Schweden plant erstes umfassendes EU-Polizeigesetz für Echtzeit-Gesichtserkennung

Ausgangslage: Gesetzentwurf als EU-Testfall

Am 3. März 2026 hat die schwedische Regierung der Reichstagskammer den Entwurf Proposition 2025/26:150 vorgelegt. Dieser soll der Polizei ermöglichen, KI-basierte Gesichtserkennung in Echtzeit zur Identifizierung von Personen in öffentlichen Räumen einzusetzen. Schweden wäre damit der erste größere EU-Mitgliedstaat, der einen vollständigen nationalen Rechtsrahmen für Live-Biometrie durch Strafverfolgungsbehörden kodifiziert.

Der Entwurf kommt zu einem Zeitpunkt, an dem der EU AI Act in seine Durchsetzungsphase eintritt und Echtzeit‑Remote‑Biometrie in der Öffentlichkeit grundsätzlich verbietet – mit engen Ausnahmen für Strafverfolgungszwecke unter richterlicher Kontrolle. Nationale Gesetze müssen diese Ausnahmen nun konkret operationalisieren.

Kerninhalte des schwedischen Vorschlags

Anwendungszweck und Reichweite

Nach den bisher bekannten Eckpunkten soll die Polizei KI‑gestützte Gesichtserkennung einsetzen dürfen, um:

• gesuchte Verdächtige in Echtzeit in Video-Streams zu identifizieren,

• Personen im Zusammenhang mit „schwerer Kriminalität“ zu lokalisieren,

• zeitkritische Gefahrenlagen (z. B. Terrorismus, schwere Gewalt) zu adressieren.

Der Einsatz wäre an definierte Deliktskategorien und Einsatzszenarien gebunden, etwa Großereignisse, Bahnhöfe oder bestimmte kriminalitätsbelastete Orte. Allgemeine, flächendeckende Überwachung („auf Vorrat“) soll ausgeschlossen bleiben.

Verknüpfung mit dem EU AI Act

Der Vorschlag versucht, die engen Ausnahmen des EU AI Act für Echtzeit‑Remote‑Biometrie zu nutzen. Wesentliche Elemente:

• Strikte Zweckbindung: Nur zur Verfolgung klar definierter schwerer Straftaten.

• Richterliche oder unabhängige Genehmigung: Zeitlich und räumlich begrenzte Anordnungen, vergleichbar mit Telekommunikationsüberwachung.

• Protokollierung und Auditierung: Verpflichtende Dokumentation jedes Einsatzes, inklusive Trefferquote, Fehlalarmen und Nachkontrolle.

• Grundrechtsprüfung: Ex‑ante‑Abwägung von Notwendigkeit und Verhältnismäßigkeit, abgestimmt mit Datenschutzrecht (GDPR) und nationalem Kameragesetz.

Damit dient der Entwurf als Blaupause, wie Mitgliedstaaten den im AI Act vorgesehenen Ausnahmebereich für Strafverfolgung füllen könnten.

Kontroversen: Datenschutz, Diskriminierung, Chilling Effects

Für Zivilgesellschaft und Datenschutzbehörden ist Schweden damit Testfeld für besonders eingriffsintensive KI‑Nutzung:

• Massenidentifikation: Auch wenn das Gesetz auf gezielte Einsätze zielt, ist technisch eine schnelle Ausweitung möglich (weitere Kameras, größere Datenbanken).

• Bias und Fehlalarme: Trainingsdaten und Modellqualität entscheiden über Fehlidentifikationen – mit hohem Risiko für Minderheiten und überproportionale Polizeikontrollen.

• Abschreckung öffentlicher Teilhabe: Sichtbare Echtzeit-Gesichtserkennung kann Menschen von Demonstrationen oder anderen Veranstaltungen fernhalten.

Die politische Debatte in Schweden wird damit unmittelbare Signalwirkung für andere EU‑Staaten haben: Je nach Ausgang könnte sie entweder eine Welle ähnlicher Gesetze oder eine Gegenreaktion mit strengeren Begrenzungen auslösen.

Implikationen für Unternehmen und Technologieanbieter

1. Anbieter von KI-Vision- und Gesichtserkennungssystemen

Chancen:

• Schweden könnte zum ersten großen Referenzmarkt für AI‑Vision‑Lösungen im Law‑Enforcement‑Bereich unter AI‑Act‑Bedingungen werden.

