Was sind biometrische Daten gemäß Art. 4 Nr. 14 DSGVO?
Geschrieben von Miriam Harringer, veröffentlicht am 03.12.2025Fingerabdruckscanner, Gesichtserkennung, Iris-Scan: Biometrische Verfahren sind kein Science-Fiction-Szenario mehr, sie gehören längst zum Alltag. Aber diese Daten gelten als besonders sensibel. Art. 4 Nr. 14 DSGVO liefert die rechtliche Definition. Dieser Beitrag zeigt, was als biometrisches Datum gilt und wo in der Praxis bestimmte rechtliche Anforderungen bestehen.
Was versteht die DSGVO unter biometrischen Daten?
Art. 4 Nr. 14 DSGVO definiert biometrische Daten als mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physiologischen, biologischen oder verhaltensbezogenen Merkmalen einer Person, die eine eindeutige Identifizierung ermöglichen.
Dazu zählen insbesondere:
- Fingerabdrücke
- Gesichtsdaten (z. B. Face-ID)
- Iris- und Netzhautmuster
- Stimmprofile
- Handvenenmuster
Entscheidend: Das Merkmal allein reicht nicht aus. Erst die technische Verarbeitung zur eindeutigen Identifizierung macht ein Datum „biometrisch“ im Sinne der DSGVO.
Wann gelten Daten als besonders schützenswert?
Biometrische Daten fallen in der Regel unter die besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO. Damit gelten strengere Anforderungen:
- Verbot der Verarbeitung als Grundsatz
- Ausnahmen nur bei ausdrücklicher Einwilligung oder klarer gesetzlicher Grundlage
- Höhere Anforderungen an technische und organisatorische Maßnahmen
Ein einfaches Foto zählt nicht automatisch als biometrisches Datum. Eine automatische Gesichtserkennung zur Identifizierung dagegen schon.
Wo entstehen in der Praxis Risiken?
Typische Risikobereiche sind:
- Zeiterfassung per Fingerabdruck im Unternehmen
- Zugangskontrollen mit Gesichtsscan
- Mobile Endgeräte mit biometrischer Entsperrung
- Videoüberwachung mit Gesichtserkennung
Hier entstehen hohe Anforderungen an Zweckbindung, Datenminimierung und Transparenz.
Fazit: Biometrische Verfahren brauchen saubere Rechtsgrundlage
Biometrische Daten sind so sensibel, weil sie Menschen eindeutig identifizierbar machen – und das ein Leben lang. Ein Fingerabdruck oder ein Gesicht lässt sich logischerweise nicht einfach „ändern“ wie ein Passwort. Genau deshalb schaut die DSGVO hier besonders genau hin.
Wer biometrische Verfahren einsetzt, braucht klare Zwecke, eine saubere Rechtsgrundlage und starke Sicherheitsmaßnahmen. Sonst wird aus einer praktischen Lösung schnell ein großes Datenschutzrisiko.
Um das zu vermeiden, empfiehlt Ihnen unser Datenschutz-Team, sich intensiv damit auseinanderzusetzen. Dabei unterstützen wir Sie gerne und beantworten offene Fragen.
Sprechen Sie uns gerne an, bei Fragen zu Was sind biometrische Daten gemäß Art. 4 Nr. 14 DSGVO?
Miriam Harringer,
Medien- und Kulturmanagerin sowie langjährige Redakteurin.
Auf unserem Blog schreibt sie Artikel für die Themenbereiche Datenschutz, Informationssicherheit und Künstliche Intelligenz.
Weitere Artikel
- Werbe-E-Mails ohne Einwilligung: EuGH erlaubt das jetzt teilweise
- Metas KI-Assistent: Vorsicht beim Teilen von Daten
- WhatsApp bekommt personalisierte Werbung, was sagen Datenschützer dazu?
- Cyberangriff auf Berlin-Portale legt Websites lahm
- Pflicht für hochriskante KI-Systeme: EU-Konformitätserklärung gem. Art. 47 KI-VO
- Wer muss eine Datenschutz-Folgenabschätzung laut Art. 26. Abs. 9 KI-VO durchführen?
Verwandte Artikel
- Sammelklage gegen Human Resource KI-Anbieter: Wird Diskriminierung bestraft?
- Von der Theorie zur Praxis: Beispiele für die Umsetzung des EU AI Act
- KI im Bildungsbereich: Was der AI Act jetzt regelt
- Was ist die Grundrechte-Folgenabschätzung gem. Art. 27 KI-VO?
- Arbeitgeber müssen Beschäftigte über Nutzung hochriskanter KI-Systeme gem. Art. 26 KI-VO informieren
- Wer muss eine Datenschutz-Folgenabschätzung laut Art. 26. Abs. 9 KI-VO durchführen?