Smart City und Videodatenschutz – Definition
Smart City und Videodatenschutz bezeichnen den Bereich der Planung, Implementierung und Überwachung städtischer Videoüberwachungssysteme so, dass die Verarbeitung von Kamerabildern mit dem Datenschutzrecht und dem Grundsatz der möglichst geringen Eingriffe in die Rechte natürlicher Personen vereinbar bleibt. In der Praxis geht es darum, dass eine Stadt Aufnahmen und Bilder für Zwecke wie öffentliche Sicherheit, Verkehrsmanagement, Ereignisanalyse oder die Dokumentation von Vorfällen nutzen kann, ohne dabei identifizierbare Merkmale von Personen und Fahrzeugen übermäßig zu erfassen oder offenzulegen.
Im Zusammenhang mit der Anonymisierung von Fotos und Videos bedeutet dieser Begriff vor allem den Einsatz technischer und organisatorischer Maßnahmen, die die Identifizierung von Personen in Bildmaterial einschränken. Dazu gehört insbesondere das Unkenntlichmachen von Gesichtern und Kfz-Kennzeichen vor einer weiteren Weitergabe, Analyse, Veröffentlichung oder Übermittlung außerhalb eines engen Kreises berechtigter Empfänger. Die rechtliche Grundlage ist hier in erster Linie die DSGVO, also die Verordnung (EU) 2016/679, die seit dem 25. Mai 2018 gilt, und bei Projekten mit KI-Systemen zudem die EU-Verordnung über künstliche Intelligenz, also der AI Act – Verordnung (EU) 2024/1689, veröffentlicht am 12. Juli 2024 und schrittweise anwendbar ab 2025.
Für Kommunen ist besonders wichtig, dass Bilder aus der Videoüberwachung personenbezogene Daten enthalten können, wenn sie eine direkte oder indirekte Identifizierung einer Person ermöglichen. Bestätigt wird dies durch die Rechtsprechung des EuGH, darunter die Rechtssache C-212/13 Ryneš, sowie durch die gefestigte Praxis der Datenschutzaufsichtsbehörden in der EU. Deshalb ist Smart-City-Videoüberwachung nicht nur ein Infrastrukturthema. Sie ist zugleich ein Datenverarbeitungsvorgang, der eine Rechtsgrundlage, eine Risikobewertung, Aufbewahrungsrichtlinien und Mechanismen zur Anonymisierung von Bildmaterial erfordert.
Rechtlicher Rahmen für städtische Videoüberwachung und Videoanonymisierung
In Smart-City-Projekten reicht es nicht aus, lediglich auf einen öffentlichen Zweck zu verweisen. Der Verantwortliche muss die Rechtmäßigkeit des gesamten Lebenszyklus einer Aufnahme im Hinblick auf Rechtmäßigkeit, Zweckbindung, Datenminimierung, Integrität und Vertraulichkeit nachweisen. Bei der städtischen Videoüberwachung bedeutet das insbesondere, die Phase der Aufzeichnung von der Phase der späteren Nutzung des Materials klar zu trennen.
Zu den wichtigsten Rechtsakten und Leitlinien gehören:
- DSGVO – Verordnung (EU) 2016/679, insbesondere Art. 5, 6, 25, 32 und 35.
- EDSA-Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, in der endgültigen Fassung vom 29. Januar 2020.
- AI Act – Verordnung (EU) 2024/1689. In Smart-City-Systemen sind insbesondere die Regeln für Hochrisiko-Systeme sowie die Beschränkungen für die biometrische Fernidentifizierung relevant.
- Nationale Rechtsvorschriften zur Videoüberwachung öffentlicher Stellen sowie zum Zugang zu öffentlichen Informationen.
- In Polen: Stellungnahmen der UODO und bei der Veröffentlichung von Material außerdem das Zivilgesetzbuch sowie das Urheberrechtsgesetz und verwandte Schutzrechte im Hinblick auf das Recht am eigenen Bild.
