Internes Audit eines CCTV-Überwachungssystems: So prüfen Sie die DSGVO-Konformität in 8 Schritten
Ein internes Audit eines CCTV-Überwachungssystems ist eine strukturierte Überprüfung des bestehenden Prozesses zur Erfassung, Speicherung, Weitergabe und Anonymisierung von Bildmaterial. Ziel ist es festzustellen, ob die Organisation die Risiken für auf Aufnahmen erkennbare Personen begrenzt und im Einklang mit der DSGVO sowie dem Grundsatz der Datenminimierung handelt. In der Praxis dient ein solches Audit nicht der Planung einer neuen Videoüberwachung. Es bewertet vielmehr das, was bereits in Betrieb ist: Kameras, Aufbewahrungsfristen, Informationshinweise, Berechtigungen, die Bearbeitung von Anfragen betroffener Personen und die Qualität der Anonymisierung visueller Inhalte.
Diese Unterscheidung ist wichtig. Eine Implementierungs-Checkliste beantwortet die Frage, wie ein System in Betrieb genommen wird. Ein Audit beantwortet dagegen die Frage, ob das bestehende System bei einer Kontrolle, einem Vorfall oder einem Antrag einer Person, deren Bild erfasst wurde, standhält.
Was bedeutet DSGVO-Konformität bei CCTV im Bereich Bildmaterial?
Im Zusammenhang mit Fotos und Videoaufnahmen sind personenbezogene Daten nicht nur ein deutlich erkennbares Porträt. Dazu gehört auch jedes Bild, das eine Person unmittelbar oder mittelbar identifizierbar macht. Deshalb sollte sich die Konformitätsprüfung auf das visuelle Material konzentrieren und nicht nur auf die Einstellungen des Rekorders. In der Praxis prüfen Organisationen meist vier Bereiche: den Erfassungsbereich der Kameras, die Transparenz gegenüber gefilmten Personen, die Speicherdauer sowie die Art der Anonymisierung vor Veröffentlichung oder Weitergabe.
An dieser Stelle lohnt es sich, die Begriffe zu ordnen. Visual data anonymization bedeutet die Bearbeitung eines Fotos oder einer Aufnahme so, dass eine Person und in manchen Fällen auch ein Fahrzeug oder dessen Halter anhand des Bildes nicht identifiziert werden kann. Am häufigsten werden dabei face blurring und license plate blurring eingesetzt. Bei lokalen Systemen wird oft auch on-premise software in Betracht gezogen, also Software, die innerhalb der Infrastruktur der Organisation betrieben wird, ohne dass Material die eigene Umgebung verlassen muss.
Wenn das Audit auch die Bewertung von Tools zur Anonymisierung von Archivmaterial umfasst, kann Gallio PRO ein guter Bezugspunkt als Lösung für die Arbeit mit Fotos und Videoaufnahmen sein. Aus Compliance-Sicht ist relevant, dass die Software automatisch ausschließlich Gesichter und Kfz-Kennzeichen unkenntlich macht, keine ganzen Körper anonymisiert, keine Echtzeit-Anonymisierung und keine Anonymisierung von Videostreams durchführt und laut Hersteller keine Logs speichert, die Detektionsdaten oder personenbezogene Daten enthalten.
Was in einem Audit eines bestehenden CCTV-Systems zu prüfen ist - 8 Schritte
1. Inventarisierung der Kameras und ihrer Erfassungsbereiche
Der erste Schritt ist einfach überprüfbar: Es sollte eine aktuelle Kamerakarte erstellt werden, einschließlich Standorten, Verarbeitungszwecken, Verantwortlichen für das System und der tatsächlich vom Bild erfassten Bereiche. Der Auditor sollte sich nicht auf Jahre alte Dokumentation verlassen. Die Live-Ansicht oder Stichproben von Aufnahmen müssen physisch geprüft werden.
Das Auditergebnis sollte konkrete Fragen beantworten: Erfasst die Kamera nur den erforderlichen Bereich oder auch Gehweg, Straße, Fenster benachbarter Gebäude oder Sozialbereiche der Beschäftigten? Wenn der Erfassungsbereich über das notwendige Maß hinausgeht, werten Organisationen dies häufig als erstes Signal einer Nichtkonformität mit dem Grundsatz der Datenminimierung nach Art. 5 DSGVO [1].
2. Prüfung von Rechtsgrundlage und Zweck für jede Kamera
Im zweiten Schritt wird jede Kamera einem Verarbeitungszweck zugeordnet. In bestehenden Systemen besteht ein häufiges Problem darin, dass die Videoüberwachung ursprünglich aus Sicherheitsgründen installiert wurde, die Aufnahmen im Laufe der Zeit aber zusätzlich für Image-, Werbe- oder Schulungszwecke verwendet werden, ohne dass hierfür eine gesonderte Prüfung erfolgt ist. Das sollte nicht automatisch vorausgesetzt werden.
