Chain of Custody bei Videoaufnahmen - Definition
Die Chain of Custody, auf Deutsch auch Beweismittelkette oder Beweissicherungskette genannt, ist eine dokumentierte und überprüfbare Aufzeichnung darüber, wer, wann, zu welchem Zweck und in welchem Umfang Zugriff auf Videomaterial oder Fotos hatte und welche Vorgänge an der Datei, dem Datenträger oder einer Kopie vorgenommen wurden. In der Compliance-Praxis bedeutet dies, die lückenlose Nachvollziehbarkeit des Materials vom Zeitpunkt der Erfassung über Export, Transfer, Speicherung, Analyse und die Anonymisierung von Gesichtern und Kfz-Kennzeichen bis hin zur Offenlegung oder Archivierung sicherzustellen.
Im Kontext von Videoaufnahmen erfüllt die Chain of Custody zwei Zwecke. Erstens soll sie die Integrität des Materials belegen, also das Fehlen nicht dokumentierter Veränderungen. Zweitens soll sie die Rechtmäßigkeit und Verhältnismäßigkeit der Verarbeitung personenbezogener Daten nachweisen, die im Bild erkennbar sind. Das betrifft insbesondere Materialien, die Abbildungen von Personen, Kfz-Kennzeichen oder andere Informationen enthalten, die eine Identifizierung ermöglichen können. Aus beweisrechtlicher und regulatorischer Sicht kommt es nicht nur auf die Datei selbst an, sondern auch auf Metadaten, Prüfsummen, die Verarbeitungsumgebung, die Berechtigungen der Operatoren und die Versionshistorie.
Die Bedeutung der Beweismittelkette ergibt sich aus den allgemeinen Grundsätzen der Informationssicherheit und Rechenschaftspflicht. Im Datenschutz sind insbesondere Art. 5 Abs. 1 lit. f und Art. 5 Abs. 2 DSGVO maßgeblich, also Integrität, Vertraulichkeit und Rechenschaftspflicht, sowie Art. 32 DSGVO zur Sicherheit der Verarbeitung. In der Praxis sind zudem die Normen ISO/IEC 27001:2022, ISO/IEC 27002:2022, ISO/IEC 27037:2012 und ISO/IEC 27042:2015 hilfreich, die die Identifizierung, Erhebung, Sicherung und Bewertung digitaler Beweismittel beschreiben.
Wie ist die Beweismittelkette bei der Anonymisierung von Videoaufnahmen zu verstehen?
Die Anonymisierung von Videomaterial beseitigt nicht die Notwendigkeit, den Beweiswert zu erhalten. Im Gegenteil: Sie erfordert eine klare Trennung zwischen dem Ausgangsmaterial und dem verarbeiteten Material. Wenn in einer Organisation Gesichter oder Kfz-Kennzeichen vor der Weitergabe einer Aufnahme unkenntlich gemacht werden, muss nachweisbar sein, dass die veröffentlichte Version von einer konkreten Ursprungsdatei abgeleitet wurde und der Vorgang selbst kontrolliert durchgeführt worden ist.
In diesem Modell gibt es in der Regel mindestens zwei Versionen des Materials:
- die Ursprungsfassung - unverändert, mit erhaltener Prüfsumme und eingeschränktem Zugriff,
- die Arbeitsversion oder eine zur Weitergabe bestimmte Kopie nach der Verarbeitung - mit dokumentierter Anonymisierung, Export und Umfang der Bildredaktion.
Wird zur Erkennung von Gesichtern oder Kfz-Kennzeichen ein KI-Modell eingesetzt, sollte für Audit-Zwecke nicht nur die Unkenntlichmachung selbst dokumentiert werden, sondern auch die Prozessparameter. Deep Learning ist eine der Techniken, die zum Aufbau von Modellen zur Objekterkennung verwendet werden und später die Markierung der zu verpixelnden Bereiche automatisieren. Aus Sicht der Chain of Custody ist jedoch nicht das Training des Modells entscheidend, sondern welche Modellversion verwendet wurde, wann die Erkennung durchgeführt wurde, wer das Ergebnis freigegeben hat und ob manuelle Eingriffe in der Historie der Verarbeitungsschritte erfasst wurden.
