Was ist Datensouveränität?

Definition

Datensouveränität bezeichnet die Fähigkeit einer Organisation, die tatsächliche und rechtliche Kontrolle über Daten sowie über die Bedingungen ihrer Verarbeitung innerhalb einer bestimmten Jurisdiktion auszuüben. Dazu gehört die Entscheidung über den Ort der Verarbeitung und Speicherung, über grenzüberschreitende Datenübermittlungen, über beteiligte Auftragsverarbeiter sowie über technische und organisatorische Maßnahmen. Im Kontext der Bild- und Videoanonymisierung umfasst die Datensouveränität sowohl die Ausgangsmaterialien (Videoaufnahmen, Fotos) als auch abgeleitete Dateien (anonymisierte Versionen) und die Metadaten des Verarbeitungsprozesses.

Die rechtliche Grundlage in der Europäischen Union ergibt sich aus der DSGVO, insbesondere aus den Grundsätzen der Zweckbindung, Datenminimierung, Integrität und Vertraulichkeit sowie aus den Vorschriften zu Übermittlungen außerhalb des EWR. Von Bedeutung sind außerdem die Leitlinien des Europäischen Datenschutzausschusses (EDSA) zu Datenübermittlungen sowie die Rechtsprechung des EuGH, die eine wirksame Kontrolle von Datenflüssen in Drittländer verlangt. Datensouveränität verbindet rechtliche, technische und operative Aspekte, um eine DSGVO-konforme, auditierbare und gegenüber widersprüchlichen Zugriffsanforderungen aus dem Ausland resistente Datenverarbeitung sicherzustellen.

Die Rolle der Datensouveränität bei der Bild- und Videoanonymisierung

• DSGVO-Konformität - Auswahl von Verarbeitungsorten und Tools, um unzulässige Übermittlungen personenbezogener Daten aus Videoaufnahmen vor der Anonymisierung zu vermeiden. Maßgeblich sind Art. 5, Art. 25 und Kapitel V DSGVO.
• Reduzierung rechtlicher Risiken - Nach dem EuGH-Urteil in der Rechtssache C-311/18 müssen Organisationen das Risiko eines Zugriffs durch Behörden von Drittländern bewerten. On-Premise-Verarbeitung im EWR und die Reduktion externer Netzwerkabhängigkeiten können diese Bewertung vereinfachen.
• Beweiskontinuität - Videoaufnahmen dienen häufig als Beweismittel. Datensouveränität erfordert die Kontrolle über die Beweiskette, die Unveränderlichkeit der Daten und die Nachvollziehbarkeit des gesamten Anonymisierungsprozesses.
• Begrenzung der Exposition - Die Reduktion von Logs und Telemetriedaten, die auf das Vorhandensein von Gesichtern oder Kfz-Kennzeichen schließen lassen könnten, unterstützt das Prinzip der Datenminimierung.
• Nationale Unterschiede - Der Status von Kfz-Kennzeichen als personenbezogene Daten wird in den Mitgliedstaaten unterschiedlich bewertet. Der EDSA weist darauf hin, dass auch eine mittelbare Identifizierbarkeit relevant sein kann, was für eine Maskierung von Kennzeichen in veröffentlichtem Material spricht. In der Praxis empfiehlt sich ein vorsorglicher Ansatz.

Technologien zur Unterstützung der Datensouveränität

• On-Premise-Verarbeitung - Installation der Software in der eigenen Infrastruktur oder in einer privaten Cloud im EWR mit voller Kontrolle über Netzwerke und Updates.
• Edge Computing und Offline-Modus - Anonymisierung auf Workstations oder Edge-Servern ohne dauerhafte Internetverbindung.
• Containerisierung und Standortregeln - Orchestrierung mit Restricted-Egress-Regeln und explizitem Ressourcen-Pinning auf EWR-Regionen.
• Verschlüsselung - Verschlüsselung ruhender Daten mit AES gemäß FIPS 197 sowie Absicherung der Übertragung mit TLS 1.3 gemäß RFC 8446. Schlüsselmanagement über im EWR betriebene HSMs.
• Kontrolle von Datenübermittlungen - Transfer Impact Assessments (TIA), Standardvertragsklauseln (SCC) und ergänzende Maßnahmen gemäß den Empfehlungen des EDSA.
• Rechenschaftspflicht - Unveränderliche Audit-Logs des Prozesses (Datei-Hashes, Zeitstempel), ohne Logs, die biometrische Merkmale oder Objekterkennungen offenlegen.
• Privacy Engineering - Privacy by Design nach ISO/IEC 27701, Pseudonymisierung und Minimierung des für die Gesichts- und Kennzeichenerkennung erforderlichen Datenumfangs.

