Wie schreibt man eine Verfahrensanweisung für den Umgang mit CCTV-Aufnahmen in einer Organisation? Dokumentvorlage für DSB

Eine Verfahrensanweisung für den Umgang mit CCTV-Aufnahmen ist ein internes operatives Dokument, das beschreibt, wer Zugriff auf Aufnahmen hat, in welchen Situationen diese eingesehen werden dürfen, wie die Herausgabe einer Kopie erfolgt, welche Fristen für die einzelnen Schritte gelten und wie vor einer Veröffentlichung oder Weitergabe an Dritte eine Bildanonymisierung vorgenommen wird. In der Praxis ersetzt ein solches Dokument weder das Verzeichnis von Verarbeitungstätigkeiten noch die Risikoanalyse oder die Unterlagen für den Auditor. Es soll die tägliche Arbeit des Teams unterstützen, das tatsächlich mit Fotos und Videos arbeitet.

Für den DSB ist vor allem die Trennung von drei Ebenen entscheidend. Die erste betrifft den Zugriff auf das Ausgangsmaterial. Die zweite umfasst das Unkenntlichmachen von Gesichtern und Kfz-Kennzeichen vor der weiteren Nutzung der Aufnahme. Die dritte regelt die Weitergabe oder Veröffentlichung ausschließlich der Version, die geprüft und freigegeben wurde. Eine solche Struktur reduziert das Risiko einer versehentlichen Offenlegung des Erscheinungsbildes unbeteiligter Personen und erleichtert den Nachweis einer konsistenten organisatorischen Praxis.

Warum braucht eine Organisation eine eigene operative Verfahrensanweisung für CCTV-Aufnahmen?

In vielen Organisationen gibt es zwar eine Richtlinie zur Videoüberwachung, es fehlt jedoch an einer praktischen Arbeitsanweisung. Das Ergebnis ist vorhersehbar: Der Operator weiß, wie eine Aufnahme abgespielt wird, aber nicht, ob ein Ausschnitt per E-Mail versendet werden darf, wer den Export freigeben muss, ob vor der Weitergabe die Gesichter und Kennzeichen anderer Personen unkenntlich gemacht werden müssen und wie viel Zeit das Team für die Bearbeitung eines Antrags hat. Eine SOP bringt diese Punkte in eine klare Ordnung, ohne ein weiteres allgemeines Compliance-Dokument aufzublähen.

In Szenarien rund um die Bildanonymisierung nutzen Organisationen häufig Tools wie Gallio PRO, insbesondere wenn eine On-Premise-Lösung und volle Kontrolle über Dateien in der lokalen Umgebung erforderlich sind. Aus operativer Sicht ist wichtig, dass die Software automatisch ausschließlich Gesichter und Kfz-Kennzeichen unkenntlich macht. Sie anonymisiert keine kompletten Körper, führt keine Echtzeit-Anonymisierung durch und ist nicht für die Anonymisierung von Videostreams gedacht. Auch Firmenlogos, Tätowierungen, Namensschilder, Dokumente oder auf Monitoren sichtbare Inhalte werden nicht automatisch erkannt. Diese Elemente können im integrierten Editor manuell unkenntlich gemacht werden. Zusätzlich speichert das System keine Protokolle mit Erkennungsdaten, personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten.

Wie unterscheidet man eine SOP von Unterlagen für den Auditor und einer Implementierungs-Checkliste?

Unterlagen für den Auditor beantworten in der Regel die Frage, ob die Organisation über Grundlagen, Rollen und Schutzmaßnahmen verfügt. Eine Implementierungs-Checkliste beantwortet die Frage, was vor dem Start eingerichtet und geprüft werden muss. Eine Verfahrensanweisung für den Umgang mit CCTV-Aufnahmen beantwortet dagegen die Frage, was ein Mitarbeiter ab dem Eingang eines Antrags oder der Entscheidung zur Veröffentlichung bis zur Löschung der Arbeitsdatei konkret zu tun hat.

Deshalb sollte die nachstehende Vorlage konkrete Angaben enthalten: verantwortliche Funktion, Tätigkeit, Frist, erforderlicher Eintrag im internen Register und Voraussetzung für den Übergang zum nächsten Schritt. Nur ein solcher Detaillierungsgrad funktioniert in der Praxis.

Mindestumfang einer Verfahrensanweisung für CCTV-Aufnahmen

Die kürzeste sinnvolle Verfahrensanweisung umfasst sieben Blöcke. Erstens Ziel und Geltungsbereich des Dokuments. Zweitens Rollen und Berechtigungen. Drittens Regeln für die Annahme von Anträgen auf Zugang, Kopie oder Veröffentlichung. Viertens Regeln für Export und Arbeit an einer Arbeitskopie. Fünftens Bildanonymisierung, einschließlich des Unkenntlichmachens von Gesichtern und Kfz-Kennzeichen. Sechstens Freigabe des Materials zur Weitergabe oder Veröffentlichung. Siebtens Aufbewahrung und Löschung von Arbeitsversionen.

