top of page
nyr-law_logo_Zeichenfläche 1-01.png

1. Verbotene Praktiken ​(Art. 5 KI-VO)

  1. Folgende Praktiken im KI-Bereich sind verboten:
     

    • Unterschwellige Beeinflussung
      Es ist verboten, ein KI-System zu nutzen, um das Verhalten eines Menschen oder Personengruppe wesentlich durch unterschwellige Techniken zu beeinflussen und ihr Verhalten so zu verändern, dass sie Entscheidungen treffen, die sie sonst nicht getroffen hätten und diese Entscheidung bei der betroffenen Person oder anderen Menschen erhebliche Schäden verursachen kann.

       

    • Ausnutzung von Schwächen
      Es ist verboten, ein KI-System zu nutzen, das gezielt die Schwäche oder Schutzbedürftigkeit bestimmter Personen oder Gruppen ausnutzt – etwa wegen ihres Alters, einer Behinderung oder einer schwierigen sozialen oder finanziellen Situation. Ein solches System darf nicht dazu führen, dass Menschen in ihrem Verhalten stark beeinflusst werden und dadurch Entscheidungen treffen, die ihnen selbst oder anderen erheblichen Schaden zufügen könnte.

       

    • Soziale Bewertung
      Es ist nicht erlaubt, KI-Systeme zu nutzen, die Menschen oder Gruppen über einen bestimmten Zeitraum hinweg basierend auf ihrem Sozialverhalten oder persönlicher Eigenschaften zu bewerten oder einstufen. Eine solche soziale Bewertung ist verboten, wenn sie zu einem oder beiden der folgenden Ergebnisse führt:

       

      • Ungerechtfertigte Benachteiligung in einem anderen Zusammenhang:

        Die Bewertung führt dazu, dass eine Person oder eine Gruppe in einer sozialen Situation benachteiligt wird, die nichts mit den ursprünglichen Umständen zu tun hat, unter denen die Daten erhoben oder erzeugt wurden.

         

      • Unangemessene oder unverhältnismäßige Schlechterstellung:

        ​Die Bewertung benachteiligt eine Person oder Gruppe auf eine unangemessene oder übertriebene Weise, die im Hinblick auf ihr Verhalten oder dessen Bedeutung nicht gerechtfertigt ist.

2. Hochrisiko KI-Systeme (Art. 6 KI-VO)


 

Ein KI-System kann als Hochrisiko-KI eingestuft werden, wenn es erhebliche Auswirkungen auf Grundrechte, Sicherheit oder gesellschaftliche Strukturen hat. Solche Systeme unterliegen strengen regulatorischen Anforderungen, um Transparenz, Sicherheit und ethische Standards zu gewährleisten.
 

  1. Prüfung der sicherheitskritischen Verwendung (Art. 6 Abs. 1 KI-VO)*

     

    • Zunächst wird geprüft, ob das KI-System entweder selbst ein Produkt oder als sicherheitsrelevantes Bauteil eines Produkts verwendet wird, das in den Harmonisierungsrechtsvorschriften der EU aufgeführt ist (Anhang I).

       

      • Hierzu gehören z.B. medizinische Geräte, Flugzeuge oder Autos.

         

    • Falls dieses Produkt einer Konformitätsbewertung durch Dritte unterliegt, wird das KI-System automatisch als Hochrisiko-KI eingestuft und muss die entsprechenden Anforderungen erfüllen (Art. 6 I KI-VO)

       

    • Prüfung der Anwendungsbereiche gemäß Anhang III (Art. 6 Abs. 2 KI-VO)*

       

  2. Falls das KI-System nicht unter die erste Kategorie fällt, wird geprüft, ob es in einem der Hochrisiko-Bereiche aus Anhang III eingesetzt wird. Beispiele (nicht abschließend):
     

    • KI in kritischen Infrastrukturen (z. B. Energie,- oder Wasserversorgung, Straßenverkehr)

       

    • KI im Personalwesen, die über Einstellungen oder Beförderungen entscheidet, z.B. Vorauswahl von Bewerbungen.

       

    • KI zur Kreditwürdigkeitsbewertung, die darüber entscheidet, ob eine Person Zugang zu wichtigen öffentlichen oder privaten Dienstleistungen und zu Sozialleistungen erhält, wie z.B. Kreditanträge, Risikobewertung im Rahmen von Versicherungen.