In der Gallio-PRO-Umgebung ist dabei klar zwischen dem Umfang der Automatisierung und manuellen Maßnahmen zu unterscheiden. Die Software macht ausschließlich Gesichter und Kfz-Kennzeichen automatisch unkenntlich. Logos, Tätowierungen, Namensschilder, Dokumente oder Bildinhalte auf Bildschirmen werden nicht automatisch erkannt. Solche Elemente können im Editor manuell verpixelt oder unkenntlich gemacht werden. Jeder manuelle Eingriff sollte in der Dokumentation der Beweismittelkette berücksichtigt werden.
Wie lässt sich jeder Verarbeitungsschritt von Videomaterial dokumentieren?
Eine belastbare Chain of Custody basiert auf einem wiederholbaren Ereignisprotokoll. Die bloße Speicherung einer Datei reicht nicht aus. Es muss möglich sein, den Lebenszyklus des Materials von der Erfassung bis zur Löschung oder Übergabe nachzuweisen. In der Praxis bewährt sich am besten ein Ansatz auf Basis von Ereignissen, Identifikatoren und Prüfsummen.
Der Mindestumfang der Dokumentation umfasst in der Regel:
- eine eindeutige Kennung für Vorgang, Datenträger und Datei,
- Datum und Uhrzeit der Erfassung einschließlich Zeitzone,
- die Quelle der Aufnahme, zum Beispiel CCTV-Kamera, Bodycam, Mobiltelefon oder Dashcam,
- die Person oder das System, die bzw. das den Import, das Kopieren oder den Export durchgeführt hat,
- die Prüfsumme der Datei, meist SHA-256,
- den logischen und physischen Speicherort des Datenträgers oder Repositorys,
- die Zugriffshistorie und Änderungen von Berechtigungen,
- den Umfang der Anonymisierung - Gesichter, Kfz-Kennzeichen, manuell unkenntlich gemachte Bereiche,
- die Version des eingesetzten Tools und der verwendeten Konfiguration,
- Informationen zu Export, Übergabe, Aufbewahrung oder Löschung.
Eine einfache Regel ist sinnvoll: Jeder Vorgang am Material sollte eine beweisrelevante Spur hinterlassen, die Spur selbst sollte jedoch keine personenbezogenen Daten enthalten, die über das für die Rechenschaftspflicht erforderliche Minimum hinausgehen. Das ist auch deshalb wichtig, weil Systeme zur Anonymisierung keine Protokolle mit unnötigen personenbezogenen Daten erzeugen sollten. In der Gallio-PRO-Umgebung entspricht die Grundannahme genau diesem Ansatz - die Software erfasst keine Logs mit personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten.
Wichtige Attribute und Kennzahlen der Chain of Custody bei Videoaufnahmen
Der Beweiswert hängt davon ab, ob sich Integrität, Authentizität und Zugriffskontrolle nachweisen lassen. Für Compliance-Teams sind messbare Kennzahlen hilfreich. Nicht alle haben normativen Charakter, aber sie erleichtern Audits und die Risikobewertung.
Attribut | Praktische Beschreibung | Beispielhafte Kennzahl
|
|---|---|---|
Dateiintegrität | Möglichkeit, zu bestätigen, dass die Ursprungsdatei nicht verändert wurde | Übereinstimmung der SHA-256-Prüfsumme vor und nach dem Transfer |
Vollständigkeit des Protokolls | Anteil der in der Vorgangshistorie dokumentierten Verarbeitungsschritte | 100 % der kritischen Ereignisse mit Operator-ID und Zeitstempel |
Nachverfolgbarkeit | Möglichkeit, Versionen mit dem Ausgangsmaterial zu verknüpfen | Anzahl der Versionen mit vollständigem Verweis auf die Ursprungsdatei |
Reaktionszeit | Zeit von der Erfassung bis zur Sicherung des Materials | T1 - T0 in Minuten oder Stunden |
Zugriffskontrolle | Anzahl und Umfang der Konten mit Zugriff auf das Material | RBAC, Least-Privilege-Prinzip |
Qualität der Anonymisierung | Treffsicherheit bei der Erkennung von Objekten, die unkenntlich gemacht werden müssen | Precision, Recall, Anzahl manueller Korrekturen |
Im Bereich der Integrität werden am häufigsten Hash-Funktionen aus der SHA-2-Familie verwendet, wie sie vom NIST in FIPS 180-4 beschrieben werden. Für die Eingabedatei und die Ergebnisversion können unabhängige Hashwerte berechnet werden. Wenn das Ausgangsmaterial den Hashwert H1 und die Arbeitskopie H2 hat, sollte die Dokumentation erklären, warum H1 und H2 unterschiedlich sind, zum Beispiel aufgrund der durchgeführten Anonymisierung oder einer Änderung des Datei-Containers.
