vor Vertragsschluss mit dem Anbieter, nicht danach.
5. Betriebsvereinbarung abschließen — mit Zweckbindung, Opt-out, Datenlöschung und Zugriffsregelung.
6. Nicht-biometrische Alternative bereitstellen — Beschäftigte und Kunden müssen den Dienst ohne biometrische Einschreibung nutzen können.
7. Anbieter prüfen — KI-Verordnungs-Klassifizierung, Konformitätsbewertung, Bias-Testberichte und Auftragsverarbeitungsvertrag nach Art. 28 DSGVO anfordern.
8. Löschkonzept erstellen — biometrische Templates müssen definierte Speicherfristen und durchsetzbare Löschprozesse haben.

Eintritt in den deutschen Markt als Gesichtserkennungsanbieter

Für Technologieunternehmen, die Gesichtserkennungsprodukte in den deutschen oder EU-Markt einbringen möchten, sind die Compliance-Anforderungen erheblich, aber erfüllbar.

Anbieterpflichten nach der KI-Verordnung

Als Anbieter (Entwickler oder Hersteller) tragen Sie die primäre Verantwortung für die Einhaltung der KI-Verordnung:

• Konformitätsbewertung: Die meisten kommerziellen Gesichtserkennungssysteme sind Hochrisiko-KI. Für viele Hochrisiko-Systeme kann eine interne Selbstbewertung mit technischer Dokumentation genügen — für Systeme im Bereich kritischer Infrastruktur oder Strafverfolgung kann jedoch eine benannte Stelle (Notified Body) erforderlich sein.
• CE-Kennzeichnung und Konformitätserklärung: Hochrisiko-KI-Systeme benötigen vor dem Inverkehrbringen eine Konformitätserklärung und CE-Kennzeichnung.
• Registrierung in der EU-KI-Datenbank: Das System muss vor dem Einsatz in der öffentlichen Datenbank der EU-Kommission registriert werden.
• Marktüberwachung nach dem Inverkehrbringen: Schwerwiegende Vorfälle sind der nationalen Marktüberwachungsbehörde zu melden — in Deutschland der Bundesnetzagentur als zuständiger KI-Marktüberwachungsbehörde nach der KI-Verordnung.
• Gebrauchsanweisung: Betreiber benötigen ausreichende Dokumentation, um das System bestimmungsgemäß einzusetzen.

Besonderheiten des deutschen Markts

• BfDI-Positionierungen: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) gehört zu den aktivsten Datenschutzaufsichtsbehörden Europas. Vor dem Markteintritt mit biometrischen Produkten sollten die veröffentlichten Stellungnahmen des BfDI zu biometrischer Verarbeitung geprüft werden.
• Bundesnetzagentur als KI-Marktüberwachungsbehörde: Die Bundesnetzagentur ist die nach der KI-Verordnung designierte Marktüberwachungsbehörde für Hochrisiko-KI-Systeme in Deutschland. Schwerwiegende Fehlfunktionen müssen dieser Behörde gemeldet werden.
• Hamburgischer Präzedenzfall: Der HmbBfDI hat mit seinen Maßnahmen gegen Clearview AI maßgebliche Präzedenzfälle zur biometrischen Datenverarbeitung gesetzt. Neue Marktteilnehmer sollten die einschlägigen Leitlinien kennen.
• Umsetzungsgesetzgebung: Das Bundeskabinett hat ergänzende nationale Regelungen zur Durchführung der KI-Verordnung auf den Weg gebracht. Nationale Umsetzungsakte können die Anforderungen für bestimmte Anwendungsfälle konkretisieren.
• Deutschsprachige Dokumentation: Nutzerdokumentation, Datenschutzinformationen und DSFA-Vorlagen sollten für in Deutschland tätige Betreiber auf Deutsch verfügbar sein.
• Betriebsratsbeteiligung unterstützen: Anbieter, die Muster-Betriebsvereinbarungen und technische Dokumentation zur Unterstützung des Mitbestimmungsprozesses bereitstellen können, verschaffen sich im deutschen Unternehmensmarkt einen erheblichen Wettbewerbsvorteil.

Häufig gestellte Fragen

Wie groß ist der Gesichtserkennung Markt in Deutschland?

Der europäische Biometriemarkt wurde 2025 auf rund 507 Millionen US-Dollar geschätzt, wächst 2026 auf rund 577 Millionen US-Dollar und soll bis 2034 mit einer jährlichen Wachstumsrate von rund 14 % auf 1,6 Milliarden US-Dollar steigen (Quelle: Market Data Forecast). Deutschland gehört zu den drei größten nationalen EU-Märkten neben Frankreich und den Niederlanden. Länderspezifische Daten nur für den Biometriemarkt Deutschland werden von den meisten Forschungsanbietern nicht separat veröffentlicht; auf Deutschland entfallen schätzungsweise 20–25 % der europäischen Markterlöse.

Wächst der Gesichtserkennung Markt in Deutschland?

