# Biometrische Daten (Art. 4 Nr. 14 DSGVO)

Biometrische Daten sind mit speziellen technischen Verfahren gewonnene Merkmale einer Person (Fingerabdruck, Gesichtsbild, Stimme u.a.), die ihre eindeutige Identifizierung ermöglichen und als besondere Kategorie nach Art. 9 DSGVO einem grundsätzlichen Verarbeitungsverbot unterliegen.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/begriffe-und-definitionen/1.2.14-biometrische-daten
> Sprache: en



Biometrische Daten zählen zu den sensibelsten Kategorien personenbezogener Daten, weil sie untrennbar mit der körperlichen Identität einer Person verbunden sind. Art. 4 Nr. 14 DSGVO definiert sie als mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Biometrische Daten entstehen erst durch den Einsatz **spezieller technischer Verfahren**, die aus physischen, physiologischen oder verhaltenstypischen Merkmalen eine identifizierende Information machen.
  * Fotos und Lichtbilder sind nur dann biometrische Daten, wenn sie mit speziellen technischen Mitteln zur eindeutigen Identifizierung oder Authentifizierung verarbeitet werden (Erwägungsgrund 51 DSGVO).
  * Biometrische Daten **zur eindeutigen Identifizierung** einer Person gehören zu den besonderen Kategorien personenbezogener Daten nach [Art. 9 DSGVO](https://dsgvo-gesetz.de/art-9-dsgvo/) und unterliegen einem grundsätzlichen Verarbeitungsverbot.
  * Die Verarbeitung ist nur unter den engen Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig; Mitgliedstaaten können zusätzliche Bedingungen einführen (Art. 9 Abs. 4 DSGVO).
</Callout>

## 1 Überblick [#1-überblick]

Biometrische Daten sind keine eigenständige Datenkategorie in dem Sinne, dass bestimmte Körpermerkmale schon allein durch ihre Existenz zu biometrischen Daten würden. Entscheidend ist das technische Verfahren: Erst die Erhebung und Verarbeitung mit speziellen Mitteln, die auf eindeutige Identifizierung oder Authentifizierung abzielen, hebt ein Merkmal auf die Ebene des Art. 4 Nr. 14 DSGVO. Die Definition erfasst dabei drei Merkmalsgruppen:

* **physische Merkmale**: Fingerabdrücke, Handgeometrie, Gesichtsgeometrie, Irisstruktur, Venenmuster
* **physiologische Merkmale**: DNA-Profil, Geruch, Herzrhythmus
* **verhaltenstypische Merkmale**: Stimme, Schreibdynamik beim Unterschreiben, Gangart

Biometrische Daten zur eindeutigen Identifizierung einer Person fallen unter die besonderen Kategorien personenbezogener Daten nach [Art. 9 Abs. 1 DSGVO](https://dsgvo-gesetz.de/art-9-dsgvo/). Ihre Verarbeitung ist grundsätzlich verboten und nur zulässig, wenn einer der abschließend geregelten Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO greift. Zu verwandten Begriffsdefinitionen siehe [Genetische Daten (Art. 4 Nr. 13 DSGVO)](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.13-genetische-daten) und [Gesundheitsdaten (Art. 4 Nr. 15 DSGVO)](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.15-gesundheitsdaten).

## 2 Tatbestandsmerkmale der Definition [#2-tatbestandsmerkmale-der-definition]

### 2.1 Spezielle technische Verfahren als Voraussetzung [#21-spezielle-technische-verfahren-als-voraussetzung]

Das zentrale Tatbestandsmerkmal ist der Einsatz **spezieller technischer Verfahren** bei der Erhebung oder Verarbeitung. Ohne diesen technischen Schritt liegt kein biometrisches Datum im Sinne von Art. 4 Nr. 14 DSGVO vor, selbst wenn das zugrunde liegende körperliche Merkmal objektiv geeignet wäre, eine Person zu identifizieren.