       

    • KI zur biometrischen Identifizierung, Kategorisierung und Emotionserkennung, sofern sie nicht verboten sind.

       

    • KI in Strafverfolgung, Migration und Grenzkontrolle, sofern sie nicht bereits verboten ist. Auch KI-Systeme in der Justizverwaltung und bei demokratischen Prozessen fallen unter diese Kategorie. Hierunter fallen z.B. Lügendetektoren oder die automatisierte Analyse von Asylanträgen in Rahmen der Prüfung von Asyl-und Visumanträgen sowie KI-Systeme zur Analyse von Beweismitteln bei der Unterstützung rechtlicher Entscheidungen.

       

    • KI in der Bildung, die beispielsweise zur Bewertung von Lernergebnissen, zur Steuerung des Lernprozesses oder zur Überwachung von Prüfungsbetrug eingesetzt wird.
       


*Art.6 KI-VO:
 

  1. Ungeachtet dessen, ob ein KI‑System unabhängig von den unter den Buchstaben a und b genannten Produkten in Verkehr gebracht oder in Betrieb genommen wird, gilt es als Hochrisiko-KI‑System, wenn die beiden folgenden Bedingungen erfüllt sind:
     

    • das KI‑System soll als Sicherheitsbauteil eines unter die in Anhang I aufgeführten Harmonisierungsrechtsvorschriften der Union fallenden Produkts verwendet werden oder das KI‑System ist selbst ein solches Produkt;
       

    • das Produkt, dessen Sicherheitsbauteil gemäß Buchstabe a das KI‑System ist, oder das KI‑System selbst als Produkt muss einer Konformitätsbewertung durch Dritte im Hinblick auf das Inverkehrbringen oder die Inbetriebnahme dieses Produkts gemäß den in Anhang I aufgeführten Harmonisierungsrechtsvorschriften der Union unterzogen werden.
       

  2. Zusätzlich zu den in Absatz 1 genannten Hochrisiko-KI‑Systemen gelten die in Anhang III genannten KI‑Systeme als hochriskant.

     

  3. Abweichend von Absatz 2 gilt ein in Anhang III genanntes KI‑System nicht als hochriskant, wenn es kein erhebliches Risiko der Beeinträchtigung in Bezug auf die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen birgt, indem es unter anderem nicht das Ergebnis der Entscheidungsfindung wesentlich beeinflusst.

    Unterabsatz 1 gilt, wenn eine der folgenden Bedingungen erfüllt ist:
     

    • das KI‑System ist dazu bestimmt, eine eng gefasste Verfahrensaufgabe durchzuführen;
       

    • das KI‑System ist dazu bestimmt, das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit zu verbessern;
       

    • das KI‑System ist dazu bestimmt, Entscheidungsmuster oder Abweichungen von früheren Entscheidungsmustern zu erkennen, und ist nicht dazu gedacht, die zuvor abgeschlossene menschliche Bewertung, ohne eine angemessene menschliche Überprüfung zu ersetzen oder zu beeinflussen; oder
       

    • das KI‑System ist dazu bestimmt, eine vorbereitende Aufgabe für eine Bewertung durchzuführen, die für die Zwecke der in Anhang III aufgeführten Anwendungsfälle relevant ist.


      Ungeachtet des Unterabsatzes 1 gilt ein in Anhang III aufgeführtes KI‑System immer dann als hochriskant, wenn es ein Profiling natürlicher Personen vornimmt.
       

  4. Ein Anbieter, der der Auffassung ist, dass ein in Anhang III aufgeführtes KI‑System nicht hochriskant ist, dokumentiert seine Bewertung, bevor dieses System in Verkehr gebracht oder in Betrieb genommen wird. Dieser Anbieter unterliegt der Registrierungspflicht gemäß Artikel 49 Absatz 2. Auf Verlangen der zuständigen nationalen Behörden legt der Anbieter die Dokumentation der Bewertung vor.

     

  5. Die Kommission stellt nach Konsultation des Europäischen Gremiums für Künstliche Intelligenz (im Folgenden „KI‑Gremium“) spätestens bis zum 2. Februar 2026 Leitlinien zur praktischen Umsetzung dieses Artikels gemäß Artikel 96 und eine umfassende Liste praktischer Beispiele für Anwendungsfälle für KI‑Systeme, die hochriskant oder nicht hochriskant sind, bereit.

