Drei parallele Gesetzesinitiativen auf Bundes- und EU-Ebene könnten die rechtliche Grundlage für biometrische Überwachung und KI-gestützte Datenanalysen in Deutschland fundamental neu ordnen – mit weitreichenden Konsequenzen für Bürgerrechte und Unternehmen.
Drei Gesetzentwürfe könnten biometrische Massenüberwachung in Deutschland ermöglichen
Datenschutzorganisationen warnen vor einem strukturellen Abbau des Schutzniveaus, das bislang als europäischer Standard gilt. Die zeitgleich vorangetriebenen Vorhaben könnten in Kombination eine Überwachungsinfrastruktur schaffen, die politisch kaum mehr rückholbar wäre.
Die drei Vorhaben im Überblick
Im Zentrum der Debatte stehen drei Gesetzgebungsvorhaben, die teils parallel vorangetrieben werden:
-
BKA-Gesetz: Die Bundesregierung plant Änderungen am Bundeskriminalamtgesetz, die dem BKA den Einsatz biometrischer Erkennungssysteme – darunter Gesichtserkennung – bei der Strafverfolgung erleichtern sollen.
-
Verfassungsschutzrecht: Ein Reformentwurf sieht erweiterte Befugnisse für Nachrichtendienste vor, KI-Systeme zur automatisierten Auswertung großer Datenmengen einzusetzen.
-
AI Act Ausnahmen: Auf europäischer Ebene werden Ausnahmetatbestände diskutiert, die biometrische Echtzeit-Identifikation im öffentlichen Raum unter bestimmten Sicherheitsbedingungen zulassen würden.
Datenschützer sehen systemische Risiken
Der Bundesbeauftragte für den Datenschutz sowie mehrere zivilgesellschaftliche Organisationen – darunter die Gesellschaft für Freiheitsrechte (GFF) und Digitalcourage – haben öffentlich Kritik formuliert.
„Die Entwürfe schaffen Ausnahmetatbestände, die in der Praxis schwer kontrollierbar sind und eine Infrastruktur etablieren könnten, die weit über die ursprünglich deklarierten Zwecke hinaus genutzt werden kann.”
Besonders kritisiert werden zwei konkrete Lücken:
- Fehlende richterliche Vorabkontrolle bei automatisierten biometrischen Abgleichen
- Unklare Löschfristen für erfasste biometrische Daten
Der AI Act der EU, der ab 2025 schrittweise in Kraft tritt, stuft biometrische Echtzeit-Identifikation im öffentlichen Raum grundsätzlich als Hochrisiko-Anwendung ein. Die diskutierten nationalen Ausnahmen für Strafverfolgungsbehörden bewegen sich jedoch in einem rechtlichen Graubereich, dessen Grenzen bislang nicht höchstrichterlich geklärt sind.
Relevanz für Unternehmen und Compliance
Für Unternehmen ergibt sich aus diesen Entwicklungen ein doppelter Handlungsbedarf:
Erstens steigt das Risiko, dass eigene Systeme – etwa Zugangskontrollen mit Gesichtserkennung oder KI-gestützte Videoanalysen auf Betriebsgeländen – durch eine veränderte Rechtslage neu bewertet werden müssen. Was heute unter bestimmten Bedingungen zulässig ist, könnte morgen strengeren Auflagen unterliegen oder umgekehrt durch neue behördliche Zugriffsbefugnisse tangiert werden.
Zweitens sind Unternehmen, die biometrische Daten von Beschäftigten oder Kunden verarbeiten, gut beraten, ihre Datenschutz-Folgenabschätzungen zeitnah zu aktualisieren und die weitere Gesetzgebung aktiv zu beobachten.
Die DSGVO bleibt zwar das übergeordnete Regelwerk, wird aber durch nationale Umsetzungsgesetze und den AI Act zunehmend überlagert und konkretisiert.
Einordnung
Die drei Vorhaben markieren einen Richtungsstreit, der über technische Details weit hinausgeht: Es geht um die grundsätzliche Frage, in welchem Maß staatliche Stellen KI-Systeme zur anlasslosen oder anlassarmen Überwachung einsetzen dürfen.
Für Unternehmen in Deutschland bedeutet das eine Phase erhöhter Rechtsunsicherheit im Bereich KI-Compliance. Wer heute in biometrische Systeme investiert oder entsprechende Dienstleistungen anbietet, sollte die parlamentarischen Beratungen – voraussichtlich bis Ende 2025 – eng verfolgen und juristische Beratung frühzeitig einbeziehen.
Quelle: The Decoder