EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →

Gesichtserkennung und EU AI Act

Stand: Mai 2026 · Innopulse Consulting GmbH, Zug

Auf einen Blick

Gesichtserkennung wird nach AI Act dreigeteilt: 1:1 Verification (Face-ID) ausgenommen — Recital 16. 1:N Identifikation (Datenbank-Suche) Annex III Hochrisiko. Real-Time RBI im öffentlichen Raum für Strafverfolgung verboten Art. 5(1)(h) — mit eng gefassten Ausnahmen.

Gesichtserkennung ist die regulatorisch konfliktreichste KI-Anwendung. Privatwirtschaftliche Klärung schwebt zwischen Recital 16 (Verification erlaubt) und Art. 5 (Real-Time-RBI verboten). EDPB-Auslegung deutet auf weite Verbots-Lesart auch für private Akteure.

Drei Konstellationen

1:1 Verification (Authentifikation): - Smartphone Face-ID (iPhone, Samsung) - Bank-App-Login mit Face-Verifikation - Grenzübergang ePass → Recital 16 explizit AUSGENOMMEN. KEIN Annex III.

1:N Identifikation: - "Wer ist diese Person?" Suche in Datenbank - CCTV-Analyse für Kunden-Re-Identification - Forensische Polizei-Auswertung von Aufnahmen → Annex III Nr. 1. Hochrisiko-Pflichten.

Real-Time RBI im öffentlichen Raum (Strafverfolgung): → Art. 5(1)(h) VERBOTEN. Drei eng gefasste Ausnahmen: - Suche nach Verbrechensopfern - Konkrete Lebens-/Sicherheits-Bedrohung - Schwerstes Verbrechen mit richterlicher Genehmigung

Privater Sektor: Graue Zone

Art. 5(1)(h) gilt explizit für Strafverfolgungs-Behörden. Private Akteure (Kaufhäuser, Stadien, Hotels) sind nicht direkt erfasst. Aber: - EDPB-Position deutet auf weite Verbots-Lesart - Recital 33 erklärt extensive Ratio Legis - DSGVO Art. 9 (sensible Daten) gilt parallel - Mitgliedsstaaten können strenger regeln

Konservative Empfehlung: Privater Real-Time-RBI nicht ohne Anwalts-Review einsetzen.

Häufige Fragen

Darf ein Kaufhaus Diebstahl-Erkennung mit Face-DB einsetzen?
Sehr riskant. EDPB neigt zu Verbots-Lesart. Praktischer Konsens: keine Real-Time-RBI im Kunden-Bereich, Post-Hoc-Analyse für Sicherheits-Vorfälle ggf. zulässig — aber Hochrisiko Annex III mit allen Compliance-Pflichten.
Ist Tagungs-Check-in mit Gesichts-DB erlaubt?
Wenn ausdrückliche Einwilligung der Teilnehmer: ja, dann 1:1 Verification gegen registrierte Bild-Datenbank — Recital-16-Ausnahme greift. Ohne Einwilligung wird es 1:N und Annex III.

Relevante Rechtsgrundlagen

Annex III Nr. 1 EU AI ActArt. 5(1)(h) EU AI ActRecital 16 EU AI ActRecital 33 EU AI ActArt. 9 DSGVO

Klassifizieren Sie Ihre KI-Systeme — kostenlos

In 5 Minuten Risiko-Klasse, FRIA-Pflicht und Compliance-Aufwand für jedes KI-System.

Kostenloser EU AI Act Quick-Check →
Innopulse Consulting GmbH — EU AI Act Compliance

Verfasst auf Basis der Verordnung (EU) 2024/1689, EDPB-Guidelines und CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet). Gotthardstrasse 30, 6300 Zug, Schweiz · UID CHE-219.727.921.

Hinweis: Technische Orientierung — kein Ersatz für anwaltliche Rechtsberatung.

Alle AnwendungsfälleQuick-Check