     

  6. Die Kommission ist befugt, gemäß Artikel 97 delegierte Rechtsakte zu erlassen, um Absatz 3 Unterabsatz 2 des vorliegenden Artikels zu ändern, indem neue Bedingungen zu den darin genannten Bedingungen hinzugefügt oder diese geändert werden, wenn konkrete und zuverlässige Beweise für das Vorhandensein von KI‑Systemen vorliegen, die in den Anwendungsbereich von Anhang III fallen, jedoch kein erhebliches Risiko der Beeinträchtigung in Bezug auf die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen bergen.

     

  7. Die Kommission erlässt gemäß Artikel 97 delegierte Rechtsakte, um Absatz 3 Unterabsatz 2 des vorliegenden Artikels zu ändern, indem eine der darin festgelegten Bedingungen gestrichen wird, wenn konkrete und zuverlässige Beweise dafür vorliegen, dass dies für die Aufrechterhaltung des Schutzniveaus in Bezug auf Gesundheit, Sicherheit und die in dieser Verordnung vorgesehenen Grundrechte erforderlich ist.

     

  8. Eine Änderung der in Absatz 3 Unterabsatz 2 festgelegten Bedingungen, die gemäß den Absätzen 6 und 7 des vorliegenden Artikels erlassen wurde, darf das allgemeine Schutzniveau in Bezug auf Gesundheit, Sicherheit und die in dieser Verordnung vorgesehenen Grundrechte nicht senken; dabei ist die Kohärenz mit den gemäß Artikel 7 Absatz 1 erlassenen delegierten Rechtsakten sicherzustellen und die Marktentwicklungen und die technologischen Entwicklungen sind zu berücksichtigen.

 

*Anhang III:

 

Als Hochrisiko-KI Systeme gemäß gelten die in folgenden Bereichen aufgeführten KI Systeme:

 

  1. Biometrie, soweit ihr Einsatz nach einschlägigem Unionsrecht oder nationalem Recht zugelassen ist:
     

    • Biometrische Fernidentifizierungssysteme

      Dazu gehören nicht KI Systeme, die bestimmungsgemäß für die biometrische Verifizierung, deren einziger Zweck darin besteht, zu bestätigen, dass eine bestimmte natürliche Person die Person ist, für die sie sich ausgibt, verwendet werden sollen;

    • KI Systeme, die bestimmungsgemäß für die biometrische Kategorisierung nach sensiblen oder geschützten Attributen oder Merkmalen auf der Grundlage von Rückschlüssen auf diese Attribute oder Merkmale verwendet werden sollen;
       

    • KI Systeme, die bestimmungsgemäß zur Emotionserkennung verwendet werden sollen.

       

  2. Kritische Infrastruktur

    KI Systeme, die bestimmungsgemäß als Sicherheitsbauteile im Rahmen der Verwaltung und des Betriebs kritischer digitaler Infrastruktur, des Straßenverkehrs oder der Wasser-, Gas-, Wärme- oder Stromversorgung verwendet werden sollen.
     

  3. Allgemeine und berufliche Bildung
     

    • KI Systeme, die bestimmungsgemäß zur Feststellung des Zugangs oder der Zulassung oder zur Zuweisung natürlicher Personen zu Einrichtungen aller Ebenen der allgemeinen und beruflichen Bildung verwendet werden sollen;
       

    • KI Systeme, die bestimmungsgemäß für die Bewertung von Lernergebnissen verwendet werden sollen, einschließlich des Falles, dass diese Ergebnisse dazu dienen, den Lernprozess natürlicher Personen in Einrichtungen oder Programmen aller Ebenen der allgemeinen und beruflichen Bildung zu steuern;
       

    • KI Systeme, die bestimmungsgemäß zum Zweck der Bewertung des angemessenen Bildungsniveaus, das eine Person im Rahmen von oder innerhalb von Einrichtungen aller Ebenen der allgemeinen und beruflichen Bildung erhalten wird oder zu denen sie Zugang erhalten wird, verwendet werden sollen;
       

    • KI Systeme, die bestimmungsgemäß zur Überwachung und Erkennung von verbotenem Verhalten von Schülern bei Prüfungen im Rahmen von oder innerhalb von Einrichtungen aller Ebenen der allgemeinen und beruflichen Bildung verwendet werden sollen.