Ja. Wesentliche Wachstumstreiber für 2026 sind der verpflichtende Aufbau biometrischer Infrastruktur im Rahmen des EU-Einreise-/Ausreisesystems (EES) und ETIAS an deutschen Flughäfen, KYC-Pflichten im Finanzsektor nach dem GwG, Ersatz von Legacy-Zugangskontrollsystemen sowie Investitionen in KI-Verordnungs-Compliance vor dem Hochrisiko-Fristablauf im August 2026. Der Fristablauf schränkt nicht zertifizierte Anbieter gleichzeitig ein und belohnt Anbieter mit etablierten Konformitätsbewertungsprogrammen.

Ist Gesichtserkennung in Deutschland für Unternehmen legal?

Ja, in definierten Anwendungsfällen. Zugangskontrolle, Identitätsverifizierung und Zahlungsauthentifizierung sind zulässig, aber als Hochrisiko-KI nach der KI-Verordnung eingestuft. Unternehmen müssen eine Konformitätsbewertung abschließen, eine DSFA durchführen und eine gültige Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO nachweisen. Für beschäftigtenbezogene Systeme ist eine Betriebsvereinbarung zwingend. Die biometrische Echtzeit-Identifizierung im öffentlichen Raum ist für alle kommerziellen Betreiber ohne Ausnahme verboten.

Welche Unternehmen bieten Gesichtserkennung in Deutschland an?

Zu den wichtigsten Anbietern gehören Cognitec Systems (Dresden), der führende deutsche Hersteller von Gesichtserkennungstechnologie; Veridos (Berlin), ein Anbieter staatlicher Identitätslösungen; sowie internationale Unternehmen wie NEC NeoFace, Idemia und Thales, die in staatlichen und gewerblichen Märkten tätig sind. Für kommerzielle Identitätsverifizierung (KYC) operieren Anbieter wie Jumio, Onfido (Entrust) und Veriff im deutschen Markt nach DSGVO-konformen Rahmenbedingungen.

Was schreibt die DSGVO zu biometrischen Daten vor?

Art. 9 DSGVO stuft biometrische Daten zur eindeutigen Identifizierung natürlicher Personen als besondere Datenkategorie ein. Ihre Verarbeitung ist grundsätzlich verboten. Zusätzlich zur Rechtsgrundlage nach Art. 6 DSGVO ist ein Ausnahmetatbestand nach Art. 9 Abs. 2 zwingend erforderlich — meistens die ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a. Im Beschäftigungskontext gelten die strengeren Anforderungen des § 26 Abs. 3 BDSG. Das berechtigte Interesse allein reicht nicht aus.

Was sind die KI-Verordnungs-Kategorien für Gesichtserkennung?

Gesichtserkennungssysteme fallen in zwei Kategorien: verboten (Art. 5) oder Hochrisiko (Anhang III). Verbotene Anwendungen umfassen die biometrische Echtzeit-Identifizierung im öffentlichen Raum und das Scraping zum Aufbau biometrischer Datenbanken. Hochrisiko-Anwendungen — Zugangskontrolle, Identitätsverifizierung, Zahlungsauthentifizierung — erfordern dokumentiertes Risikomanagement, Bias-Tests, menschliche Aufsicht, technische Dokumentation und Konformitätsbewertung bis zum 2. August 2026.

Brauche ich eine Betriebsvereinbarung für Gesichtserkennung am Arbeitsplatz?

Ja. § 87 Abs. 1 Nr. 6 BetrVG gewährt dem Betriebsrat zwingende Mitbestimmungsrechte bei technischen Einrichtungen, die das Verhalten oder die Leistung der Beschäftigten überwachen können. Gesichtserkennungssysteme — selbst bei reiner Zugangskontrolle — erfüllen diese Voraussetzung. Ohne Betriebsvereinbarung ist der Einsatz nicht zulässig; der Arbeitgeber riskiert einstweiligen Rechtsschutz und DSGVO-Bußgelder.

Welche Maßnahmen haben deutsche Datenschutzbehörden ergriffen?

Der Hamburgische Beauftragte für Datenschutz (HmbBfDI) hat gegen Clearview AI DSGVO-Verstöße festgestellt und die Löschung der Daten Hamburger Betroffener angeordnet. Der BfDI hat sich positionierend zu biometrischer Identifizierung im kommerziellen Kontext geäußert. Landesbeauftragte für Datenschutz können Betreiber von Gesichtserkennungssystemen proaktiv prüfen, Bußgelder verhängen und die Systemabschaltung anordnen — ohne dass eine Beschwerde vorliegen muss.

---

Compound Law berät Anbieter und Betreiber von Gesichtserkennungssystemen zu deutschem und europäischem Markteintritt, KI-Verordnungs-Compliance, DSGVO-Rahmenbedingungen für biometrische Daten, Datenschutz-Folgenabschätzungen und Betriebsratsverhandlungen. Den rechtlichen Rahmen finden Sie in unserem Leitfaden zur Gesichtserkennung in Deutschland — rechtliche Grundlagen. Compliance-Anleitungen finden Sie unter KI-Gesichtserkennung — Compliance und biometrische KI-Identifizierung. Zur Anbieterprüfung empfehlen wir unsere Seite zum Auftragsverarbeitungsvertrag.

Diese Seite enthält allgemeine rechtliche Informationen und ersetzt keine anwaltliche Beratung zu konkreten Einsatzvorhaben oder Markteintrittsstrategien.