Visuelle Datenanonymisierung bedeutet, Bilder oder Videos so zu verändern, dass Personen nicht mehr mit vertretbarem Aufwand identifiziert werden können. In der Praxis umfasst dies vor allem Gesichtsverpixelung und Kennzeichenverpixelung, die vor der Veröffentlichung oder einer weitergehenden internen Weitergabe angewendet werden. Nach dem Illinois Biometric Information Privacy Act (BIPA) gilt ein Scan der Gesichtsgeometrie als biometrisches Identifikationsmerkmal, ein bloßes Foto hingegen nicht. Wenn ein Workflow aus visuellem Material Gesichts-Templates extrahieren oder ableiten kann, kann diese biometrische Verarbeitung Pflichten nach BIPA auslösen. Das frühzeitige Unkenntlichmachen von Gesichtern ist daher ein gängiger Compliance-Ansatz zur Risikoreduzierung - insbesondere bei Inhalten, die öffentlich zugänglich gemacht werden sollen. Teams, die eine On-Premise-Softwarelösung suchen, die speziell auf Video-Redaction statt biometrische Erkennung ausgerichtet ist, können Gallio PRO ansehen.
BIPA definiert biometrische Identifikatoren unter anderem als Scan der Hand- oder Gesichtsgeometrie sowie daraus abgeleitete biometrische Informationen. Fotografien und Videoaufnahmen selbst sind ausgenommen; ein Verfahren jedoch, das Bilder analysiert, um Gesichtsgeometrie zu erstellen oder zu vergleichen, fällt unter das Gesetz [1]. Der Supreme Court von Illinois stellte in Rosenbach klar, dass bereits ein Verstoß gegen das Gesetz klagefähig ist - auch ohne zusätzlichen Schadensnachweis [2]. In Cothron entschied das Gericht, dass sich Ansprüche bei wiederholten Scans vervielfachen können, wies jedoch darauf hin, dass Fragen der Schadenshöhe gesondert zu prüfen sind [3].
Marketing-, PR-, Behörden- und Compliance-Teams arbeiten regelmäßig mit personenbezogenem Videomaterial. Wenn dieses gespeichert, geteilt oder so verarbeitet wird, dass eine biometrische Analyse ermöglicht oder begünstigt wird - etwa durch Drittanbieter-Analysen mit Template-Erstellung -, entsteht ein erhebliches BIPA-Risiko. Eine konsequente visuelle Datenanonymisierung, die das Ableiten eines Scans der Gesichtsgeometrie praktisch unmöglich macht, kann zur Risikominderung beitragen. Die Wirksamkeit hängt jedoch stets vom jeweiligen Kontext ab.
Organisationen setzen häufig standardmäßig auf Gesichtsverpixelung, wenn Aufnahmen unbeteiligte Dritte oder Mitarbeitende zeigen, deren Identifizierung nicht erforderlich ist. Dadurch sinkt die Wahrscheinlichkeit, dass aus veröffentlichtem Material ein Scan der Gesichtsgeometrie erzeugt werden kann. Wenn Teams mit Anbietern oder Plattformen arbeiten, die Computer-Vision-Funktionen integrieren, reduziert eine vorgelagerte Video-Redaction das Risiko, bevor biometriefähige Tools Zugriff auf die Daten erhalten. Der konkrete Effekt hängt vom Einzelfall ab - schräge Perspektiven, Teilverdeckungen oder hochauflösende Originale können stärkere oder größere Unschärfemasken erfordern. Tests mit repräsentativem Material sind daher eine bewährte Praxis.
Die Kennzeichenverpixelung ergänzt diesen Ansatz. Zwar gelten Kfz-Kennzeichen nicht als biometrische Identifikatoren, sie können jedoch personenbezogene Daten darstellen und unterliegen in bestimmten US-Bundesstaaten regulatorischen Vorgaben. So regelt beispielsweise das kalifornische ALPR-Gesetz die Erhebung, Nutzung, Speicherung, Weitergabe und Sicherung von Daten aus automatisierten Kennzeichenlesesystemen [4]. Das Unkenntlichmachen von Kennzeichen bei veröffentlichtem Material ist daher ein konservativer Ansatz zur Minimierung von Verknüpfungsrisiken und Beschwerden.
