On-Premise Processing - Definition
On-Premise Processing (auch: On-Premises Processing; deutsch: lokale Datenverarbeitung) bezeichnet die Verarbeitung von Daten innerhalb einer organisationsinternen, vollständig kontrollierten IT-Infrastruktur - ohne deren dauerhafte Übermittlung in eine öffentliche Cloud. Im Kontext der Bild- und Videoanonymisierung bedeutet dies, dass Erkennung, Klassifizierung sowie das Unkenntlichmachen von Gesichtern und Kfz-Kennzeichen auf lokalen Servern ausgeführt werden - häufig in vom Internet isolierten Netzwerken.
Ein On-Premise-Ansatz unterstützt die Umsetzung der Grundsätze der Datenminimierung sowie der Integrität und Vertraulichkeit gemäß Art. 5 Abs. 1 lit. c und f DSGVO sowie der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Er reduziert Datenübertragungen, vereinfacht die Zugriffskontrolle und erleichtert die Einhaltung von Anforderungen an die Datenresidenz.
Die Rolle von On-Premise bei der Bild- und Videoanonymisierung
Die Anonymisierung visueller Inhalte erfordert die Erkennung sensibler Objekte und deren irreversible Verfremdung. In der Praxis kommen hierfür Deep-Learning-Modelle zum Einsatz, die mit annotierten Datensätzen trainiert und anschließend für die Inferenz im Maskierungsprozess genutzt werden. Das Training der Modelle erfolgt in der Regel außerhalb der Kundenumgebung, während die Inferenz und die gesamte Verarbeitungskette On-Premise durchgeführt werden können, sodass die Originaldaten die kontrollierte Infrastruktur nicht verlassen.
Bei Lösungen wie Gallio PRO umfasst die automatische Unkenntlichmachung Gesichter und Kfz-Kennzeichen. Das System anonymisiert weder vollständige Körper noch in Echtzeit oder im Live-Videostream. Andere Bildelemente - etwa Logos, Tätowierungen, Namensschilder oder Bildschirminhalte - können manuell im Editor unkenntlich gemacht werden. Die Software speichert keine Protokolle mit Bildern oder anderen personenbezogenen Daten; insbesondere dürfen in operativen Logs keine Metadaten persistiert werden, die eine Identifizierung von Personen ermöglichen.
Technologien und On-Premise-Architektur
Die Implementierung einer On-Premise-Lösung zur Anonymisierung konzentriert sich auf eine konsistente Architektur für Rechenleistung, Datenspeicherung und Sicherheit. Nachfolgend die wichtigsten Komponenten und bewährten Verfahren.
- Rechenebene - Server mit GPU für die Inferenz von Deep-Learning-Modellen; alternativ CPU mit SIMD-Beschleunigung. Containerisierung (z. B. Docker) und Orchestrierung in isolierten Umgebungen.
- Datenebene - Lokale Datei- oder Objektspeicher mit Verschlüsselung ruhender Daten (z. B. AES-256; Schlüssellängen und -laufzeiten gemäß NIST SP 800-57) sowie Retentionskontrolle und Versionierung.
- Transportsicherheit - TLS 1.2 oder 1.3 gemäß RFC 5246 und RFC 8446 für internen Datenverkehr, mit Zugriffsbeschränkungen durch ACLs und Netzwerksegmentierung.
- Identitäts- und Zugriffsmanagement - Integration mit AD/LDAP, Least-Privilege-Prinzip, Rollentrennung zwischen Operatoren und Administratoren.
- ML-Lebenszyklus - Übernahme signierter Modelle für die Inferenz, Integritätsprüfung, kontrollierte Offline-Updates sowie Regressionstests zur Qualitätssicherung vor dem Rollout.
- Audit-Trail - Protokollierung administrativer Aktivitäten ohne Speicherung von Bildinhalten oder personenbezogenen Metadaten.
Zentrale Parameter und Kennzahlen (On-Premise-Anonymisierung)
Die Bewertung einer On-Premise-Lösung sollte sowohl die Detektionsqualität als auch operative Eigenschaften berücksichtigen. Die folgende Tabelle fasst zentrale Kennzahlen und deren Verifikation zusammen.