In der Rechtspraxis sind auch unterschiedliche Auffassungen zu Kfz-Kennzeichen relevant. In Europa gilt das Unkenntlichmachen von Kennzeichen häufig als Standard der Compliance und rechtlichen Vorsicht. In Polen ist die Lage jedoch nicht einheitlich. Leitlinien der UODO, des EDSA und Teile der auf der EuGH-Rechtsprechung basierenden Argumentation stützen einen vorsichtigen Ansatz, während die Rechtsprechung der Verwaltungsgerichte darauf hingewiesen hat, dass ein Kfz-Kennzeichen nicht in jedem Fall ein personenbezogenes Datum darstellt. Für öffentliche Verantwortliche bedeutet das, dass sie Kontext und Risiko analysieren müssen, anstatt sich ausschließlich auf eine einzelne Auffassung zu stützen.
Wie Smart City die Anonymisierung von Fotos und Videoaufnahmen einsetzt
In städtischen Systemen bedeutet Anonymisierung in der Regel nicht die Löschung der gesamten Aufnahme, sondern die Verringerung der Identifizierbarkeit bestimmter Bildelemente. Meist geht es um die Gesichter unbeteiligter Personen und die Kfz-Kennzeichen von Fahrzeugen. Das ist besonders relevant bei der Weitergabe von Aufnahmen an Organisationseinheiten, bei der Veröffentlichung von Materialien zur Bewerbung von Investitionsprojekten, bei der Bereitstellung von Material für Medien oder bei der Nutzung von Datensätzen für Tests und Schulungen.
Technisch umfasst der Prozess in der Regel:
- die Objekterkennung in einzelnen Bildframes,
- das Tracking erkannter Objekte zwischen den Frames,
- das Aufbringen einer Anonymisierungsmaske, zum Beispiel Blur oder Pixelisierung,
- die Qualitätskontrolle, damit keine nicht unkenntlich gemachten Frames zurückbleiben.
Für die automatische Erkennung von Gesichtern und Kennzeichen werden Modelle des maschinellen Lernens eingesetzt, meist auf Basis von Deep Learning. Ein neuronales Netz wird zunächst mit Datensätzen trainiert, die gekennzeichnete Beispiele von Gesichtern oder Kfz-Kennzeichen enthalten. Erst ein solches trainiertes Modell kann anschließend zum automatischen Unkenntlichmachen in Fotos und Videoaufnahmen eingesetzt werden. Ohne diese Trainingsphase ist das Modell nicht in der Lage, Objekte unter wechselnden städtischen Bedingungen wie Regen, Bewegung, Nacht oder teilweise verdeckten Gesichtern zuverlässig zu erkennen.
Im Zusammenhang mit Gallio PRO muss der Funktionsumfang klar abgegrenzt werden. Die Software macht Gesichter und Kfz-Kennzeichen automatisch unkenntlich. Ganze Körper werden nicht unkenntlich gemacht. Es erfolgt keine Anonymisierung in Echtzeit und keine Anonymisierung von Videostreams. Logos, Tätowierungen, Namensschilder, Dokumente oder Bildschirminhalte werden nicht automatisch erkannt. Solche Elemente können im Editor manuell unkenntlich gemacht werden.
Zentrale Parameter und Metriken für den Videodatenschutz
Die Bewertung eines Anonymisierungssystems im Smart-City-Umfeld sollte auf messbaren Parametern beruhen. Bloße Compliance-Erklärungen reichen nicht aus. Für Datenschutzbeauftragte und IT-Teams sind sowohl die Erkennungsleistung als auch das Risiko einer Offenlegung nach der Anonymisierung entscheidend.
Parameter | Bedeutung | Praktische Relevanz
|
|---|---|---|
Recall | Anteil der tatsächlich vorhandenen Gesichter oder Kennzeichen, die korrekt erkannt wurden | Ein niedriger Recall erhöht das Risiko, dass personenbezogene Daten sichtbar bleiben |
Precision | Anteil korrekter Erkennungen an allen Erkennungen | Eine niedrige Precision erhöht die Zahl fehlerhafter Maskierungen |
IoU | Intersection over Union für den Erkennungsrahmen | Beeinflusst, ob die Maske den gesamten Bereich von Gesicht oder Kennzeichen tatsächlich abdeckt |
Frame Coverage | Anteil der Frames, in denen die Maske korrekt beibehalten wird | Besonders wichtig bei Kamerabewegungen und sich schnell bewegenden Objekten |
Verarbeitungslatenz | Zeit für die Bearbeitung des Materials | Beeinflusst die Effizienz der Verwaltung und bestimmt in Offline-Systemen die Zeit bis zur Bereitstellung des Materials |
Aufbewahrung von Aufnahmen | Speicherfrist des Ausgangsmaterials | Muss durch den Zweck und die Richtlinien des Verantwortlichen gerechtfertigt sein |
Für die Risikobewertung kann ein einfaches operatives Modell verwendet werden:
Offenlegungsrisiko = Wahrscheinlichkeit der Nichterkennung x Auswirkung der Identifizierung
Soll Material einem größeren Empfängerkreis zugänglich gemacht werden, sollte das erforderliche Niveau der Videoanonymisierung höher sein als bei einer internen und streng kontrollierten Nutzung.
