Videoüberwachung und Zutrittskontrollsysteme mit IP-Kameras: So lassen sie sich verbinden und DSGVO-konform betreiben

Visual data anonymization im Umfeld von CCTV und Zutrittskontrolle bedeutet, Bilder und Videoaufnahmen so aufzubereiten, dass vor ihrer Weitergabe die Identifizierbarkeit von Personen und Fahrzeugen im Material eingeschränkt wird. In der Praxis umfasst dies am häufigsten Face Blurring und License Plate Blurring. Bei integrierten Eingangslösungen ist das besonders relevant, weil eine IP-Kamera sehr oft mit einem Kartenleser, einer Schleuse, einem Zutrittsprotokoll oder einem Gebäudemanagementsystem zusammenarbeitet. Ein einzelnes Bild vom Eingangsbereich ist dann nicht mehr nur eine Aufnahme, sondern Teil eines umfassenderen Prozesses der Verarbeitung personenbezogener Daten.

Gerade dieser Use Case wird oft nicht ausreichend beschrieben. Die reine Videoüberwachung ist bekannt. Zutrittskontrolle ebenso. Problematisch wird es in dem Moment, in dem eine Organisation das Bildmaterial mit Informationen über ein Zutrittsereignis, die Nummer des Durchgangs, den Zeitpunkt der Kartennutzung oder die Berechtigung für eine Zone verknüpft. In einem solchen Modell müssen drei Fragen sauber getrennt werden: Wer ist Verantwortlicher, wann entsteht das Risiko biometrischer Verarbeitung und wie lässt sich das Material anonymisieren, bevor es an den Sicherheitsdienst, an Auditoren oder an externe Stellen weitergegeben wird.

Wer ist bei der Integration von CCTV und Zutrittskontrolle der Verantwortliche?

Im typischen Modell ist der Verantwortliche die Stelle, die über Zweck und Mittel der gesamten Lösung entscheidet, also meist der Eigentümer des Objekts, der Arbeitgeber, der Infrastrukturbetreiber oder eine öffentliche Einrichtung. Wenn dieselbe Stelle sowohl über die IP-Kameras als auch über die Zutrittskontrolle entscheidet, bleibt sie in der Regel ein einheitlicher Verantwortlicher für beide Datenströme. Grundlage ist die allgemeine Definition des Verantwortlichen in Art. 4 Nr. 7 DSGVO [1].

Anders ist die Lage, wenn mehrere Stellen gemeinsam die Zwecke und Mittel der Integration festlegen. Ein Beispiel wäre der Eigentümer eines Bürogebäudes und ein Mieter, die zusammen bestimmen, wie Bildmaterial mit Zutritten zu bestimmten Bereichen korreliert wird. Dann kann eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegen [1]. Wenn dagegen ein Sicherheitsunternehmen oder ein Systemanbieter die Lösung ausschließlich auf Weisung des Kunden betreibt, liegt häufiger die Rolle eines Auftragsverarbeiters und nicht die eines Verantwortlichen vor.

Für die Compliance-Praxis ist entscheidend, den Verantwortlichen nicht automatisch mit dem Anbieter der Kameras, des VMS oder dem Integrator gleichzusetzen. Die bloße Bereitstellung der Technologie entscheidet noch nicht über diese Rolle. Maßgeblich ist der tatsächliche Einfluss auf Zweck und Art der Verarbeitung. In der Dokumentation sollte daher gesondert beschrieben werden: Wer steuert die Aufbewahrungsdauer der Aufnahmen, wer entscheidet über die Verknüpfung von Bildmaterial mit Zutrittslogs, wer genehmigt den Export des Materials und wer legt die Regeln für dessen Anonymisierung fest.

Warum erhöht die Verknüpfung von Bildmaterial mit dem Zutrittsprotokoll das Risiko?

Eine Aufnahme aus einem gewöhnlichen Flur kann als Standardmaterial aus der Videoüberwachung eingeordnet werden. Das Bild einer Kamera, die auf einen Zutrittspunkt ausgerichtet und mit einem Kartenleser synchronisiert ist, eröffnet jedoch deutlich weitergehende Möglichkeiten zur Identifizierung und Verhaltensprofilierung. Die Organisation kann dann feststellen, wer wann versucht hat, welchen Bereich zu betreten und ob der Zutritt verweigert wurde. Das ist nicht mehr nur die Beobachtung von Bewegungen am Eingang, sondern ein Bestandteil des Zutrittskontrollprozesses.

