On-Premise-Deployments - Definition
On-Premise-Deployments bezeichnen ein Bereitstellungsmodell für Software, bei dem die gesamte Lösung in einer vom Datenverantwortlichen kontrollierten IT-Infrastruktur installiert und betrieben wird. Im Kontext der Anonymisierung von Fotos und Videos bedeutet dies, dass Import, Verarbeitung, Ergebnisgenerierung sowie Ereignisprotokollierung vollständig innerhalb des Organisationsnetzwerks erfolgen - ohne Übertragung der Materialien in die Cloud eines Anbieters.
Dieses Modell unterstützt die Umsetzung der Grundsätze der Integrität und Vertraulichkeit sowie der Rechenschaftspflicht gemäß Art. 5 DSGVO, der Sicherheitsanforderungen nach Art. 32 DSGVO sowie des Privacy-by-Design-Prinzips gemäß Art. 25 DSGVO (Quelle: Verordnung (EU) 2016/679).
In der Praxis beziehen sich On-Premise-Deployments für Gallio PRO auf die Batch-Verarbeitung von Materialien aus Kameras und Fotoapparaten, mit automatischer Verpixelung ausschließlich von Gesichtern und Kfz-Kennzeichen sowie manueller Redaktion weiterer Objekte im integrierten Editor. Die Software führt keine Echtzeit-Anonymisierung oder Video-Streaming-Anonymisierung durch, erkennt keine Logos, Tätowierungen oder Namensschilder automatisch, und die Protokolle enthalten keine Informationen über Gesichts- oder Kennzeichenerkennungen oder andere personenbezogene Daten.
Die Rolle von On-Premise bei der Bild- und Videoanonymisierung
Lokale Implementierungen reduzieren das Risiko einer unbefugten Offenlegung von Bildmaterial und erleichtern die Einhaltung der Anforderungen an Datenübermittlungen in Drittländer oder an internationale Organisationen gemäß Art. 44-49 DSGVO. Zudem ermöglichen sie die Anpassung von Aufbewahrungsrichtlinien, Zugriffskontrollen und Auditmechanismen an interne Verfahren und minimieren die Exposition von Quelldaten während Training und Inferenz von Erkennungsmodellen.
Deep Learning ist dabei entscheidend, da präzises Verpixeln ein KI-Modell erfordert, das Gesichter und Kfz-Kennzeichen in Videoframes und Bildern zuverlässig erkennt. Ein solches Modell wird auf annotierten Datensätzen trainiert und anschließend im On-Premise-Umfeld für die automatische Redaktion eingesetzt. In Gallio PRO bezieht sich die Automatisierung ausschließlich auf diese beiden Kategorien; andere Bildelemente können manuell bearbeitet werden.
On-Premise-Technologien für die Anonymisierung
Die Trainings- und Inferenzschicht nutzt neuronale Netze zur Objekterkennung. Zur Gewährleistung von Sicherheit und Compliance sollte eine On-Premise-Umgebung Rechenisolation, Datenverschlüsselung und Zugriffskontrolle sicherstellen. Nachfolgend sind typische Komponenten und zugehörige Standards zusammengefasst.
Schichten eines On-Premise-Deployments und zugehörige Standards
Schicht | Mechanismen | Standards und Quellen
|
|---|---|---|
Netzwerk | VLAN-Segmentierung, kein Internetzugang für Verarbeitungsknoten, TLS für das Administrationspanel | RFC 5246 TLS 1.2, RFC 8446 TLS 1.3 |
Rechenleistung | Containerisierung, Namespace-Isolation, GPU-Beschleuniger für Inferenz | CIS Controls v8, NIST SP 800-53 Rev. 5 |
Speicherung | Verschlüsselung ruhender Daten, Retentionskontrolle, sichere Löschung temporärer Dateien | NIST FIPS 197 AES, NIST SP 800-38E XTS-AES |
Zugriff | RBAC, MFA, Protokollierung administrativer Zugriffe | ISO/IEC 27001:2022, NIST SP 800-53 Rev. 5 |
Compliance | Aufbewahrungsrichtlinien, Datenschutz-Folgenabschätzung (DPIA), Verzeichnis von Verarbeitungstätigkeiten | DSGVO 2016/679, EDSA-Leitlinien 3/2019 |
Zentrale Parameter und Kennzahlen für On-Premise-Deployments
Die Kennzahlen sollten sowohl die Qualität der Anonymisierung als auch die Sicherheit der Betriebsprozesse bewerten. Nachfolgend sind beispielhafte Metriken und Messmethoden dargestellt. Definitionen für Objekterkennungsmetriken basieren branchenüblich auf COCO/PASCAL sowie den Kennzahlen IoU und mAP (Quelle: Lin et al., ECCV 2014).
