Hochrisiko-KI in Biometrie und Grenzschutz: Was Behörden bis Dezember 2027 vorbereiten müssen

Biometrie-KI an Grenzen war lange ein regulatorisches Niemandsland. Das ändert sich: Ab 2. Dezember 2027 greift der EU AI Act mit voller Härte für Hochrisiko-Systeme in Grenzmanagement und Biometrie. Behörden, Sicherheitsunternehmen und Systemlieferanten haben jetzt achtzehn Monate – nicht mehr. Wer die Verschiebung als Pause versteht, begeht einen teuren Fehler.

Hochrisiko-Klassifizierung: Was genau darunter fällt

Der EU AI Act teilt KI-Systeme in Risikostufen ein. Ganz oben: verbotene Praktiken. Eine Ebene darunter, aber mit erheblichem Compliance-Gewicht: Hochrisiko-KI nach Anhang III der Verordnung. Biometrie-KI und Grenzmanagement-Systeme gehören explizit dazu – keine Grauzone, keine Interpretationssache.

Konkret betroffen sind biometrische Identifikations- und Kategorisierungssysteme sowie KI-Anwendungen in Grenzmanagement, Migration und Asyl. Das umfasst automatisierte Dokumentenprüfung, Gesichtserkennung bei der Einreise, Risiko-Scoring von Reisenden und KI-gestützte Visa-Entscheidungen. Wer solche Systeme betreibt – ob Bundespolizei, Landesbehörden oder private Sicherheitsdienstleister an Flughäfen – ist direkt adressiert.

Davon zu unterscheiden ist eine besondere Kategorie: die biometrische Fernidentifikation in Echtzeit im öffentlichen Raum. Diese ist für Strafverfolgungszwecke grundsätzlich verboten, mit eng gefassten Ausnahmen für die Suche nach Vermissten, die Abwehr konkreter Terrorgefahr und die Identifikation Verdächtiger schwerer Straftaten. Wer diese Ausnahmen nutzen will, steht vor hohen juristischen Hürden. Die Abgrenzung zwischen Strafverfolgung und Grenzverwaltung ist dabei noch nicht abschließend geklärt – nationale Gerichte werden hier Präzedenzfälle setzen.

Die Fristverschiebung: Erleichterung oder Trugschluss?

Ursprünglich sollten die Hochrisiko-Pflichten für Biometrie-KI und Grenzmanagement-Systeme ab 2. August 2026 gelten. Der sogenannte KI-Omnibus – eine Überarbeitungsrunde der EU-Kommission – hat diese Frist auf den 2. Dezember 2027 verschoben. Das klingt nach Luft. Ist es aber nur bedingt.

Erstens: Verbotene Praktiken nach dem AI Act sind bereits seit dem 2. Februar 2025 durchsetzbar. Wer heute ein System betreibt, das in diese Kategorie fällt, verstößt bereits jetzt gegen geltendes Recht. Die Verschiebung gilt nicht universell, sie gilt nur für die Hochrisiko-Anwendungsfälle aus Anhang III. Das wird in der öffentlichen Debatte häufig vermischt.

Zweitens: Für KI-Systeme, die als Sicherheitskomponente in regulierten Produkten nach Anhang I eingesetzt werden – etwa in bestimmten Medizingeräten oder Maschinen –, gilt sogar erst der 2. August 2028. Diese Staffelung macht deutlich, dass es sich nicht um eine pauschale Gnadenfrist handelt, sondern um eine differenzierte Anpassung mit sektorbezogener Logik.

Meine Einschätzung ist eindeutig: Wer die Verschiebung auf Dezember 2027 als Signal versteht, jetzt erst mal abzuwarten, liegt strategisch falsch. Konformitätsbewertungen für Hochrisiko-Biometrie-KI sind komplex. Der Aufbau eines funktionierenden Risikomanagementsystems, die Dokumentation von Trainingsdaten, das Einrichten von Log-Infrastrukturen und die Schulung von Personal dauern nicht Wochen, sondern viele Monate. Wer im Herbst 2027 anfängt, wird nicht fertig.

