Biometrische Daten (Art. 4 Nr. 14 DSGVO)
Biometrische Daten sind mit speziellen technischen Verfahren gewonnene Merkmale einer Person (Fingerabdruck, Gesichtsbild, Stimme u.a.), die ihre eindeutige Identifizierung ermöglichen und als besondere Kategorie nach Art. 9 DSGVO einem grundsätzlichen Verarbeitungsverbot unterliegen.
Biometrische Daten zählen zu den sensibelsten Kategorien personenbezogener Daten, weil sie untrennbar mit der körperlichen Identität einer Person verbunden sind. Art. 4 Nr. 14 DSGVO definiert sie als mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.
Das Wichtigste in Kürze
- Biometrische Daten entstehen erst durch den Einsatz spezieller technischer Verfahren, die aus physischen, physiologischen oder verhaltenstypischen Merkmalen eine identifizierende Information machen.
- Fotos und Lichtbilder sind nur dann biometrische Daten, wenn sie mit speziellen technischen Mitteln zur eindeutigen Identifizierung oder Authentifizierung verarbeitet werden (Erwägungsgrund 51 DSGVO).
- Biometrische Daten zur eindeutigen Identifizierung einer Person gehören zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO und unterliegen einem grundsätzlichen Verarbeitungsverbot.
- Die Verarbeitung ist nur unter den engen Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig; Mitgliedstaaten können zusätzliche Bedingungen einführen (Art. 9 Abs. 4 DSGVO).
1 Überblick
Biometrische Daten sind keine eigenständige Datenkategorie in dem Sinne, dass bestimmte Körpermerkmale schon allein durch ihre Existenz zu biometrischen Daten würden. Entscheidend ist das technische Verfahren: Erst die Erhebung und Verarbeitung mit speziellen Mitteln, die auf eindeutige Identifizierung oder Authentifizierung abzielen, hebt ein Merkmal auf die Ebene des Art. 4 Nr. 14 DSGVO. Die Definition erfasst dabei drei Merkmalsgruppen:
- physische Merkmale: Fingerabdrücke, Handgeometrie, Gesichtsgeometrie, Irisstruktur, Venenmuster
- physiologische Merkmale: DNA-Profil, Geruch, Herzrhythmus
- verhaltenstypische Merkmale: Stimme, Schreibdynamik beim Unterschreiben, Gangart
Biometrische Daten zur eindeutigen Identifizierung einer Person fallen unter die besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO. Ihre Verarbeitung ist grundsätzlich verboten und nur zulässig, wenn einer der abschließend geregelten Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO greift. Zu verwandten Begriffsdefinitionen siehe Genetische Daten (Art. 4 Nr. 13 DSGVO) und Gesundheitsdaten (Art. 4 Nr. 15 DSGVO).
2 Tatbestandsmerkmale der Definition
2.1 Spezielle technische Verfahren als Voraussetzung
Das zentrale Tatbestandsmerkmal ist der Einsatz spezieller technischer Verfahren bei der Erhebung oder Verarbeitung. Ohne diesen technischen Schritt liegt kein biometrisches Datum im Sinne von Art. 4 Nr. 14 DSGVO vor, selbst wenn das zugrunde liegende körperliche Merkmal objektiv geeignet wäre, eine Person zu identifizieren.
Dies hat für Lichtbilder erhebliche praktische Bedeutung: Ein Passfoto, das schlicht gespeichert und angezeigt wird, ist noch kein biometrisches Datum. Es wird erst zu einem solchen, wenn es mit Gesichtserkennungssoftware oder ähnlichen biometrischen Verfahren verarbeitet wird, die auf eindeutige Identifizierung oder Authentifizierung ausgerichtet sind (Erwägungsgrund 51 DSGVO). Lichtbilder in Pässen, Personalausweisen, Führerscheinen und Aufenthaltstiteln sind nach diesem Maßstab nur dann biometrische Daten, wenn die Verarbeitung mit solchen speziellen technischen Mitteln erfolgt.
Der Einsatz von Gesichtserkennungssoftware im öffentlichen Raum oder in Zugangssystemen macht aus dem verarbeiteten Lichtbild ein biometrisches Datum und löst damit das Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO aus. Wer eine Kamera mit Gesichtserkennung betreibt, verarbeitet besondere Kategorien personenbezogener Daten, selbst wenn er das Bild nur kurzzeitig abgleicht.
2.2 Physische, physiologische und verhaltenstypische Merkmale
Die Definition differenziert drei Merkmalsgruppen, ohne daraus unterschiedliche Rechtsfolgen abzuleiten. Praktisch bedeutsam ist die Gruppe der verhaltenstypischen Merkmale, weil sie nicht auf körperlich-statische Eigenschaften beschränkt ist. Zu ihr gehören insbesondere:
- Unterschrift mit Schreibdynamik: Eine bloße Kopie oder ein Scan einer Unterschrift ist kein biometrisches Datum, weil aus ihr Schreibfluss und Schreibdruck nicht rekonstruiert werden können. Wird die Unterschrift hingegen über ein Signaturpad erfasst, das Geschwindigkeit, Druck und Bewegungsverlauf aufzeichnet und auswertet, liegt ein biometrisches Datum vor.