Viele Medien- und Kommunikationsrichtlinien erkennen folgende Ausnahmen von der routinemäßigen Gesichtsverpixelung an. Ihre Anwendbarkeit ist stets jurisdiktions- und kontextabhängig und sollte sorgfältig in interne Richtlinien integriert werden:
Eine effektive visuelle Datenanonymisierung hängt von der Erkennungsqualität, der einfachen Überprüfbarkeit und dem Bereitstellungsmodell ab. Eine On-Premise-Software vermeidet die Übertragung von Rohmaterial an externe Auftragsverarbeiter und unterstützt das Prinzip der Datenminimierung. Gallio PRO wurde speziell für Video-Redaction entwickelt - die Software führt Gesichts- und Kennzeichenverpixelung durch, ohne Gesichtserkennung oder Identifizierung vorzunehmen. Es erfolgt keine Echtzeit-Anonymisierung und keine Ganzkörperverpixelung. Automatisch erkannt werden ausschließlich Gesichter und Kennzeichen. Firmenlogos, Tätowierungen, Namensschilder, Dokumente oder Bildschirme werden nicht automatisch erkannt, können jedoch manuell mit dem integrierten, benutzerfreundlichen Editor bearbeitet werden. Die Software erstellt oder speichert keine Protokolle mit Gesichts- oder Kennzeichenerkennungen und sammelt keine Logs mit personenbezogenen oder sensiblen Daten. Wer einen solchen Workflow evaluieren möchte, kann die On-Premise-Option prüfen und eine Validierung mit repräsentativem Material durchführen - etwa über den Download der Demoversion.
Szenario | Biometrisches Risiko nach BIPA | Empfohlene visuelle Datenanonymisierung | Empfohlene Praxis
|
|---|---|---|---|
Straßenmarketing-Video mit Passanten | Besteht, wenn das Material zur Ableitung oder Nutzung von Gesichtsgeometrie-Scans verwendet wird [1] | Gesichtsverpixelung nicht einwilligender Personen | Standardisierte Redaction vor Veröffentlichung |
Mitarbeiter-Highlight-Video | Besteht, wenn Tools, Analysen oder Dienstleister Gesichter scannen oder Gesichtsgeometrie ableiten | Gesichtsverpixelung, sofern keine Einwilligung vorliegt | Einwilligungen dokumentieren und Speicherfristen beachten - andernfalls verpixeln |
Veröffentlichung von Dashcam- oder Stadtaufnahmen | Potenzielles Risiko für Gesichtsgeometrie-Scans bei Fußgängern; Kennzeichendaten teils reguliert [4] | Gesichts- und Kennzeichenverpixelung | On-Premise-Verarbeitung und Qualitätsprüfung bei unterschiedlichen Lichtverhältnissen |
Selfie-Gewinnspiel-Montage | Geringer bei ausdrücklicher Einwilligung und ohne Gesichtsgeometrie-Scanning; kontextabhängig | Keine Verpixelung bei klarer Einwilligung - sonst Gesichtsverpixelung | Umfang der Einwilligung prüfen und keine Templates erstellen oder speichern |
Demo-Clip eines Anbieters in sozialen Medien | Besteht, wenn Anbieter-Tools Templates erstellen oder vergleichen können | Gesichtsverpixelung aller unbeteiligten Personen | Redaction vor externer Prüfung oder Upload durchführen |
Für Fragen zu Implementierung, Integration oder Sicherheitsprüfungen können Teams Kontakt aufnehmen.
Nicht automatisch. BIPA betrifft Scans der Gesichtsgeometrie und entsprechende biometrische Informationen. Eine robuste Verpixelung, die die Erstellung eines solchen Scans verhindert, kann das Risiko reduzieren. Die Bewertung bleibt jedoch kontextabhängig und sollte anhand repräsentativer Inhalte geprüft werden [1].
Nein. BIPA konzentriert sich auf biometrische Daten. Die Kennzeichenverpixelung adressiert andere Datenschutzrisiken und gesetzliche Vorgaben in den USA, etwa das kalifornische ALPR-Gesetz [4].
Sie kann die Datenminimierung unterstützen, da Rohmaterial im eigenen Haus verbleibt. Dies ist ein verbreiteter Compliance-Ansatz für Teams, die vermeiden möchten, potenziell biometrisch auswertbares Material an externe Dienstleister zu übertragen.
Nein. BIPA enthält keine generelle Ausnahme basierend auf Dateilänge oder Auflösung. Wenn im Rahmen der Verarbeitung ein Scan der Gesichtsgeometrie erstellt oder genutzt wird, besteht ein Risiko. Visuelle Datenanonymisierung bleibt daher ratsam.
Das Gesetz nennt keinen konkreten Schwellenwert. Übliche Praxis ist, sicherzustellen, dass die Unschärfe eine praktische Identifizierung verhindert und die Extraktion von Gesichtsgeometrie unzumutbar macht. Dies sollte kontextbezogen getestet werden.
Nein. Die automatische Erkennung umfasst ausschließlich Gesichter und Kennzeichen. Andere Elemente können manuell mit dem integrierten Editor bearbeitet werden.
Nein. Gallio PRO dient ausschließlich der visuellen Datenanonymisierung - es findet keine Gesichtserkennung oder Identitätsabgleich statt, und es werden keine Protokolle mit Gesichts- oder Kennzeichenerkennungen gespeichert.
