DSGVO-Risikomatrix für Videoaufnahmen: So bewerten und begrenzen Sie die rechtliche Exponiertheit Ihrer Organisation

Visual Data Anonymization bezeichnet eine Reihe von Maßnahmen, die die Identifizierbarkeit von Personen auf Fotos und in Videoaufnahmen vor der Veröffentlichung oder weiteren Nutzung reduzieren. In der Praxis bedeutet das meist Face Blurring und License Plate Blurring, also das Unkenntlichmachen von Gesichtern und Kfz-Kennzeichen. Für Marketing-, PR-, Verwaltungs- und Compliance-Abteilungen ist das nicht nur eine technische Frage. Es ist ein Instrument zur Reduzierung rechtlicher, organisatorischer und reputationsbezogener Risiken.

Bei visuellen Inhalten ist die bloße Frage „veröffentlichen oder nicht?“ zu allgemein. Für ein internes Audit ist die Frage hilfreicher: Wie hoch ist die rechtliche Exponiertheit eines konkreten Materials bei einem konkreten Verarbeitungszweck und in Bezug auf eine konkrete Kategorie erfasster Personen? Genau dafür dient die nachstehend beschriebene Risikomatrix.

Warum reicht die Rechtsgrundlage allein bei der Veröffentlichung von Fotos und Videos nicht aus?

Die DSGVO behandelt das Bild einer Person als personenbezogenes Datum, wenn die Person direkt oder indirekt identifizierbar ist [1]. Bei Videomaterial steigt das Risiko, weil die Identifizierung oft nicht nur über das Gesicht erfolgt, sondern auch über den Kontext: Ort, Zeit, Veranstaltung, Kleidung, Kennzeichen oder die begleitende Beschreibung der Veröffentlichung. Deshalb trennen Organisationen in der Praxis häufig die Bewertung der Rechtmäßigkeit der Veröffentlichung von der Bewertung des konkreten Risikoniveaus.

Bei Gesichtern ergibt sich die Pflicht, eine geeignete Rechtsgrundlage für die Datenverarbeitung und - soweit erforderlich - eine Einwilligung zur Verbreitung des Bildnisses einzuholen, in der Praxis nicht nur aus der DSGVO, sondern auch aus zivilrechtlichen Vorschriften und urheberrechtlichen Regelungen. Davon gibt es jedoch drei Ausnahmen: Es handelt sich um eine Person des öffentlichen Lebens, deren Bild im Zusammenhang mit der Wahrnehmung öffentlicher Funktionen aufgenommen wurde; das Bild der Person ist lediglich ein Beiwerk einer Gesamtdarstellung wie einer Versammlung, einer Landschaft oder einer öffentlichen Veranstaltung; oder die Person hat eine vereinbarte Vergütung für das Posieren erhalten, sofern nicht ausdrücklich etwas anderes vorbehalten wurde. Selbst wenn eine dieser Ausnahmen greift, bewerten Organisationen in der Regel weiterhin das Reputationsrisiko und das Risiko einer übermäßigen Veröffentlichung.

Bei Kfz-Kennzeichen ist die Lage komplexer. Es gibt keine allgemeine unionsweite Regel, nach der deren Unkenntlichmachung immer verpflichtend wäre. Auch in Polen hängt die Bewertung vom Kontext ab. Einerseits sprechen die Position der polnischen Datenschutzaufsicht und der europäische Ansatz zur Identifizierbarkeit von Personen für Vorsicht, andererseits wurde in der verwaltungsgerichtlichen Rechtsprechung auch vertreten, dass ein Kennzeichen für sich genommen nicht immer ein personenbezogenes Datum darstellt. Für Auditoren bedeutet das vor allem eines: Bei offener Veröffentlichung, insbesondere im Internet, ist License Plate Blurring in der Regel eine Maßnahme zur Verringerung des Streit- und Haftungsrisikos - selbst dann, wenn die rechtliche Einordnung kontextabhängig bleibt.

Audit-Framework: zwei Dimensionen der Risikobewertung

Die vorgeschlagene DSGVO-Risikomatrix basiert auf zwei Dimensionen. Die erste ist der Verarbeitungszweck, die zweite die Kategorie der aufgezeichneten Personen. Diese Struktur ist praxisnah, weil sie es dem DPO oder internen Auditor ermöglicht, Material schon vor der Veröffentlichung zu bewerten, ohne ein umfangreiches Compliance-Worksheet erstellen zu müssen.