Sinnvoll ist außerdem eine unmittelbare Definition, dass die Organisation unter Bildanonymisierung eine solche Verarbeitung von Fotos oder Aufnahmen versteht, dass Dritte sowie auf dem Bild sichtbare Identifikatoren im gewöhnlichen Nutzungskontext des Materials nicht erkannt werden können. Bei Videomaterial bedeutet dies in der Regel die Arbeit auf einer exportierten Kopie und nicht auf dem Produktionsmaterial.

Vorlage für eine Verfahrensanweisung zu CCTV-Aufnahmen - direkt übernehmbar

1. Ziel und Geltungsbereich

Diese Verfahrensanweisung legt die Regeln für Einsicht, Export, Anonymisierung und Weitergabe von CCTV-Aufnahmen sowie einzelner Standbilder aus Aufnahmen fest. Sie gilt ausschließlich für visuelle Materialien, insbesondere Fotos und Videos. Sie regelt keine gesonderten Dokumentationspflichten im Zusammenhang mit Audit, Risikoanalyse oder der Implementierung eines Videoüberwachungssystems.

2. Rollen und Verantwortlichkeiten

Der Administrator des CCTV-Systems ist für den technischen Export des Materials und die Vergabe des Zugriffs ausschließlich an berechtigte Personen verantwortlich. Der fachliche Prozessverantwortliche, zum Beispiel der Sicherheitsleiter oder Compliance Manager, bewertet den Verwendungszweck des Materials. Die für die Anonymisierung zuständige Person erstellt eine Arbeitskopie und nimmt die Unkenntlichmachung von Gesichtern und Kfz-Kennzeichen vor. Der Datenschutzbeauftragte oder eine benannte Kontrollperson beurteilt Fälle mit erhöhtem Risiko oder atypische Anfragen. Die Person, die eine Veröffentlichung oder die Herausgabe einer Kopie freigibt, bestätigt, dass das zu übermittelnde Material keine nicht anonymisierten Gesichter und Kennzeichen Dritter enthält.

3. Zugriff auf Aufnahmen

Zugriff auf vollständige Aufnahmen haben ausschließlich namentlich im Anhang zur Verfahrensanweisung benannte Personen. Der Zugriff wird durch den Systemadministrator nach Freigabe durch den Prozessverantwortlichen erteilt. Die Einsichtnahme in Aufnahmen erfolgt ausschließlich im Zusammenhang mit einem dokumentierten dienstlichen Zweck. Jeder Vorgang erfordert einen Eintrag im operativen Register mit Datum, Vorgangsnummer, Zeitbereich der Aufnahme, antragstellender Person und ausführender Person.

4. Operative Fristen

Ein interner Antrag auf Sicherung einer Aufnahme ist unverzüglich, spätestens jedoch innerhalb eines Arbeitstags nach Eingang, zu registrieren. Die erste Bewertung des Verwendungszwecks ist innerhalb von zwei Arbeitstagen vorzunehmen. Der Export einer Arbeitskopie sollte innerhalb von drei Arbeitstagen erfolgen, sofern das Material verfügbar ist und keine technischen Hindernisse bestehen. Die Anonymisierung wird nach dem Export ohne unnötige Verzögerung durchgeführt. Vor Veröffentlichung oder Herausgabe einer Kopie gilt das Vier-Augen-Prinzip.

5. Export und Erstellung der Arbeitskopie

Gearbeitet wird ausschließlich mit einer Arbeitskopie. Das Ausgangsmaterial bleibt unverändert. Die Kopie wird in einem separaten Repository mit eingeschränktem Zugriff gespeichert. Der Dateiname enthält die Vorgangsnummer und das Exportdatum, jedoch keine Daten zu auf der Aufnahme sichtbaren Personen. Wenn eine Organisation einen vorhersehbaren Workflow für Video- und Bilddateien benötigt, empfiehlt es sich, diesen vorab zu testen, etwa indem man die Demo herunterlädt und prüft, wie die Bearbeitung der Arbeitskopie in einer lokalen Umgebung abläuft.

