Export von Aufnahmen und DSGVO – was bedeutet das?

Export von Aufnahmen und DSGVO – Definition

Der Export von Aufnahmen außerhalb des EWR im Zusammenhang mit der DSGVO umfasst eine Reihe rechtlicher und organisatorischer Anforderungen, die gelten, wenn Videoaufnahmen oder Fotos mit personenbezogenen Daten außerhalb des Europäischen Wirtschaftsraums übermittelt werden. In der Praxis geht es um die Übertragung von Dateien, Arbeitskopien, Backups, Analysematerial, Trainingsdaten für KI-Modelle oder um den Fernzugriff auf ein System, sofern sich der Empfänger oder die verarbeitende Infrastruktur außerhalb des EWR befindet.

Im Kontext von Bild- und Videomaterial umfassen personenbezogene Daten in erster Linie das Gesicht einer Person sowie – je nach Identifizierungskontext – Kfz-Kennzeichen. Rechtsgrundlage sind insbesondere Art. 4 Nr. 1 sowie Art. 44–49 der Verordnung (EU) 2016/679, also der DSGVO, ebenso wie die Rechtsprechung des Gerichtshofs der Europäischen Union, darunter das Urteil in der Rechtssache C-311/18 vom 16. Juli 2020, bekannt als Schrems II. Eine Datenübermittlung ist nur zulässig, wenn der Verantwortliche ein angemessenes Datenschutzniveau im Drittland sicherstellt oder einen Mechanismus nach Kapitel V DSGVO anwendet.

Für Videomaterial ist die Unterscheidung zwischen Anonymisierung und Pseudonymisierung besonders wichtig. Wurde ein Gesicht oder ein Kfz-Kennzeichen nur reversibel unkenntlich gemacht und bewahrt der Verantwortliche die Originalversion oder den Schlüssel zur Wiederherstellung auf, handelt es sich weiterhin um personenbezogene Daten. Wird die Identifizierung einer Person mit vernünftigerweise wahrscheinlichen Mitteln irreversibel unmöglich, kann das Material aus dem Anwendungsbereich der DSGVO herausfallen. Diese Sichtweise ergibt sich aus Erwägungsgrund 26 DSGVO sowie aus der Stellungnahme 05/2014 der Artikel-29-Datenschutzgruppe zu Anonymisierungstechniken.

Wann der Export von Aufnahmen außerhalb des EWR eine Übermittlung personenbezogener Daten darstellt

Nicht jeder Dateiexport im technischen Sinne ist rechtlich neutral. Für die DSGVO ist nicht die Bezeichnung des Vorgangs entscheidend, sondern ob ein Empfänger außerhalb des EWR Zugang zu personenbezogenen Daten erhält oder diese verarbeiten kann. Das betrifft auch Cloud-Umgebungen, Support-Dienste, Datenlabeling-Tools und Unterauftragnehmer, die Erkennungsmodelle trainieren.

Als Übermittlung in ein Drittland außerhalb des EWR gelten in der Regel insbesondere folgende Situationen:

  • Versand einer Aufnahme an ein Unternehmen mit Sitz außerhalb des EWR,
  • Speicherung einer Aufnahme auf einer Infrastruktur außerhalb des EWR,
  • Fernzugriff eines Verantwortlichen, Auftragsverarbeiters oder sonstigen Empfängers außerhalb des EWR auf im EWR gespeichertes Material,
  • Bereitstellung eines Datensatzes mit Fotos oder Videoframes zum Training oder Testen eines KI-Modells außerhalb des EWR,
  • Replikation von Sicherungskopien in ein Rechenzentrum außerhalb des EWR.

Der Europäische Datenschutzausschuss legt in den Leitlinien 05/2021 den Begriff der Übermittlung weit aus. In der Praxis bedeutet das, dass bereits die bloße Zugänglichmachung von Aufnahmen aus einem Drittland die Pflichten aus Art. 44–49 DSGVO auslösen kann.

Mechanismen zur Legitimierung der Übermittlung von Aufnahmen außerhalb des EWR

Enthält Video- oder Bildmaterial identifizierbare Personen, sollte der Verantwortliche zunächst prüfen, ob die Übermittlung überhaupt erforderlich ist. Erst danach sollte der passende Rechtsmechanismus ausgewählt werden. Die DSGVO sieht dabei eine Hierarchie der Lösungen vor.