Die erste Dimension, also der Verarbeitungszweck, lässt sich in vier Stufen einteilen:

1. interner Zweck mit geringer Exponiertheit - interne Schulung, Qualitätsanalyse des Materials, technische Dokumentation mit beschränktem Zugriff;
2. Informationszweck mit mittlerer Exponiertheit - Veranstaltungsbericht, Mitteilung einer Institution, Pressematerial;
3. Werbezweck mit erhöhter Exponiertheit - Marketing, Employer Branding, Social Media, Werbung;
4. Überwachungs- oder Beweiszweck mit hoher Exponiertheit bei Zweitveröffentlichung - CCTV, Aufnahmen von Vorfällen, Material, das später außerhalb des ursprünglichen Zwecks genutzt wird.

Die zweite Dimension, also die Kategorie der aufgezeichneten Personen, lässt sich ebenfalls in vier Stufen gliedern:

1. Personen des öffentlichen Lebens oder Teilnehmende einer Großveranstaltung als Bestandteil einer größeren Szene;
2. Beschäftigte, Mitarbeitende, Vortragende und Personen, die bewusst an der Aufnahme teilnehmen;
3. Kunden, Antragstellende, Passanten, unbeteiligte, aber identifizierbare Personen;
4. Personen, bei denen erhöhte Vorsicht geboten ist - Kinder, Patienten, Personen in sensiblen Situationen, Beteiligte an Krisenereignissen.

DSGVO-Risikomatrix für die Veröffentlichung von Video- und Bildmaterial

Wie nutzt man die Matrix im internen Audit?

Der praktischste Ansatz besteht aus vier Schritten. Erstens ist dem Material ein dominierender Verarbeitungszweck zuzuordnen. Zweitens ist die höchste Kategorie der im Material sichtbaren Personen festzulegen. Drittens wird das Risikoniveau aus der Matrix abgelesen. Viertens werden verpflichtende risikomindernde Maßnahmen zugeordnet. So endet die Bewertung nicht bei der abstrakten Feststellung „das Material enthält personenbezogene Daten“, sondern führt zu einer konkreten Veröffentlichungsentscheidung.

In der Praxis umfassen risikomindernde Maßnahmen drei Ebenen. Die erste ist die Auswahl der Bildausschnitte. Die zweite ist Visual Data Anonymization. Die dritte ist die Kontrolle des Veröffentlichungsprozesses, einschließlich Aufbewahrung der Quelldatei, Dateizugriff und Dokumentation der Begründung. Wenn eine Organisation eine Lösung wie Gallio PRO einsetzt, kann sie einen standardisierten Workflow für Foto- und Videomaterial einführen, ohne die Analyse in ein Streaming-System zu verlagern. Das ist wichtig, weil die Lösung keine Echtzeit-Anonymisierung und keine Anonymisierung von Videostreams durchführt, sondern die Vorbereitung des Materials vor der Veröffentlichung unterstützt.

Welche technischen Maßnahmen senken die rechtliche Exponiertheit tatsächlich?

Bei Material, das für die externe Veröffentlichung bestimmt ist, ist Face Blurring die am häufigsten eingesetzte Maßnahme. Wenn Fahrzeuge im Bild erscheinen, ergänzen Organisationen häufig License Plate Blurring, insbesondere bei öffentlicher und grenzüberschreitender Veröffentlichung. Dieses Vorgehen entspricht einer vorsichtigen Compliance-Praxis, auch wenn die rechtliche Bewertung von Kfz-Kennzeichen in Polen weiterhin kontextabhängig ist.

Die Möglichkeiten des Tools müssen jedoch präzise beschrieben werden. Gallio PRO macht automatisch ausschließlich Gesichter und Kfz-Kennzeichen unkenntlich. Firmenlogos, Tätowierungen, Namensschilder, Dokumente oder Inhalte auf Monitoren werden nicht automatisch erkannt. Diese Elemente können im integrierten Editor der Software manuell unkenntlich gemacht werden. Für Auditoren ist das auch aus Nachweissicht relevant. Wenn das Identifizierungsrisiko aus einem anderen Kontext als Gesicht oder Kennzeichen resultiert, reicht ein rein automatisierter Prozess nicht aus.

Es ist außerdem erwähnenswert, dass die Software keine ganzen Silhouetten unkenntlich macht und keine Logs speichert, die Erkennungsdaten, personenbezogene Daten oder besondere Kategorien personenbezogener Daten enthalten. Aus Sicht der Risikobegrenzung ist das vorteilhaft, weil der Umfang zusätzlicher Verarbeitungsartefakte reduziert wird. Wer den Prozess mit eigenem Material praktisch prüfen möchte, kann die Demo herunterladen.

Wann sollte die Matrix zu einer DPIA oder einer Implementierungsberatung führen?