Zentrale Parameter und Kennzahlen - Datensouveränität

Herausforderungen und Grenzen

• Jurisdiktionskonflikte - Risiko eines Datenzugriffs auf Grundlage von Rechtsvorschriften aus Drittländern. Erfordert Transferbewertungen und technische Maßnahmen, die den Zugriff auf unverschlüsselte Daten erschweren.
• Unterschiedliche Rechtsauslegungen - Behörden und Gerichte bewerten den Personenbezug von Kfz-Kennzeichen unterschiedlich. Der EDSA betont die mittelbare Identifizierbarkeit und erhöht damit den Schutzstandard bei der Veröffentlichung von Aufnahmen aus dem öffentlichen Raum.
• Anbieterabhängigkeiten - Bestimmte Cloud-Lösungen können verdeckte Datenübermittlungen oder externe Telemetrie verursachen. Komponenten mit Metadatenabfluss außerhalb der kontrollierten Infrastruktur sollten vermieden werden.
• Balance zwischen Rechenschaftspflicht und Datenminimierung - Logs müssen Audits und Beweisketten ermöglichen, dürfen jedoch keine identifizierenden Informationen enthalten.

Anwendungsbeispiele - Bild- und Videoanonymisierung

• Eine kommunale Stelle verarbeitet Überwachungsvideos auf On-Premise-Servern im EWR, anonymisiert Gesichter und Kfz-Kennzeichen und speichert Originalversionen in einer separaten Zone mit kurzer Aufbewahrungsfrist. Der Verzicht auf externe Dienste und Detektions-Telemetrie stärkt die Datensouveränität.
• Ein Industrieunternehmen stellt Partnern anonymisierte Aufnahmen aus Produktionshallen bereit. Die gesamte Pipeline läuft in einem isolierten Netzwerk, die Verschlüsselungsschlüssel liegen in national betriebenen HSMs. Grenzüberschreitende Übermittlungen betreffen ausschließlich bereits anonymisierte Dateien.
• Eine Forschungseinrichtung erstellt anonymisierte Bilddatensätze für Publikationen. Vorab werden DPIA und TIA durchgeführt, der Datenabfluss wird technisch blockiert. TLS 1.3 und AES sind implementiert, und Audits decken jeden Schritt der Detektion und Maskierung ab.
• On-Premise-Lösungen der Klasse Gallio PRO: automatische Maskierung von Gesichtern und Kfz-Kennzeichen, keine Maskierung ganzer Körper, keine Live-Stream-Anonymisierung sowie optionale manuelle Maskierung weiterer Objekte im Editor. Der Verzicht auf Detektions-Logs reduziert die Datenexposition.

Normative Verweise und Quellen

1. DSGVO - Verordnung (EU) 2016/679 vom 27.04.2016, insbesondere Art. 5, Art. 25 und Kapitel V.
2. EDSA, Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungsinstrumenten, Version 2.0, 18.06.2021.
3. EuGH, Urteil vom 16.07.2020, C-311/18, Data Protection Commissioner gegen Facebook Ireland und Maximillian Schrems (Schrems II).
4. EDSA, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, 29.01.2020.
5. ISO/IEC 27001:2022 - Informationssicherheits-, Cybersicherheits- und Datenschutz-Managementsysteme.
6. ISO/IEC 27002:2022 - Sicherheitsmaßnahmen (Logging, Monitoring, Kryptografie).
7. ISO/IEC 27701:2019 - Erweiterung zu ISO/IEC 27001 und 27002 für Datenschutz-Informationsmanagement.
8. ISO/IEC 27018:2019 - Schutz personenbezogener Daten in Public Clouds.
9. FIPS 197 - Advanced Encryption Standard (AES), NIST, 2001.
10. RFC 8446 - Transport Layer Security (TLS) Protocol Version 1.3, IETF, 2018.
11. Verordnung (EU) 2023/2854 - Data Act, 13.12.2023, u.a. Schutz vor unbefugtem grenzüberschreitendem Zugriff auf in der EU gespeicherte Daten.