Biometrische ID-Verifizierung: Was der EU AI Act fordert
Warum die Selfie-und-Ausweis-Prüfung von Diensten wie Persona DSGVO und AI Act berührt – und worauf Compliance-Verantwortliche jetzt achten sollten.
Lukas Görög4 Min. Lesezeit
Wenn OpenAI oder Anthropic eine Identitätsverifizierung verlangen, prüfen sie diese in der Regel nicht selbst. Sie lagern den Vorgang an spezialisierte Drittanbieter wie Persona Inc. aus. Typischerweise laden Sie dabei ein behördliches Ausweisdokument hoch und machen ein Live-Selfie. Genau dieser Abgleich verarbeitet biometrische Daten – und damit greifen sowohl die DSGVO als auch der EU AI Act. Wer solche Tools im Unternehmen einsetzt, trägt als Verantwortlicher Mitverantwortung.
Der Anstoß für diese Diskussion kam unter anderem von einem Berater aus Norwegen, der in seiner Arbeit DSGVO- und AI-Act-Compliance begleitet und die Persona-Verifizierung in einem viel beachteten Reddit-Beitrag einordnete. Sein Tenor: kein Alarmismus, aber legitime Fragen.
Was passiert bei der biometrischen Verifizierung über Persona?
Persona ist ein drittanbietendes Identitätsverifizierungsunternehmen. Sobald ein KI-Anbieter eine ID-Prüfung verlangt, übernimmt Persona den Prozess: Upload eines amtlichen Ausweises und Aufnahme eines Live-Selfies. Aus diesem Gesichtsabgleich entstehen biometrische Daten, die der Identifizierung dienen.
Damit liegt der Vorgang im Kern der Datenschutz-Grundverordnung. Biometrische Daten zur eindeutigen Identifizierung gelten nach Artikel 9 DSGVO als besondere Kategorie personenbezogener Daten und unterliegen einem grundsätzlichen Verarbeitungsverbot mit eng definierten Ausnahmen.
Ist biometrische Verifizierung nach dem EU AI Act erlaubt?
Ja, im Kontext der Authentifizierung ist biometrische Verifizierung unter strengen Bedingungen zulässig. Untersagt ist hingegen die biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen. Der Unterschied liegt im Zweck: ein einzelner Abgleich „Sind Sie die Person auf dem Ausweis?" ist etwas anderes als eine flächendeckende Überwachung.
Der EU AI Act unterscheidet sauber zwischen Anwendungsfällen. Biometrische Verifizierung zur Authentifizierung – also der Eins-zu-eins-Abgleich – fällt nicht unter die Verbote der Verordnung. Echtzeit-Biometrie im öffentlichen Raum dagegen schon, mit eng begrenzten Ausnahmen etwa für die Strafverfolgung.
Mein Eindruck als Berater: Viele Unternehmen verwechseln diese beiden Kategorien und schließen aus den Schlagzeilen zu Gesichtserkennung, biometrische ID-Prüfung sei pauschal verboten. Das ist sie nicht. Entscheidend ist, ob ein konkretes System als hochriskant einzustufen ist und welche datenschutzrechtliche Grundlage greift.
Welche Fristen des AI Act sind jetzt relevant?
Die wichtigsten Daten im Überblick:
- 2. Februar 2025: Die Verbote des EU AI Act gelten, darunter die untersagten Praktiken bei biometrischer Fernidentifizierung. Seitdem ist auch ein Compliance-Management gefragt.
- August 2026: Für Hochrisiko-Systeme greifen die Konformitätsprüfungen. DEKRA wurde laut Branchenberichten als erste Zertifizierungsstelle für biometrische KI-Systeme benannt.
- Sanktionsrahmen: Verstöße können nach Darstellung von IBM mit Bußgeldern von bis zu 35 Millionen Euro geahndet werden.
Wer ein KI-Tool mit verpflichtender Identitätsprüfung einführt, sollte diese Zeitachse kennen. Die Verbote sind bereits in Kraft, die Zertifizierungspflichten rücken näher.
Wenn Sie an dieser Stelle merken, dass im eigenen Haus niemand sicher beurteilen kann, ob ein eingesetztes KI-System hochriskant ist oder welche DSGVO-Grundlage greift, lohnt ein strukturierter Aufbau von Wissen. Für Verantwortliche aus Recht, Compliance und Geschäftsführung, die das Zusammenspiel von AI Act, Haftung, Urheberrecht und DSGVO praxisnah durchdringen wollen, ist die dreitägige juristische Masterclass zum KI-Recht in Österreich ein gangbarer Weg. Sie ist nichts für reine Anwender, die nur eine Kurzübersicht suchen – dafür geht sie zu tief.
Wer trägt die Verantwortung, wenn ein Drittanbieter prüft?