Dies hat für Lichtbilder erhebliche praktische Bedeutung: Ein Passfoto, das schlicht gespeichert und angezeigt wird, ist noch kein biometrisches Datum. Es wird erst zu einem solchen, wenn es mit Gesichtserkennungssoftware oder ähnlichen biometrischen Verfahren verarbeitet wird, die auf eindeutige Identifizierung oder Authentifizierung ausgerichtet sind ([Erwägungsgrund 51 DSGVO](https://dsgvo-gesetz.de/erwaegungsgruende/nr-51/)). Lichtbilder in Pässen, Personalausweisen, Führerscheinen und Aufenthaltstiteln sind nach diesem Maßstab nur dann biometrische Daten, wenn die Verarbeitung mit solchen speziellen technischen Mitteln erfolgt.

<Callout type="warn">
  Der Einsatz von Gesichtserkennungssoftware im öffentlichen Raum oder in Zugangssystemen macht aus dem verarbeiteten Lichtbild ein biometrisches Datum und löst damit das Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO aus. Wer eine Kamera mit Gesichtserkennung betreibt, verarbeitet besondere Kategorien personenbezogener Daten, selbst wenn er das Bild nur kurzzeitig abgleicht.
</Callout>

### 2.2 Physische, physiologische und verhaltenstypische Merkmale [#22-physische-physiologische-und-verhaltenstypische-merkmale]

Die Definition differenziert drei Merkmalsgruppen, ohne daraus unterschiedliche Rechtsfolgen abzuleiten. Praktisch bedeutsam ist die Gruppe der verhaltenstypischen Merkmale, weil sie nicht auf körperlich-statische Eigenschaften beschränkt ist. Zu ihr gehören insbesondere:

* **Unterschrift mit Schreibdynamik**: Eine bloße Kopie oder ein Scan einer Unterschrift ist kein biometrisches Datum, weil aus ihr Schreibfluss und Schreibdruck nicht rekonstruiert werden können. Wird die Unterschrift hingegen über ein Signaturpad erfasst, das Geschwindigkeit, Druck und Bewegungsverlauf aufzeichnet und auswertet, liegt ein biometrisches Datum vor.
* **Stimme**: Jede Person hat eine unverwechselbare Sprechweise. Wird die Stimme zu Authentifizierungszwecken verarbeitet (etwa in Voice-Biometrie-Systemen), handelt es sich um ein biometrisches Datum.

### 2.3 Eindeutige Identifizierung oder Bestätigung [#23-eindeutige-identifizierung-oder-bestätigung]

Das Verfahren muss die **eindeutige Identifizierung** der Person ermöglichen oder bestätigen. Biometrische Verfahren, die lediglich eine grobe Zuordnung zu einer Gruppe erlauben (z.B. Alter, Geschlecht), erzeugen daher keine biometrischen Daten im Sinne der Definition, sofern keine Einzelidentifikation angestrebt oder ermöglicht wird.

## 3 Beispiele biometrischer Daten im Überblick [#3-beispiele-biometrischer-daten-im-überblick]

Die folgende Tabelle zeigt typische Merkmale, die nach Maßgabe von Art. 4 Nr. 14 DSGVO als biometrische Daten eingestuft werden, sobald sie mit geeigneten technischen Verfahren verarbeitet werden.

| Merkmal                              | Merkmalskategorie | Typisches Verfahren                      | Praktisches Beispiel                           |
| ------------------------------------ | ----------------- | ---------------------------------------- | ---------------------------------------------- |
| Fingerabdruck                        | Physisch          | Daktyloskopie, Kapazitiv-Sensor          | Zeiterfassung, Smartphone-Entsperrung          |
| Gesichtsbild                         | Physisch          | Gesichtserkennung (biometrische Analyse) | Zugangskontrolle, Videoüberwachung mit Analyse |
| Irisstruktur                         | Physisch          | Iris-Scan                                | Grenzkontrolle, Hochsicherheitsbereich         |
| Venenmuster (Hand/Finger/Handgelenk) | Physiologisch     | Venenscanner                             | Zugangssystem, Bezahlsystem                    |
| Stimme                               | Verhaltenstypisch | Voice-Biometrie                          | Telefon-Authentifizierung, Sprachassistent     |
| Unterschrift mit Schreibdynamik      | Verhaltenstypisch | Signaturpad mit Druckauswertung          | Digitale Vertragsunterzeichnung                |