Mechanismus

Rechtsgrundlage

Wann anzuwenden

Praktische Hinweise

 

Angemessenheitsbeschluss

Art. 45 DSGVO

Wenn die Europäische Kommission einen Beschluss für ein Land oder in bestimmten Fällen für ein Gebiet oder einen Sektor erlassen hat

Die einfachste Variante, jedoch müssen Geltungsbereich und Aktualität des Beschlusses geprüft werden

Standardvertragsklauseln

Art. 46 Abs. 2 Buchst. c DSGVO

Wenn kein Angemessenheitsbeschluss vorliegt

Erfordern eine Prüfung des Rechts im Drittland und gegebenenfalls zusätzliche Maßnahmen nach Schrems II

Verbindliche interne Datenschutzvorschriften

Art. 47 DSGVO

Bei konzerninternen Übermittlungen oder innerhalb einer Unternehmensgruppe mit gemeinsamer wirtschaftlicher Tätigkeit

Eine Lösung für große Organisationen, aber aufwendig in der Umsetzung

Ausnahmen für bestimmte Fälle

Art. 49 DSGVO

Für gelegentliche und begrenzte Situationen

Sollten nicht als Grundlage für dauerhafte oder massenhafte Übermittlungen von Aufnahmen dienen

Nach dem Urteil Schrems II kann die bloße Unterzeichnung von Standardvertragsklauseln unzureichend sein. Erforderlich sein kann eine Bewertung der Auswirkungen der Übermittlung auf den Datenschutz, also eine Analyse, ob das Recht des Importstaates den durch die Klauseln gewährleisteten Schutz beeinträchtigt. Dies wird auch durch die Empfehlungen 01/2020 des EDSA bestätigt, aktualisiert am 18. Juni 2021.

Wann die Anonymisierung von Aufnahmen erforderlich oder praktisch unverzichtbar ist

Bei Fotos und Videos ist die Anonymisierung von Aufnahmen die sicherste Lösung, wenn der Verantwortliche das Risiko einer Drittlandübermittlung begrenzen oder das Material vollständig aus dem Anwendungsbereich von Kapitel V DSGVO herausnehmen möchte. Voraussetzung ist jedoch, dass der Prozess technisch wirksam und irreversibel ist.

Besonders relevant wird die Anonymisierung, wenn:

  • Aufnahmen an einen Anbieter außerhalb des EWR zur Analyse, Bearbeitung oder Archivierung übermittelt werden sollen,
  • das Material zum Training von KI-Modellen zur Erkennung von Gesichtern oder Kfz-Kennzeichen verwendet werden soll,
  • der Verantwortliche keine wirksamen ergänzenden Maßnahmen für die Übermittlung nachweisen kann,
  • der Verarbeitungszweck es nicht erfordert, ein identifizierbares Bild einer Person zu erhalten.

In der Praxis bedeutet das das Unkenntlichmachen von Gesichtern und – je nach Kontext sowie Zweck der Veröffentlichung oder Weitergabe – auch von Kfz-Kennzeichen. In vielen europäischen Staaten werden Kfz-Kennzeichen zumindest als Informationen betrachtet, die eine indirekte Identifizierung ermöglichen können, auch wenn die Bewertung von den Umständen des Einzelfalls abhängt. Auch in Polen ist die Lage nicht völlig eindeutig: In der Praxis der Behörden und in Teilen der Rechtsprechung wird die Möglichkeit einer indirekten Identifizierung betont, zugleich gibt es gerichtliche Entscheidungen, nach denen ein Kfz-Kennzeichen für sich genommen nicht immer ein personenbezogenes Datum darstellt.

Technische Aspekte der Anonymisierung von Fotos und Videos vor dem Export

Bei visuellem Material erfordert eine wirksame Anonymisierung die Erkennung von Objekten in jedem einzelnen Frame sowie die Aufrechterhaltung einer kontinuierlichen Verfolgung. In der Praxis werden dafür Deep-Learning-Modelle zur Gesichts- und Kennzeichenerkennung eingesetzt, anschließend Tracking-Algorithmen, damit die Unkenntlichmachung bei Änderungen des Blickwinkels, der Beleuchtung oder bei teilweiser Verdeckung des Objekts nicht verschwindet.

