Redaction Audit Trail – Definition
Ein Redaction Audit Trail ist die Auditspur eines Redaktionsprozesses, also eine strukturierte und überprüfbare Dokumentation der Schritte, die bei der Anonymisierung oder Pseudonymisierung von visuellem Material – Fotos und Videoaufnahmen – durchgeführt wurden, insbesondere beim Unkenntlichmachen von Gesichtern und Kfz-Kennzeichen. In der Praxis handelt es sich um eine Kombination aus Metadaten und technischen Logs, mit denen sich folgende Fragen beantworten lassen: Wer hat den Vorgang durchgeführt, wann wurde er durchgeführt, an welcher Datei, mit welcher Methode, mit welchem Ergebnis und ob das Material nach der Redaktion weiter verändert wurde.
Im Kontext der DSGVO-Konformität ist die Auditspur kein Selbstzweck. Sie ist ein Instrument der Rechenschaftspflicht im Sinne von Art. 5 Abs. 2 DSGVO. Der Verantwortliche sollte nachweisen können, dass die Verarbeitung im Einklang mit den Grundsätzen des Datenschutzes erfolgte, insbesondere mit den Grundsätzen der Integrität, Vertraulichkeit und Datenminimierung. Im Umfeld der Anonymisierung von Fotos und Videos bedeutet dies, dass der Prozess des Unkenntlichmachens dokumentiert werden muss, ohne in den Logs unnötige zusätzliche Sammlungen personenbezogener Daten zu erzeugen.
Ein gut konzipierter Redaction Audit Trail sollte weder das Bild eines Gesichts, noch ein Kennzeichen oder andere identifizierende Daten duplizieren. Stattdessen sollte er den Prozessverlauf so dokumentieren, dass er sowohl als Nachweis als auch operativ nutzbar ist. Eine solche Dokumentation ist relevant bei internen Audits, Prüfungen durch Aufsichtsbehörden, der Bearbeitung von Vorfällen, gerichtlichen Auseinandersetzungen oder der Qualitätskontrolle des eingesetzten Tools.
Wie ist eine Auditspur bei der Anonymisierung von Fotos und Videos zu verstehen?
Bei visuellem Material umfasst die Auditspur sowohl die Phase der automatischen Erkennung als auch die eigentliche Redaktion sowie gegebenenfalls eine manuelle Korrektur. Das ist wichtig, weil die Wirksamkeit der Anonymisierung von der gesamten Verarbeitungskette abhängt und nicht nur vom eingesetzten Weichzeichner oder Blur-Filter.
Wenn das System ein KI-Modell zur Erkennung von Gesichtern oder Kfz-Kennzeichen verwendet, sollte der Redaction Audit Trail angeben, welches Modell eingesetzt wurde, in welcher Version, mit welchen Schwellenwerten für die Erkennung und ob das Ergebnis manuell durch einen Operator freigegeben wurde. Für Gesichter kommen in der Regel Deep-Learning-Modelle zur Objekterkennung zum Einsatz, da klassische Verfahren weniger robust gegenüber Änderungen von Blickwinkel, Beleuchtung, teilweiser Verdeckung und geringer Bildqualität sind. Das KI-Modell selbst ist noch keine Anonymisierung. Es ist eine Komponente, die die Bereiche lokalisiert, die redigiert werden müssen; erst im nächsten Schritt werden Maske, Unschärfe oder Pixelierung angewendet.
Die Auditspur sollte daher den Prozess beschreiben und nicht nur das Endergebnis.
Was sollte ein Log zum Unkenntlichmachen enthalten?
Damit ein Log im Hinblick auf die DSGVO und das Beweisrecht nutzbar ist, muss es vollständig, konsistent und gegen unbefugte Änderungen geschützt sein. Gleichzeitig sollte es keine überflüssigen personenbezogenen Daten enthalten. In der Praxis empfiehlt es sich, das technische Log von den Quelldaten zu trennen und ausschließlich Identifikatoren, kryptografische Hashwerte und Prozessparameter zu speichern.
Ein Mindestumfang an Informationen kann wie folgt dargestellt werden:
Log-Element | Zweck | Compliance-Hinweise
|
|---|---|---|
Vorgangs- / Aufgaben-ID | Verknüpfung des Vorgangs mit dem Geschäftsprozess | Ohne Offenlegung personenbezogener Daten aus dem Material |
ID der Quelldatei | Eindeutige Identifikation des Materials | Bevorzugt als Hash, z. B. SHA-256 der Datei |
Datum und Uhrzeit des Vorgangs | Rekonstruktion der Abfolge von Handlungen | Idealerweise in UTC und mit Zeitsynchronisierung |
ID des Operators oder Prozesses | Rechenschaft über durchgeführte Aktionen | Keine Klardaten, sondern Kontokennung |
Art des erkannten Objekts | Unterscheidung zwischen Gesichtern und Kennzeichen | Ohne Speicherung des eigentlichen Objektbildes |
Redaktionsmethode | Information, ob Blur, Pixelierung oder Maske verwendet wurde | Wichtig für die Bewertung der Wirksamkeit |
Version des Modells / der Engine | Reproduzierbarkeit und technisches Audit | Besonders wichtig nach Systemupdates |
Prozessparameter | Qualitätsbewertung und Reproduzierbarkeit | Erkennungsschwelle, Stärke der Unschärfe, Frame-Bereich |
Hinweis auf manuelle Korrektur | Nachweis eines Eingriffs durch den Operator | Relevant bei schwierigem Material |
Hash der Ausgabedatei | Prüfung der Integrität des Ergebnisses | Hilft nachzuweisen, dass keine späteren Änderungen erfolgt sind |
DSGVO-Anforderungen und Beweiswert
Aus Sicht der DSGVO sind vor allem die Grundsätze aus Art. 5 Abs. 1 und 2 sowie die Sicherheit der Verarbeitung nach Art. 32 maßgeblich. Das bloße Führen von Logs entbindet nicht von der Pflicht zur Datenminimierung. Würde ein Log Miniaturansichten von Gesichtern, vollständige Kennzeichen oder Einzelbild-Screenshots enthalten, könnte es selbst zu einem neuen Bestand personenbezogener Daten werden, der einer geeigneten Rechtsgrundlage und entsprechenden Schutzmaßnahmen bedarf.
