Visual Data Anonymization umfasst organisatorische und technische Maßnahmen, die darauf abzielen, die Identifizierbarkeit von Personen und Fahrzeugen in Bildmaterial bereits in der Planungsphase einer Videoüberwachung zu reduzieren. In der Praxis geht es dabei vor allem um Face Blurring und License Plate Blurring, also um das Unkenntlichmachen von Gesichtern und Kfz-Kennzeichen in Fotos und Videoaufnahmen, bevor diese weitergegeben, veröffentlicht oder anderweitig genutzt werden. Im Pre-Deployment-Modell ist das kein technisches Detail, sondern eine Designentscheidung, die sich auf den Datenumfang, den Zugriff, die Aufbewahrung, die Systemarchitektur und die Risikobewertung auswirkt.
Für DPOs, IT-Leitungen, Compliance Officer oder Personen, die ein neues Videoüberwachungssystem freigeben, lautet die wichtigste Frage nicht: „Kann man das Material später unkenntlich machen?“, sondern: „Wurde der gesamte Prozess so konzipiert, dass die Anonymisierung von Bildmaterial tatsächlich umsetzbar, verhältnismäßig und dokumentiert ist?“ Das ist besonders wichtig, wenn die Organisation plant, Fotos oder Videos zu veröffentlichen, sie Medien, Partnern oder öffentlichen Stellen zur Verfügung zu stellen oder sie für Marketing und PR zu nutzen.
In der Implementierungsphase sollten klare Definitionen festgelegt werden. In diesem Artikel bedeutet Visual Data Anonymization die Ausgestaltung eines Prozesses, in dem Bildmaterial vor seiner Weitergabe anonymisiert werden kann. Face Blurring bezeichnet das Unkenntlichmachen von Gesichtern. License Plate Blurring bezeichnet das Unkenntlichmachen von Kfz-Kennzeichen. On-Premise-Software bezeichnet Software, die in der Infrastruktur der Organisation betrieben wird, was im Hinblick auf interne Sicherheitsrichtlinien und die Begrenzung des Materialtransfers außerhalb der Umgebung des Verantwortlichen relevant sein kann.
Aus Compliance-Sicht besteht ein typischer geschäftlicher Ansatz darin, davon auszugehen, dass bei einer geplanten weiteren Nutzung von Aufnahmen oder Fotos über den ursprünglichen Zweck der Objektsicherung hinaus der Anonymisierungsmechanismus nicht erst am Ende des Projekts ergänzt werden sollte. Er sollte bereits vor der Inbetriebnahme der Kameras berücksichtigt werden - zusammen mit Regeln zur Aufbewahrung, zu Zugriffsrechten und zum Exportpfad von Dateien.
In solchen Szenarien entscheiden sich einige Organisationen für Gallio PRO als Lösung zur Unterstützung der Anonymisierung von Bildmaterial. Aus Governance-Sicht ist jedoch eine präzise Beschreibung der Möglichkeiten und Grenzen entscheidend. Die Software erkennt und anonymisiert automatisch ausschließlich Gesichter und Kfz-Kennzeichen. Firmenlogos, Tätowierungen, Namensschilder, Dokumente oder Inhalte auf Monitorbildschirmen werden nicht automatisch erkannt. Solche Elemente können manuell im Editor unkenntlich gemacht werden. Darüber hinaus ist die Software weder für Echtzeit-Anonymisierung noch für die Anonymisierung von Videostreams ausgelegt und anonymisiert auch keine vollständigen Körperumrisse.
Die folgende Liste umfasst Maßnahmen, die vor der Inbetriebnahme der Kameras geprüft und abgehakt werden können. Jeder Punkt bezieht sich ausschließlich auf Fotos und Videoaufnahmen sowie auf Szenarien ihrer späteren Nutzung.