Eine einfache Schreibweise kann wie folgt aussehen:
hash_integrity = SHA-256(Datei)
Bedeutung der Chain of Custody für die DSGVO-Compliance und den Schutz der Privatsphäre
In der Datenschutzpraxis ist die Chain of Custody nicht nur ein forensisches Thema. Sie ist auch ein Instrument der Rechenschaftspflicht des Verantwortlichen. Wenn eine Organisation eine Aufnahme nach der Anonymisierung veröffentlicht oder weitergibt, muss sie die Rechtsgrundlage der Verarbeitung, die Angemessenheit des Umfangs der Offenlegung sowie die technischen und organisatorischen Schutzmaßnahmen nachweisen.
Bei Videomaterial sind insbesondere folgende Punkte wichtig:
- die dokumentierte Festlegung des Verarbeitungszwecks und der Rechtsgrundlage,
- die Trennung des Ausgangsmaterials von der zur Weitergabe bestimmten Kopie,
- die Beschränkung des Zugriffs auf die nicht anonymisierte Version,
- eine mit internen Richtlinien und sektoralen Vorschriften konforme Aufbewahrung,
- die Nachweisbarkeit, dass Gesichter und Kfz-Kennzeichen dort unkenntlich gemacht wurden, wo dies erforderlich war.
Bei Gesichtern kann sich die Notwendigkeit der Anonymisierung aus den Grundsätzen der DSGVO, dem Schutz des Persönlichkeitsrechts und den Vorschriften zur Verbreitung von Bildnissen ergeben, unter Berücksichtigung von Ausnahmen für Personen des öffentlichen Lebens und für Darstellungen größerer öffentlicher Szenen. Bei Kfz-Kennzeichen ist die Rechtslage nicht vollständig einheitlich. In Polen hängt die Beurteilung, ob ein Kennzeichen personenbezogene Daten darstellt, vom Kontext und von der Möglichkeit ab, eine Person mit vernünftigerweise wahrscheinlichen Mitteln zu identifizieren. Aus Compliance-Sicht ist es sicherer, die Entscheidung und den gewählten Standard der Anonymisierung zu dokumentieren.
Herausforderungen und Grenzen der Chain of Custody bei der Videoverarbeitung
Auch ein gut konzipierter Prozess hat Grenzen. Videomaterial ist anfällig für Formatänderungen, den Verlust von Metadaten, Fehler bei der Zeitsynchronisation und Unklarheiten hinsichtlich der Quelle. Zudem garantiert die automatische Erkennung von Gesichtern und Kfz-Kennzeichen keine Trefferquote von 100 %, weshalb häufig eine manuelle Überprüfung erforderlich ist.
Zu den häufigsten Problemen gehören:
- fehlende einheitliche Systemzeit zwischen Geräten und Servern,
- der Export von Aufnahmen in Formate, die einen Teil der Metadaten entfernen,
- eine unvollständige Protokollierung manueller Verarbeitungsschritte,
- zu weit gefasste Berechtigungen der Operatoren,
- die Vermischung von Arbeitskopien mit dem Ausgangsmaterial,
- das Fehlen eines getrennten Verfahrens für die Anonymisierung und die Beweissicherung.
Daher sollte eine Organisation in ihrer Verfahrensanweisung festlegen, wann mit einer bitweisen oder logischen Kopie gearbeitet wird, wer die Anonymisierung freigibt und wie die Versionen des Materials gekennzeichnet werden. Das verringert das Risiko, dass der Beweiswert in Frage gestellt wird, und reduziert zugleich das Risiko einer Verletzung der Privatsphäre.
Normative Grundlagen und Quellen
Die folgenden Dokumente werden am häufigsten als Referenz bei der Gestaltung von Verfahren für digitale Beweismittel und die Sicherheit der Verarbeitung herangezogen:
- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 - DSGVO, insbesondere Art. 5 und Art. 32
- ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection - Information security management systems - Requirements
- ISO/IEC 27002:2022 - Information security controls
- ISO/IEC 27037:2012 - Guidelines for identification, collection, acquisition and preservation of digital evidence
- ISO/IEC 27042:2015 - Guidelines for the analysis and interpretation of digital evidence
- NIST FIPS PUB 180-4, Secure Hash Standard, August 2015
- NIST SP 800-86, Guide to Integrating Forensic Techniques into Incident Response, 2006