Aus beweisrechtlicher Sicht sind Integrität, Authentizität und die Nachweisbarkeit einer lückenlosen Vorgangskette entscheidend. In der Praxis hilfreich sind:
Erstens kryptografische Hashwerte der Eingabe- und Ausgabedatei. Zweitens unveränderbare Ereignisprotokolle oder Mechanismen zur Erkennung von Manipulationen. Drittens Zugriffskontrollen und die Protokollierung von Berechtigungen. Viertens ein konsistenter Zeitstempel. Ein solches Modell unterstützt den Nachweis, dass eine bestimmte Version des Materials zu einem konkreten Zeitpunkt und durch einen bestimmten Prozess redigiert wurde.
Zentrale Parameter und Metriken eines Redaction Audit Trail
Ein Log bewertet die Qualität der Anonymisierung nicht selbst, sollte aber Metriken speichern, die eine solche Bewertung ermöglichen. In Systemen zur Bild- und Videoverarbeitung sind insbesondere Parameter der Erkennung und der Vollständigkeit der Redaktion relevant.
In der Praxis empfiehlt es sich, Folgendes zu protokollieren:
- Precision und Recall des Erkennungsmodells – soweit diese auf Validierungsdatensätzen des Herstellers oder der implementierenden Organisation gemessen werden,
- die Anzahl erkannter Objekte pro Datei oder pro Frame,
- den Anteil manuell korrigierter Objekte,
- die Verarbeitungszeit der Datei, zum Beispiel in Sekunden pro Videominute,
- die Anzahl von Frames ohne aufgebrachte Maske in Sequenzen, in denen das Objekt vorhanden war.
Bei Beweis- oder Behördenmaterial ist insbesondere die Quote der übersehenen Objekte, also der False Negatives, von Bedeutung. Wenn ein Gesicht oder ein Kennzeichen nicht erkannt und nicht unkenntlich gemacht wurde, kann die Redaktion trotz korrekter Funktion in den meisten Frames insgesamt unwirksam sein.
Grenzen und Umsetzung in der Praxis
Nicht jeder Bestandteil des Prozesses sollte im Log erfasst werden. In einer Umgebung, die dem Grundsatz Privacy by Design folgt, ist es besser, weniger Daten zu speichern, dafür aber mit höherem Beweiswert. Das gilt insbesondere für On-Premise-Systeme, bei denen der Verantwortliche die volle Kontrolle über Aufbewahrung, Berechtigungen und Speicherort der Logs hat.
In der Praxis macht Gallio PRO Gesichter und Kfz-Kennzeichen automatisch unkenntlich, erkennt jedoch Logos, Tätowierungen, Namensschilder, Dokumente oder Bildschirminhalte nicht automatisch. Solche Elemente können im Editor manuell redigiert werden. Der Redaction Audit Trail sollte daher automatische und manuelle Vorgänge klar voneinander unterscheiden. Gleichzeitig sollte das Log keine personenbezogenen Daten enthalten, die aus der Erkennung von Gesichtern und Kfz-Kennzeichen stammen.
Normative Bezüge und Quellen
Definition und Umfang der Rechenschaftspflicht sind in erster Linie mit der Verordnung (EU) 2016/679, also der DSGVO, zu verknüpfen, die am 27. April 2016 angenommen wurde und seit dem 25. Mai 2018 gilt, insbesondere mit Art. 5 Abs. 2, Art. 24, Art. 25 und Art. 32. Im Bereich der Informationssicherheit sind außerdem die Normen ISO/IEC 27001:2022 und ISO/IEC 27002:2022 hilfreich, die Zugriffskontrolle, Ereignisprotokollierung und Integrität von Informationen beschreiben. Für den Beweiswert sind nationale Verfahrensvorschriften und Regeln zur Sicherung digitalen Materials relevant; ihre konkrete Anwendung hängt jedoch von der Art des jeweiligen Verfahrens ab.
Bei Kfz-Kennzeichen bestehen in Polen unterschiedliche Auslegungen. Positionen von Datenschutzbehörden und Compliance-Praxis neigen häufig zu einem vorsichtigen Ansatz und zum Unkenntlichmachen von Kennzeichen, während in der Rechtsprechung der Verwaltungsgerichte auch die Auffassung vertreten wurde, dass ein Kennzeichen allein nicht immer ein personenbezogenes Datum darstellt. In Compliance-Anwendungen ist es daher sicherer, den Umstand der Kennzeichen-Redaktion zu dokumentieren, ohne den Inhalt des Kennzeichens im Log festzuhalten.