Biometrische Daten im Zeitalter der KI: Das nächste regulatorische Minenfeld, das Führungskräfte nicht ignorieren dürfen

Die Gesichtserkennung am Drehkreuz, die Sprachauthentifizierung im Call Center, die Analyse von Gesichtsausdrücken in Video-Interviews mit Bewerbern. Biometrische Technologien dringen in das Unternehmensumfeld mit einer Geschwindigkeit vor, die die Entwicklung von regulatorischen Rahmenbedingungen und internen Governance-Richtlinien übertrifft. Das Ergebnis ist ein steigendes rechtliches Risiko, das bereits Milliarden von Dollar in Vergleichen gekostet hat und sich 2026 weiter verschärfen wird.

Der amerikanische Präzedenzfall: BIPA als Modell

Das Illinois Biometric Information Privacy Act, das seit 2008 in Kraft ist, ist das am meisten litigierte Gesetz zur biometrischen Privatsphäre in den USA. Es erfordert eine informierte Zustimmung vor der Erhebung biometrischer Daten, verbietet den Verkauf oder die Übertragung von Daten ohne Zustimmung und legt eine Mindestaufbewahrungsfrist für Daten fest, mit der obligatorischen Vernichtung, sobald der ursprüngliche Zweck erreicht ist.

Die finanzielle Konsequenz ist erheblich. Das BIPA hat seit seiner Verabschiedung über 2,5 Milliarden US-Dollar an Sammelklagen generiert, darunter 650 Millionen US-Dollar, die Facebook 2021 für die Nutzung von Gesichtserkennung zur Kennzeichnung von Fotos ohne Zustimmung gezahlt hat, und 228 Millionen US-Dollar, die die BNSF Railway für biometrische Erfassungen von Lkw-Fahrern ohne die entsprechenden Genehmigungen gezahlt hat.

2025 genehmigten Texas und Washington Erweiterungen ihrer Gesetze zur biometrischen Privatsphäre und erweiterten den Geltungsbereich der Verpflichtungen für Unternehmen jeder Größe, die diese Daten von Bewohnern dieser Bundesstaaten erheben.

Der europäische Rahmen

Das EU AI Act klassifiziert Systeme zur biometrischen Fernidentifikation in öffentlichen Räumen als "hochriskant" und verbietet mit engen Ausnahmen die Nutzung von Echtzeit-Biometricsystemen durch Strafverfolgungsbehörden. Für die Unternehmensnutzung unterliegt jedes System, das Biometrie zur Entscheidungsfindung verwendet, die Einzelpersonen betrifft, wie die Auswahl von Bewerbern oder die Leistungsüberwachung, den Verpflichtungen des AI Act für Hochrisiko.

Die DSGVO verbot bereits die Verarbeitung biometrischer Daten ohne eine spezifische Rechtsgrundlage. Die Schnittstelle mit dem AI Act schafft eine doppelte Compliance-Ebene, die direkt die Systeme zur Unternehmensauthentifizierung, die physische Zugangskontrolle und die Personal-Tools betrifft, die biometrische Analysen integrieren.

Das spezifische Risiko von HR und Rekrutierung

Eine besonders unterschätzte Risikokategorie ist die Nutzung von KI in Auswahl- und Bewertungsprozessen für Bewerber. Verschiedene Jurisdiktionen, darunter Maryland (USA) und die EU unter dem AI Act, verlangen, dass Bewerber informiert werden, wenn KI in Interviews eingesetzt wird und die Möglichkeit haben, eine menschliche Überprüfung der Entscheidung zu beantragen. Der Einsatz von Analysen von Mikroausdrücken oder Stimmton als Auswahlkriterium ohne die entsprechenden Offenlegungen und Rechtsgrundlagen hat bereits in beiden Ozeanen zu Rechtsstreitigkeiten geführt.

Für den CHRO und den General Counsel steht 2026 auf der Agenda, alle Punkte der biometrischen Datenerhebung in der Organisation zu auditieren, Verträge mit HR-Tech-Anbietern, die Verhaltens- oder Ausdrucksanalyse integrieren, zu überprüfen und Richtlinien für die Aufbewahrung und Vernichtung biometrischer Daten zu entwickeln, die auditierbar sind.