Die Meldung einer Verletzung des Schutzes von Videodaten ist die formelle Benachrichtigung der Aufsichtsbehörde über eine Verletzung des Schutzes personenbezogener Daten, wenn der Vorfall Foto- oder Videomaterial betrifft und ein Risiko für die Rechte oder Freiheiten natürlicher Personen verursachen kann. In der Europäischen Union ist die Rechtsgrundlage Art. 33 der Verordnung (EU) 2016/679, also der DSGVO. In Polen ist eine solche Meldung an den Präsidenten der Datenschutzbehörde UODO zu richten.
Im Zusammenhang mit Fotos und Aufnahmen geht es vor allem um Situationen, in denen die Vertraulichkeit, Verfügbarkeit oder Integrität von Materialien beeinträchtigt wurde, die erkennbaren Personen zugeordnet werden können. Dies betrifft zum Beispiel Aufzeichnungen aus der Videoüberwachung, Videodokumentationen aus Inspektionen, Arbeitsfotos, Beweismaterial oder Multimediaarchive vor der Anonymisierung. Sind auf dem Bild Gesichter, Kfz-Kennzeichen oder andere Elemente sichtbar, die eine Person mittelbar identifizierbar machen, kann das Material personenbezogene Daten darstellen. Die Bewertung endet daher nicht bereits mit dem bloßen Abfluss einer Datei. Entscheidend ist, ob eine Person mit vernünftigerweise wahrscheinlich einsetzbaren Mitteln identifiziert werden kann, entsprechend Erwägungsgrund 26 DSGVO.
Art. 33 Abs. 1 DSGVO verpflichtet dazu, eine Datenschutzverletzung zu melden „unverzüglich und möglichst binnen 72 Stunden“, nachdem die Verletzung bekannt wurde, es sei denn, dass die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Ein Datenleck allein bedeutet noch nicht automatisch, dass auch die betroffenen Personen benachrichtigt werden müssen. Dabei handelt es sich um eine gesonderte Pflicht nach Art. 34 DSGVO, die bei einem hohen Risiko ausgelöst wird.
Wann ein Leak von Aufnahmen oder Fotos eine Meldung an die Aufsichtsbehörde auslöst
In der Compliance-Praxis ist es besonders schwierig, einen rein technischen Vorfall von einer meldepflichtigen Verletzung des Schutzes personenbezogener Daten zu unterscheiden. Bei visuellem Material sind nicht nur die Ursache des Vorfalls, sondern auch der Bildinhalt, der Grad der Identifizierbarkeit und die Möglichkeit einer weiteren Nutzung der Daten zu prüfen.
Die Pflicht zur Meldung an die Datenschutzaufsichtsbehörde entsteht grundsätzlich dann, wenn zwei Voraussetzungen gemeinsam vorliegen: Es ist zu einer Verletzung des Schutzes personenbezogener Daten gekommen und es besteht zumindest ein Risiko für die Rechte oder Freiheiten natürlicher Personen. Beispiele für solche Vorfälle sind:
- unbefugte Offenlegung nicht anonymisierter Aufnahmen mit sichtbaren Gesichtern,
- Weitergabe von Fotos oder Videodateien an einen falschen Empfänger,
- Diebstahl eines Datenträgers mit einem Multimediaarchiv,
- ein Ransomware-Angriff auf ein Foto- und Videorepositorium,
- fehlerhafte Veröffentlichung von Material, bei dem Gesichter oder Kfz-Kennzeichen nicht unkenntlich gemacht wurden,
- Verlust der Kontrolle über Arbeitskopien, die zur externen Bearbeitung exportiert wurden.
Wurde das Material bereits vor dem Vorfall wirksam anonymisiert, kann das Risiko erheblich geringer sein oder ganz entfallen. Dies gilt jedoch nur dann, wenn die Anonymisierung in einem vernünftigerweise wahrscheinlichen Bedrohungsmodell irreversibel ist. Eine bloße partielle Unschärfe geringer Qualität oder ein fehlerhaftes Verpixeln führt nicht automatisch zu diesem Ergebnis.
