Video-Anonymisierungssoftware - Definition
Video-Anonymisierungssoftware ist eine Software zur Erkennung und Maskierung personenbezogener Daten, die auf Fotos und in Videoaufnahmen sichtbar sind. In der Praxis geht es bei visuellen Materialien vor allem um Gesichter und Kfz-Kennzeichen. Ziel ist es, die Möglichkeit der Identifizierung einer natürlichen Person vor der weiteren Nutzung des Materials zu verringern, zum Beispiel vor der Veröffentlichung, Weitergabe, Archivierung, Analyse oder Übermittlung an einen anderen Empfänger.
Im Sinne der DSGVO bedeutet Anonymisierung eine solche Verarbeitung personenbezogener Daten, dass die betroffene Person nicht mehr mit Mitteln identifiziert werden kann, deren Einsatz vernünftigerweise wahrscheinlich ist. Dies ergibt sich aus Erwägungsgrund 26 der Verordnung (EU) 2016/679. In der Praxis von Videomaterial setzen viele Lösungen, die am Markt als „Video-Anonymisierung“ bezeichnet werden, eher eine dauerhafte Bildmaskierung um als eine Anonymisierung im rechtlichen Sinn. Deshalb hängt die Bewertung der Wirksamkeit davon ab, ob nach dem Aufbringen der Maske eine erneute Identifizierung anhand des Gesichts, des Kennzeichens oder anderer Kontextelemente möglich bleibt.
Software dieser Art verwendet in der Regel Computer-Vision-Modelle zur Objekterkennung und legt anschließend eine Maske, Unschärfe, Pixelierung oder Flächenfüllung über den betreffenden Bereich. Bei Gesichtern und Kennzeichen hängt die automatische Erkennungsleistung von der Qualität des Modells, der Auflösung des Materials, dem Aufnahmewinkel, den Lichtverhältnissen, Bewegungen, der Kompression und einer möglichen Verdeckung des Objekts ab.
Im Kontext von Gallio PRO bezeichnet der Begriff eine Software, die Gesichter und Kfz-Kennzeichen in Videos und Fotos automatisch erkennt und unkenntlich macht. Nicht umfasst ist die automatische Erkennung von Logos, Tätowierungen, Namensschildern, Dokumenten oder Inhalten, die auf Monitoren angezeigt werden. Diese Elemente können im Editor manuell maskiert werden. Die Software führt weder eine Echtzeit-Anonymisierung noch eine Anonymisierung von Videostreams durch.
Wie Video-Anonymisierungssoftware funktioniert
Technisch besteht der Prozess aus mehreren Schritten. Zunächst analysiert das System die einzelnen Bildframes und lokalisiert die zu schützenden Objekte. Anschließend verfolgt es diese über mehrere Frames hinweg und wendet die Maske über den gesamten Verlauf der Aufnahme an. Das reduziert das Risiko eines „Flackerns“ der Maske oder einer kurzzeitigen Freilegung von Gesichtern.
Für die automatische Anonymisierung von Gesichtern und Kfz-Kennzeichen kommen in der Regel Deep-Learning-Modelle zum Einsatz. Sie werden häufig verwendet, um einen Detektor zu entwickeln, der gegenüber Bildvariationen robust ist, etwa bei unterschiedlichen Gesichtswinkeln, teilweiser Verdeckung, Fahrzeugbewegungen oder wechselnden Wetterbedingungen. Das Modell wird zuvor auf annotierten Datensätzen trainiert und anschließend für die Inferenz eingesetzt, also zur Erkennung von Objekten in neuem Material.
- Detektion - Identifizierung des Bereichs eines Gesichts oder eines Kfz-Kennzeichens in einem einzelnen Frame,
- Tracking - Aufrechterhaltung der Zuordnung desselben Objekts über aufeinanderfolgende Frames hinweg,
- Maskierung - Anwendung von Unschärfe, Pixelierung oder Abdeckung,
- Verifikation - Qualitätskontrolle durch den Operator, insbesondere bei Material mit hohem Risiko.