Qualitäts- und Sicherheitsmetriken
Metrik | Definition | Messmethode | Quelle/Referenz
|
|---|---|---|---|
Recall der Gesichts-/Kennzeichenerkennung | TP / (TP + FN) bei definiertem IoU-Schwellenwert | Referenzannotationen vs. Modell-Detektionen | COCO Evaluation, Lin et al. 2014 |
Precision der Erkennung | TP / (TP + FP) | Wie oben | COCO Evaluation, Lin et al. 2014 |
mAP | Mittlere Average Precision über mehrere IoU-Schwellenwerte | Aggregation der AP für die Klassen Gesicht und Kennzeichen | COCO Evaluation, Lin et al. 2014 |
Wirksamkeit der Anonymisierung | 1 − Anteil nicht anonymisierter Instanzen | Stichprobenprüfung durch QA oder Active Learning | EDSA 3/2019 - Risiken bei Videoüberwachung |
Verarbeitungslatenz | Verarbeitungszeit pro Frame oder Datei | End-to-End-Messung für Batch-Prozesse | Ingenieurtechnische Best Practice |
Sicherheit ruhender Daten | Verschlüsselungsalgorithmus und -modus | Konfigurationsprüfung von XTS-AES-256 | NIST FIPS 197, SP 800-38E |
Sicherheit der Datenübertragung | TLS-Version und Cipher Suites | TLS-Konfigurationsscans | RFC 8446, RFC 5246 |
Aufbewahrung und Löschung | Konformität mit der Retentionsrichtlinie | Tests zur Löschung temporärer Dateien | ISO/IEC 27001:2022 |
Bei Gallio PRO ist zusätzlich zu berücksichtigen, dass das System keine vollständigen Körper anonymisiert, nicht im Echtzeitmodus arbeitet und keine Protokolle mit personenbezogenen Erkennungsdaten führt. Auditmetriken beziehen sich daher ausschließlich auf administrative und operative Ereignisse.
Herausforderungen und Einschränkungen von On-Premise-Deployments
Lokale Implementierungen erfordern ein konsequentes Management des Software-Lebenszyklus, der GPU-Treiber sowie von Sicherheitsupdates. Hochleistungsverarbeitung kann dedizierte Hardwarebeschleuniger erfordern. Zudem müssen ein effektives Schlüsselmanagement, Zugriffskontrollen sowie die Trennung von Test- und Produktionsdaten gewährleistet sein. Einschränkungen bestehen in der fehlenden Video-Streaming-Anonymisierung sowie der fehlenden automatischen Erkennung anderer Objekte als Gesichter und Kennzeichen, was eine manuelle Redaktion erforderlich macht.
Anwendungsbeispiele
Ein On-Premise-Deployment eignet sich insbesondere für die Anonymisierung von Materialien zur Veröffentlichung in Transparenzportalen, zur Beantwortung von Informationsfreiheitsanfragen, zur Bereitstellung gerichtlicher Beweismittel, zur Schulung von Personal sowie für Forschung und Entwicklung, wenn Quelldaten das Organisationsnetzwerk nicht verlassen dürfen. In öffentlichen und regulierten Sektoren erleichtert dieses Modell die Durchführung einer Datenschutz-Folgenabschätzung (DPIA) und reduziert Transfer- sowie Vertragsrisiken.
Normative Referenzen
Nachfolgend sind zentrale rechtliche und technische Quellen für On-Premise-Deployments zur Anonymisierung visueller Materialien aufgeführt:
- DSGVO 2016/679 - Art. 5, 25, 32, 44-49: https://eur-lex.europa.eu/eli/reg/2016/679/oj
- EDSA, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte (finale Version 29.01.2020): https://edpb.europa.eu
- ISO/IEC 27001:2022 - Informationssicherheits-Managementsysteme: https://www.iso.org/standard/82875.html
- NIST SP 800-53 Rev. 5 (2020) - Security and Privacy Controls: https://csrc.nist.gov/publications
- CIS Controls v8 (2021) - Center for Internet Security: https://www.cisecurity.org/controls/v8
- NIST FIPS 197 (2001) - Advanced Encryption Standard (AES): https://csrc.nist.gov/publications/detail/fips/197/final
- NIST SP 800-38E (2010) - Recommendation for XTS-AES: https://csrc.nist.gov/publications/detail/sp/800-38e/final
- RFC 8446 (2018) - TLS Protocol Version 1.3: https://www.rfc-editor.org/rfc/rfc8446
- RFC 5246 (2008) - TLS Protocol Version 1.2: https://www.rfc-editor.org/rfc/rfc5246
- Lin et al., 2014 - Microsoft COCO: Common Objects in Context (Definitionen von mAP/IoU): https://arxiv.org/abs/1405.0312
In der nationalen Praxis weisen Datenschutzbehörden sowie der Europäische Datenschutzausschuss darauf hin, dass Kfz-Kennzeichen personenbezogene Daten darstellen können, sofern sie die Identifizierung einer natürlichen Person ermöglichen. In der Rechtsprechung bestehen jedoch unterschiedliche Auffassungen zur Qualifikation von Kennzeichen in bestimmten Sachverhalten. Bei fehlender eindeutiger Rechtslage ist deren Anonymisierung aus operativer Sicht der sicherste Ansatz.