       

  4. Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit
     

    • KI Systeme, die bestimmungsgemäß für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere um gezielte Stellenanzeigen zu schalten, Bewerbungen zu sichten oder zu filtern und Bewerber zu bewerten;
       

    • KI Systeme, die bestimmungsgemäß für Entscheidungen, die die Bedingungen von Arbeitsverhältnissen, Beförderungen und Kündigungen von Arbeitsvertragsverhältnissen beeinflussen, für die Zuweisung von Aufgaben aufgrund des individuellen Verhaltens oder persönlicher Merkmale oder Eigenschaften oder für die Beobachtung und Bewertung der Leistung und des Verhaltens von Personen in solchen Beschäftigungsverhältnissen verwendet werden soll.

       

  5. Zugänglichkeit und Inanspruchnahme grundlegender privater und grundlegender öffentlicher Dienste und Leistungen:
     

    • KI Systeme, die bestimmungsgemäß von Behörden oder im Namen von Behörden verwendet werden sollen, um zu beurteilen, ob natürliche Personen Anspruch auf grundlegende öffentliche Unterstützungsleistungen und  dienste, einschließlich Gesundheitsdiensten, haben und ob solche Leistungen und Dienste zu gewähren, einzuschränken, zu widerrufen oder zurückzufordern sind;
       

    • KI Systeme, die bestimmungsgemäß für die Kreditwürdigkeitsprüfung und Bonitätsbewertung natürlicher Personen verwendet werden sollen, mit Ausnahme von KI Systemen, die zur Aufdeckung von Finanzbetrug verwendet werden;
       

    • KI Systeme, die bestimmungsgemäß für die Risikobewertung und Preisbildung in Bezug auf natürliche Personen im Fall von Lebens- und Krankenversicherungen verwendet werden sollen;
       

    • KI Systeme, die bestimmungsgemäß zur Bewertung und Klassifizierung von Notrufen von natürlichen Personen oder für die Entsendung oder Priorisierung des Einsatzes von Not- und Rettungsdiensten, einschließlich Polizei, Feuerwehr und medizinischer Nothilfe, sowie für Systeme für die Triage von Patienten bei der Notfallversorgung verwendet werden sollen.

       

  6. Strafverfolgung, soweit ihr Einsatz nach einschlägigem Unionsrecht oder nationalem Recht zugelassen ist:
     

    • KI Systeme, die bestimmungsgemäß von Strafverfolgungsbehörden oder in deren Namen oder von Organen, Einrichtungen und sonstigen Stellen der Union zur Unterstützung von Strafverfolgungsbehörden oder in deren Namen zur Bewertung des Risikos einer natürlichen Person, zum Opfer von Straftaten zu werden, verwendet werden sollen;
       

    • KI Systeme, die bestimmungsgemäß von Strafverfolgungsbehörden oder in deren Namen oder von Organen, Einrichtungen und sonstigen Stellen der Union zur Unterstützung von Strafverfolgungsbehörden als Lügendetektoren oder ähnliche Instrumente verwendet werden sollen;
       

    • KI Systeme, die bestimmungsgemäß von Strafverfolgungsbehörden oder in deren Namen oder von Organen, Einrichtungen und sonstigen Stellen der Union zur Unterstützung von Strafverfolgungsbehörden zur Bewertung der Verlässlichkeit von Beweismitteln im Zuge der Ermittlung oder Verfolgung von Straftaten verwendet werden sollen;
       

    • KI Systeme, die bestimmungsgemäß von Strafverfolgungsbehörden oder in deren Namen oder von Organen, Einrichtungen und sonstigen Stellen der Union zur Unterstützung von Strafverfolgungsbehörden zur Bewertung des Risikos, dass eine natürliche Person eine Straftat begeht oder erneut begeht, nicht nur auf der Grundlage der Erstellung von Profilen natürlicher Personen gemäß Artikel 3 Absatz 4 der Richtlinie (EU) 2016/680 oder zur Bewertung persönlicher Merkmale und Eigenschaften oder vergangenen kriminellen Verhaltens von natürlichen Personen oder Gruppen verwendet werden sollen;
       

    • KI Systeme, die bestimmungsgemäß von Strafverfolgungsbehörden oder in deren Namen oder von Organen, Einrichtungen und sonstigen Stellen der Union zur Unterstützung von Strafverfolgungsbehörden zur Erstellung von Profilen natürlicher Personen gemäß Artikel 3 Absatz 4 der Richtlinie (EU) 2016/680 im Zuge der Aufdeckung, Ermittlung oder Verfolgung von Straftaten verwendet werden sollen.

