EU-KI-Gesetz und Biometrie - Neue Herausforderungen für die Anonymisierung visueller Daten

Die Anonymisierung visueller Daten ist der Prozess der permanenten und irreversiblen Entfernung von Informationen, die eine Identifizierung von Personen aus Bild- und Videomaterialien ermöglichen. Im Zusammenhang mit dem kürzlich verabschiedeten EU-Gesetz über Künstliche Intelligenz (EU-KI-Gesetz) gewinnt dieses Thema besondere Bedeutung, vor allem im Hinblick auf die Verarbeitung biometrischer Daten.

Als Experte für Datenschutz beobachte ich, dass die neuen Vorschriften zahlreiche Einschränkungen bezüglich biometrischer Systeme einführen, die sich direkt darauf auswirken, wie Organisationen mit der Verarbeitung von Personenbildern umgehen müssen. Die korrekte Anwendung von Anonymisierungstechniken ist nicht nur bewährte Praxis, sondern auch eine gesetzliche Anforderung mit finanziellen und rufschädigenden Konsequenzen.

Was ist das EU-KI-Gesetz und wie beeinflusst es die Verarbeitung biometrischer Daten?

Das EU-KI-Gesetz ist eine umfassende Verordnung der Europäischen Union zur Regulierung von Systemen künstlicher Intelligenz. Es führt ein vierstufiges Risiko-Klassifizierungssystem ein, wobei biometrische Systeme häufig als Hochrisiko- oder unzulässige Risikosysteme eingestuft werden.

Besonders wichtig sind die Bestimmungen zur biometrischen Identifizierung, einschließlich Gesichtserkennung, Stimmerkennung, Ganganalyse und andere körperliche Merkmale, die eine Personenidentifizierung ermöglichen. Nach den neuen Regeln sind viele Anwendungen solcher Systeme im öffentlichen Raum verboten, mit Ausnahme streng definierter sicherheitsrelevanter Fälle.

Organisationen, die visuelle Materialien verarbeiten, müssen daher wirksame Anonymisierungsmethoden implementieren, um eine rechtswidrige Verarbeitung biometrischer Daten zu vermeiden.

Welche biometrischen Daten unterliegen einem besonderen Schutz nach dem EU-KI-Gesetz?

Das EU-KI-Gesetz erweitert die bestehenden DSGVO-Vorschriften bezüglich biometrischer Daten. Zu den Daten, die einer besonderen Behandlung bedürfen, gehören:

• Gesichtsbilder, die eine Personenidentifizierung ermöglichen
• Kfz-Kennzeichen
• Charakteristische Kleidungselemente oder Tattoos
• Netzhautmuster und Fingerabdrücke

Wichtig ist, dass die neuen Vorschriften nicht nur die direkte Identifizierung, sondern auch die indirekte Identifizierung durch Kombination von Datensätzen berücksichtigen. Daher muss eine effektive Anonymisierung einen breiteren Verarbeitungskontext berücksichtigen.

Wie verändert das EU-KI-Gesetz den Ansatz zur Anonymisierung von Überwachungsaufnahmen?

Die Videoüberwachung ist ein Bereich, in dem die neuen Vorschriften erhebliche Änderungen mit sich bringen. Überwachungssysteme mit biometrischer Analytik (z.B. automatische Gesichtserkennung) werden als Hochrisikosysteme eingestuft.

Dies bedeutet, dass Betreiber solcher Systeme:

• Datenschutz-Folgenabschätzungen (DSFA) durchführen müssen
• Geeignete Mechanismen zur Anonymisierung von Gesichtern und Kennzeichen implementieren müssen
• On-premise-Lösungen für die Verarbeitung hochsensibler Daten verwenden müssen
• Die Wirksamkeit der eingesetzten Anonymisierungsmethoden regelmäßig testen müssen

Organisationen, die Überwachungssysteme einsetzen, müssen ihre Verfahren überarbeiten, um die Einhaltung dieser neuen Anforderungen zu gewährleisten, insbesondere im Hinblick auf die Speicherung und Weitergabe von Aufnahmen.

Welche Methoden zur Anonymisierung visueller Daten entsprechen dem EU-KI-Gesetz?