Wenn eine Organisation Ausschnitte aus Videoüberwachungsbildern veröffentlicht, sollte das Audit zwei Phasen unterscheiden: die eigentliche Aufzeichnung und die spätere Veröffentlichung. Das sind zwei unterschiedliche Risikomomente. Die Pflicht zur Unkenntlichmachung von Gesichtern ergibt sich nicht unmittelbar aus einer einzelnen DSGVO-Vorschrift, sondern aus der Notwendigkeit einer rechtmäßigen Verarbeitungsgrundlage, der Datenminimierung und der Wahrung der Rechte der betroffenen Personen; bei der Verbreitung von Bildnissen zusätzlich aus zivilrechtlichen Vorschriften und dem Urheberrecht. Davon gibt es jedoch 3 Ausnahmen:
- es handelt sich um eine allgemein bekannte Person, und das Bild wurde im Zusammenhang mit der Ausübung öffentlicher Funktionen aufgenommen, insbesondere politischer, gesellschaftlicher oder beruflicher Art,
- das Bildnis der Person ist nur ein Beiwerk eines Gesamtbildes, etwa einer Versammlung, einer Landschaft oder einer öffentlichen Veranstaltung,
- die Person hat eine vereinbarte Vergütung für das Posieren erhalten, sofern nicht ausdrücklich etwas anderes vorbehalten wurde.
3. Prüfung von Informationshinweisen und Kennzeichnungen überwachter Bereiche
Der dritte Schritt ist vollständig auditierbar, da er sich durch Fotos der Kennzeichnung und den Abgleich mit der Transparenzpflicht nach Art. 12 und 13 DSGVO [1] belegen lässt. Es ist zu prüfen, ob Personen beim Betreten eines überwachten Bereichs gestufte Informationen erhalten: zunächst einen kurzen Hinweis am Eingang und anschließend die vollständige Datenschutzhinweise an leicht zugänglicher Stelle.
Im Audit sollte nicht nur das Vorhandensein von Schildern, sondern auch deren Inhalt festgehalten werden. Typische Mängel sind fehlende Angaben zum Verantwortlichen, zum Zweck, zur Speicherdauer und zu den Rechten der betroffenen Person. In seit Langem genutzten Systemen finden sich häufig Hinweise aus der Zeit vor der Aktualisierung interner Verfahren, die nicht mehr der aktuellen Praxis bei Speicherung und Weitergabe von Aufnahmen entsprechen.
4. Kontrolle der Speicherdauer und der automatischen Löschung von Aufnahmen
Der vierte Schritt sollte sich auf technische Daten und nicht auf bloße Erklärungen stützen. Zu prüfen sind die Retention-Einstellungen im Rekorder, die Überschreibungsrichtlinie, Ausnahmen von der Löschung sowie die Frage, ob für Material, das für einen konkreten Fall gesichert wurde, ein gesonderter Speicherpfad besteht. Der EDSA betont in seinen Leitlinien zu Videogeräten, wie wichtig es ist, die Speicherdauer auf das zwingend erforderliche Minimum zu begrenzen [2].
Das häufigste Problem in bestehenden Systemen ist nicht eine zu kurze Speicherdauer, sondern deren unkontrollierte Verlängerung. Werden Aufnahmen länger gespeichert, als es der Zweck rechtfertigt, sollte das Audit die Abweichung und die entsprechenden Nachweise dokumentieren, etwa Konfigurations-Screenshots oder die Logik archivierter Exporte.
Prüfbereich | Was zu prüfen ist | Auditnachweis | Typisches Risiko |
|---|---|---|---|
Bildausschnitt | Ob die Kamera keine überflüssigen Bereiche erfasst | Screenshot der Ansicht, Kamerakarte | Übermäßiger Eingriff in die Privatsphäre |
Transparenz | Ob Kennzeichnungen und vollständige Hinweise vorhanden sind | Foto des Schildes, Text des Hinweises | Nichterfüllung der Informationspflicht |
Speicherdauer | Ob die Aufbewahrungsfrist begrenzt ist | Rekorder-Einstellungen, Löschverfahren | Speicherung ohne ausreichende Begründung |
Anonymisierung | Ob vor einer Veröffentlichung Gesichter und andere Identifikatoren, die verborgen werden müssen, unkenntlich gemacht werden, gegebenenfalls auch Kfz-Kennzeichen | Materialprobe vor und nach der Bearbeitung | Offenlegung personenbezogener Daten in visuellem Material |
5. DSAR-Test für Bildmaterial und Aufnahmen
Der fünfte Schritt besteht in einem Kontrollszenario zu einem Antrag einer betroffenen Person. Es geht nicht um Theorie, sondern um einen Praxistest: Kann die Organisation Material anhand von Datum, Ort und ungefährer Uhrzeit auffinden, den relevanten Ausschnitt isolieren und für die Herausgabe vorbereiten, ohne die Rechte anderer Personen zu verletzen? Genau hier zeigen viele Systeme ihre größten Schwächen.