       

  7. Migration, Asyl und Grenzkontrolle, soweit ihr Einsatz nach einschlägigem Unionsrecht oder nationalem Recht zugelassen ist:
     

    • KI Systeme, die bestimmungsgemäß von zuständigen Behörden oder in deren Namen oder Organen, Einrichtungen und sonstigen Stellen der Union als Lügendetektoren verwendet werden sollen oder ähnliche Instrumente;
       

    • KI Systeme, die bestimmungsgemäß von zuständigen Behörden oder in deren Namen oder von Organen, Einrichtungen und sonstigen Stellen der Union zur Bewertung eines Risikos verwendet werden sollen, einschließlich eines Sicherheitsrisikos, eines Risikos der irregulären Einwanderung oder eines Gesundheitsrisikos, das von einer natürlichen Person ausgeht, die in das Hoheitsgebiet eines Mitgliedstaats einzureisen beabsichtigt oder eingereist ist;
       

    • KI Systeme, die bestimmungsgemäß von zuständigen Behörden oder in deren Namen oder von Organen, Einrichtungen und sonstigen Stellen der Union verwendet werden sollen, um zuständige Behörden bei der Prüfung von Asyl- und Visumanträgen sowie Aufenthaltstiteln und damit verbundenen Beschwerden im Hinblick auf die Feststellung der Berechtigung der den Antrag stellenden natürlichen Personen, einschließlich damit zusammenhängender Bewertungen der Verlässlichkeit von Beweismitteln, zu unterstützen;
       

    • KI Systeme, die bestimmungsgemäß von oder im Namen der zuständigen Behörden oder Organen, Einrichtungen und sonstigen Stellen der Union, im Zusammenhang mit Migration, Asyl oder Grenzkontrolle zum Zwecke der Aufdeckung, Anerkennung oder Identifizierung natürlicher Personen verwendet werden sollen, mit Ausnahme der Überprüfung von Reisedokumenten.

       

  8. Rechtspflege und demokratische Prozesse
     

    • KI Systeme, die bestimmungsgemäß von einer oder im Namen einer Justizbehörde verwendet werden sollen, um eine Justizbehörde bei der Ermittlung und Auslegung von Sachverhalten und Rechtsvorschriften und bei der Anwendung des Rechts auf konkrete Sachverhalte zu unterstützen, oder die auf ähnliche Weise für die alternative Streitbeilegung genutzt werden sollen;
       

    • KI Systeme, die bestimmungsgemäß verwendet werden sollen, um das Ergebnis einer Wahl oder eines Referendums oder das Wahlverhalten natürlicher Personen bei der Ausübung ihres Wahlrechts bei einer Wahl oder einem Referendum zu beeinflussen. Dazu gehören nicht KI Systeme, deren Ausgaben natürliche Personen nicht direkt ausgesetzt sind, wie Instrumente zur Organisation, Optimierung oder Strukturierung politischer Kampagnen in administrativer oder logistischer Hinsicht.

3. Deepfakes (Art. 3 Nr. 60 KI-VO)
 

Als Deepfakes bezeichnet die KI-VO:

Ein durch KI erstellter oder veränderter Bild-, Ton- oder Videoinhalt, der echten Personen, Objekten, Orten oder Ereignissen so stark ähnelt, dass er von einer Person fälschlicherweise für echt oder wahrheitsgemäß gehalten werden könnte.

 

Es handelt sich demnach um KI-generierte Bilder oder Videos, die so fotorealistisch aussehen, dass sie wie echte Aufnahmen wirken. Sie entstehen, wenn die KI angewiesen wird, Inhalte möglichst lebensecht darzustellen.