- Stimme: Jede Person hat eine unverwechselbare Sprechweise. Wird die Stimme zu Authentifizierungszwecken verarbeitet (etwa in Voice-Biometrie-Systemen), handelt es sich um ein biometrisches Datum.
2.3 Eindeutige Identifizierung oder Bestätigung
Das Verfahren muss die eindeutige Identifizierung der Person ermöglichen oder bestätigen. Biometrische Verfahren, die lediglich eine grobe Zuordnung zu einer Gruppe erlauben (z.B. Alter, Geschlecht), erzeugen daher keine biometrischen Daten im Sinne der Definition, sofern keine Einzelidentifikation angestrebt oder ermöglicht wird.
3 Beispiele biometrischer Daten im Überblick
Die folgende Tabelle zeigt typische Merkmale, die nach Maßgabe von Art. 4 Nr. 14 DSGVO als biometrische Daten eingestuft werden, sobald sie mit geeigneten technischen Verfahren verarbeitet werden.
| Merkmal | Merkmalskategorie | Typisches Verfahren | Praktisches Beispiel |
|---|---|---|---|
| Fingerabdruck | Physisch | Daktyloskopie, Kapazitiv-Sensor | Zeiterfassung, Smartphone-Entsperrung |
| Gesichtsbild | Physisch | Gesichtserkennung (biometrische Analyse) | Zugangskontrolle, Videoüberwachung mit Analyse |
| Irisstruktur | Physisch | Iris-Scan | Grenzkontrolle, Hochsicherheitsbereich |
| Venenmuster (Hand/Finger/Handgelenk) | Physiologisch | Venenscanner | Zugangssystem, Bezahlsystem |
| Stimme | Verhaltenstypisch | Voice-Biometrie | Telefon-Authentifizierung, Sprachassistent |
| Unterschrift mit Schreibdynamik | Verhaltenstypisch | Signaturpad mit Druckauswertung | Digitale Vertragsunterzeichnung |
4 Einordnung als besondere Datenkategorie
4.1 Grundsätzliches Verarbeitungsverbot
Biometrische Daten, die zur eindeutigen Identifizierung einer natürlichen Person eingesetzt werden, unterfallen Art. 9 Abs. 1 DSGVO. Die Verarbeitung dieser Daten ist grundsätzlich verboten. Zulässig ist sie nur, wenn einer der in Art. 9 Abs. 2 DSGVO abschließend aufgezählten Ausnahmetatbestände vorliegt, etwa eine ausdrückliche Einwilligung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO), ein erhebliches öffentliches Interesse (Art. 9 Abs. 2 lit. g DSGVO) oder ein berechtigtes Interesse im Bereich der Arbeits- und Sozialschutzgesetze (Art. 9 Abs. 2 lit. b DSGVO).
Einzelheiten zu den Zulässigkeitstatbeständen des Art. 9 Abs. 2 DSGVO finden sich in der Übersicht zu den sensiblen Datenkategorien.
4.2 Öffnungsklausel für Mitgliedstaaten
Art. 9 Abs. 4 DSGVO erlaubt den Mitgliedstaaten, für genetische, biometrische und Gesundheitsdaten zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten. Der deutsche Gesetzgeber hat von dieser Möglichkeit unter anderem im BDSG Gebrauch gemacht. Zur Reichweite dieser nationalen Spielräume siehe die Seite zur Öffnungsklausel für mitgliedstaatliches Recht.
4.3 Abgrenzung: Biometrische Daten vs. personenbezogene Daten allgemein
Nicht jede Verarbeitung von Körpermerkmalen führt automatisch zur Anwendbarkeit von Art. 9 DSGVO. Entscheidend ist, ob die Verarbeitung auf eindeutige Identifizierung abzielt. Fehlt dieser Zweck oder das spezielle technische Verfahren, liegt zwar ein personenbezogenes Datum vor, das den allgemeinen Anforderungen der DSGVO genügen muss, nicht aber ein biometrisches Datum nach Art. 4 Nr. 14 DSGVO.
Art. 4 Nr. 14 DSGVO
Legaldefinition biometrischer Daten im Volltext.
Art. 9 DSGVO
Verarbeitungsverbot und Ausnahmen für besondere Datenkategorien.
Erwägungsgrund 51 DSGVO
Lichtbilder als biometrische Daten nur bei speziellen technischen Mitteln.
Genetische Daten
Art. 4 Nr. 13 DSGVO: verwandte besondere Datenkategorie.
Gesundheitsdaten
Art. 4 Nr. 15 DSGVO: weitere besondere Datenkategorie.
Sensible Datenkategorien
Überblick zu Art. 9 DSGVO und den Zulässigkeitstatbeständen.
Öffnungsklausel Mitgliedstaaten
Nationale Ergänzungen und Verschärfungen für biometrische Daten.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Genetische Daten (Art. 4 Nr. 13 DSGVO)
Genetische Daten sind personenbezogene Daten zu ererbten oder erworbenen genetischen Eigenschaften einer Person, die Informationen über Physiologie oder Gesundheit liefern und besonders schützenswert sind.
Gesundheitsdaten (Art. 4 Nr. 15 DSGVO)
Gesundheitsdaten sind personenbezogene Daten über die körperliche oder geistige Gesundheit einer Person, aus denen Informationen über deren Gesundheitszustand hervorgehen. Als besondere Kategorie unterliegen sie einem grundsätzlichen Verarbeitungsverbot.