In der Praxis sollte eine gute Video-Anonymisierungssoftware Automatisierung mit manueller Korrektur verbinden. Die reine Detektion beseitigt keine Fehler wie False Negatives, also nicht erkannte Gesichter oder Kennzeichen. Aus Sicht eines Datenschutzbeauftragten ist das ein kritischer Parameter, weil bereits ein einzelnes Übersehen zur Offenlegung personenbezogener Daten führen kann.
Arten von Video-Anonymisierungssoftware
Bei der Auswahl einer Video-Anonymisierungssoftware sind die Implementierungsarchitektur und der Automatisierungsgrad entscheidend. Diese Merkmale beeinflussen das rechtliche Risiko, die Datensicherheit, die Betriebskosten und die Effizienz des gesamten Prozesses.
Kriterium | On-Premise | Cloud
|
|---|---|---|
Ort der Verarbeitung | Eigene oder dedizierte Infrastruktur | Umgebung des Anbieters |
Kontrolle über die Daten | Hoch | Abhängig von Vertrag und Konfiguration |
Dateiübertragung außerhalb der Organisation | Muss nicht erforderlich sein | In der Regel erforderlich |
Infrastrukturanforderungen | Höher | Geringer auf Nutzerseite |
Bewertung für sensible Materialien | Oft bevorzugt | Erfordert eine Analyse der Übermittlungen und Auftragsverarbeiter |
Eine weitere Einteilung betrifft die Arbeitsweise des Operators. Automatische Lösungen erhöhen den Verarbeitungsumfang, müssen aber kontrolliert werden. Manuelle Lösungen sind langsamer, ermöglichen jedoch die Maskierung von Objekten, die vom Modell nicht erkannt werden.
Betriebsmodus | Einsatzbereich | Einschränkungen
|
|---|---|---|
Automatisch | Große Mengen an Aufnahmen, wiederkehrende Szenen | Risiko von Auslassungen und Erkennungsfehlern |
Manuell | Ungewöhnliche Materialien, Objekte außerhalb des Modellumfangs | Höherer Zeitaufwand |
Hybrid | Häufigstes Betriebsmodell | Erfordert ein Verfahren zur Qualitätskontrolle |
Zentrale Parameter und Bewertungsmetriken
Die Bewertung von Video-Anonymisierungssoftware sollte sich nicht allein auf die Aussage „KI“ stützen. Erforderlich sind messbare Parameter. In Systemen zur Objekterkennung werden meist Präzision, Recall und abgeleitete Kennzahlen verwendet. Die Definitionen sind im Machine Learning und in der Computer-Vision-Literatur standardisiert.
- Precision = TP / (TP + FP) - welcher Anteil der Erkennungen korrekt war,
- Recall = TP / (TP + FN) - welcher Anteil der tatsächlichen Objekte erkannt wurde,
- F1 = 2 × (Precision × Recall) / (Precision + Recall),
- IoU - Intersection over Union, Maß für die Übereinstimmung der Erkennungsbox mit dem Objekt,
- Verarbeitungszeit - zum Beispiel Anzahl der Frames pro Sekunde oder Zeit pro 1 Stunde Material,
- Tracking-Stabilität - Anzahl der Unterbrechungen der Maskierung in einer Sequenz,
- Quote kritischer Fehler - Anzahl nicht erkannter Gesichter oder Kennzeichen pro Zeiteinheit der Aufnahme.
Für Compliance-Anwendungen ist ein hoher Recall in der Regel wichtiger als die reine Precision. Falsch-positive Erkennungen erhöhen zwar die Zahl unnötiger Masken, doch False Negatives können zur Offenlegung personenbezogener Daten führen. Deshalb sollten Tests mit organisationsinternem Referenzmaterial durchgeführt werden und nicht ausschließlich mit Daten des Herstellers.
Kriterien für die Auswahl von Video-Anonymisierungssoftware
Die Wahl einer Lösung sollte auf einer Risikoanalyse, der Art des Materials und der Rechtsgrundlage der Verarbeitung beruhen. Für Datenschutzbeauftragte sind sowohl technische Funktionen als auch organisatorische Aspekte relevant.
