Was ist Banküberwachung im regulatorischen Kontext?

Banküberwachung und regulatorische Anforderungen bezeichnen die Gesamtheit rechtlicher, organisatorischer und technischer Vorgaben für die Videoüberwachung in Bankfilialen, Zweigstellen, Selbstbedienungszonen, Tresorräumen, an Geldautomaten sowie in weiteren Bereichen der Infrastruktur von Finanzinstituten. In der Praxis bedeutet das, dass ein CCTV-System die Ziele Sicherheit, Vorfallprävention und Schutz von Vermögenswerten erfüllen muss und gleichzeitig mit den Vorschriften zum Schutz personenbezogener Daten, dem Grundsatz der Datenminimierung und den Anforderungen an die Informationssicherheit vereinbar sein muss.

Im Zusammenhang mit der Anonymisierung von Fotos und Videoaufnahmen umfasst der Begriff vor allem die Regeln für die Verarbeitung von Personenbildern und Kfz-Kennzeichen, die von Kameras erfasst werden. Für eine Bank bedeutet das die Notwendigkeit, zwei Arbeitsschritte klar zu trennen: die ursprüngliche Aufzeichnung zu Sicherheitszwecken und die spätere Weitergabe, den Export, die Analyse oder die Veröffentlichung des Materials, die eine vorherige Unkenntlichmachung von Gesichtern und Kennzeichen erforderlich machen kann. Die rechtliche Grundlage bilden insbesondere die DSGVO – Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016, die Leitlinien 3/2019 des Europäischen Datenschutzausschusses zur Verarbeitung personenbezogener Daten durch Videogeräte sowie auf nationaler Ebene auch Positionen und Entscheidungen der UODO und die sektorspezifischen aufsichtsrechtlichen Erwartungen der KNF in Bezug auf Sicherheitssysteme und Risikomanagement in Finanzinstituten.

Bedeutung regulatorischer Anforderungen für die Videoüberwachung in Banken

In einer Bank ist Videoüberwachung kein beliebig einsetzbares Instrument. Ihr Einsatz muss auf einem klaren Zweck, einer Rechtsgrundlage und einer Risikobewertung beruhen. Videomaterial enthält sehr häufig personenbezogene Daten, weil es die direkte oder indirekte Identifizierung einer Person ermöglicht. Das betrifft Gesichter, die Körpergestalt im Kontext eines Ereignisses, Zeit- und Ortsangaben und mitunter auch Kfz-Kennzeichen.

Für den Datenschutzbeauftragten und die Sicherheitsteams sind insbesondere folgende Bereiche entscheidend:

  • Rechtmäßigkeit der Verarbeitung – in der Regel Art. 6 Abs. 1 lit. f DSGVO, in bestimmten Fällen auch lit. c, abhängig von Rolle und Pflichten des Verantwortlichen,
  • Zweckbindung – Aufnahmen dürfen nicht nachträglich in einer Weise verwendet werden, die mit dem ursprünglichen Sicherheitszweck unvereinbar ist,
  • Datenminimierung – Kamerabereich, Blickwinkel und Speicherfrist sollten auf das notwendige Minimum beschränkt sein,
  • Integrität und Vertraulichkeit – der Zugriff auf Aufnahmen muss kontrolliert, protokolliert und geschützt werden,
  • Weitergabe von Material – beim Export für Dritte sollten Anonymisierung oder Pseudonymisierung berücksichtigt werden, wenn eine vollständige Identifizierung nicht erforderlich ist.

Banküberwachung und Anonymisierung von Fotos und Videoaufnahmen

In der Bankpraxis bedeutet Anonymisierung nicht die Entfernung des gesamten Materials, sondern die gezielte Bearbeitung einer Arbeits- oder Exportkopie, damit unbeteiligte Personen nicht identifiziert werden können. Meist betrifft dies die Gesichter von Kunden, Passanten, nicht am Vorfall beteiligten Mitarbeitenden sowie Kfz-Kennzeichen, die auf Aufnahmen von Parkplätzen, Zufahrten und Geldautomatenbereichen sichtbar sind.

