Stand: 10.06.2026. Irland diskutiert heute im Seanad ein Polizeigesetz, das künstliche Intelligenz für biometrische Auswertungen von Video- und Bildmaterial ermöglichen soll. Für Unternehmen ist der Fall nicht wegen Irlands Innenpolitik allein interessant, sondern wegen einer größeren Frage: Was passiert, wenn nationale Sicherheitsgesetze eigene Begriffe wählen, während Europas KI-Regeln längst klare Risikokategorien für biometrische Systeme setzen?

Die Irish Council for Civil Liberties und Digital Rights Ireland warnen in einem am 10. Juni veröffentlichten Briefing, der Entwurf zum Garda Síochána (Recording Devices) (Amendment) Bill 2025 könne rechtliche Unsicherheit schaffen und Schutzregeln des EU AI Act umgehen oder zumindest verwässern. Der Kern ihrer Kritik liegt im Begriff „biometric analysis“. Gemeint sind nach dem Entwurf unter anderem automatisierte Kategorisierung anhand biometrischer Daten sowie das Wiederfinden unbekannter oder bekannter Personen in aufgezeichnetem Bildmaterial.

Warum ein Begriff zum Datenschutzproblem wird

Der EU AI Act soll Risiken künstlicher Intelligenz einordnen und besonders sensible Anwendungen begrenzen. Biometrische Kategorisierung und biometrische Identifikation gehören dabei zu den Bereichen, in denen Fehler, Überwachung und Diskriminierung besonders schwer wiegen können. Für Leser ohne Spezialwissen heißt das: Wenn Software Gesichter, Körpermerkmale oder Bewegungsmuster nutzt, um Menschen zu erkennen, einzuordnen oder wiederzufinden, geht es nicht mehr nur um Technik. Es geht um Grundrechte, Zweckbindung, Transparenz und Kontrolle.

Genau hier setzt die Kritik der irischen Bürgerrechtsorganisationen an. Laut ihrem Briefing nutzt der Gesetzentwurf nicht einfach die Begriffe des EU AI Act, sondern führt mit „biometric analysis“ eine eigene Kategorie ein. Diese könne in der Sache aber sehr nah an biometrische Kategorisierung oder nachträgliche biometrische Fernidentifikation heranreichen. Aus Datenschutzsicht ist das heikel, weil Schutzpflichten nicht nur davon abhängen dürfen, wie ein System politisch benannt wird. Entscheidend ist, was es tatsächlich mit personenbezogenen Daten macht.

Das Briefing verweist außerdem darauf, dass Irland bei bestimmten polizeilichen Teilen des EU AI Act nicht automatisch gebunden sei. Die Organisationen argumentieren deshalb, Irland müsse die europäischen Schutzmaßstäbe ausdrücklich in nationales Recht übernehmen oder sogar strengere Regeln schaffen. Der veröffentlichte Entwurf, so ihre Sorge, bleibe an dieser Stelle zu unklar.

Was Unternehmen aus dem irischen Fall lernen können

Auch wenn sich der Fall auf Polizeiarbeit bezieht, ist die Lehre breiter. Organisationen, die KI zur Auswertung von Bildern, Videos, Zutrittsdaten oder anderen sensiblen Signalen einsetzen wollen, sollten nicht nur fragen, ob ein System intern harmlos klingt. Sie müssen prüfen, ob die tatsächliche Funktion in eine besonders riskante Datenschutzkategorie fällt. Das gilt vor allem dann, wenn Anbieter neue Begriffe verwenden, die bekannte Schutzbegriffe umgehen oder verwischen.

Für Datenschutzverantwortliche ist der irische Entwurf deshalb ein gutes Warnsignal. Ein Projekt kann formal anders heißen und trotzdem personenbezogene Daten so tief auswerten, dass Datenschutz-Folgenabschätzung, Rechtsgrundlage, Transparenz, Löschregeln und menschliche Kontrolle zwingend geklärt werden müssen. Bei biometrischen Verfahren reicht es nicht, auf ein abstraktes Sicherheitsziel zu zeigen. Es braucht nachvollziehbare Grenzen: welche Daten verarbeitet werden, wer Zugriff erhält, wie lange Ergebnisse gespeichert werden und wie Betroffene Rechte praktisch ausüben können.

Besonders wichtig ist die Trennung zwischen Suche in bereits aufgezeichnetem Material und laufender Echtzeitüberwachung. Beides kann Grundrechte berühren, aber die Risiken unterscheiden sich. Wenn Menschen nachträglich über viele Kamerabilder hinweg verfolgt oder lokalisiert werden können, entsteht eine mächtige Analysefähigkeit. Sie kann Ermittlungen erleichtern, aber sie kann auch den Charakter von Videoüberwachung verändern. Aus einer Kamera wird dann nicht nur ein Aufzeichnungsgerät, sondern ein nachträgliches Suchsystem für Personenbewegungen.

Warum der Fall heute berichtenswert ist

Der Nachrichtenwert liegt im aktuellen politischen Schritt. ICCL und Digital Rights Ireland haben ihr Briefing nach eigenen Angaben vor der Seanad-Debatte am Mittwoch, 10. Juni, an Senatorinnen und Senatoren geteilt. Der Entwurf selbst ist beim irischen Parlament abrufbar. Damit liegt nicht nur ein allgemeiner Kommentar zu Gesichtserkennung vor, sondern ein konkreter europäischer Gesetzgebungsvorgang mit klarer Datenschutz- und KI-Regelungsfrage.

Für DSGVO-Praxis und Compliance ist der Fall ein Beispiel dafür, wie schnell neue technische Kategorien die bestehende Schutzlogik herausfordern. Wenn Gesetzgeber, Behörden oder Unternehmen eigene Begriffe schaffen, muss die Datenschutzprüfung trotzdem beim tatsächlichen Datenfluss anfangen. Wer biometrische Systeme beschafft oder einführt, sollte deshalb nicht auf Etiketten vertrauen. Der belastbare Prüfpunkt lautet: Können Menschen anhand körperlicher Merkmale erkannt, kategorisiert oder über Aufnahmen hinweg verfolgt werden? Wenn ja, beginnt die Datenschutzfrage genau dort.

Quellen: Irish Council for Civil Liberties, Briefing vom 10.06.2026 unter https://www.iccl.ie/police-justice-reform/iccl-briefing-garda-ai-bill/, Briefing-PDF von ICCL und Digital Rights Ireland unter https://www.iccl.ie/wp-content/uploads/2026/06/Briefing-on-the-Garda-Siochana-Recording-Devices-Amendment-Bill-2025-3.pdf, Gesetzentwurf beim Oireachtas unter https://data.oireachtas.ie/ie/oireachtas/bill/2025/82/eng/ver_b/b82b25d.pdf.

Bildquelle: Pexels, https://www.pexels.com/photo/96612/.