Das EU-KI-Gesetz spezifiziert keine präzisen Anonymisierungsmethoden, sondern konzentriert sich auf die Ergebnisse. Konforme Methoden sind solche, die eine Personenidentifizierung effektiv und dauerhaft verhindern. In der Praxis umfassen diese:

• Gesichtsverpixelung - Verwendung von Gesichtserkennungsalgorithmen in Kombination mit Pixelierung oder Gaußschen Weichzeichnungsfiltern. Einfaches Weichzeichnen allein kann gegen fortschrittliche De-Anonymisierungsalgorithmen unzureichend sein.
• Kennzeichenmaskierung - ähnlich der Gesichtsverpixelung, jedoch gezielt für Fahrzeugidentifikatoren. Effektive Lösungen erkennen und anonymisieren Kennzeichen automatisch, selbst bei bewegten Aufnahmen.

Warum werden On-Premise-Lösungen für die Anonymisierung biometrischer Daten bevorzugt?

Wie die DSGVO betont auch das EU-KI-Gesetz die Sicherheit der Datenverarbeitung. Im Kontext biometrischer Daten bieten On-Premise-Lösungen (lokal installierte) mehrere Vorteile:

• Sensible Daten verlassen niemals die Infrastruktur der Organisation, was das Risiko von Datenlecks minimiert. Dies ist angesichts der strengen Sanktionen des EU-KI-Gesetzes entscheidend, die bis zu 35 Millionen Euro oder 7% des weltweiten Umsatzes erreichen können.
• Organisationen behalten die volle Kontrolle über den Anonymisierungsprozess und können ihn an spezifische Branchen- oder rechtliche Anforderungen anpassen - ein Schlüsselfaktor für regulierte Sektoren.

Ein Beispiel ist Gallio Pro - ein Tool zur Anonymisierung visueller Daten, das vollständig innerhalb der Kundeninfrastruktur arbeitet. Prüfen Sie Gallio Pro, um zu sehen, wie Sie Ihre Daten unter den neuen Anforderungen sicher schützen können.

Kann KI dabei helfen, eine EU-KI-Gesetz-konforme Anonymisierung zu erreichen?

Paradoxerweise bieten fortschrittliche KI-Algorithmen die effektivsten Anonymisierungsmethoden, während das EU-KI-Gesetz die Nutzung von KI reguliert. Machine-Learning-Algorithmen können:

• Gesichter und Kennzeichen mit größerer Genauigkeit als herkömmliche Methoden erkennen, selbst bei schwierigen Lichtverhältnissen oder teilweiser Verdeckung - entscheidend für eine umfassende Anonymisierung.
• Objekte, die eine Anonymisierung erfordern, automatisch durch Videosequenzen verfolgen, wodurch der Prozess beschleunigt und das Risiko menschlicher Fehler reduziert wird. Für große visuelle Datensätze wird die Automatisierung unerlässlich.

Die Implementierung solcher Lösungen ermöglicht es Organisationen, die Anforderungen des EU-KI-Gesetzes zu erfüllen und gleichzeitig die betriebliche Effizienz zu wahren.

Wie teilt man visuelle Materialien mit Dritten unter dem EU-KI-Gesetz?

Die Weitergabe visueller Daten an Medien, Strafverfolgungsbehörden oder die Veröffentlichung in sozialen Medien erfordert unter den neuen Vorschriften besondere Vorsicht. Zu den wichtigsten Grundsätzen gehören:

• Anonymisierung von Materialien vor der Weitergabe, es sei denn, es besteht eine klare Rechtsgrundlage für die Offenlegung identifizierbarer Daten
• Dokumentation der Anonymisierungs- und Einwilligungsprozesse
• Nutzung sicherer Datenübertragungskanäle
• Abschluss geeigneter Datenverarbeitungsvereinbarungen, wenn Materialien personenbezogene Daten enthalten

Unternehmen, die visuelle Daten veröffentlichen, z.B. auf YouTube, müssen bedenken, dass die Verantwortung für eine effektive Anonymisierung beim Datenherausgeber liegt, selbst wenn die physische Verarbeitung auf externen Plattformen stattfindet.

Welche Strafen gibt es bei Nichteinhaltung der biometrischen Bestimmungen des EU-KI-Gesetzes?