Bereich | Vor der Inbetriebnahme der Kameras | Vor der Weitergabe eines Fotos oder einer Aufnahme |
|---|---|---|
Zweck | Zweck der Videoüberwachung und vorgesehene Sekundärnutzungen beschreiben | Bestätigen, dass die konkrete Nutzung im beschriebenen Prozess enthalten ist |
Bildausschnitt | Verhältnismäßigkeit des Sichtfelds prüfen | Bewerten, ob das Material Personen oder Fahrzeuge zeigt, die für die Veröffentlichung nicht erforderlich sind |
Gesichtsanonymisierung | Tool und Verfahren für Face Blurring auswählen | Prüfen, ob alle Gesichter, die verborgen werden müssen, unkenntlich gemacht wurden |
Kennzeichenanonymisierung | Regel für License Plate Blurring festlegen | Das Material in jeder Aufnahme auf sichtbare Kennzeichen prüfen |
Nicht automatisch erkannte Elemente | Manuelle Redaktion beschreiben | Logos, Tätowierungen, Ausweise, Dokumente und Bildschirme kontrollieren |
Zugriff | Rollen und Berechtigungen festlegen | Bestätigen, wer die finale Version freigegeben hat |
Aufbewahrung | Fristen für Rohmaterial und exportiertes Material festlegen | Nicht mehr benötigte Arbeitskopien nach Abschluss des Prozesses löschen |
Nicht jedes Projekt lässt sich mit einer einfachen Checkliste abdecken. Beratungsbedarf besteht in der Regel bei verteilten Implementierungen, mehreren Standorten, der Integration in ein bestehendes VMS, Anforderungen an On-Premise-Software, besonderen Vorgaben des öffentlichen Sektors sowie Verfahren zur Veröffentlichung von Material in mehreren Abteilungen. In solchen Fällen lohnt es sich, das Team zu kontaktieren und zu klären, wie ein Prozess zur Anonymisierung von Fotos und Aufnahmen bereits vor der Inbetriebnahme des Systems gestaltet werden sollte.
Der häufigste Fehler besteht in der Annahme, dass Videoüberwachung nur aus Kamerainfrastruktur besteht und die Anonymisierung später gelöst wird. Tatsächlich muss bereits vor dem Start entschieden werden, ob die Organisation ein Tool für Face Blurring und License Plate Blurring einsetzt, wer für die manuelle Redaktion verantwortlich ist, wie die Freigabe des Materials erfolgt und wann Arbeitsversionen gelöscht werden. Ohne diese Entscheidungen kann selbst eine formal korrekte Videoüberwachung beim ersten Wunsch nach Veröffentlichung oder Weitergabe einer Aufnahme operatives Chaos verursachen.
Nicht unbedingt. Wenn Material niemals veröffentlicht oder außerhalb eines eng kontrollierten Zwecks weitergegeben wird, kann der Bedarf geringer sein. Wenn jedoch bereits in der Projektphase feststeht, dass Fotos oder Aufnahmen weitergegeben werden, sollte der Anonymisierungsprozess vor der Inbetriebnahme der Kameras geplant werden.
Nein. Im hier beschriebenen Kontext stehen Gesichter und Kfz-Kennzeichen im Mittelpunkt. Gallio PRO anonymisiert keine vollständigen Körper, sondern nur Gesichter und Kennzeichen; andere Bildelemente können im Editor manuell verborgen werden.
Nein. Die Software führt weder eine Echtzeit-Anonymisierung noch eine Anonymisierung von Videostreams durch. Das ist eine wichtige Einschränkung, die bei der Planung der Systemarchitektur berücksichtigt werden muss.
Das hängt von der Jurisdiktion und vom Nutzungskontext des Materials ab. Es gibt keine einheitliche allgemeine Regel, die diese Pflicht immer abschließend festlegt. In Polen ist die Lage nicht einheitlich, weshalb viele Organisationen die konservative Praxis anwenden, Kennzeichen vor der Veröffentlichung oder Weitergabe von Material außerhalb der Organisation unkenntlich zu machen.
Nicht in jedem Fall. In der Compliance-Praxis wird häufig die Regel angewandt, Gesichter standardmäßig zu verbergen, doch die Rechtsgrundlage der Datenverarbeitung und die Regeln zur Verbreitung von Bildnissen müssen stets im Einzelfall bewertet werden. Im Urheberrecht sind insbesondere die Ausnahmen für allgemein bekannte Personen sowie für Bildnisse relevant, die lediglich Beiwerk eines Gesamtbildes wie einer Versammlung, einer Landschaft oder einer öffentlichen Veranstaltung sind.
Nein. Die automatische Erkennung umfasst ausschließlich Gesichter und Kfz-Kennzeichen. Firmenlogos, Tätowierungen, Namensschilder, Dokumente und Monitorbildschirme müssen geprüft und gegebenenfalls manuell bearbeitet werden.
Ja, deshalb sollte dies vor der Implementierung geprüft werden. In den Materialien zu Gallio PRO wird angegeben, dass die Software keine Logs speichert, die Daten zur Erkennung von Gesichtern und Kfz-Kennzeichen oder personenbezogene Daten beziehungsweise Daten besonderer Kategorien enthalten.