Ist eine Organisation nicht in der Lage, die Aufnahme effizient zu extrahieren und unbeteiligte Personen zu anonymisieren, reicht eine formale Verfahrensanweisung nicht aus. Ein guter Compliance-Ansatz besteht darin, einen solchen DSAR-Test regelmäßig durchzuführen und die Bearbeitungszeit, die Zahl der beteiligten Personen sowie die Art der Anonymisierung zu dokumentieren [1][2].
6. Audit der Zugriffe auf Live-Bild, Export und Archiv
Der sechste Schritt betrifft Rollen und Berechtigungen. Es ist festzustellen, wer Zugriff auf das Live-Bild hat, wer Material exportieren darf, wer die Herausgabe von Kopien freigibt und ob sich eine Historie der Vorgänge nachvollziehen lässt. In vielen Organisationen wächst die Zahl der Personen mit übermäßigen Rechten schrittweise und wird später nicht mehr bereinigt.
An dieser Stelle sollte zwischen dem CCTV-System und dem Tool zur Anonymisierung unterschieden werden. Wenn Material lokal bearbeitet wird, bevorzugen Organisationen häufig on-premise software, weil sich dadurch der Kreis der Empfänger des Materials begrenzen und die Kontrolle über die Verarbeitungsumgebung erleichtern lässt. Bei komplexeren infrastrukturellen Anforderungen lohnt es sich, das Team zu kontaktieren und zu klären, wie sich eine lokale Implementierung in das bestehende Sicherheitsmodell einfügt.
7. Prüfung des Anonymisierungsprozesses vor Veröffentlichung oder Weitergabe
Der siebte Schritt sollte als Qualitätstest des Prozesses beschrieben werden und nicht nur als Funktionsprüfung eines Werkzeugs. Es sollte eine Stichprobe bestehender Videoaufnahmen und Fotos genommen werden, um zu prüfen, ob face blurring und license plate blurring konsequent durchgeführt werden. Anschließend ist zu bewerten, ob im Material andere visuelle Identifikatoren verblieben sind.
Dieser Punkt erfordert Präzision. Gallio PRO anonymisiert automatisch nur Gesichter und Kfz-Kennzeichen. Firmenlogos, Tätowierungen, Namensschilder, Dokumente oder Bildschirminhalte werden nicht automatisch erkannt. Diese Elemente können manuelle Arbeitsschritte im integrierten Editor erfordern. Deshalb darf ein korrektes Audit nicht mit der Frage enden, ob das System über automatische Erkennung verfügt. Es muss prüfen, ob die Organisation ein Verfahren zur manuellen Nachkontrolle des Materials nach der automatischen Bearbeitung etabliert hat.
Wenn ein solcher Workflow mit realen Dateien getestet werden soll, lässt sich das einfach umsetzen, indem Sie die Demo herunterladen und das Ergebnis der automatischen Unkenntlichmachung mit einer Liste der Elemente vergleichen, die manuell nachbearbeitet werden müssen.
8. Audit der Anonymisierung von Archivaufnahmen
Der achte Schritt wird oft übersehen, obwohl in der Praxis gerade das Archiv die meisten Risiken erzeugt. Es ist zu prüfen, ob ältere Materialien, die sekundär genutzt werden, etwa für PR-, Reporting- oder Schulungszwecke, erneut bewertet und anonymisiert werden. Dass eine Aufnahme rechtmäßig gespeichert wurde, bedeutet noch nicht, dass sie ohne zusätzliche Bearbeitung veröffentlicht werden darf.
In diesem Zusammenhang können Kfz-Kennzeichen von besonderer Bedeutung sein. Auf EU-Ebene gibt es keine Vorschrift, die ihre Unkenntlichmachung immer verlangt, doch in vielen Situationen können sie personenbezogene Daten darstellen oder je nach Kontext und verfügbaren Mitteln zu einer mittelbaren Identifizierung führen. In Deutschland wie auch auf europäischer Ebene hängt die Bewertung stark vom Einzelfall ab. Ein Teil der Rechtsprechung und Praxis geht davon aus, dass ein Kennzeichen nicht in jedem Fall unmittelbar eine natürliche Person identifiziert, doch der Ansatz der Datenschutzaufsicht und die Risikobewertung sprechen bei Veröffentlichungen häufig für Vorsicht. Deshalb sollte das Audit diese Unschärfe ausdrücklich benennen und einen risikobasierten Ansatz wählen, insbesondere bei der Veröffentlichung von Material im Internet.