Was Behörden konkret schulden – und was das bedeutet

Die Pflichten für Anwender von Hochrisiko-KI sind im AI Act präzise gefasst. Behörden, die Biometrie-KI oder Grenzmanagement-Systeme einsetzen, tragen operative Verantwortung – unabhängig davon, ob sie die Systeme selbst entwickelt haben oder als kommerzielle Standardlösung eingekauft wurden.

Erstens: Menschliche Aufsicht durch qualifizierte Personen ist Pflicht. KI-Entscheidungen an Grenzen – ob zur Einreiseverweigerung, zur Dokumentenprüfung oder zur Risikobewertung – müssen von Menschen überwacht und überprüfbar sein. Das klingt trivial, ist es in der Praxis nicht. Viele Systeme sind so konzipiert, dass der Operator kaum noch Einblick in die Entscheidungsgrundlage hat.

Zweitens: Logs müssen mindestens sechs Monate aufbewahrt werden, soweit sie unter Kontrolle des Anwenders liegen. Das setzt eine entsprechende Infrastruktur voraus – und die Bereitschaft, diese auch bei Altverträgen mit Systemlieferanten durchzusetzen.

Drittens: Informationspflicht gegenüber betroffenen Personen. Wer durch Hochrisiko-KI einer automatisierten Grenz- oder Visa-Entscheidung ausgesetzt wird, hat Anspruch auf Information. Das ist keine Kleinigkeit für Behörden, die bisher keine entsprechenden Prozesse vorgehalten haben.

Viertens: Schwerwiegende Vorfälle müssen an Anbieter und gegebenenfalls Behörden gemeldet werden. Incident-Reporting als regulatorische Pflicht – das kennen manche Sektoren aus NIS2 oder Finanzaufsicht, ist für klassische Grenzbehörden aber häufig Neuland.

Die Sanktionen sind substanziell: Bei Verstößen gegen Anwender-Pflichten drohen Bußgelder bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes. Für privatwirtschaftliche Sicherheitsunternehmen, die als Betreiber solcher Systeme agieren, ist das ein echtes Haftungsrisiko. Für Behörden ist die politische Dimension mindestens genauso schwerwiegend.

Die Anbieter-Anwender-Frage: Eine unterschätzte Haftungsfalle

Eine der heikelsten Fragen im Umgang mit Biometrie-KI an Grenzen ist die Rollenverteilung nach AI Act. Der Unterschied zwischen Anbieter und Anwender entscheidet darüber, wer welche Pflichten trägt und wer im Schadensfall haftet.

Das Problem: Wenn eine Behörde ein kommerzielles Biometrie-System kauft und es dann für eigene Zwecke anpasst – andere Datenbanken einspielt, andere Schwellenwerte setzt, zusätzliche Funktionen aktiviert – kann sie rechtlich selbst zum Anbieter werden. Mit allen Konsequenzen: vollständige Konformitätsbewertung, CE-Kennzeichnung, technische Dokumentation nach den Anforderungen für Hochrisiko-KI.

Das ist keine theoretische Konstruktion. Viele Behörden adaptieren eingekaufte Systeme erheblich. Grenzschutzorganisationen nutzen biometrische Plattformen und speisen eigene Watch-Lists ein, passen Matching-Algorithmen an nationale Anforderungen an oder koppeln Systeme mit nationalen Fahndungsdatenbanken. Jede dieser Anpassungen muss rechtlich bewertet werden. Die Frage „Sind wir Anbieter oder Anwender?“ sollte ganz am Anfang der Compliance-Arbeit stehen – und nicht am Ende.

Systemlieferanten stehen ihrerseits unter Druck. Sie müssen technische Unterlagen zu Trainingsdaten, Modellversionen, Testmetriken und Bias-Bewertungen bereitstellen. Audit-Rechte, Log-Zugang und Incident-Meldepflichten sollten bereits heute in Beschaffungsverträgen verankert werden. Wer das erst 2027 verhandeln will, verhandelt unter Zeitdruck.

