Datenschutzkonformes Teilen von Videos - Definition
Datenschutzkonformes Teilen von Videos bezeichnet die rechtmäßige und dokumentierte Weitergabe von Videoaufnahmen oder Fotos an Dritte in einer Weise, bei der der Umfang der übermittelten personenbezogenen Daten angemessen, auf den Zweck beschränkt und durch technische sowie organisatorische Maßnahmen geschützt ist. Im Zusammenhang mit Bild- und Videomaterial betrifft dieser Begriff vor allem Gesichter, Kfz-Kennzeichen sowie andere Elemente, die eine Person mittelbar identifizierbar machen.
Maßgeblich für die Bewertung ist die DSGVO, insbesondere Art. 5 Abs. 1 Buchst. a, b, c und f, Art. 6, Art. 24, Art. 25 und Art. 32 der Verordnung (EU) 2016/679. Von Bedeutung sind außerdem die Leitlinien des Europäischen Datenschutzausschusses zur Verarbeitung personenbezogener Daten durch Videogeräte, veröffentlicht als Guidelines 3/2019 und in der endgültigen Fassung am 29. Januar 2020 angenommen, sowie die Rechtsprechung des EuGH zur weiten Auslegung des Begriffs personenbezogene Daten. In der Praxis bedeutet datenschutzkonformes Teilen von Videos, dass vor der Weitergabe des Materials die Rechtsgrundlage, der Empfängerkreis, der Offenlegungszweck, die Speicherdauer sowie die Frage geklärt werden müssen, ob eine Bearbeitung des Materials erforderlich ist, einschließlich des Unkenntlichmachens von Gesichtern oder Kfz-Kennzeichen.
Wenn sich der Zweck der Weitergabe erreichen lässt, ohne das vollständige Erscheinungsbild oder Fahrzeugkennzeichen offenzulegen, ist eine Bearbeitung grundsätzlich aufgrund des Grundsatzes der Datenminimierung und von Privacy by Design erforderlich. In diesem Sinne ist die Bearbeitung kein bloßes technisches Zusatzmerkmal, sondern eine Compliance-Maßnahme. Bei Fotos und Videoaufnahmen bedeutet dies meist eine Anonymisierung oder visuelle Pseudonymisierung. In der operativen Praxis werden Gesichter und Kennzeichen typischerweise weichgezeichnet oder verpixelt; bei Elementen, die nicht automatisch erkannt werden, erfolgt eine manuelle Bearbeitung.
Wann die Bearbeitung einer Aufnahme vor der Weitergabe erforderlich ist
Ob eine Bearbeitung erforderlich ist, hängt vom Zweck der Weitergabe und davon ab, ob der Dritte identifizierende Daten überhaupt sehen muss. Allein die Tatsache, dass eine Aufnahme rechtmäßig vorliegt, bedeutet noch nicht, dass sie in vollständiger Form weitergegeben werden darf. Bei Videomaterial ist das Identifizierungsrisiko hoch, weil Daten zusammenwirken - Gesicht, Kennzeichen, Ortskontext, Zeitpunkt, Kleidung oder Fahrzeug.
In der Praxis ist eine Bearbeitung in den folgenden Situationen in der Regel notwendig:
- Weitergabe einer Aufnahme an einen externen Dienstleister zur Ereignisanalyse, wenn die Identifizierung unbeteiligter Personen nicht erforderlich ist,
- Übermittlung des Materials an Medien, Auftragnehmer, Auditoren oder Versicherer, wenn der Zweck keine Offenlegung vollständiger visueller Daten erfordert,
- Veröffentlichung von Schulungs-, Beweis- oder Referenzmaterial innerhalb der Organisation, wenn sich der Datenumfang begrenzen lässt,
- Herausgabe einer Aufnahme als Reaktion auf ein Auskunfts- oder Herausgabeverlangen, wenn das Material Dritte zeigt, die mit dem Offenlegungszweck nicht in Zusammenhang stehen.
Bei Gesichtern ergibt sich die Schutzpflicht nicht nur aus der DSGVO, sondern auch aus dem Schutz der Persönlichkeit und den Regeln zur Verbreitung von Bildnissen. Grundsätzlich ist ein Gesicht zu anonymisieren, es sei denn, einer der gesetzlichen Ausnahmetatbestände greift: Die Person ist allgemein bekannt und im Zusammenhang mit der Wahrnehmung öffentlicher Aufgaben dargestellt, das Bildnis erscheint nur als Beiwerk neben einer Landschaft, Versammlung oder öffentlichen Veranstaltung, oder es handelt sich um eine Person, die lediglich als untergeordnetes Element des Gesamtbildes im Sinne der entsprechenden urheberrechtlichen Regelungen erscheint.