Eine typische technische Verarbeitungskette umfasst:

  • Objekterkennung – Face Detection, License Plate Detection,
  • Frame-übergreifendes Tracking – Beibehaltung einer Objekt-ID über die Zeit,
  • Bildredaktion – Blur, Pixelation oder eine irreversible Maske,
  • Qualitätskontrolle – Prüfung auf False Negatives, also nicht erkannte Gesichter oder Kennzeichen,
  • Export der Ergebnisdatei ohne Beibehaltung einer Ebene, die eine Rückgängigmachung der Redaktion ermöglichen würde.

Für die Compliance sind die Qualitätsmetriken des Modells entscheidend. In Compliance-Anwendungen sind Recall und False-Negative-Rate oft wichtiger als die durchschnittliche Geschwindigkeit. Recall lässt sich wie folgt darstellen: recall = TP / (TP + FN), wobei TP korrekt erkannte Objekte und FN übersehene Objekte bezeichnet. Bei der Anonymisierung steigt das regulatorische Risiko mit zunehmendem FN-Wert, da jedes nicht erkannte Gesicht eine Offenlegung personenbezogener Daten bedeuten kann. Eine hohe Präzision allein reicht nicht aus, wenn das System einen Teil der Objekte übersieht.

Gallio PRO macht automatisch ausschließlich Gesichter und Kfz-Kennzeichen unkenntlich. Logos, Tätowierungen, Namensschilder, Dokumente oder Inhalte auf Monitoren werden nicht automatisch erkannt. Solche Elemente können manuell im Editor redigiert werden. Die Software führt weder eine Echtzeit-Anonymisierung noch eine Anonymisierung von Videostreams durch.

Zentrale Pflichten des Verantwortlichen beim Export von Aufnahmen

Allein die Wahl des Anbieters oder des Übertragungskanals schließt die Compliance-Prüfung nicht ab. Der Verantwortliche muss Rechenschaftspflicht nachweisen und seine Entscheidungen dokumentieren. Das ist besonders wichtig, wenn das Material Videoüberwachung, Verkehrsvorfälle, Aufnahmen aus Arbeitsstätten oder Bilder unbeteiligter Personen umfasst.

Das Mindestmaß an Maßnahmen umfasst in der Regel:

  • Festlegung des Zwecks des Exports und der Rechtsgrundlage der Verarbeitung nach Art. 6 DSGVO,
  • Prüfung, ob das Material personenbezogene Daten enthält und ob eine Anonymisierung vor der Übermittlung möglich ist,
  • Auswahl des Übermittlungsmechanismus nach Art. 45–49 DSGVO,
  • Risikobewertung und gegebenenfalls eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO,
  • Abschluss eines Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter nach Art. 28 DSGVO,
  • Umsetzung von Sicherheitsmaßnahmen nach Art. 32 DSGVO, einschließlich Verschlüsselung und Zugriffskontrolle,
  • Festlegung von Speicherfristen sowie der Löschung von Arbeitskopien und Backups.

Normative Verweise und Auslegungspraxis

Bei der Bewertung des Exports von Aufnahmen empfiehlt es sich, auf Primärquellen zurückzugreifen. Diese bieten eine stabilere Grundlage als Sekundärquellen oder bloße Marktpraktiken.

  • Verordnung (EU) 2016/679, insbesondere Art. 4, 28, 32, 35, 44–49 sowie Erwägungsgrund 26 – Europäisches Parlament und Rat, 27. April 2016
  • Urteil des EuGH C-311/18, Data Protection Commissioner gegen Facebook Ireland und Maximillian Schrems – 16. Juli 2020
  • EDSA, Leitlinien 05/2021 zum Zusammenspiel von Art. 3 und den Vorschriften über internationale Datenübermittlungen – verabschiedete Fassung vom 14. Februar 2023
  • EDSA, Empfehlungen 01/2020 zu ergänzenden Maßnahmen für Übermittlungsinstrumente – Version 2.0 vom 18. Juni 2021
  • Artikel-29-Datenschutzgruppe, Stellungnahme 05/2014 zu Anonymisierungstechniken – 10. April 2014