Biometrische Daten in Videomaterial sind eine besondere Kategorie personenbezogener Daten, wenn sie mit speziellen technischen Verfahren verarbeitet werden, um eine natürliche Person eindeutig zu identifizieren. Dieses Verständnis ergibt sich aus Art. 4 Nr. 14 sowie Art. 9 Abs. 1 der Verordnung (EU) 2016/679, also der DSGVO. In der Praxis bedeutet das: Die bloße Aufzeichnung eines Gesichts ist nicht immer schon ein biometrisches Datum, sie kann jedoch dazu werden, wenn das Gesichtsbild algorithmisch analysiert wird, um die Identität einer bestimmten Person zu erkennen oder zu bestätigen.
Biometrische Daten – DSGVO Art. 9 (Video) – Definition
Die DSGVO definiert biometrische Daten als personenbezogene Daten, die durch eine spezielle technische Verarbeitung gewonnen werden und sich auf die physischen, physiologischen oder verhaltensbezogenen Merkmale einer natürlichen Person beziehen, die die eindeutige Identifizierung dieser Person ermöglichen oder bestätigen. Im Videobereich geht es dabei meist um das Gesichtsbild, die Gesichtsgeometrie, charakteristische anatomische Merkmale, das Gangbild oder andere Merkmale, die aus einer Aufnahme extrahiert werden können.
Entscheidend sind hier zwei Voraussetzungen. Erstens muss eine technische Verarbeitung vorliegen, die über das bloße Speichern oder Abspielen eines Bildes hinausgeht. Zweitens muss die Verarbeitung dem Zweck dienen, eine Person eindeutig zu identifizieren. Deshalb umfasst eine klassische Videoüberwachungsaufnahme nicht immer biometrische Daten. Wenn ein System jedoch einen Gesichtsmerkmalsvektor extrahiert, ihn mit einer Referenzdatenbank abgleicht oder die Suche nach einer bestimmten Person anhand des Gesichts ermöglicht, bewegt man sich im Anwendungsbereich von Art. 9 DSGVO.
Der Europäische Datenschutzausschuss hat darauf hingewiesen, dass ein bloßes Gesichtsbild nicht automatisch Daten einer besonderen Kategorie darstellt. Maßgeblich für die Einordnung sind der Verarbeitungskontext und der Zweck der Verarbeitung. Diese Unterscheidung ist für die Anonymisierung von Fotos und Videoaufnahmen besonders wichtig. Ein System, das ausschließlich zur Gesichtserkennung im Sinne der Lokalisierung eines Gesichts für dessen Unkenntlichmachung eingesetzt wird, muss nicht zur Identifizierung einer Person führen. Ein System zur Gesichtserkennung im Sinne von Face Recognition hingegen schon.
Verbot der Verarbeitung biometrischer Daten in Videos
Art. 9 Abs. 1 DSGVO statuiert grundsätzlich ein Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten, darunter biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person. Für Verantwortliche, die Videomaterial verarbeiten, bedeutet dies, dass Gesichtserkennung, der Abgleich von Gesichtern mit Datenbanken oder jede andere biometrische Verarbeitung, die zu einer eindeutigen Identifizierung führt, eine besondere Rechtsgrundlage erfordert. Ein bloßer allgemeiner Verweis auf Sicherheit oder operative Bequemlichkeit reicht nicht aus.
In der Praxis sind drei Situationen zu unterscheiden:
- bloße Bildaufzeichnung – bedeutet nicht immer die Verarbeitung biometrischer Daten,
- Gesichtsdetektion zur Anonymisierung – dient grundsätzlich der Lokalisierung eines Objekts im Bild und nicht der Identifizierung einer Person,
- Gesichtserkennung – fällt grundsätzlich unter Art. 9 DSGVO, wenn sie zu einer eindeutigen Identifizierung führt.
Diese Differenzierung ist besonders wichtig bei der Bewertung von Tools zur Anonymisierung. Ein Deep-Learning-Modell kann notwendig sein, um Gesichter oder Kfz-Kennzeichen auf Fotos und Videoaufnahmen automatisch zu erkennen, doch der bloße Einsatz eines neuronalen Netzes bedeutet noch keine Verarbeitung biometrischer Daten im Sinne von Art. 9. Entscheidend sind der Zweck des Systems und die Art der Nutzung der Analyseergebnisse.