4. Personenbezogene Daten (Art. 4 I DSGVO)
 

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, wenn sie direkt oder indirekt anhand folgender Merkmale erkannt werden kann:
 

  • Name, Kennnummer oder Standortdaten

  • Online-Kennungen (z. B. IP-Adresse oder Cookies)

  • Besondere Merkmale, die etwas über die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer Person aussagen

 

Praktische Beispiele von personenbezogenen Daten
 

  • die Telefonnummer,

  • die Kreditkarten- oder Personalnummern einer Person,

  • die Kontodaten,

  • ein Kfz-Kennzeichen,

  • das Aussehen,

  • die Kundennummer

  • oder die Anschrift

 

Erfasst sind auch weniger eindeutige Informationen, wenn sie Rückschlüsse auf eine bestimmbare Person ermöglichen. Dazu gehören:
 

  • IP-Adressen, sofern der Verarbeitende rechtlich dazu befugt ist, den Provider zur Herausgabe weiterer Informationen zu verpflichten, um die Identität der hinter der IP-Adresse stehenden Nutzers zu ermitteln.

  • Arbeitszeitaufzeichnungen, die den Beginn, das Ende und Pausenzeiten eines Mitarbeiters enthalten.

  • Prüfungsunterlagen, wenn die Antworten des Prüflings und Kommentare des Prüfers eine Zuordnung des Prüflings ermöglichen.

  • Subjektive Einschätzungen, wie Meinungen, Beurteilungen oder Bewertungen, z. B. zur Kreditwürdigkeit oder Arbeitsleistung einer Person.

5. Profiling (Art. 4 Abs. 4 DSGVO)
 

Profiling bedeutet, dass personenbezogene Daten automatisiert verarbeitet werden, um bestimmte persönliche Merkmale einer Person zu bewerten.

Dazu gehören insbesondere:
 

  • Analyse oder Vorhersage von Arbeitsleistung, finanzieller Situation oder Gesundheit

  • Bewertung persönlicher Vorlieben, Interessen oder Verhaltensweisen

  • Überwachung von Aufenthaltsorten oder Bewegungsmustern
     

Diese Informationen werden genutzt, um gezielte Einschätzungen und Prognosen über die betroffene Person zu treffen

6. Pseudonymisierung (Art. 4 Abs. 5 DSGVO)
 

Pseudonymisierung bedeutet, dass personenbezogene Daten so verändert werden, dass sie nicht mehr direkt einer Person zugeordnet werden können – es sei denn, es gibt zusätzliche Informationen, die eine Identifizierung ermöglichen.

 

  • Namen und andere Identifikationsmerkmale werden z. B. durch Kennnummern oder Codes ersetzt.

  • Die zusätzlichen Informationen, die eine Zuordnung ermöglichen, müssen getrennt aufbewahrt und vor dem Zugriff Unbefugter besonders geschützt werden.
     

Der Personenbezug bleibt also erhalten, da eine Identifizierung durch Zusammenführen der Daten weiterhin möglich ist.

7. Anonymisierung
 

Anonymisierung bedeutet, dass personenbezogene Daten so verändert oder entfernt werden, dass eine Re-Identifikation der betroffenen Person nicht mehr möglich ist.
 

Wichtige Merkmale der Anonymisierung:
 

  • Alle Identifikationsmerkmale werden gelöscht oder unkenntlich gemacht, sodass keine Rückschlüsse mehr auf eine bestimmte Person möglich sind.

  • Kein Personenbezug mehr: Anders als bei der Pseudonymisierung können anonymisierte Daten nicht mehr einer Person zugeordnet werden.

  • Da die Daten nicht mehr personenbezogen sind, fallen sie nicht unter die Datenschutzvorgaben der DSGVO

8. Biometrische Daten (Art. 4 Nr. 13 und 14 DSGVO)
 

Laut Datenschutz-Grundverordnung (DSGVO) gehören biometrische Daten zu den besonders schützenswerten personenbezogenen Daten. Sie können eine Person eindeutig identifizieren, weshalb ihr Schutz besonders streng geregelt ist. Die Verarbeitung dieser Daten unterliegt daher besonderen gesetzlichen Anforderungen.

 

Biometrie ist eine Technologie, die körperliche Merkmale von Menschen misst und analysiert. Biometrische Daten sind daher spezifische, individuelle Merkmale, die verhaltensbedingt sein können (wie die eigene Stimme), vor allem aber physiologischer Natur sind.