DSGVO plus AI Act: Kein Entweder-oder

Ein weit verbreitetes Missverständnis: Wer den AI Act erfüllt, ist auch datenschutzrechtlich auf der sicheren Seite. Das ist falsch. Der AI Act ergänzt die DSGVO, er ersetzt sie nicht.

Für biometrische Systeme in Grenzmanagement und Strafverfolgung sind Datenschutz-Folgenabschätzungen nach Artikel 35 DSGVO zwingend – und zwar unabhängig von der AI-Act-Konformität. Rechtsgrundlage, Zweckbindung, Datenminimierung, Speicherbegrenzung: all das muss separat belegt werden. Wer eine DPIA-Vorlage für KI-Systeme aufgesetzt hat, hat damit die AI-Act-Dokumentation noch nicht erledigt.

Für Behörden, die biometrische Identifikationssysteme im öffentlichen Raum einsetzen, kommt eine Meldepflicht an die zuständige Datenschutzbehörde hinzu. Das gilt auch für größere Unternehmen im Sicherheitsbereich, etwa an Flughäfen oder in Stadien. Wer das bisher nicht auf dem Radar hatte, sollte das ändern.

Die Kombination aus AI-Act-Anforderungen, DSGVO-Pflichten und sektorspezifischen Regelungen – Luftfahrtrecht, Polizeigesetze, Grenzschutzverordnungen – macht Compliance in diesem Bereich zu einem echten Koordinationsprojekt. Datenschutzbeauftragte, Rechtsabteilungen, IT-Sicherheit und operative Einheiten müssen an einem Tisch sitzen. Silolösungen scheitern hier strukturell.

Was Sicherheitsunternehmen und Lieferanten jetzt tun müssen

Privatwirtschaftliche Akteure – von Zugangskontrollsystemen in Unternehmen bis zu biometrischen Gates an Flughäfen – sind bei der Hochrisiko-Klassifizierung oft überrascht. Gesichtserkennung in Stadien oder biometrische Zutrittssysteme für Kritische Infrastruktur fallen explizit unter Anhang III. Das ist keine Auslegungssache, das ist Gesetzestext.

Was jetzt konkret ansteht: Erstens eine vollständige Inventur aller KI-Systeme, die biometrische Daten verarbeiten oder Entscheidungen in Grenzmanagement-, Migrations- oder Asylkontexten unterstützen. Für jedes dieser Systeme muss die Einstufung erfolgen – verbotene Praxis, Hochrisiko, oder anderes Risikoniveau. Dieser Schritt klingt banal, ist aber in der Praxis aufwendig. Viele Organisationen haben keinen vollständigen Überblick über ihre eingesetzten KI-Systeme. Das betrifft besonders unkontrolliert gewachsene KI-Portfolios, die sich einer systematischen Überprüfung bislang entzogen haben.

Zweitens: Ein KI-Risikomanagementsystem aufbauen. Das AI Act schreibt hier keine numerischen Schwellenwerte vor – konkrete Benchmarks für Fehlerraten oder Bias-Kennzahlen werden erst in harmonisierten Normen präzisiert, die sich noch im Aufbau befinden. Gefordert sind prozessuale und qualitative Anforderungen: systematische Risikoanalyse, Test vor Inbetriebnahme, kontinuierliches Monitoring, Incident-Management. Strukturen aus ISO 42001 oder ISO 27001 bieten eine sinnvolle Basis.

Drittens: Schulungen. Der AI Act verlangt in Artikel 4 KI-Kompetenz von Personen, die Hochrisiko-KI bedienen. Für Grenz- und Sicherheitspersonal bedeutet das nicht tiefes ML-Wissen, aber ein fundiertes Verständnis der Systemgrenzen, der Fehlerquellen und der Eingriffspflichten. Das muss in Trainingsprogrammen abgebildet werden.

Als jemand, der die Regulierungsdebatte seit Jahren beobachtet, halte ich die Kombination aus Biometrie-KI und Behördenkontext für eine der sensibelsten im gesamten AI-Act-Universum. Hier geht es nicht um abstrakte Compliance, sondern um Grundrechtseingriffe gegenüber realen Menschen an echten Grenzen. Das erhöht den Einsatz – für alle Beteiligten.