Nicht jedes Material erfordert eine vertiefte Analyse. Wenn die Matrix jedoch auf ein sehr hohes oder kritisches Risiko hinweist, gehen Organisationen häufig zu einer weitergehenden Datenschutz-Folgenabschätzung über - insbesondere dann, wenn die Veröffentlichung einen großen Umfang hat, unbeteiligte Personen umfasst oder Material aus einem ursprünglich anderen Zweck betrifft, etwa aus der Videoüberwachung. Das ist ein natürlicher Zeitpunkt, auf interne Compliance-Dokumentation oder ein DPIA-Schema zurückzugreifen.

Das gilt auch für technische Szenarien wie die Einführung von On-Premise-Software, die Verarbeitung großer Materialvolumina oder die Verknüpfung von Anonymisierungsverfahren mit dem Freigabeprozess für Veröffentlichungen. In solchen Fällen lohnt es sich, das Team zu kontaktieren, um das Implementierungsmodell, den Berechtigungsumfang und die Dokumentation organisatorischer Maßnahmen genauer abzustimmen.

Die häufigsten Fehler bei der Risikobewertung für Fotos und Aufnahmen

Der erste Fehler besteht in der Annahme, dass eine Einwilligung das gesamte Problem löst. Im Verhältnis Arbeitgeber-Arbeitnehmer oder Behörde-Antragsteller wird die Freiwilligkeit oft streng beurteilt [3]. Der zweite Fehler ist, eine breite Szene mit freier Veröffentlichbarkeit gleichzusetzen. Eine Nahaufnahme eines Gesichts oder eine Bildunterschrift kann die Bewertung ändern. Der dritte Fehler ist das Ignorieren von Kfz-Kennzeichen, wenn die Veröffentlichung öffentlich zugänglich und von Suchmaschinen leicht indexierbar ist. Der vierte Fehler ist die Annahme, ein automatisches Tool erkenne jedes identifizierende Element. In der Praxis umfasst die automatische Erkennung nur Gesichter und Kfz-Kennzeichen.

FAQ - DSGVO-Risikomatrix für Videoaufnahmen

Erfordert jede Aufnahme mit sichtbarem Gesicht vor der Veröffentlichung eine Anonymisierung?

Nicht immer. Die Bewertung hängt vom Verarbeitungszweck, vom Aufnahmekontext und von der Grundlage für die Nutzung des Bildnisses ab. Es gibt die drei oben genannten Ausnahmen für Personen des öffentlichen Lebens, Personen als bloßes Beiwerk einer größeren Gesamtdarstellung sowie für Fälle vereinbarter Vergütung für das Posieren [7]. Dennoch prüfen Organisationen häufig weiterhin die Verhältnismäßigkeit der Veröffentlichung.

Sind Kfz-Kennzeichen immer personenbezogene Daten?

Das hängt von Rechtsordnung und Kontext ab. In Polen ist die Frage nicht eindeutig, weil die Praxis der Aufsichtsbehörde für Vorsicht spricht, während die Rechtsprechung teilweise auch eine andere Sicht vertreten hat. Deshalb ist License Plate Blurring bei offener Veröffentlichung eine verbreitete Maßnahme zur Risikoreduzierung.

Wie hilft die Matrix dem DPO im Audit?

Sie ermöglicht es, Material einer konkreten Kombination aus Verarbeitungszweck und Personenkategorie zuzuordnen und unmittelbar passende risikomindernde Maßnahmen abzuleiten. Das beschleunigt die Entscheidung, ob eine visuelle Anonymisierung ausreicht oder eine weitergehende Analyse erforderlich ist.

Erkennt ein automatisches Tool auch Tätowierungen, Ausweise und Monitorinhalte?

Nein. Die automatische Erkennung umfasst ausschließlich Gesichter und Kfz-Kennzeichen. Tätowierungen, Logos, Namensschilder, Dokumente und Inhalte auf Monitoren erfordern eine gesonderte Bewertung und gegebenenfalls eine manuelle Unkenntlichmachung.

Kann die Videoanonymisierung in Echtzeit erfolgen?

Der hier beschriebene Workflow betrifft die Vorbereitung des Materials vor der Veröffentlichung. Gallio PRO führt weder eine Echtzeit-Anonymisierung noch eine Anonymisierung von Videostreams durch.

Ist das Fehlen von Erkennungs-Logs für die Compliance relevant?

Ja, aus Sicht der Datenminimierung ist das organisatorisch relevant. Gallio PRO erfasst keine Logs mit Erkennung von Gesichtern und Kfz-Kennzeichen und auch keine Logs, die personenbezogene Daten oder besondere Kategorien personenbezogener Daten enthalten.