Die 72-Stunden-Frist und der Zeitpunkt der Feststellung der Datenschutzverletzung
Die Frist nach Art. 33 DSGVO beginnt mit dem Zeitpunkt der Feststellung der Datenschutzverletzung und nicht mit dem Zeitpunkt des eigentlichen Vorfalls. Der Europäische Datenschutzausschuss weist in seinen Leitlinien zur Meldung von Datenschutzverletzungen darauf hin, dass ein Verantwortlicher eine Verletzung dann als festgestellt ansieht, wenn er mit hinreichender Sicherheit davon ausgehen kann, dass ein Sicherheitsvorfall vorliegt, der zu einer Verletzung personenbezogener Daten geführt hat.
In der Praxis empfiehlt es sich bei Videomaterial, drei Zeitpunkte voneinander zu trennen:
Phase | Operative Bedeutung | Rechtliche Bedeutung
|
|---|---|---|
Erkennung des Vorfalls | Hinweis auf ein mögliches Problem | Löst die Frist nicht immer aus |
Bestätigung der Datenschutzverletzung | Feststellung, dass personenbezogene Daten betroffen sind | Ab diesem Zeitpunkt läuft in der Regel die 72-Stunden-Frist |
Ergänzung der Erkenntnisse | Präzisierung von Umfang und Folgen | Stufenweise Meldung gemäß Art. 33 Abs. 4 DSGVO möglich |
Wenn nicht alle Informationen innerhalb von 72 Stunden verfügbar sind, kann der Verantwortliche zunächst eine Teilmeldung übermitteln und die fehlenden Angaben später unverzüglich nachreichen.
Umfang der Meldung einer Verletzung des Schutzes von Videodaten
Der Inhalt der Meldung ergibt sich unmittelbar aus Art. 33 Abs. 3 DSGVO. Bei Vorfällen mit Fotos und Videos müssen sowohl der rechtliche als auch der technische Aspekt beschrieben werden. Eine pauschale Angabe wie „Leak von Aufnahmen“ ist nicht ausreichend.
Die Meldung sollte mindestens Folgendes enthalten:
- die Art der Verletzung, zum Beispiel unbefugte Offenlegung von MP4- und JPG-Dateien mit sichtbaren Gesichtern,
- die Kategorien und die ungefähre Zahl der betroffenen Personen,
- die Kategorien und die ungefähre Zahl der betroffenen Datensätze personenbezogener Daten,
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle,
- eine Beschreibung der wahrscheinlichen Folgen für natürliche Personen,
- eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Begrenzung ihrer möglichen nachteiligen Auswirkungen.
Bei visuellem Material sollten technische Parameter genauer beschrieben werden, da sie die Risikobewertung beeinflussen. Relevant sind unter anderem: Auflösung, Dauer der Aufnahme, Anzahl der Kameras, Möglichkeit zum Ablesen von Kfz-Kennzeichen, Vorhandensein von Ton, Geolokalisierung, EXIF-Metadaten, Zeitstempel, Aufbewahrung von Kopien und das Verschlüsselungsniveau des Datenträgers.
Risikobewertung bei Fotos und Aufnahmen vor der Anonymisierung
Die Risikobewertung darf nicht abstrakt erfolgen. Videomaterial hat oft ein höheres Identifikationspotenzial als ein einzelner Textdatensatz, weil es Bild, Ortskontext, Zeit und Verhaltensabläufe miteinander verknüpft. Das gilt insbesondere für Aufnahmen vor dem Unkenntlichmachen von Gesichtern und Kfz-Kennzeichen.