Auch wenn Persona die Verifizierung technisch ausführt, verschwindet Ihre Verantwortung nicht. Setzen Sie KI-Dienste mit Identitätsprüfung im Unternehmen ein, sind Sie als Verantwortlicher oder Auftragsverarbeiter in der Pflicht, die Rechtmäßigkeit der Datenverarbeitung sicherzustellen. Das betrifft Verträge, Rechtsgrundlage und Transparenz gegenüber Betroffenen.
Aus meiner Beratungspraxis sind das die wiederkehrenden Schwachstellen:
- Fehlende Rechtsgrundlage nach Artikel 9 DSGVO: Biometrische Daten brauchen eine ausdrückliche Grundlage, meist die explizite Einwilligung. Eine pauschale AGB-Klausel reicht oft nicht.
- Unklarer Datenfluss: Wohin gehen Ausweisbild und Selfie? Wie lange werden sie gespeichert? Wird in Drittländer übermittelt? Diese Fragen müssen vor dem Einsatz beantwortet sein.
- Keine Risikoeinordnung nach AI Act: Ohne dokumentierte Bewertung, ob das System hochriskant ist, fehlt die Basis für jede weitere Compliance-Entscheidung.
Der EU AI Act baut hier auf bestehende Konzepte. Wie Haftungsfragen rund um KI zunehmend konkret werden, zeigt etwa das Urteil zur Haftung von Google für KI-Falschaussagen – ein Hinweis darauf, dass Verantwortung nicht beim Toolanbieter endet.
Was bedeutet das für Ihr Unternehmen?
Biometrische Identitätsprüfung ist nicht per se unzulässig, aber sie ist regulatorisch anspruchsvoll. Bevor Sie ein KI-Tool mit Persona-ähnlicher Verifizierung freigeben, klären Sie drei Punkte: die DSGVO-Rechtsgrundlage für die biometrische Verarbeitung, den vollständigen Datenfluss inklusive Aufbewahrung und die Einstufung nach AI Act.
Konkret empfehle ich, für jeden Dienst eine kurze Dokumentation anzulegen, die diese Fragen beantwortet, und die Verträge mit dem Anbieter daraufhin zu prüfen. Wo Mitarbeitende solche Systeme nutzen oder einführen, gehört dazu eine nachweisbare KI-Kompetenz – seit Februar 2025 ist diese auch eine Pflicht aus dem AI Act. Wer das systematisch und rechtssicher aufbauen will, findet in einer Schulung zur KI-Kompetenz nach den Anforderungen des EU AI Act einen praxisnahen Einstieg für Management, Compliance und IT.
Die Diskussion um Persona zeigt vor allem eines: Identitätsprüfung ist kein technisches Detail, sondern eine datenschutzrechtliche Entscheidung mit Konsequenzen. Wer sie bewusst trifft, vermeidet später teure Korrekturen.
Diskussion
Noch keine Kommentare. Schreiben Sie den ersten.
Weiterlesen
Mehr aus Recht & Governance →
KI-Chatbots: Sind sie politisch voreingenommen?
Mehrere Studien aus 2024 zeigen messbare politische Tendenzen bei großen Sprachmodellen. Ich ordne ein, wie belastbar diese Befunde sind und was sie für den Unternehmenseinsatz bedeuten.
Google haftet für KI-Falschaussagen
Das LG München I hat Google per einstweiliger Verfügung für KI-generierte Falschaussagen haftbar gemacht. Google legt Berufung ein. Wir ordnen ein, was das Urteil für Unternehmen im DACH-Raum bedeutet.
KI-Geopolitik: US-Koalition und Folgen für Europa
Amodei und Hassabis warben bei den G7 für eine US-geführte KI-Koalition. Was bestätigt ist, was Gerücht bleibt und was europäische Unternehmen jetzt tun sollten.
Token-Rationierung: Wenn KI-Budgets außer Kontrolle geraten
Nach der Phase des grenzenlosen Token-Verbrauchs steuern immer mehr Unternehmen gegen. Wie Sie Kosten kontrollieren und Governance aufbauen, ohne die Produktivität abzuwürgen.
KI und Engineering-Jobs: Entwickler bleiben gefragt
Anders als die Entlassungsmeldungen nahelegen, gehören Entwickler laut SignalFire-Daten zu den am stärksten nachgefragten Neueinstellungen. Was das für Personalstrategie und Weiterbildung bedeutet.
Figma KI-Update: Code-Layer, Animationen und Plug-ins
TechCrunch berichtet über Code-Layer, Animationen und KI-generierte Plug-ins in Figma. Wir ordnen ein, was unabhängig bestätigt ist und welche KI-Funktionen Design-Teams aktuell tatsächlich produktiv nutzen können.