Bei Kfz-Kennzeichen ist die Lage komplexer. In vielen europäischen Ländern führen Praxis und Auslegung dazu, dass Kennzeichen bei der Weitergabe von Material unkenntlich gemacht werden müssen. In Polen bestehen hierzu unterschiedliche Auffassungen. Einerseits sprechen Leitlinien von Datenschutzbehörden und die europäische Praxis dafür, ein Kennzeichen als Information zu behandeln, die zur Identifizierung führen kann. Andererseits wurde in Teilen der verwaltungsgerichtlichen Rechtsprechung angenommen, dass ein Kfz-Kennzeichen für sich genommen nicht immer personenbezogene Daten darstellt. Aus Compliance-Sicht ist ein risikobasierter Ansatz mit standardmäßigem Unkenntlichmachen von Kennzeichen sicherer, sofern sie für den Zweck der Weitergabe nicht zwingend erforderlich sind.
Wie Anonymisierung und Bearbeitung bei Videomaterial zu verstehen sind
Im Bereich Fotos und Videoaufnahmen ist zwischen einer vollständigen Anonymisierung und einer Bearbeitung zu unterscheiden, die das Identifizierungsrisiko reduziert. Eine vollständige Anonymisierung im Sinne der DSGVO setzt voraus, dass dem Material die Verbindung zu einer natürlichen Person irreversibel entzogen wird, wobei alle vernünftigerweise zu erwartenden Identifizierungsmöglichkeiten zu berücksichtigen sind. Bei Videoaufnahmen ist ein solcher Zustand in der Praxis oft schwer zu erreichen, weil auch indirekte Merkmale, der Hintergrund oder Metadaten eine Identifizierung ermöglichen können.
Daher wird im operativen Umfeld häufig eine visuelle Bearbeitung eingesetzt. Sie umfasst die automatische Erkennung von Gesichtern und Kfz-Kennzeichen, deren Verfolgung über mehrere Frames hinweg sowie das Aufbringen einer weichzeichnenden oder verdeckenden Maske. Dieses Vorgehen reduziert die Offenlegung personenbezogener Daten, bedeutet aber nicht immer eine vollständige Anonymisierung des gesamten Materials. Die Dokumentation sollte daher klar angeben, ob das Ergebnis bearbeitetes, pseudonymisiertes oder anonymisiertes Material ist.
Technologien für datenschutzkonformes Teilen von Videos
Eine wirksame Bearbeitung von Bild- und Videomaterial erfordert Methoden des Computer Vision. Bei Gesichtern und Kfz-Kennzeichen kommen am häufigsten Detektionsmodelle auf Basis von Deep Learning zum Einsatz. Deep Learning wird in der Phase benötigt, in der das KI-Modell erstellt wird, das anschließend Objekte im Bild und in aufeinanderfolgenden Videoframes erkennt. Der eigentliche Prozess des datenschutzkonformen Teilens von Videos hängt jedoch nicht nur vom Modell ab, sondern auch von Qualitätskontrolle, Bearbeitung und Auditierbarkeit.
In einer typischen Verarbeitungspipeline treten folgende Schritte auf:
- Erkennung von Gesichtern oder Kfz-Kennzeichen in einzelnen Frames,
- Tracking, also die Beibehaltung der Identifikation desselben Objekts über mehrere Frames hinweg,
- Anwendung einer weichzeichnenden oder verdeckenden Maske,
- Überprüfung durch einen Operator und manuelle Korrektur von Elementen, die nicht automatisch erkannt wurden,
- Export der bearbeiteten Version zusammen mit Prozessmetadaten.
Eine wichtige technische Einschränkung besteht darin, dass Gallio PRO automatisch ausschließlich Gesichter und Kfz-Kennzeichen unkenntlich macht. Firmenlogos, Tätowierungen, Namensschilder, Dokumente oder auf Monitoren sichtbare Inhalte werden nicht automatisch erkannt. Diese Elemente können im Editor manuell unkenntlich gemacht werden. Gallio PRO führt keine Echtzeit-Anonymisierung und keine Anonymisierung von Videostreams durch. Die Software arbeitet im On-Premise-Modell, was die Datenkontrolle unterstützt und den Transfer von Materialien außerhalb der Organisation begrenzt.
Wie die rechtmäßige Weitergabe einer Aufnahme dokumentiert werden sollte
Die Bearbeitung allein reicht nicht aus. Für Compliance-Zwecke ist ein dokumentierter Entscheidungsweg erforderlich, der zeigt, warum das Material weitergegeben wurde, an wen und in welcher Form. Eine solche Dokumentation hat Beweiswert bei Audits, Kontrollen durch Aufsichtsbehörden und der internen Rechenschaftspflicht im Sinne von Privacy by Design.