Parameter | Messgröße | Methode/Einheit | Anmerkungen
|
|---|---|---|---|
Recall (Gesichtserkennung) | Anteil korrekt erkannter Gesichter | Domänenspezifischer Testsatz; Frame-basierte Metriken | Validierung mit produktionsnahen Daten |
Precision (Gesichtserkennung) | Anteil korrekter Erkennungen an allen Erkennungen | TP/FP-Konfusionsmatrix; F1-Score | Reduziert übermäßiges Unkenntlichmachen |
Recall/Precision (Kennzeichen) | Erkennungsleistung für Kfz-Kennzeichen | Tests mit Verkehrsaufnahmen | Relevant bei dynamischen Szenen |
Latenz pro Frame | Verarbeitungszeit pro Einzelbild | ms; Durchschnitt, p95 | Wichtig für Batch-Verarbeitung |
Durchsatz | Verarbeitungskapazität | fps oder Dateien/Stunde | Planung der Rechenressourcen |
Maskenabdeckung | Prozentual abgedeckte Objektfläche | % der erkannten Objektfläche | Minimiert Offenlegungsrisiken |
Irreversibilität | Resistenz gegen Maskenumkehr | Rekonstruktionsangriff-Tests | Abhängig von der Filterstärke |
Ressourcennutzung | GPU/CPU/RAM/IO-Auslastung | Systemprofiling | Kapazitätsplanung |
Kryptografische Konformität | Verschlüsselungsstärke bei Speicherung und Übertragung | AES-256, TLS 1.2/1.3 | Gemäß NIST und IETF |
RTO/RPO | Operative Resilienz | Minuten/Stunden; DR-Richtlinien | Wiederherstellungsverfahren |
Herausforderungen und Einschränkungen
Das On-Premise-Modell erhöht die Kontrolle, überträgt jedoch die vollständige Verantwortung für Wartung und Updates auf die Organisation. Zentrale Risiken, die durch geeignete Prozesse und Architektur adressiert werden sollten:
- Investitions- und Energiekosten für Infrastruktur und GPU-Hardware.
- Management von Sicherheitsupdates und Container-Images in isolierten Netzwerken.
- Batch-Skalierbarkeit bei großen Videoarchiven und unterschiedlichen Codecs.
- Modelldrift und die Notwendigkeit regelmäßiger Qualitätsvalidierungen.
- Kontrolle von Logs und Telemetriedaten, um keine personenbezogenen Daten zu speichern.
- Absicherung der Lieferkette für Modelle und Bibliotheken - Signaturprüfung und SBOM.
Anwendungsbeispiele
On-Premise Processing wird bevorzugt, wenn vollständige Verarbeitungskontrolle und kein Cloud-Transfer erforderlich sind. Typische Einsatzbereiche sind öffentliche Einrichtungen, Sicherheitsbehörden und Industrieunternehmen.
- Weitergabe von Überwachungsaufnahmen an Dritte nach Unkenntlichmachung von Gesichtern und Kennzeichen.
- Veröffentlichung von Schulungsmaterial aus Produktionsstätten mit anonymisierten Personen.
- Interne Arbeitsschutz- und Ereignisanalysen unter Wahrung der Mitarbeiterprivatsphäre.
- Beweismaterial mit Anforderungen an Integrität und Chain of Custody.
Normative Referenzen und Quellen
Die folgenden Dokumente bilden die rechtliche und technische Grundlage für On-Premise Processing im Kontext von Datenschutz und Sicherheitsmaßnahmen bei der Anonymisierung visueller Inhalte.
Dokument | Inhalt | Herausgeber/Jahr
|
|---|---|---|
DSGVO - Verordnung (EU) 2016/679, Art. 4, Art. 32, Erwägungsgrund 26 | Definition personenbezogener Daten, Sicherheit der Verarbeitung, Begriff der Anonymisierung | Europäisches Parlament und Rat, 2016 |
EDPB Guidelines 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte (Finale Fassung) | Leitlinien für Videosysteme, einschließlich Minimierungs- und Maskierungsmaßnahmen | EDPB, 2020 |
WP29 Stellungnahme 05/2014 zu Anonymisierungstechniken | Risiken, Methoden und Wirksamkeitstests der Anonymisierung | Artikel-29-Datenschutzgruppe, 2014 |
ISO/IEC 27001:2022 | Informationssicherheits-Managementsysteme | ISO/IEC, 2022 |
ISO/IEC 27002:2022 | Leitfaden zu Informationssicherheitsmaßnahmen | ISO/IEC, 2022 |
ISO/IEC 27701:2019 | PIMS-Erweiterung zu 27001 für Datenschutz | ISO/IEC, 2019 |
NIST SP 800-53 Rev. 5 | Sicherheits- und Datenschutzkontrollen für Informationssysteme | NIST, 2020 |
NIST SP 800-57 Part 1 Rev. 5 | Kryptografisches Schlüsselmanagement und Algorithmusstärken | NIST, 2020 |
IETF RFC 8446 - TLS 1.3 | Sichere Transportkommunikation | IETF, 2018 |
IEC 62676-4:2014 | Anwendungsleitlinien für CCTV-Überwachungssysteme | IEC, 2014 |
Rechtlicher Hinweis: In vielen Rechtsordnungen können Gesichter und Kfz-Kennzeichen personenbezogene Daten im Sinne der DSGVO darstellen. Konkrete Pflichten und Ausnahmen hängen vom nationalen Recht und vom Kontext der Veröffentlichung ab.