Die automatische Unkenntlichmachung von Gesichtern und Kennzeichen basiert in der Regel auf Deep-Learning-Modellen. Ein Erkennungsmodell wird zuvor auf großen, annotierten Bilddatensätzen trainiert und anschließend eingesetzt, um Objekte in Videoframes oder Fotos zu erkennen. Erst nach erfolgreicher Erkennung legt das System eine Weichzeichnungs- oder Abdeckungsmaske über das Objekt. Diese Unterscheidung ist wesentlich: Das Training eines KI-Modells ist die vorbereitende Phase, während die produktive Unkenntlichmachung des Materials die Phase der Inferenz ist. In Umgebungen mit erhöhten Sicherheitsanforderungen wird eine On-Premise-Verarbeitung bevorzugt, ohne Übertragung von Dateien in eine öffentliche Cloud.

Bei Gallio PRO umfasst die automatische Anonymisierung ausschließlich Gesichter und Kfz-Kennzeichen. Die Software führt weder eine Anonymisierung in Echtzeit noch eine Anonymisierung von Videostreams durch. Sie erkennt auch keine Logos, Tätowierungen, Namensschilder, Dokumente oder Bildinhalte auf Monitoren automatisch. Solche Elemente können im Editor manuell unkenntlich gemacht werden.

Rechtsgrundlagen und aufsichtsrechtliche Positionen

In Finanzinstituten muss die Rechtskonformität der Videoüberwachung gesamthaft bewertet werden und nicht auf Basis eines einzigen Rechtsakts. Die DSGVO legt die allgemeinen Grundsätze fest, während EDSA-Leitlinien, Positionen der UODO und sektorspezifische Anforderungen die Auslegung in der Praxis konkretisieren.

Quelle

Umfang

Bedeutung für die Videoanonymisierung

 

DSGVO, EU 2016/679, 2016

Grundsätze der Datenverarbeitung, Sicherheit, Privacy by Design

Verlangt Zugriffsbeschränkung, Datenminimierung und angemessene Schutzmaßnahmen beim Export von Aufnahmen

EDSA-Leitlinien 3/2019, Endfassung 2020

Verarbeitung personenbezogener Daten durch Videogeräte

Bestätigen, dass Videoüberwachung der DSGVO unterliegt und eine Verhältnismäßigkeitsprüfung erfordert

Positionen und Entscheidungen der UODO

Nationale Praxis zu Personenbildern und Kfz-Kennzeichen

Stützen einen vorsichtigen Ansatz, Kennzeichen in bestimmten Kontexten als personenbezogene Daten zu behandeln

Aufsichtsrechtliche Erwartungen der KNF

Sicherheit, Risikomanagement, Business Continuity

Unterstreichen die Notwendigkeit von Zugriffskontrolle, Systemsegmentierung und Nachvollziehbarkeit von Vorgängen an Aufnahmen

Im Hinblick auf Kfz-Kennzeichen bestehen unterschiedliche Auslegungen. Einerseits neigen Leitlinien von Datenschutzbehörden und die europäische Rechtsprechung dazu, Kennzeichen als personenbezogene Daten einzustufen, wenn sie zu einer Identifizierung führen können. Andererseits wurde in Polen in Teilen der verwaltungsgerichtlichen Rechtsprechung angenommen, dass ein Kennzeichen allein nicht immer ein personenbezogenes Datum darstellt. Für Banken ist ein vorsichtiger Ansatz sicherer: Kennzeichen sollten in Materialien anonymisiert werden, die außerhalb eines engen Kreises berechtigter Empfänger weitergegeben werden.