Interne Sicherheitsrisiken durch KI nicht übersehen

Bei aller Aufmerksamkeit für externe Compliance-Anforderungen droht ein blinder Fleck: die Risiken, die Biometrie-KI-Systeme intern erzeugen. Hochrisiko-Systeme, die mit sensiblen personenbezogenen Daten arbeiten, sind attraktive Angriffsziele – sowohl für externe Bedrohungsakteure als auch für Personen mit privilegiertem Systemzugang. Die wachsende Gefahr durch KI-gestützte Insider-Bedrohungen ist dabei für Grenzbehörden und Sicherheitsunternehmen besonders relevant: Wer Zugang zu biometrischen Datenbanken und Matching-Algorithmen hat, kann Systeme manipulieren oder Daten exfiltrieren, ohne sofort aufzufallen.

Der AI Act adressiert diese Dimension indirekt über die Anforderungen an Protokollierung, Zugriffssteuerung und Incident-Reporting. Aber ein vollständiges Sicherheitskonzept für Hochrisiko-Biometrie-KI muss auch Rollenkonzepte, Vier-Augen-Prinzipien bei sensiblen Systemkonfigurationen und regelmäßige interne Audits umfassen. Wer nur auf externe Aufsicht wartet, unterschätzt, woher der tatsächliche Schaden oft kommt.

Kritische Einordnung: Das Regelungsvakuum ist real

Bürgerrechtsorganisationen haben die Verschiebung auf Dezember 2027 scharf kritisiert. Ihr Argument: In der Zwischenzeit können invasive Biometrie-Überwachungssysteme de facto etabliert werden, bevor die strikten Auflagen des AI Act greifen. Diese Kritik ist nicht aus der Luft gegriffen.

Projekte zur Gesichtserkennung in Bahnhöfen, KI-gestützte Risikoprofilierung an Außengrenzen und automatisierte Dokumentenprüfung bei Asylverfahren sind heute bereits in Betrieb oder in Pilotphasen. Die Verschiebung gibt Behörden und Unternehmen mehr Zeit für Compliance – sie gibt auch problematischen Systemen mehr Zeit, sich zu etablieren. Beides ist wahr.

Was hilft gegen das Vakuum? Kurzfristig: Datenschutzbehörden, die ihre bestehenden DSGVO-Kompetenzen konsequent nutzen. Mittelfristig: nationale Aufsichtsbehörden, die AI-Act-Anforderungen frühzeitig als Orientierungsrahmen kommunizieren, auch bevor sie formal durchsetzbar sind. Der VDE empfiehlt explizit, die verlängerten Fristen nicht als Pause zu interpretieren, sondern Governance-Strukturen unmittelbar aufzubauen. Das ist kein Branchenverbandsoptimismus, sondern nüchterne Einschätzung des Umsetzungsaufwands.

Fragwürdig bleibt zudem die Fragmentierung durch nationale Auslegung. Der AI Act gilt unmittelbar in allen EU-Mitgliedstaaten – aber nationale Aufsichtsbehörden werden unterschiedliche Schwerpunkte setzen, unterschiedliche Bußgeldpraxis entwickeln und unterschiedliche Auslegungen zu Grenzfällen liefern. Gerade für Systeme an EU-Außengrenzen oder in internationalen Flughäfen entsteht dadurch ein Flickenteppich an Risikobewertungen. Eine strukturierte Gap-Analyse und ein Register aller Hochrisiko-KI-Systeme sind der erste sinnvolle Schritt – bevor die nationalen Behörden ihre Praxis konsolidiert haben.