## 4 Einordnung als besondere Datenkategorie [#4-einordnung-als-besondere-datenkategorie]

### 4.1 Grundsätzliches Verarbeitungsverbot [#41-grundsätzliches-verarbeitungsverbot]

Biometrische Daten, die zur eindeutigen Identifizierung einer natürlichen Person eingesetzt werden, unterfallen [Art. 9 Abs. 1 DSGVO](https://dsgvo-gesetz.de/art-9-dsgvo/). Die Verarbeitung dieser Daten ist grundsätzlich verboten. Zulässig ist sie nur, wenn einer der in Art. 9 Abs. 2 DSGVO abschließend aufgezählten Ausnahmetatbestände vorliegt, etwa eine ausdrückliche Einwilligung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO), ein erhebliches öffentliches Interesse (Art. 9 Abs. 2 lit. g DSGVO) oder ein berechtigtes Interesse im Bereich der Arbeits- und Sozialschutzgesetze (Art. 9 Abs. 2 lit. b DSGVO).

Einzelheiten zu den Zulässigkeitstatbeständen des Art. 9 Abs. 2 DSGVO finden sich in der Übersicht zu den [sensiblen Datenkategorien](/docs/dsgvo-hub/einzelthemen/besondere-kategorien-personenbezogener-daten/1.3.12.1-sensible-datenkategorien).

### 4.2 Öffnungsklausel für Mitgliedstaaten [#42-öffnungsklausel-für-mitgliedstaaten]

Art. 9 Abs. 4 DSGVO erlaubt den Mitgliedstaaten, für genetische, biometrische und Gesundheitsdaten zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten. Der deutsche Gesetzgeber hat von dieser Möglichkeit unter anderem im BDSG Gebrauch gemacht. Zur Reichweite dieser nationalen Spielräume siehe die Seite zur [Öffnungsklausel für mitgliedstaatliches Recht](/docs/dsgvo-hub/einzelthemen/besondere-kategorien-personenbezogener-daten/1.3.12.3-oeffnungsklausel-fuer-mitgliedstaatliches-recht).

### 4.3 Abgrenzung: Biometrische Daten vs. personenbezogene Daten allgemein [#43-abgrenzung-biometrische-daten-vs-personenbezogene-daten-allgemein]

Nicht jede Verarbeitung von Körpermerkmalen führt automatisch zur Anwendbarkeit von Art. 9 DSGVO. Entscheidend ist, ob die Verarbeitung auf eindeutige Identifizierung abzielt. Fehlt dieser Zweck oder das spezielle technische Verfahren, liegt zwar ein [personenbezogenes Datum](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.1-personenbezogene-daten) vor, das den allgemeinen Anforderungen der DSGVO genügen muss, nicht aber ein biometrisches Datum nach Art. 4 Nr. 14 DSGVO.

<Cards>
  <Card title="Art. 4 Nr. 14 DSGVO" href="https://dsgvo-gesetz.de/art-4-dsgvo/" description="Legaldefinition biometrischer Daten im Volltext." />

  <Card title="Art. 9 DSGVO" href="https://dsgvo-gesetz.de/art-9-dsgvo/" description="Verarbeitungsverbot und Ausnahmen für besondere Datenkategorien." />

  <Card title="Erwägungsgrund 51 DSGVO" href="https://dsgvo-gesetz.de/erwaegungsgruende/nr-51/" description="Lichtbilder als biometrische Daten nur bei speziellen technischen Mitteln." />

  <Card title="Genetische Daten" href="/docs/dsgvo-hub/begriffe-und-definitionen/1.2.13-genetische-daten" description="Art. 4 Nr. 13 DSGVO: verwandte besondere Datenkategorie." />

  <Card title="Gesundheitsdaten" href="/docs/dsgvo-hub/begriffe-und-definitionen/1.2.15-gesundheitsdaten" description="Art. 4 Nr. 15 DSGVO: weitere besondere Datenkategorie." />

  <Card title="Sensible Datenkategorien" href="/docs/dsgvo-hub/einzelthemen/besondere-kategorien-personenbezogener-daten/1.3.12.1-sensible-datenkategorien" description="Überblick zu Art. 9 DSGVO und den Zulässigkeitstatbeständen." />

  <Card title="Öffnungsklausel Mitgliedstaaten" href="/docs/dsgvo-hub/einzelthemen/besondere-kategorien-personenbezogener-daten/1.3.12.3-oeffnungsklausel-fuer-mitgliedstaatliches-recht" description="Nationale Ergänzungen und Verschärfungen für biometrische Daten." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.