EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Hochrisiko

Biometrik: Annex III Nr. 1 EU AI Act

Stand: Mai 2026 · Innopulse Consulting GmbH, Zug

Auf einen Blick

Annex III Nr. 1 EU AI Act erfasst drei Biometrie-Bereiche: Fern-Identifikation (RBI), biometrische Kategorisierung sensibler Merkmale und Emotionserkennung — letztere am Arbeitsplatz und in Schulen verboten (Art. 5(1)(f)).

Biometrie ist der regulatorisch sensibelste KI-Bereich. Der AI Act unterscheidet scharf zwischen Verification (1:1 Identitätsprüfung — KEIN Annex III) und Identification (1:N Suche in Datenbank — Annex III oder verboten). Recital 16 ist hier zentral.

Drei Sub-Trigger Annex III Nr. 1

Lit. a — Fern-Identifikation: 1:N-Suche zur Identifikation natürlicher Personen ohne deren aktive Mitwirkung. Beispiel: Polizei sucht nach Verdächtigem in Überwachungsvideo.

Lit. b — Biometrische Kategorisierung: Zuordnung zu Kategorien wie Geschlecht, Alter, ethnische Zugehörigkeit. Bei sensiblen Kategorien (Religion, sexuelle Orientierung) → Art. 5(1)(g) Verbot.

Lit. c — Emotionserkennung: KI, die Emotionen aus Gesichtsausdrücken, Stimme oder Verhalten erkennt. Am Arbeitsplatz und in Bildung verboten (Art. 5(1)(f)), ausser für medizinische/Sicherheits-Zwecke.

Verification (1:1) ist KEIN Annex III

Recital 16: 1:1-Verification — z.B. Smartphone-Face-ID, Bank-App-Authentifizierung, Grenzübergang mit ePass — ist explizit AUSGENOMMEN. Begründung: Person willigt ein, gibt aktiv Bezugsbild zur Verifikation, kein Datenbank-Vergleich gegen ihren Willen.

Real-Time RBI im öffentlichen Raum

Art. 5(1)(h) verbietet Real-Time RBI im öffentlichen Raum für Strafverfolgungszwecke — mit drei eng definierten Ausnahmen: - Suche nach Verbrechensopfern - Verhinderung konkreter und unmittelbarer Bedrohung des Lebens/körperlicher Sicherheit - Lokalisierung Verdächtiger schwerwiegender Straftaten (mit richterlicher Genehmigung)

Konservative Auslegung: Real-Time RBI durch private Akteure (Kaufhäuser, Stadien) ist nicht explizit verboten, aber EDPB-Position und Recital 33 deuten auf weite Verbots-Lesart.

Häufige Fragen

Ist Face-ID am iPhone betroffen?
Nein. Face-ID ist 1:1-Verification (Recital 16) und damit nicht Annex III. Apple muss aber DSGVO und ggf. lokale Datenschutz-Gesetze beachten.
Darf ein Kaufhaus Diebstahl-Erkennung mit Gesichts-DB einsetzen?
Sehr riskant. EDPB hat eine Lesart, wonach private Real-Time-RBI im öffentlichen Raum analog zu Art. 5(1)(h) verboten ist. Konservative Empfehlung: nicht einsetzen, ohne Anwalts-Review.
Ist Alters-Schätzung am Tabakautomat erlaubt?
Sie ist biometrische Kategorisierung nach Annex III Nr. 1 lit. b — Hochrisiko. Provider braucht Konformitätsbewertung, Deployer Art. 26-Compliance. Verbot greift nicht (Alter ist keine sensible Kategorie nach Art. 5(1)(g)).

Relevante Rechtsgrundlagen

Annex III Nr. 1 EU AI ActArt. 5(1)(f) EU AI ActArt. 5(1)(g) EU AI ActArt. 5(1)(h) EU AI ActRecital 16 EU AI Act

Klassifizieren Sie Ihre KI-Systeme — kostenlos

In 5 Minuten Risiko-Klasse, FRIA-Pflicht und Compliance-Aufwand für jedes KI-System.

Kostenloser EU AI Act Quick-Check →
Innopulse Consulting GmbH — EU AI Act Compliance

Verfasst auf Basis der Verordnung (EU) 2024/1689, EDPB-Guidelines und CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet). Gotthardstrasse 30, 6300 Zug, Schweiz · UID CHE-219.727.921.

Hinweis: Technische Orientierung — kein Ersatz für anwaltliche Rechtsberatung.

Alle GlossarQuick-Check