Use Case für Kommunen – Veröffentlichung und Bereitstellung von Aufnahmen
Ein typischer Anwendungsfall betrifft die städtische Überwachung von Kreuzungen, Haltestellen und Plätzen. Die Stadt möchte Aufnahmen für Verkehrsanalysen, zur Dokumentation von Investitionen oder zur Beantwortung eines Antrags auf Zugang zu öffentlichen Informationen verwenden. Das Material enthält jedoch Gesichter von Passanten und Kfz-Kennzeichen.
Ein sicherer Prozess umfasst in der Regel folgende Schritte:
- Festlegung des Zwecks der späteren Nutzung des Materials,
- Prüfung der Rechtsgrundlage und der Notwendigkeit einer DSFA gemäß Art. 35 DSGVO,
- Auswahl des für den Zweck erforderlichen Aufnahmeumfangs,
- automatisches Unkenntlichmachen von Gesichtern und Kfz-Kennzeichen,
- manuelle Kontrolle des Materials im Hinblick auf weitere Identifikatoren,
- Bereitstellung einer bearbeiteten Kopie statt der Quelldatei,
- Anwendung von Aufbewahrungsrichtlinien und Zugriffskontrollen.
Ein solcher Ansatz unterstützt den Grundsatz Privacy by Design nach Art. 25 DSGVO. Er reduziert außerdem die Zahl der Verarbeitungsvorgänge am Ausgangsmaterial durch unbefugte Personen. In einer On-Premise-Umgebung besteht ein zusätzlicher Vorteil darin, dass Aufnahmen nicht an externe Cloud-Dienste übermittelt werden müssen, was die Analyse von Datenflüssen und Datenübermittlungen vereinfacht.
Herausforderungen und Grenzen in Smart-City-Projekten
Selbst ein korrekt konzipiertes System beseitigt nicht alle Risiken. Die häufigsten Probleme sind technischer und organisatorischer Natur. Sie betreffen die Bildqualität, den Kamerawinkel, die Beleuchtung, die Komprimierung sowie Fehler bei der späteren Nutzung des Materials.
Zu den wichtigsten Einschränkungen gehören:
- abnehmende Erkennungsleistung bei niedriger Auflösung und starker Komprimierung,
- teilweise verdeckte Gesichter oder Kennzeichen,
- das Risiko einer indirekten Identifizierung trotz Unkenntlichmachung, etwa durch Orts- und Zeitkontext,
- die Notwendigkeit, zwischen Beweismaterial und zur Veröffentlichung bestimmtem Material zu unterscheiden,
- eine uneinheitliche Einordnung von Kfz-Kennzeichen in Polen.
Beim Bildnis von Personen ist zu beachten, dass die Pflicht zur Anonymisierung nicht nur aus der DSGVO, sondern auch aus dem Schutz der Persönlichkeitsrechte und den Regeln zur Verbreitung von Bildnissen folgen kann. Ausnahmen betreffen unter anderem Personen des öffentlichen Lebens, wenn das Bildnis im Zusammenhang mit der Wahrnehmung öffentlicher Funktionen aufgenommen wurde, Bildnisse als Beiwerk einer Gesamtheit wie einer Versammlung, Landschaft oder öffentlichen Veranstaltung sowie Fälle, in denen die betroffene Person eine vereinbarte Vergütung für das Posieren erhalten hat. Jeder dieser Fälle erfordert jedoch eine Bewertung des konkreten Sachverhalts.