• Zertifizierte Lösungen, die die schwedischen und EU‑Vorgaben erfüllen, wären als „EU‑konforme“ Produkte in weiteren Mitgliedstaaten einsetzbar.

Pflichten und Risiken:

• Systeme fallen klar in die Kategorie Hochrisiko‑KI mit strengen Anforderungen an Datenqualität, Erklärbarkeit, Human‑in‑the‑Loop und Post‑Market‑Monitoring.

• Lieferanten müssen detaillierte technische Dokumentation, Bias‑Analysen, Robustheitstests und Protokollierungsmöglichkeiten bereitstellen.

• Haftungs- und Reputationsrisiken steigen: Falsche Treffer mit gravierenden Folgen können zu politischen Skandalen, Vertragskündigungen und Schadenersatzforderungen führen.

Konkrete Maßnahmen:

• Aufbau eines AI‑Compliance‑Frameworks, das AI‑Act‑Konformität, nationale Polizeigesetze und Datenschutz integriert.

• Implementierung von technischen Schutzmechanismen: z. B. harte Konfigurationsgrenzen (räumlich/zeitlich), Pflichtprotokollierung und Deaktivierungsoptionen.

2. Cloud- und Edge-Provider

Echtzeit-Gesichtserkennung erfordert hohe Rechenleistung, niedrige Latenz und sichere Datenverarbeitung. Daraus folgen:

• Edge‑Strategien: Verarbeitung möglichst nah an der Kamera, um Latenz und Datenabfluss zu minimieren.

• Datenresidenz und -zugriff: Klare Garantien, dass biometrische Daten in der EU bleiben und nur in streng definierten Kontexten verarbeitet werden.

• Getrennte Mandanten-Architekturen: Trennung von Law‑Enforcement‑Workloads von anderen Kunden, um Compliance‑ und Sicherheitsrisiken zu reduzieren.

Für Provider mit Rechenzentren in Skandinavien kann Schweden zum Pilotmarkt für AI‑Act‑konforme Law‑Enforcement‑Infrastrukturen werden.

3. Unternehmen mit Videoanalytics in der EU

Auch wenn der Entwurf primär Polizeibehörden adressiert, sollten private Unternehmen mit Kamerasystemen und Videoanalytics aufmerksam sein:

• Abgrenzung zu verbotenen Nutzungen: Der AI Act untersagt bestimmten privaten Akteuren Echtzeit‑Biometrie in der Öffentlichkeit. Unternehmen müssen sicherstellen, dass ihre Lösungen nicht in den Bereich „Remote Biometric Identification in Echtzeit“ fallen.

• Kooperation mit Polizei: Klärung, unter welchen Bedingungen aufgezeichnetes Material mit der Polizei geteilt und ggf. mit deren Gesichtserkennungssystemen analysiert werden darf.

• Transparenzpflichten: Anpassung von Hinweisschildern, Datenschutzhinweisen und internen Richtlinien, wenn die Wahrscheinlichkeit polizeilicher AI‑Auswertung steigt.

Beispiel: Ein Einkaufszentrum in Stockholm, das bereits Videoanalytics für Personenzählung nutzt, muss künftig genauer dokumentieren, wie Daten gespeichert werden und ob Polizei in definierten Lagen Zugriff verlangen könnte.

Strategische Fragen für Entscheider

Für Technologie- und Sicherheitsanbieter

• Welche Teile unseres Portfolios könnten als „Remote Biometric Identification“ im Sinne des AI Act gelten?

• Sind unsere Trainingsdaten, Modelle und Metriken (False Positives/Negatives, Demographie‑Bias) bereits AI‑Act‑fähig dokumentiert?

• Brauchen wir eigene „Law‑Enforcement‑Editionen“ unserer Produkte, getrennt von zivilen Anwendungen?

Für Unternehmen mit umfangreicher Videoüberwachung

• Sind unsere heutigen Analytics‑Funktionen eindeutig nicht biometrisch oder könnten sie so interpretiert werden?

• Welche Prozesse haben wir, wenn Behörden KI‑gestützte Auswertung von bei uns gespeicherten Videos verlangen?

• Wie kommunizieren wir Mitarbeitenden und Kunden den möglichen Einsatz von KI‑gestützten Polizeitools, ohne Vertrauen zu verlieren?