Roadmap bis Dezember 2027: Konkrete Schritte

Was bleibt zu tun? Sieben Punkte, die jetzt anstehen – nicht erst 2027:

• KI-Inventur und Klassifizierung: Alle biometrischen Systeme und KI-Anwendungen im Grenz-, Migrations- und Sicherheitskontext erfassen und nach AI Act einstufen.
• Rollenklärung: Anbieter oder Anwender? Eigene Anpassungen und ihre Haftungsfolgen rechtlich bewerten lassen.
• Risikomanagementsystem aufbauen: Prozesse für Analyse, Test, Freigabe, Monitoring und Incident-Management etablieren.
• Dokumentation und Logs: Datenquellen, Modellversionen, Testresultate und Systemänderungen dokumentieren; Log-Infrastruktur für mindestens sechs Monate Aufbewahrung sicherstellen.
• DPIA aktualisieren: Datenschutz-Folgenabschätzungen für alle biometrischen Use Cases nach Artikel 35 DSGVO durchführen oder aktualisieren.
• Verträge nachverhandeln: Beschaffungsverträge mit Systemlieferanten um AI-Act-Konformitätsnachweise, Audit-Rechte, Log-Zugang und Incident-Meldepflichten erweitern.
• Schulungen einplanen: KI-Kompetenzen für operatives Personal und Compliance-Teams aufbauen – nicht als Einmalveranstaltung, sondern als laufendes Programm.

Die rechtliche Einordnung der neuen Fristen und ihre Auswirkungen auf konkrete Anwendungsfälle in Biometrie und Grenzmanagement erklärt SBS Legal in einer detaillierten Analyse. Wer mit der Inventur beginnt, braucht dort klare Antworten auf die Frage, welche Systeme tatsächlich unter Anhang III fallen.

Beschaffung neu denken: KI-Act-Konformität als Vergabekriterium

Ein struktureller Hebel, der in der bisherigen Debatte zu wenig Aufmerksamkeit bekommt, ist die öffentliche Beschaffung. Behörden vergeben Aufträge für biometrische Systeme und Grenzmanagement-KI in der Regel über förmliche Vergabeverfahren – und genau hier lässt sich AI-Act-Konformität frühzeitig verankern, noch bevor ein System überhaupt in Betrieb geht.

Konkret bedeutet das: Leistungsbeschreibungen und Eignungskriterien in Ausschreibungen sollten AI-Act-konforme Dokumentation, Transparenzpflichten und auditierbare Protokollierungsfunktionen als Mindestanforderung enthalten. Wer als Auftraggeber erst nach Vertragsschluss versucht, diese Anforderungen nachträglich einzufordern, handelt unter deutlich schlechterer Verhandlungsposition. Systemanbieter, die solche Nachweise nicht erbringen können oder wollen, sollten in Vergabeverfahren für sicherheitskritische Bereiche schon in der Eignungsprüfung ausscheiden.

Das setzt voraus, dass Beschaffungsstellen und Vergaberecht-Experten den AI Act kennen und Anforderungen operationalisieren können. Hier besteht erheblicher Qualifizierungsbedarf – nicht nur in IT- und Sicherheitsabteilungen, sondern auch in Einkauf, Recht und Controlling. Behörden, die diesen Schritt jetzt angehen, schaffen sich einen strukturellen Vorteil: Sie gestalten den Markt für konforme Systeme aktiv mit, anstatt 2027 unter Druck zu kaufen, was gerade verfügbar ist.

Was bleibt

Dezember 2027 ist kein fernes Datum. Für Behörden mit komplexen Beschaffungszyklen, für Sicherheitsunternehmen mit langen Zertifizierungsprozessen und für Systemlieferanten, die technische Dokumentation erst aufbauen müssen, ist es ein enger Zeitplan. Die Hochrisiko-Klassifizierung von Biometrie-KI und Grenzmanagement-Systemen ist keine Überraschung – sie steht seit Jahren im Gesetzentwurf. Was sich geändert hat, ist die Frist, nicht die Pflicht.

Die eigentliche Frage ist nicht ob Behörden und Unternehmen compliant sein müssen – das ist gesetzt. Die Frage ist, ob sie die nächsten achtzehn Monate nutzen, um Strukturen aufzubauen, die dauerhaft tragen. Oder ob sie im Herbst 2027 unter Zeitdruck improvisieren und dabei Fehler machen, die Menschen an echten Grenzen treffen. Was tun Sie konkret, um Ihr Biometrie-KI-Portfolio heute schon nach AI-Act-Maßstäben zu bewerten?