6. Regeln für die Bildanonymisierung

Die für die Anonymisierung zuständige Person identifiziert alle im Bildausschnitt sichtbaren Gesichter und Kfz-Kennzeichen Dritter. Anschließend macht sie Gesichter und Kennzeichen im gesamten Material unkenntlich, das weitergegeben oder veröffentlicht werden soll. Wenn das Material Logos, Tätowierungen, Namenskennzeichnungen, Dokumente oder Inhalte auf einem Monitor enthält, erfordert deren Abdeckung eine manuelle Bearbeitung, da die automatische Erkennung diese Elemente nicht umfasst.

Die Verfahrensanweisung sollte ausdrücklich darauf hinweisen, dass sich die automatische Erkennung nur auf Gesichter und Kfz-Kennzeichen bezieht. Das ist insbesondere bei der Schulung von Operatoren wichtig. Die Annahme, das Tool erkenne jedes identifizierende Element, ist ein operativer Fehler.

7. Weitergabe von Aufnahmen und Standbildern

Jede Weitergabe einer Aufnahme außerhalb des mit dem Vorgang befassten Teams erfordert die Freigabe durch die dazu befugte Person. Soll das Material an die von dem Ereignis betroffene Person, an eine externe Stelle oder zur Veröffentlichung gehen, sind vor der Weitergabe die Gesichter und Kfz-Kennzeichen anderer Personen sowie anderer im Material sichtbarer Fahrzeuge unkenntlich zu machen. Die Originalversion wird nicht herausgegeben, es sei denn, eine solche Pflicht ergibt sich aus einer Rechtsvorschrift oder einer verbindlichen Anordnung der zuständigen Behörde. Jede Herausgabe einer Kopie wird im operativen Register unter Angabe des Empfängers, des Datums und des Umfangs des Materials dokumentiert.

8. Qualitätskontrolle vor der Veröffentlichung

Die Qualitätskontrolle umfasst zwei Stufen. In der ersten prüft der Operator, ob die Unkenntlichmachung über die gesamte Länge der Sequenz wirksam ist und ob es keine kurzen Passagen ohne Maskierung gibt. In der zweiten bestätigt die freigebende Person, dass das Material keine weiteren Elemente enthält, die eine manuelle Anonymisierung erfordern. Ohne positive Kontrolle ist eine Veröffentlichung ausgeschlossen.

9. Aufbewahrung und Löschung von Arbeitsversionen

Die Arbeitsversion wird nur so lange gespeichert, wie es für den Abschluss des Vorgangs erforderlich ist. Nach Veröffentlichung, Herausgabe einer Kopie oder Abschluss des Antrags wird die Arbeitsdatei entsprechend dem von der Organisation festgelegten Aufbewahrungsplan gelöscht. Wenn eine lokale Bereitstellung oder gesonderte Regeln für einzelne Organisationseinheiten erforderlich sind, lohnt es sich, das Team zu kontaktieren, um den Prozess an die Größe der Organisation und die technischen Anforderungen anzupassen.

Operative Tabelle - wer macht was und bis wann

Wie beschreibt man Ausnahmen beim Recht am eigenen Bild, ohne falsche Sicherheit zu erzeugen?

In die Verfahrensanweisung sollte eine kurze Auslegungsklausel aufgenommen werden. Die Pflicht zur Anonymisierung von Gesichtern ergibt sich nicht unmittelbar aus einer einzelnen Vorschrift der DSGVO, des Zivilrechts oder des Urheberrechts, sondern aus der Bewertung, ob eine Veröffentlichung oder Weitergabe mit den datenschutzrechtlichen Vorgaben und den Regeln zur Verbreitung von Bildnissen vereinbar ist. Im Urheberrecht sind insbesondere Ausnahmen für die Verbreitung von Bildnissen vorgesehen, wenn:

• die Person ein vereinbartes Entgelt für das Posieren erhalten hat, sofern nicht ausdrücklich etwas anderes vorbehalten wurde,
• es sich um eine allgemein bekannte Person handelt und das Bildnis im Zusammenhang mit der Wahrnehmung öffentlicher Funktionen, insbesondere politischer, gesellschaftlicher oder beruflicher Art, aufgenommen wurde,
• das Bildnis der Person nur als Beiwerk neben einer Landschaft, einer Versammlung oder einer sonstigen öffentlichen Veranstaltung erscheint.

Dies sind keine automatischen Befreiungen von der Prüfung. Organisationen behandeln sie häufig als Ausgangspunkt für die Bewertung einer konkreten Situation und nicht als ausnahmslos geltende Regel. Bestehen Zweifel, bleibt die Anonymisierung vor der Veröffentlichung die sicherere operative Praxis.