 

Dazu gehören beispielsweise:

 

  • Fingerabdrücke

  • Iris-Muster (Augen)

  • Gebissabdruck

  • Gesichtsproportionen und -merkmale

  • Venenstruktur unter der Haut

  • Handschrift

  • Unterschrift

 

Diese Daten werden genutzt, um entweder die Identität einer Person zu bestätigen (Verifikation) oder sie eindeutig zu identifizieren (Identifikation).

 

  • Verifikation
    Hierbei wird überprüft, ob eine Person wirklich diejenige ist, die sie vorgibt zu sein. Dies geschieht durch einen 1:1-Abgleich – also den direkten Vergleich der biometrischen Daten mit einem gespeicherten Referenzwert. Beispiel:

 

  • Ein Blick auf einen biometrischen Ausweis und das Gesicht der Person.

  • Identifikation
    Hierbei wird geprüft, wer eine Person ist, indem ihre biometrischen Daten mit einer Datenbank voller gespeicherter Werte verglichen werden. Beispiel:

 

  • Ein Fingerabdruck, der bei einer Polizeiermittlung genommen und mit vorhandenen Daten verglichen wird.

9. Genetische Daten (Art. 4 Nr. 13 DSGVO)
 

Genetische Daten sind personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer Person, die eindeutige Rückschlüsse auf ihre Physiologie oder Gesundheit ermöglichen.

 

Dazu gehören insbesondere:

 

  • DNA-Analysen

  • RNS-Analysen

  • Ähnliche biologische Untersuchungen, die eindeutige Informationen über die körperlichen oder gesundheitlichen Merkmale einer Person liefern

10. Gesundheitsdaten (Art. 4 Nr. 15 DSGVO)
 

Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen

 

Beispiele für Gesundheitsdaten:

 

  • Medizinische Befunde wie Röntgenbilder, Blutgruppen oder Untersuchungsergebnisse.

  • Ereignisse wie Operationen, Unfälle, Impfungen oder chronische und akute Erkrankungen, körperlich, seelisch, sichtbar oder unsichtbar.

  • Medizinische Bewertungen, z. B. Einstufung als Schwerbehinderter oder Krankschreibungen.

  • Einnahme von Medikamenten, Alkohol oder Drogen mit gesundheitlicher Wirkung.

  • Aufenthalte in Gesundheitseinrichtungen, wie Krankenhäuser, Pflegeheime, Reha-Kliniken, psycho-sozialen Wohngruppen, Maßregelvollzugsanstalten oder Heilpraxen.

  • Bestands-, Verkehrs und Inhaltsdaten des Telekommunikationsverkehrs mit Gesundheitseinrichtungen, z. B. E-Mails oder Anrufe mit Arztpraxen.

 

Daneben können auch Sozialdaten nach dem Sozialgesetzbuch als Gesundheitsdaten gelten, wenn sie Informationen zur medizinischen Versorgung oder dem Gesundheitszustand einer Person enthalten.

 

Beispiele hierfür sind:

 

  • Medizinische Diagnosen und Angaben zu behandelnden Ärzten, einschließlich Amtsärzten.

  • Angaben zu Schwangerschaft oder Mutterschaft.

  • Spezifische Formen des Versicherungsschutzes, z. B. private oder gesetzliche Krankenkasse mit besonderen Leistungen.

  • Teilnahme an strukturierten Behandlungsprogrammen für chronische Krankheiten (Disease-Management-Programme).

11. Rassische und ethnische Herkunft (Art. 9 I DSGVO)
 

Daten über rassische und ethnische Herkunft sind Informationen, die Rückschlüsse auf die Zugehörigkeit zu einer bestimmten ethnischen Gruppe oder einer sogenannten „Rasse“ zulassen.

 

Beispiele hierfür sind:

 

  • Hautfarbe

  • Typische, regional begrenzte Sprachen

  • Merkmale der äußeren Erscheinung, wie Haartyp oder Augenform

12. Politische Meinungen (Art. 9 I DSGVO)
 

Daten zu politischen Meinungen umfassen Informationen über  Parteimitgliedschaften oder politische Einstellungen.

 

Erfasst sind insbesondere:
 

  • Die Mitgliedschaft in einer politischen Partei.

  • Persönliche politische Überzeugungen oder Ansichten.