- Umfang der automatischen Erkennung - ob das System Gesichter und Kfz-Kennzeichen erkennt,
- Möglichkeit der manuellen Korrektur - unverzichtbar für Objekte, die nicht automatisch unterstützt werden,
- Bereitstellungsmodell - On-Premise oder Cloud,
- keine unnötigen Logs mit personenbezogenen Daten,
- Unterstützung von Fotos und Videos in den erforderlichen Formaten und Auflösungen,
- Leistungsfähigkeit bei großen Materialmengen,
- Möglichkeit zur Validierung des Ergebnisses vor dem Export der Ausgabedatei,
- technische Dokumentation und Auditierbarkeit der Prozesseinstellungen.
Im Fall von Gallio PRO ist wichtig, dass die Software keine Logs speichert, die Erkennungsergebnisse von Gesichtern und Kfz-Kennzeichen enthalten, und auch keine anderen Logs mit personenbezogenen Daten oder besonderen Kategorien personenbezogener Daten. Aus Sicht der Datenminimierung ist dies organisatorisch eine wesentliche Eigenschaft.
Rechtliche und normative Aspekte
Der zentrale Bezugspunkt bleibt die DSGVO, also die Verordnung (EU) 2016/679 vom 27. April 2016. Relevant sind außerdem die Grundsätze Privacy by Design und Privacy by Default aus Art. 25 sowie die Sicherheit der Verarbeitung nach Art. 32. Erwägungsgrund 26 legt das Kriterium für die Beurteilung der Identifizierbarkeit nach einer Anonymisierung fest.
In Bezug auf Gesichter kann die Pflicht zur Maskierung auch aus Vorschriften zum Schutz des Rechts am eigenen Bild und anderer Persönlichkeitsrechte folgen. In der Praxis werden drei typische Ausnahmen von der Pflicht zur Einholung einer Einwilligung für die Verbreitung eines Bildnisses genannt: eine Person des öffentlichen Lebens im Zusammenhang mit der Wahrnehmung öffentlicher Aufgaben, das Bildnis als Beiwerk zu einer Gesamtdarstellung wie einer Versammlung, Landschaft oder öffentlichen Veranstaltung sowie der Fall, dass die Person für das Posieren eine vereinbarte Vergütung erhalten hat.
Bei Kfz-Kennzeichen ist die rechtliche Bewertung nicht einheitlich. In europäischen Staaten wird ihre Maskierung aus Datenschutzsicht häufig als sichere Praxis angesehen, die rechtliche Einordnung hängt jedoch vom Kontext und vom nationalen Recht ab. In Polen besteht hierzu Uneinheitlichkeit. Leitlinien von Datenschutzbehörden und die unionsrechtliche Rechtsprechung stützen einen vorsichtigen Ansatz, während in Teilen der verwaltungsgerichtlichen Rechtsprechung davon ausgegangen wird, dass ein Kennzeichen nicht immer ein personenbezogenes Datum darstellt. Aus Compliance-Sicht bedeutet dies, dass der Kontext und das Risiko einer Identifizierung bewertet werden müssen.
Einschränkungen und praktischer Anwendungskontext
Keine Video-Anonymisierungssoftware garantiert fehlerfreie Ergebnisse für jedes Material. Probleme treten insbesondere bei sehr niedriger Auflösung, starker Kompression, schnellen Kamerabewegungen, großem Personenaufkommen, Nachtaufnahmen und teilweiser Verdeckung von Objekten auf. Deshalb sollte der Prozess eine Qualitätskontrolle umfassen, insbesondere vor der Veröffentlichung von Material im Internet.
Video-Anonymisierungssoftware wird unter anderem von Kommunalbehörden, der Polizei, Straßenverwaltungen, Transportunternehmen, Medienhäusern, Betreibern von Videoüberwachungssystemen und Organisationen eingesetzt, die technische Dokumentation im Außeneinsatz erstellen. In all diesen Fällen ist das Ziel ähnlich: die weitere Nutzung von Aufnahmen zu ermöglichen, ohne unnötig die Identität von Personen und Fahrzeugkennzeichen offenzulegen.