Kfz-Kennzeichen in der Verfahrensanweisung - wie man das Thema ohne übermäßige Vereinfachungen formuliert

In verschiedenen europäischen Staaten fällt der Umgang mit Kfz-Kennzeichen unterschiedlich aus und hängt vom Kontext sowie von der nationalen Praxis ab. Auch in Polen ist die Lage nicht vollständig eindeutig. Grundsätzlich kann ein einzelnes Kfz-Kennzeichen ein personenbezogenes Datum sein, muss es aber nicht zwingend sein - entscheidend ist, ob damit unter Einsatz vernünftigerweise wahrscheinlicher Mittel eine natürliche Person identifiziert werden kann. Daher lässt sich nicht pauschal behaupten, dass die Pflicht zur Unkenntlichmachung von Kennzeichen unmittelbar aus Leitlinien des EDSA oder aus einer einheitlichen Rechtsprechung des EuGH folgt.

Deshalb sollte in der Verfahrensanweisung nicht stehen, dass Kennzeichen immer und unter allen Umständen personenbezogene Daten sind oder nicht sind. Operativ sinnvoller ist die Anwendung eines Vorsichtsprinzips: Wenn Material veröffentlicht oder über einen engen Kreis Berechtigter hinaus weitergegeben werden soll, werden die Kfz-Kennzeichen Dritter unkenntlich gemacht, es sei denn, die Organisation hat für den konkreten Fall eine abweichende Bewertung dokumentiert.

Die häufigsten Fehler in Verfahrensanweisungen für den Umgang mit CCTV-Aufnahmen

Der erste Fehler besteht darin, nur die Rechtsgrundlagen zu beschreiben, ohne die Arbeitsschritte anzugeben. Der zweite ist das Fehlen einer Unterscheidung zwischen Ausgangsmaterial und Arbeitskopie. Der dritte ist die Annahme, ein automatisches Tool erfasse alles. Der vierte ist das Fehlen einer Reaktionsfrist und einer verpflichtenden Qualitätskontrolle. Der fünfte besteht darin, den Grundsatz zu übergehen, dass bei der Weitergabe einer Aufnahme der Bedarf zur Unkenntlichmachung von Gesichtern und Kennzeichen anderer Personen vor der Übermittlung geprüft werden muss.

FAQ - Verfahrensanweisung für den Umgang mit CCTV-Aufnahmen

Muss die Verfahrensanweisung für CCTV-Aufnahmen ein separates Dokument sein?

Nicht immer, aber in der Praxis ist eine eigenständige SOP am übersichtlichsten. Sie erleichtert die Schulung von Operatoren und verkürzt die Entscheidungszeit bei Veröffentlichungen oder der Herausgabe von Kopien.

Kann man direkt mit dem Ausgangsmaterial arbeiten?

Aus organisatorischer Sicht ist die Arbeit mit einer Arbeitskopie die bessere Praxis. Das reduziert das Risiko eines Integritätsverlusts des Originals und erleichtert die Kontrolle von Änderungen.

Reicht es aus, nur Gesichter unkenntlich zu machen?

Nicht in jedem Fall. Wenn im Material Kfz-Kennzeichen anderer Personen oder andere identifizierende Elemente sichtbar sind, muss geprüft werden, ob auch diese verborgen werden sollten. In der Veröffentlichungspraxis werden häufig auch Kfz-Kennzeichen unkenntlich gemacht.

Erkennt Gallio PRO automatisch alle personenbezogenen Daten auf einem Bild?

Nein. Die automatische Erkennung umfasst ausschließlich Gesichter und Kfz-Kennzeichen. Logos, Tätowierungen, Namensschilder, Dokumente und Bildschirminhalte erfordern eine manuelle Bearbeitung.

Führt Gallio PRO Protokolle mit Erkennungsdaten?

Nein. Die Software sammelt keine Protokolle, die eine Erkennung von Gesichtern und Kfz-Kennzeichen enthalten. Sie sammelt auch keine Protokolle mit personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten.

Sollte die Verfahrensanweisung konkrete Fristen enthalten?

Ja. Ohne Fristen bleibt das Dokument eine bloße Erklärung. Der DSB wird in der Regel darauf hinwirken, Fristen für Vorgangsregistrierung, Export der Kopie, Anonymisierung, Qualitätskontrolle und Löschung der Arbeitsversion aufzunehmen.

Kann man eine Aufnahme von einer öffentlichen Veranstaltung veröffentlichen, ohne alle Gesichter unkenntlich zu machen?

Das hängt vom Kontext ab. Ein zulässiger Fall kann vorliegen, wenn das Bildnis einer Person nur ein nebensächliches Detail des Gesamtgeschehens darstellt, etwa bei einer öffentlichen Veranstaltung. Eine solche Bewertung erfordert jedoch Vorsicht und sollte nicht automatisch auf jedes Material angewendet werden.