Ausnahmen vom Verbot – wann die Verarbeitung zulässig sein kann
Das Verbot nach Art. 9 Abs. 1 DSGVO ist nicht absolut. Art. 9 Abs. 2 enthält einen abschließenden Katalog von Ausnahmen. Im Zusammenhang mit Videoaufnahmen werden meist einige wenige Rechtsgrundlagen näher geprüft, wobei jede von ihnen eng auszulegen und zu dokumentieren ist.
Ausnahme nach Art. 9 Abs. 2 DSGVO | Praktische Bedeutung für Video | Compliance-Hinweise
|
|---|---|---|
Ausdrückliche Einwilligung der betroffenen Person | Kann die Gesichtserkennung rechtfertigen | Muss freiwillig, konkret, informiert und widerruflich sein |
Erhebliches öffentliches Interesse auf Grundlage von Unionsrecht oder nationalem Recht | In regulierten Sektoren möglich | Erfordert eine konkrete gesetzliche Grundlage und geeignete Garantien |
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen | Kann bei Beweismaterial ausnahmsweise relevant sein | Rechtfertigt keine dauerhafte Einführung eines Gesichtserkennungssystems |
Wichtiges öffentliches Interesse nach Maßgabe des Rechts | Nur bei ausdrücklicher gesetzlicher Ermächtigung möglich | Darf nicht allein aus der Entscheidung des Verantwortlichen abgeleitet werden |
Bei gewöhnlichen Prozessen wie der Veröffentlichung von Aufnahmen, Schulungsmaterialien, der Dokumentation von Vorfällen oder der Weitergabe von Videos an Dritte ist die sicherste Lösung, biometrische Verarbeitung zu vermeiden und Gesichter vorab zu anonymisieren.
Bedeutung für die Anonymisierung von Fotos und Videoaufnahmen
Im Bereich des Datenschutzes und der Privatsphäre besteht das Ziel der Anonymisierung darin, die Möglichkeit der Identifizierung einer auf dem Material sichtbaren Person zu reduzieren oder auszuschließen. In der Praxis werden am häufigsten Gesichter und Kfz-Kennzeichen verpixelt oder unkenntlich gemacht. Ein solcher Prozess verringert das Risiko eines DSGVO-Verstoßes bei der weiteren Nutzung der Aufnahme, etwa bei Veröffentlichung, Weitergabe an einen Auftragnehmer, Verwendung zu Schulungszwecken oder vorübergehender Archivierung.
Technisch basiert das automatische Unkenntlichmachen von Gesichtern in der Regel auf Modellen des maschinellen Lernens, meist auf Deep Learning. Das Modell lernt zunächst anhand eines Trainingsdatensatzes, Bereiche zu erkennen, die einem Gesicht entsprechen, lokalisiert dann das Gesicht im Bildausschnitt und übergibt die Koordinaten an das Maskierungsmodul. Dabei handelt es sich um Objekterkennung und nicht zwingend um Personenidentifizierung. Aus Compliance-Sicht ist das ein wesentlicher Unterschied.
In der Gallio-PRO-Umgebung betrifft die Automatisierung Gesichter und Kfz-Kennzeichen. Die Software führt keine Anonymisierung in Echtzeit durch und ist nicht für die Anonymisierung von Videostreams vorgesehen. Ganze Körper werden nicht unkenntlich gemacht. Logotypen, Tätowierungen, Namensschilder, Dokumente oder Bildinhalte auf Monitoren werden nicht automatisch erkannt. Solche Elemente können im Editor manuell unkenntlich gemacht werden. Das ist für die Risikobewertung wichtig, denn der Verantwortliche sollte prüfen, ob neben Gesichtern und Kennzeichen noch weitere Identifikatoren im Material vorhanden sind.
Pflichten des Verantwortlichen bei der Videoverarbeitung
Kann Videomaterial zur Identifizierung von Personen führen, muss der Verantwortliche die Grundsätze aus Art. 5 und Art. 25 DSGVO umsetzen. In der Praxis bedeutet dies einen Ansatz nach Privacy by Design und Privacy by Default. Bei potenziell biometrischer Verarbeitung gehen die Pflichten noch weiter.