Für die Analyse sind insbesondere folgende Merkmale hilfreich:
Merkmal | Bedeutung für das Risiko | Beispiel
|
|---|---|---|
Identifizierbarkeit des Gesichts | Hohe Auflösung erhöht das Risiko der Wiedererkennung | 4K, Nahaufnahme des Gesichts |
Identifizierbarkeit des Fahrzeugs | Möglichkeit, Kennzeichen zu lesen und mit einer Person zu verknüpfen | Firmenparkplatz |
Situativer Kontext | Offenbart Gewohnheiten, Arbeitsplatz, Route oder Beziehungen | Eingang zu einer medizinischen Einrichtung |
Ausmaß des Vorfalls | Beeinflusst Priorität und Umfang der Maßnahmen | 10 Dateien vs. 10.000 Dateien |
Wirksamkeit der Anonymisierung | Senkt das Risiko nur bei tatsächlich irreversibler Unkenntlichmachung | Dauerhafte Maskierung im finalen Export |
In Umgebungen zur Bildverarbeitung werden KI-Modelle auf Basis von Deep Learning eingesetzt, um Gesichter und Kfz-Kennzeichen zu erkennen, anschließend kommen Algorithmen zum Verpixeln, Weichzeichnen oder Maskieren zum Einsatz. Das Erkennungsmodell selbst ist noch keine Anonymisierung, sondern lediglich der Schritt der Objekterkennung. Das Risiko einer Verletzung des Schutzes personenbezogener Daten sinkt erst nach korrekter Anwendung der Maske und nach einer Überprüfung des Ergebnisses. Bleiben vor dem Export Gesichter oder Kennzeichen unkenntlich gemacht, enthält das Material weiterhin personenbezogene Daten.
Organisation in der Praxis und Maßnahmen zur Begrenzung der Folgen einer Datenschutzverletzung
Eine gute Meldung sollte erkennen lassen, dass der Verantwortliche die Ursache des Vorfalls verstanden und geeignete Abhilfemaßnahmen umgesetzt hat. Im Bereich Foto und Video gehören dazu in der Regel Zugriffskontrollen, Segmentierung von Repositorien, Verschlüsselung, Aufbewahrungsfristen und Verfahren zur Prüfung der Anonymisierung vor der Veröffentlichung oder Weitergabe von Material.
In der Praxis sollte dokumentiert werden:
- ob das Material lokal in einer On-Premise-Umgebung oder außerhalb davon verarbeitet wurde,
- ob die Dateien im Ruhezustand und bei der Übertragung verschlüsselt waren,
- ob Zugriffsrechte nach dem Need-to-know-Prinzip bzw. dem Prinzip der minimalen Rechtevergabe vergeben wurden,
- ob eine Qualitätskontrolle der Unkenntlichmachung von Gesichtern und Kfz-Kennzeichen durchgeführt wurde,
- ob Arbeitskopien und temporäre Exporte gelöscht oder isoliert wurden,
- ob ein Verzeichnis von Datenschutzverletzungen gemäß Art. 33 Abs. 5 DSGVO geführt wurde.
Die interne Dokumentation hat Beweisfunktion. Selbst wenn der Verantwortliche zu dem Ergebnis kommt, dass keine Meldung an die Aufsichtsbehörde erforderlich ist, sollte er den Bewertungsprozess und die Grundlage dieser Entscheidung nachweisen können.
Rechtliche Grundlagen und Auslegungshinweise
Maßgeblich sind die gesetzlichen Vorschriften und offiziellen Leitlinien. Bei visuellen Daten sind insbesondere unionsrechtliche Quellen und die nationale Praxis der Aufsichtsbehörde von Bedeutung.
- Verordnung (EU) 2016/679, Art. 4 Nr. 12, Art. 33, Art. 34, Erwägungsgrund 26 – Europäisches Parlament und Rat, 2016.
- Leitlinien der Artikel-29-Datenschutzgruppe zur Meldung von Verletzungen des Schutzes personenbezogener Daten nach der Verordnung 2016/679, WP250 rev.01, angenommen am 6. Februar 2018, gebilligt durch den EDSA.
- EDSA-Leitlinien 01/2021 zu Beispielen für Verletzungen des Schutzes personenbezogener Daten, Version 2.0, angenommen am 14. Dezember 2021.
- Materialien und Meldeformulare des Präsidenten der UODO zur Meldung von Verletzungen des Schutzes personenbezogener Daten.