Aus Sicht der DSGVO bedeutet das in der Regel, dass Zweck, Speicherdauer und Zugriffsumfang genauer definiert werden müssen. Der EDPB betont in seinen Leitlinien zur Verarbeitung personenbezogener Daten durch Videogeräte die Bedeutung der Grundsätze der Datenminimierung, Zweckbindung und des begrenzten Zugriffs auf Bildmaterial [2]. Das gilt besonders für Kameras, die Eingänge, Rezeptionen, Schleusen und Zugangssperren erfassen.

An dieser Stelle ist Gallio PRO als On-Premise-Software zur Anonymisierung von Fotos und Aufnahmen vor dem Export aus dem Quellsystem besonders hilfreich. Das ist vor allem dort wichtig, wo Material aus Eingangsbereichen an den Sicherheitsdienst, die Audit-Abteilung oder an externe Stellen weitergegeben werden soll. Aus Sicherheitssicht ist ein zusätzlicher Vorteil, dass die Software keine Logs speichert, die Erkennungsdaten oder personenbezogene Daten enthalten.

Wann wird eine Aufnahme aus dem Eingangsbereich zur biometrischen Verarbeitung?

Nicht jede Gesichtsaufnahme ist im Sinne der DSGVO ein biometrisches Datum. Nach Art. 4 Nr. 14 DSGVO sind biometrische Daten personenbezogene Daten, die durch eine spezielle technische Verarbeitung zu physischen, physiologischen oder verhaltensbezogenen Merkmalen einer Person gewonnen werden und die eine eindeutige Identifizierung dieser Person ermöglichen oder bestätigen, etwa Gesichtsbilder oder daktyloskopische Daten [1].

Diese Unterscheidung ist sehr wichtig. Wenn eine Kamera lediglich den Zutritt aufzeichnet und das Bildmaterial nur zur späteren Prüfung eines Vorfalls dient, liegt in der Regel noch keine Verarbeitung besonderer Kategorien personenbezogener Daten vor. Nutzt das System jedoch Gesichtserkennung, um die Identität automatisch zu bestätigen und den Durchgang zu öffnen, steigt das Risiko einer Verarbeitung biometrischer Daten deutlich an. Dann gelten nicht nur die allgemeinen Grundsätze aus Art. 5 DSGVO, sondern auch die strengeren Anforderungen aus Art. 9 DSGVO zu besonderen Kategorien personenbezogener Daten [1].

In der Praxis ist ein einfacher Test hilfreich. Wenn ein Gesicht lediglich auf der Aufnahme sichtbar ist, bedeutet das nicht automatisch Biometrie. Wird das Gesicht jedoch einer speziellen technischen Verarbeitung unterzogen, um die Identität beim Zutritt eindeutig zu bestätigen, werten Organisationen dies häufig als biometrische Verarbeitung. Die abschließende Bewertung hängt jedoch immer von der Architektur der Lösung und dem konkreten Verarbeitungszweck ab.

Wie lässt sich Material aus Eingangsbereichen vor der Weitergabe an Sicherheitsdienst oder Auditor anonymisieren?

Der häufigste Fehler besteht darin, einen Roh-Export der Eingangskamera zusammen mit dem vollständigen Kontext unbeteiligter Personen weiterzugeben. Für die Prüfung eines Vorfalls müssen in der Regel jedoch nicht alle Gesichter aus Rezeption oder Parkplatz sichtbar sein. In vielen Fällen genügt es, das eigentliche Ereignis erkennbar zu lassen und gleichzeitig die Identifizierung nicht beteiligter Personen einzuschränken.

Ein praxisnahes Vorgehen sieht wie folgt aus.

• Schritt 1 - Exportiert wird nur der Ausschnitt der Aufnahme, der zur Klärung des Vorfalls erforderlich ist.
• Schritt 2 - Es wird Face Blurring bei Personen angewendet, deren Identifizierung nicht notwendig ist.
• Schritt 3 - Es wird License Plate Blurring durchgeführt, wenn der Bildausschnitt einen Parkplatz, eine Schranke oder eine Zufahrt umfasst.
• Schritt 4 - Erst das so vorbereitete Material wird an interne oder externe Empfänger mit eingeschränkten Berechtigungen weitergegeben.