 

Nicht erfasst sind:

  • Die bloße Teilnahme an einer politischen Veranstaltung.

  • Die berufliche Tätigkeit für eine Partei, wenn sie keinen politischen Bezug hat (z. B. IT-Administration oder Sekretariatsarbeit).

13. Religiöse oder weltanschauliche Überzeugungen (Art. 9 I DSGVO)
 

Daten zu religiösen oder weltanschaulichen Überzeugungen umfassen Informationen über die Zugehörigkeit zu einer Religion, Konfession oder einer weltanschaulichen Gruppe.

Erfasst sind insbesondere:

  • Mitgliedschaft in einer Religionsgemeinschaft oder Sekte.

  • Zugehörigkeit zu ideologischen Bünden, z. B. den Freimaurern.

 

Nicht erfasst sind:

  • Der bloße Austritt aus der Staatskirche.

  • Persönliche Einstellungen und Lebensweisen, wie z. B. Vegetarismus oder Pazifismus.

14. Gewerkschaftszugehörigkeit (Art. 9 I DSGVO)
 

Es handelt sich um besonders schützenswerte personenbezogen Daten.

Erfasst sind insbesondere:

  • Die Mitgliedschaft in einer Gewerkschaft.

  • Tätigkeiten in einer gewerkschaftsnahen Stiftung, sofern ein inhaltlicher Zusammenhang zur Gewerkschaftstätigkeit besteht.

 

 

Nicht erfasst ist:

  • Die allgemeine berufliche Tätigkeit für eine gewerkschaftsnahe Stiftung, wenn sie keinen direkten Bezug zur Gewerkschaftsarbeit hat.

15. Daten zum Sexualleben oder zur sexuellen Orientierung (Art. 9 I DSGVO)
 

Es handelt sich um besonders schützenswerte personenbezogene Daten.

Erfasst sind insbesondere:

  • Informationen über die sexuelle Orientierung, wie Hetero-, Bi- oder Homosexualität.

  • Daten über eine Geschlechtsumwandlung oder die Zugehörigkeit zu einem dritten Geschlecht.

  • Informationen darüber, ob jemand in einer Ehe oder eingetragenen Partnerschaft lebt.

  • Bestimmte Konsumgewohnheiten, z. B. Käufe in einem Sexshop, der Erwerb von Verhütungsmitteln oder Potenzmitteln oder der Konsum erotischer Inhalte.

 

Nicht erfasst ist:

  • Die allgemeine Angabe, ob jemand verheiratet oder ledig ist.

16. Technisch-organisatorische-Maßnahmen (TOM)
 

Technische und organisatorische Maßnahmen (TOMs) sind Schutzvorkehrungen, die ein Unternehmen ergreift, um personenbezogene Daten sicher zu verarbeiten und zu schützen.
 

Dazu gehören:
 

  • Technische Maßnahmen, wie z. B. Datenverschlüsselung, Zugriffsbeschränkungen oder Firewalls, um unbefugten Zugriff zu verhindern.

  • Organisatorische Maßnahmen, wie z. B. Schulungen, Datenschutzrichtlinien oder Zugriffsregelungen, um sicherzustellen, dass Daten nur von berechtigten Personen verarbeitet werden.

17. Datenschutzfolgenabschätzung (Art. 35 DSGVO)
 

Eine Datenschutzfolgenabschätzung (DSFA) ist eine gesetzlich vorgeschriebene Risikoanalyse. Sie wird durchgeführt, wenn eine Datenverarbeitung ein hohes Risiko für den Schutz personenbezogener Daten darstellt, insbesondere bei besonderen Kategorien personenbezogener Daten oder automatisierten Verarbeitungssystemen. Das Ziel ist in erster Linie die frühzeitige Identifikation und Minimierung von Datenschutzrisiken.

18. Prompt


 

Ein Prompt ist eine Anweisung oder Eingabe, die sich an ein KI-System richtet, um eine bestimmte Aktion oder Antwort zu erhalten.

Beispiele für Prompts:

  • Eine Frage an eine KI-gestützte Textanalyse, um eine Zusammenfassung zu erhalten.

  • Eine Eingabe in ein KI-Bildgenerierungssystem, um ein bestimmtes Bild erstellen zu lassen.

  • Ein Befehl an eine KI, um Daten zu analysieren oder zu bewerten.

bottom of page