Das EU-KI-Gesetz verhängt ein strenges Sanktionsregime, insbesondere für biometrische Systeme. Die finanziellen Strafen können erreichen:

• Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für die Verwendung verbotener KI-Systeme, einschließlich bestimmter biometrischer Identifikationsanwendungen im öffentlichen Raum
• Bis zu 15 Millionen Euro oder 3% des Umsatzes für erhebliche Verstöße gegen andere Bestimmungen, einschließlich der Anforderungen an Hochrisikosysteme, die oft für Verarbeiter biometrischer Daten gelten

Neben Geldstrafen können nicht konforme Organisationen verpflichtet werden, Systeme vom Markt zu nehmen, was zu erheblichen betrieblichen Störungen führen kann.

Wie bereitet man sich auf die Einhaltung des EU-KI-Gesetzes bei der Anonymisierung vor?

Die organisatorische Vorbereitung sollte Folgendes umfassen:

• Überprüfung bestehender visueller Datenverarbeitung auf die Nutzung biometrischer Informationen
• Einsatz geeigneter Anonymisierungstools, vorzugsweise lokaler (On-Premise) Lösungen
• Schulung des Personals zu neuen Anforderungen und Verfahren
• Aktualisierung der Datenverarbeitungsdokumentation einschließlich Datenschutzrichtlinien
• Regelmäßige Tests der Anonymisierungseffektivität

Erwägen Sie professionelle Lösungen wie Gallio Pro für eine effektive Anonymisierung, die den neuen Vorschriften entspricht. Laden Sie die Demo herunter und sehen Sie, wie unser Tool Ihrer Organisation bei der Anpassung an das EU-KI-Gesetz helfen kann.

FAQ - Häufig gestellte Fragen zum EU-KI-Gesetz und zur Anonymisierung

Wann tritt das EU-KI-Gesetz in Kraft und wie sieht der Umsetzungszeitplan aus?

Das EU-KI-Gesetz wurde 2023 formell verabschiedet, mit Übergangsfristen. Die meisten Bestimmungen werden bis 2025 gelten, mit Ausnahme bestimmter Anforderungen an Hochrisikosysteme, die schrittweise eingeführt werden.

Gilt das EU-KI-Gesetz nur für Unternehmen mit Sitz in der EU?

Nein, wie die DSGVO hat auch das EU-KI-Gesetz extraterritoriale Geltung und umfasst alle Unternehmen, die Produkte oder Dienstleistungen auf dem EU-Markt anbieten, unabhängig vom Standort.

Gibt es Ausnahmen vom Verbot der biometrischen Identifizierung im öffentlichen Raum?

Ja, es gibt enge Ausnahmen, hauptsächlich für die Ermittlung bei schweren Straftaten, die Suche nach vermissten Personen oder die Terrorismusbekämpfung, immer mit entsprechender Rechtsgrundlage und Aufsicht.

Ist Gesichtsverpixelung immer ausreichend für die Anonymisierung?

Nicht immer. Einfaches Verpixeln kann fortgeschrittenen De-Anonymisierungsangriffen möglicherweise nicht standhalten. Das EU-KI-Gesetz erfordert eine wirksame Anonymisierung, die oft fortschrittlichere Techniken umfasst.

Wie behandelt das EU-KI-Gesetz Überwachungssysteme mit Verhaltensanalyse (z.B. Erkennung von abnormalem Verhalten)?

Solche Systeme werden in der Regel als Hochrisikosysteme eingestuft und unterliegen strengen Anforderungen, einschließlich Konformitätsbewertungen, menschlicher Aufsicht und Transparenz.

Müssen auch historische (archivierte) Materialien anonymisiert werden?

Ja, wenn sie aktiv verarbeitet oder geteilt werden. Das EU-KI-Gesetz sieht keine generelle Ausnahme für Archivmaterialien vor, obwohl Ausnahmen für öffentliche Interessen oder Forschungszwecke gelten können.

Wo kann ich weitere Informationen zur Einhaltung des EU-KI-Gesetzes finden?

Wir ermutigen Sie, uns zu kontaktieren - wir bieten Beratungen zur Anpassung von Anonymisierungsprozessen an die Anforderungen des EU-KI-Gesetzes und der DSGVO.