In einem solchen Workflow muss der Automatisierungsgrad klar beschrieben werden. Gallio PRO anonymisiert automatisch ausschließlich Gesichter und Kfz-Kennzeichen. Firmenlogos, Tätowierungen, Namensschilder, Dokumente oder Bildschirminhalte werden nicht automatisch erkannt. Solche Elemente lassen sich jedoch manuell im integrierten Editor unkenntlich machen, der einfach zu bedienen ist. Die Software anonymisiert keine ganzen Körper, führt keine Echtzeit-Anonymisierung durch und verarbeitet auch keinen Video-Stream live.

Für technische Teams und Facility Manager ist diese Unterscheidung operativ relevant. Die automatische Erkennung umfasst nur Gesichter und Kennzeichen, nicht jedoch Daten von Zutrittskarten oder Kennungen aus Lesegeräten. Wenn das Material also einen Rezeptionsbildschirm mit einer Zutrittsliste oder eine sichtbare Mitarbeiterausweiskarte zeigt, ist eine zusätzliche manuelle Schwärzung erforderlich.

Nach der Beschreibung eines solchen Prozesses ist es sinnvoll, das Tool anhand eines echten Exports aus VMS oder NVR kostenlos zu testen und zu prüfen, welcher Umfang an redaktioneller Bearbeitung vor der Weitergabe tatsächlich erforderlich ist.

Gesichter und Kfz-Kennzeichen - was in der Praxis meist unkenntlich gemacht werden muss

Eine Pflicht zur Anonymisierung von Gesichtern folgt nicht automatisch aus jedem Fall der Bildverarbeitung. Bei der Weitergabe von Aufnahmen an Dritte sprechen jedoch häufig die Grundsätze der DSGVO dafür und im Fall einer Veröffentlichung zusätzlich Vorschriften des Persönlichkeitsrechts sowie des Urheberrechts. Das Urheberrecht kennt Ausnahmen vom Erfordernis der Einwilligung zur Verbreitung eines Bildnisses, insbesondere wenn:

• es sich um eine allgemein bekannte Person handelt und die Aufnahme im Zusammenhang mit ihrer öffentlichen Funktion gemacht wurde,
• das Bildnis nur ein Beiwerk einer Versammlung, Landschaft oder öffentlichen Veranstaltung ist,
• die Person ein vereinbartes Honorar für das Posieren erhalten hat, sofern nicht ausdrücklich etwas anderes vorbehalten wurde [4].

Im Umfeld von Gebäudezugängen greifen diese Ausnahmen eher selten. Deshalb ist in der Praxis ein vorsichtiger Umgang mit der Veröffentlichung und Weitergabe von Material mit erkennbaren Gesichtern üblich.

Bei Kfz-Kennzeichen ist die Lage komplexer. Es gibt keine allgemeine unionsweite Regel, nach der das Unkenntlichmachen von Kennzeichen in Westeuropa grundsätzlich verpflichtend wäre. Die Bewertung hängt vom Kontext, vom Zweck der Verarbeitung und davon ab, ob das Kennzeichen in der konkreten Situation eine Identifizierung einer natürlichen Person ermöglicht. Auch in Polen ist die Frage nicht vollständig eindeutig, in der Datenschutzpraxis werden Kfz-Kennzeichen jedoch oft zumindest als Daten behandelt, die zur Identifizierung einer Person führen können. Deshalb bleibt vorsorgliches License Plate Blurring bei Material von Parkplätzen, Toren und Schranken eine sichere organisatorische Maßnahme.

Tabelle: Typische Entscheidungen bei der Weitergabe von Aufnahmen aus Eingangsbereichen

On-Premise-Software und Integration in die Gebäudeinfrastruktur

Im Enterprise-Umfeld ist nicht nur das Unkenntlichmachen des Bildmaterials selbst relevant, sondern auch die Art der Implementierung. On-Premise-Software reduziert das Risiko unkontrollierter Übertragungen von Aufnahmen außerhalb der Organisation und erleichtert es, das Material in einer vom Verantwortlichen kontrollierten Umgebung zu halten. Das ist besonders wichtig dort, wo Aufnahmen aus Personalzugängen, Laboren, Serverräumen, Hochsicherheitsbereichen oder kritischer Infrastruktur stammen.

Bei Implementierungen, die eine Anbindung an bestehende VMS-Systeme, Incident-Repositories oder individuelle Export-Workflows erfordern, lohnt es sich, Kontakt aufzunehmen und ein On-Premise- oder API-basiertes Betriebsmodell abzustimmen. Aus Sicht der DSGVO ist besonders vorteilhaft, dass das Tool keine Logs mit Erkennungen von Gesichtern und Kennzeichen sammelt und auch keine Protokolle mit personenbezogenen Daten oder Daten besonderer Kategorien speichert.