- Festlegung des Verarbeitungszwecks und der Rechtsgrundlage vor Start des Prozesses,
- Bewertung, ob die Gesichtsanalyse ausschließlich der Detektion zur Anonymisierung dient oder auch der Identifizierung,
- Datenminimierung hinsichtlich Umfang und Speicherdauer der Aufnahmen,
- Umsetzung technischer und organisatorischer Maßnahmen entsprechend dem Risiko,
- Durchführung einer Datenschutz-Folgenabschätzung, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt,
- Regelung des Zugriffs auf nicht anonymisierte Materialien,
- Sicherstellung der Rechenschaftspflicht, einschließlich der Dokumentation von Entscheidungen und der Konfiguration des Anonymisierungsprozesses.
Bei On-Premise-Lösungen ist ein zusätzlicher Vorteil, dass Dateien innerhalb der eigenen Infrastruktur der Organisation verbleiben können. Das reduziert die Exposition der Daten bei einer Übermittlung an externe Dienste. Das Implementierungsmodell allein befreit jedoch nicht von den Pflichten aus der DSGVO.
Zentrale Parameter und Metriken im Prozess der Videoanonymisierung
Die Wirksamkeit der Anonymisierung sollte nicht nur beschreibend bewertet werden. In der Praxis ist es sinnvoll, die Qualität der Detektion und das Risiko messbar zu machen, dass identifizierbare Bilder verbleiben. Die Parameter sollten für den jeweiligen Materialtyp dokumentiert werden, zum Beispiel für CCTV, Bodycam-Aufnahmen, mobile Videos oder Pressefotos.
Parameter | Bedeutung | Compliance-Relevanz
|
|---|---|---|
Recall der Detektion | Anteil der tatsächlich vorhandenen Gesichter, die vom System erkannt werden | Ein niedriger Recall erhöht das Risiko, dass nicht anonymisierte Gesichter zurückbleiben |
Precision der Detektion | Anteil korrekter Treffer an allen Erkennungen | Eine niedrige Precision mindert die Materialqualität, wirkt sich aber meist weniger auf die Privatsphäre aus als ein niedriger Recall |
False-Negative-Rate | Anteil übersehener Gesichter | Zentraler Risikoindikator für die Offenlegung personenbezogener Daten |
IoU – Intersection over Union | Genauigkeit der Lage des Erkennungsrahmens im Verhältnis zum Objekt | Ein zu niedriger IoU-Wert kann dazu führen, dass Teile des Gesichts außerhalb der Maske bleiben |
Verarbeitungszeit pro Datei | Leistung des Batch-Prozesses | Relevant für die operative Planung, aber nicht allein ausschlaggebend für die rechtliche Konformität |
Wenn eine Organisation automatische Anonymisierung nutzt, empfiehlt sich ein Verfahren zur Qualitätskontrolle nach der Verarbeitung. In der Praxis bedeutet dies eine manuelle Stichprobenprüfung, Eskalationsregeln und zusätzliches Maskieren von Elementen, die nicht automatisch erkannt wurden.
Normative und auslegungsbezogene Bezüge
Bei der Bewertung biometrischer Daten in Videos sollte man sich in erster Linie auf Rechtsakte und Leitlinien europäischer Stellen stützen. Die wichtigsten Bezugspunkte sind:
- Verordnung (EU) 2016/679 – Art. 4 Nr. 14, Art. 9, Art. 25, Art. 35,
- EDSA – Guidelines 3/2019 on processing of personal data through video devices, in der nach Konsultation 2020 angenommenen Fassung,
- die Rechtsprechung des EuGH zum weiten Verständnis personenbezogener Daten und der Identifizierbarkeit,
- nationale Leitlinien der Aufsichtsbehörden, auch zur Veröffentlichung von Bildnissen und zur Datenminimierung.
Praktisch ist außerdem zu beachten, dass die Pflicht zur Anonymisierung von Gesichtern bei der Veröffentlichung oder Weitergabe von Materialien nicht nur aus der DSGVO folgen kann, sondern auch aus Vorschriften zum Schutz des allgemeinen Persönlichkeitsrechts und des Rechts am eigenen Bild. Ausnahmen betreffen in der Regel Personen des öffentlichen Lebens, Bildnisse als Beiwerk neben einer Landschaft, Versammlung oder öffentlichen Veranstaltung sowie Fälle, in denen die Person ein vereinbartes Honorar für das Posieren erhalten hat. Jeder dieser Fälle erfordert jedoch eine gesonderte rechtliche Prüfung.