Ausblick: Präzedenzfall mit hoher Signalwirkung

Der weitere parlamentarische Prozess in Schweden wird entscheidend dafür sein,

• wie eng oder weit die Ausnahmen für Echtzeit-Gesichtserkennung in der Praxis interpretiert werden,

• ob zusätzliche Schutzmechanismen (z. B. unabhängige Aufsichtsgremien, Einsatzberichte, öffentliche Transparenzregister) verankert werden,

• und ob andere EU‑Staaten ähnliche Gesetze vorlegen oder im Gegenteil restriktiver werden.

Für Unternehmen bedeutet das: Jetzt ist der richtige Zeitpunkt, AI‑Act‑Readiness speziell im Bereich Biometrie zu prüfen, technische und organisatorische Schutzmaßnahmen zu etablieren und interne Szenarien für eine Ausweitung polizeilicher KI‑Nutzung in Europa durchzuspielen.

Häufig gestellte Fragen (FAQ)

Was regelt der schwedische Gesetzentwurf zur Echtzeit-Gesichtserkennung konkret?

Der Entwurf Proposition 2025/26:150 soll der Polizei in Schweden den Einsatz KI-gestützter Echtzeit-Gesichtserkennung in öffentlichen Räumen erlauben. Er definiert dabei enge Zwecke wie die Verfolgung schwerer Straftaten, zeitkritische Gefahrenlagen und Einsätze an klar umrissenen Orten wie Bahnhöfen oder Großveranstaltungen.

Wie ist der schwedische Vorschlag mit dem EU AI Act verknüpft?

Der Gesetzentwurf nutzt die engen Ausnahmeregeln des EU AI Act, der Echtzeit-Remote-Biometrie in der Öffentlichkeit grundsätzlich verbietet, aber für Strafverfolgung unter strengen Bedingungen zulässt. Er konkretisiert diese Ausnahmen durch Zweckbindung, richterliche Genehmigungen, Protokollierungspflichten und Grundrechtsprüfungen.

Welche Risiken und Kontroversen birgt Echtzeit-Gesichtserkennung für Grundrechte?

Echtzeit-Gesichtserkennung kann zu Massenidentifikation, systematischen Fehlalarmen und diskriminierenden Effekten gegenüber Minderheiten führen. Zudem besteht die Gefahr sogenannter Chilling Effects, bei denen Menschen aus Angst vor Überwachung auf Demonstrationen oder andere öffentliche Veranstaltungen verzichten.

Welche Auswirkungen hat das geplante Gesetz auf Anbieter von KI- und Gesichtserkennungssystemen?

Anbieter bewegen sich klar im Bereich Hochrisiko-KI und müssen strenge Anforderungen an Datenqualität, Bias-Analysen, Erklärbarkeit und Post-Market-Monitoring erfüllen. Gleichzeitig eröffnet sich ein potenzieller Referenzmarkt: Lösungen, die in Schweden und nach AI Act konform sind, können als Blaupause für andere EU-Staaten dienen.

Was bedeutet der Entwurf für Cloud- und Edge-Provider in der EU?

Cloud- und Edge-Provider müssen Architekturen bereitstellen, die niedrige Latenz, hohe Sicherheit und Datenverarbeitung innerhalb der EU gewährleisten. Besonders wichtig sind Edge-Verarbeitung nahe der Kamera, klare Datenresidenzregeln sowie strikt getrennte Mandanten-Umgebungen für Law-Enforcement-Workloads.

Wie sollten Unternehmen mit Videoüberwachung in der EU jetzt reagieren?

Unternehmen sollten prüfen, ob ihre Videoanalytics-Funktionen biometrische Merkmale nutzen oder so interpretiert werden könnten und diese klar vom Bereich Echtzeit-Remote-Biometrie abgrenzen. Zudem sind interne Prozesse zur Zusammenarbeit mit Behörden, Transparenz gegenüber Betroffenen und eine Aktualisierung von Hinweisschildern und Datenschutzinformationen notwendig.

Welche strategischen Schritte sind für Entscheider im Bereich KI und Sicherheit jetzt sinnvoll?

Entscheider sollten eine gezielte AI-Act-Readiness-Analyse für biometrische Anwendungen durchführen und gegebenenfalls eigene „Law-Enforcement-Editionen“ ihrer Produkte konzipieren. Parallel empfiehlt sich der Aufbau eines integrierten AI-Compliance-Frameworks, das AI Act, Datenschutzrecht und nationale Polizeigesetze zusammenführt.