Wie beschreibt man einen konformen Prozess in Richtlinien und Verfahren?

Ein gutes Verfahren sollte die Anonymisierung nicht nur allgemein umschreiben. In der Organisation empfiehlt es sich meist, den Zweck der Integration von CCTV und Zutrittskontrolle, die Rollen von Verantwortlichem und Auftragsverarbeiter, die Liste berechtigter Empfänger von Exporten, die Standardaufbewahrungsdauer, die Voraussetzungen für den Export sowie die Methode der Bildredaktion vor der Weitergabe klar festzulegen. Außerdem sollten das Quellsystem und das Werkzeug zur Erstellung einer bearbeiteten Kopie für Audit-, Sicherheits- oder Untersuchungszwecke deutlich voneinander getrennt werden.

Zur Compliance-Praxis gehört häufig auch ein Verzeichnis der Fälle, in denen Material nach dem Unkenntlichmachen von Gesichtern und Kennzeichen weitergegeben wurde. Es geht dabei nicht um die Speicherung von Erkennungsdaten, sondern um den Nachweis, dass die Organisation den Grundsatz der Datenminimierung beachtet und nur so viel Bildmaterial offenlegt, wie für den konkreten Zweck tatsächlich erforderlich ist [1][2].

FAQ - Videoüberwachung und Zutrittskontrollsysteme mit IP-Kameras

Bedeutet jede Kamera am Eingang automatisch biometrische Verarbeitung?

Nein. Die bloße Aufzeichnung von Gesichtern am Eingang muss noch keine biometrische Verarbeitung sein. Das Risiko steigt, wenn das System eine spezielle technische Verarbeitung zur eindeutigen Bestätigung der Identität einsetzt, etwa durch Gesichtserkennung beim Öffnen eines Durchgangs [1].

Wer ist in einem integrierten System aus CCTV und Zutrittskontrolle der Verantwortliche?

In der Regel die Stelle, die über Zweck und Mittel der gesamten Lösung entscheidet, meistens der Eigentümer des Objekts, der Arbeitgeber oder der Infrastrukturbetreiber. Ein Technologieanbieter oder Sicherheitsdienst wird nicht allein deshalb automatisch zum Verantwortlichen, weil er das System betreut [1].

Müssen Gesichter immer unkenntlich gemacht werden, bevor eine Aufnahme an den Sicherheitsdienst übergeben wird?

Das hängt vom Zweck und Umfang der Weitergabe ab. Eine häufige Compliance-Praxis besteht jedoch darin, Gesichter unbeteiligter Personen unkenntlich zu machen, wenn deren Identifizierung zur Aufklärung des Vorfalls nicht erforderlich ist. So lässt sich der Grundsatz der Datenminimierung besser umsetzen [1][2].

Anonymisiert Gallio PRO Live-Bilder von Kameras?

Nein. Die Software führt keine Echtzeit-Anonymisierung und keine Anonymisierung von Video-Streams durch. Sie dient dazu, Fotos und Aufnahmen vor ihrer weiteren Weitergabe aufzubereiten.

Was erkennt das Tool automatisch?

Die automatische Erkennung umfasst ausschließlich Gesichter und Kfz-Kennzeichen. Daten von Zutrittskarten oder Kennungen aus Lesegeräten werden nicht erfasst. Logos, Tätowierungen, Namensschilder, Dokumente und Inhalte auf Monitoren erfordern eine manuelle Bearbeitung im Editor.

Müssen Kfz-Kennzeichen immer unkenntlich gemacht werden?

Nicht immer. Die Bewertung hängt vom Kontext, vom Zweck der Verarbeitung und von der Art der Weitergabe des Materials ab. In Polen und anderen EU-Staaten ist die Praxis nicht vollständig einheitlich, weshalb vorsorgliches License Plate Blurring oft die sicherste organisatorische Lösung ist, insbesondere bei Veröffentlichung oder breiter Weitergabe von Material.

Ist das Fehlen von Erkennungs-Logs für die Sicherheit der Integration relevant?

Ja. Aus Sicht der Sicherheitsarchitektur ist das ein Vorteil, weil dadurch keine zusätzlichen Datenbestände mit Informationen über erkannte Gesichter und Kennzeichen entstehen. Gallio PRO speichert solche Logs nicht und sammelt auch keine Protokolle mit personenbezogenen Daten oder Daten besonderer Kategorien.