Zentrale technische Parameter und Compliance-Metriken

Formale Compliance allein reicht nicht aus. Im Bankenumfeld zählen die Wirksamkeit der Anonymisierung und die Möglichkeit nachzuweisen, dass der Prozess stabil funktioniert. Deshalb sollten sowohl die Erkennungsqualität als auch die Sicherheit des Verarbeitungsprozesses gemessen werden.

Parameter

Beschreibung

Operative Bedeutung

 

Recall der Erkennung

Anteil korrekt erkannter Gesichter oder Kennzeichen

Ein niedriger Recall erhöht das Risiko, identifizierbare Daten im Material zu belassen

Precision der Erkennung

Anteil korrekter Treffer an allen Erkennungen

Eine niedrige Precision erhöht die Zahl fehlerhafter Maskierungen und die Kosten manueller Korrekturen

Verarbeitungslatenz der Datei

Zeitaufwand für die Anonymisierung des Materials

Beeinflusst die SLA bei der Bearbeitung von Anfragen und Sicherheitsvorfällen

Quote manueller Eingriffe

Anteil der Frames, die eine Korrektur durch den Operator erfordern

Ermöglicht die Bewertung der Modellreife und des Prozessaufwands

Speicherfrist von Aufnahmen

Dauer der Aufbewahrung des Materials

Sollte durch Zweck und Sicherheitsrichtlinie gerechtfertigt sein

In der Praxis sollte eine Bank mindestens Folgendes dokumentieren: Kamerakonfiguration, Benutzerrollen, Speicherfristen, Freigabeprozess für Exporte, Art der Anonymisierung sowie Ergebnisse qualitativer Tests der KI-Modelle. Wenn die Erkennungsqualität bei Nachtaufnahmen, Weitwinkelkameras oder Material mit niedriger Bitrate sinkt, sollte dies in den Verfahren berücksichtigt werden.

Integration in Sicherheitssysteme und Implementierungsmodell

Die Banküberwachung ist in der Regel Teil eines größeren Sicherheitsökosystems. Sie wird mit Zutrittskontrollsystemen, Alarmanlagen, Incident-Management-Systemen, Beweisarchiven und Tools zur Bearbeitung von Anfragen von Strafverfolgungsbehörden integriert. In einem solchen Setup ist die klare Trennung zwischen Quellumgebung und Arbeitsumgebung für die Anonymisierung entscheidend.

Ein On-Premise-Modell wird häufig bevorzugt, weil es den Datentransfer außerhalb der Organisation begrenzt und die Einhaltung interner Sicherheitsanforderungen erleichtert. Ein zusätzlicher Vorteil ist die größere Kontrolle über Berechtigungen, Netzwerksegmentierung, Backups und Zugriffsaudits. Wichtig ist auch, dass Gallio PRO keine aus der Erkennung von Gesichtern und Kennzeichen stammenden Daten oder andere personenbezogene Daten in Logs speichert, sofern das System korrekt konfiguriert wurde.

Praktischer Use Case – Export einer Vorfallaufnahme aus einer Bankfiliale

Das häufigste Szenario betrifft einen Sicherheitsvorfall, eine Reklamation oder einen Antrag auf Herausgabe von Material. Die Bank verfügt über die vollständige Originalaufnahme, kann diese jedoch nicht immer unverändert weitergeben.

  1. Der Operator identifiziert den Zeitbereich und die mit dem Ereignis verbundenen Kameras.
  2. Es wird eine Arbeitskopie zur Analyse und für den Export erstellt.
  3. Das Material wird einer automatischen Anonymisierung von Gesichtern und Kfz-Kennzeichen unterzogen.
  4. Der Operator führt eine Qualitätskontrolle durch und macht bei Bedarf automatisch nicht erkannte Elemente manuell unkenntlich.
  5. Der Export wird gemäß Verfahren und Rechtsgrundlage an den berechtigten Empfänger übermittelt.

Dieses Modell ermöglicht es, den Beweiswert des Originalmaterials zu erhalten und gleichzeitig das Risiko einer übermäßigen Offenlegung personenbezogener Daten Dritter zu begrenzen.