Wie ist das Auditergebnis zu bewerten?
Ein gutes Audit endet nicht mit der pauschalen Feststellung, das System sei konform oder nicht konform. Es sollte Abweichungen, Nachweise, den Verantwortlichen für die Korrekturmaßnahme, die Frist und das Risikoniveau benennen. In Bezug auf Bild- und Videomaterial treten am häufigsten drei Arten von Feststellungen auf: ein übermäßiger Beobachtungsumfang, fehlende konsistente Speicherdauern und das Fehlen eines wirksamen Anonymisierungsprozesses vor der Veröffentlichung.
Wenn eine Organisation Werkzeuge zur Bearbeitung visueller Inhalte einsetzt, sollte das Audit auch technische Grenzen bestätigen. Bei Gallio PRO ist klar festzuhalten, dass das System nicht der Anonymisierung ganzer Körper dient, nicht in Echtzeit arbeitet und laut Hersteller keine Logs führt, die Gesichts- oder Kennzeichendetektionen oder andere personenbezogene Daten enthalten.
FAQ - internes Audit eines CCTV-Überwachungssystems und DSGVO-Konformität
Benötigt jedes CCTV-System ein Audit im Hinblick auf die Anonymisierung von Bildmaterial?
Nicht immer im gleichen Umfang. Wenn eine Organisation jedoch Fotos oder Aufnahmen veröffentlicht, auf Antrag herausgibt oder Archivmaterial erneut nutzt, ist eine solche Prüfung gängige Compliance-Praxis. Das Risiko betrifft vor allem Gesichter und andere im Material sichtbare Identifikatoren.
Reicht das Unkenntlichmachen von Gesichtern immer aus?
Nein. Face blurring ist eine grundlegende Maßnahme, doch das Material kann auch Kfz-Kennzeichen, Tätowierungen, Ausweise, Logos, Dokumente oder Bildschirminhalte enthalten. Je nach Nutzungskontext ist bei einem Teil dieser Elemente eine manuelle Nachbearbeitung erforderlich.
Ist ein Kfz-Kennzeichen immer ein personenbezogenes Datum?
Nicht immer. Die Bewertung hängt vom Kontext, vom Verwendungszweck und von der Möglichkeit ab, die Nummer einer bestimmten natürlichen Person zuzuordnen. Deshalb verfolgen viele Organisationen einen vorsichtigen Ansatz und nutzen bei Veröffentlichungen license plate blurring.
Kann eine Aufnahme ohne Unkenntlichmachung von Gesichtern veröffentlicht werden?
Grundsätzlich ist das risikobehaftet. Es gibt drei Ausnahmen, die sorgfältig bewertet werden sollten: Es handelt sich um eine allgemein bekannte Person im Zusammenhang mit der Ausübung öffentlicher Funktionen, das Bildnis ist nur ein Beiwerk eines Gesamtbildes wie einer Versammlung, Landschaft oder öffentlichen Veranstaltung, oder die Person hat eine vereinbarte Vergütung für das Posieren erhalten, sofern nichts anderes vorbehalten wurde.
Sollte Software zur Anonymisierung in der Cloud laufen?
Nicht unbedingt. In Umgebungen mit erhöhten Anforderungen ziehen Organisationen häufig on-premise software in Betracht, um die Weitergabe von Material zu begrenzen und die Verarbeitungsumgebung besser zu kontrollieren. Die Wahl hängt vom Sicherheitsmodell und von der Architektur der Organisation ab.
Erkennt Gallio PRO automatisch alle identifizierenden Elemente?
Nein. Die automatische Erkennung umfasst ausschließlich Gesichter und Kfz-Kennzeichen. Andere Elemente wie Firmenlogos, Tätowierungen, Namensschilder, Dokumente oder Bildschirminhalte erfordern manuelle Bearbeitung im integrierten Editor.
Referenzliste
- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 - DSGVO.
- European Data Protection Board, Guidelines 3/2019 on processing of personal data through video devices.
- Materialien und Leitlinien der Datenschutzaufsichtsbehörden zur Videoüberwachung.
- Rechtsprechung des Gerichtshofs der Europäischen Union zu personenbezogenen Daten und Identifizierbarkeit im Zusammenhang mit Bildmaterial.
- Bürgerliches Gesetzbuch - Vorschriften zum Schutz des Persönlichkeitsrechts.
- Urheberrechtsgesetz und Kunsturhebergesetz - Vorschriften zur Verbreitung von Bildnissen.