Der minimale Dokumentationsumfang sollte Folgendes umfassen:
- Zweck der Weitergabe und Kategorie des Empfängers,
- Rechtsgrundlage nach Art. 6 DSGVO oder einer anderen einschlägigen Vorschrift,
- Bewertung der Erforderlichkeit - ob das vollständige Material notwendig war,
- Risikobewertung für die im Material sichtbaren Personen,
- Umfang der Bearbeitung - Gesichter, Kennzeichen, manuell unkenntlich gemachte Elemente,
- Versionierung der Dateien - Ausgangsmaterial und bearbeitetes Material,
- Datum, Operator, verwendetes Tool und Ergebnis der Qualitätskontrolle,
- Speicherdauer und sichere Art der Übermittlung an den Empfänger.
Nützlich ist ein einfaches Formular zur Materialoffenlegung. Es sollte das Ausgangsmaterial klar von der weitergegebenen Kopie trennen. Arbeitet eine Organisation in einem Umfeld mit hohem Risiko, empfiehlt es sich außerdem, Qualitätsparameter des Prozesses festzuhalten, etwa die Anzahl manueller Korrekturen oder den Anteil der vom Operator geprüften Frames.
Zentrale Parameter und Kennzahlen für datenschutzkonformes Teilen von Videos
Im Prozess der datenschutzkonformen Weitergabe von Material zählt nicht nur die formale Rechtskonformität, sondern auch die Wirksamkeit der Bearbeitung. Parameter sollten gemessen und dokumentiert werden, denn schon ein einzelnes nicht erkanntes Gesicht oder Kennzeichen kann den gesamten Prozess infrage stellen.
Parameter | Bedeutung | Praktische Anwendung
|
|---|---|---|
Recall der Detektion | Welcher Anteil aller Gesichter oder Kennzeichen erkannt wurde | Entscheidend zur Minimierung des Risikos, ein Objekt zu übersehen |
Precision der Detektion | Welcher Anteil der Erkennungen korrekt war | Beeinflusst die Anzahl fehlerhafter Masken und den Aufwand des Operators |
Frame Coverage | Anteil der Frames, in denen ein Objekt korrekt verfolgt wurde | Wichtig bei Bewegung, Verdeckung und wechselnden Kamerawinkeln |
False-Negative-Rate | Anteil nicht erkannter Objekte | Die kritischste Kennzahl für Compliance |
Bearbeitungszeit pro Videominute | Operativer Aufwand des Prozesses | Hilft bei der Ressourcenplanung und bei SLA |
Anteil manueller Korrekturen | Wie häufig die Automatik nachgebessert werden musste | Indikator für Modellqualität und Schwierigkeitsgrad des Materials |
Wenn eine Organisation eigene Akzeptanzschwellen definiert, sollten diese im Verfahren dokumentiert werden. Für Compliance ist in der Regel ein hoher Recall wichtiger als maximale Verarbeitungsgeschwindigkeit. In der Praxis ist es besser, mehr manuelle Korrekturen in Kauf zu nehmen, als das Risiko einzugehen, ein Gesicht oder Kennzeichen ungeschwärzt zu lassen.
Normative und interpretative Verweise
Datenschutzkonformes Teilen von Videos sollte auf Primärquellen beruhen. Im europäischen Kontext sind vor allem Rechtsakte und Leitlinien zum Datenschutz und zur Bildverarbeitung maßgeblich.
- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 - DSGVO.
- EDSA, Guidelines 3/2019 on processing of personal data through video devices, endgültige Fassung vom 29. Januar 2020.
- EuGH, Rechtssache C-212/13 Ryneš, Urteil vom 11. Dezember 2014 - weite Auslegung der Verarbeitung unter Einsatz von Videoüberwachung.
- Stellungnahme der Artikel-29-Datenschutzgruppe 05/2014 on Anonymisation Techniques, 10. April 2014 - Grenzen und Risiken der Anonymisierung.
- Norm ISO/IEC 27001:2022 - Informationssicherheits-Managementsystem, relevant für Zugriffskontrolle, Aufbewahrung und Übermittlung.
Es ist hervorzuheben, dass Auslegungsunterschiede vor allem Kfz-Kennzeichen betreffen. Deshalb sollte die Entscheidung über deren Offenlegung stets mit dem Zweck und einer Risikoanalyse begründet werden. Das vorsorgliche Unkenntlichmachen von Kennzeichen ist in der Regel die rechtlich defensivere Lösung.