PiiBlur

'DSGVO-Konformität mit Bildern: Was Sie wissen müssen'

'PiiBlur Team'6 Min. gelesen

Die Datenschutz-Grundverordnung behandelt Fotos und Videos wie alle anderen personenbezogenen Daten - kann eine Person anhand eines Bildes identifiziert werden, gilt die DSGVO. Für Unternehmen, die visuelle Inhalte erfassen, verarbeiten oder veröffentlichen, entstehen dadurch Verpflichtungen, die viele Teams übersehen, bis eine Prüfung oder Beschwerde das Problem aufdeckt.

Dieser Leitfaden befasst sich mit der praktischen Seite: Was die DSGVO über Bilder sagt, was Datenschutzpflichten auslösen kann und wie Sie die Schwärzung in Ihre Abläufe integrieren können. Hierbei handelt es sich um eine betriebliche Anleitung, nicht um eine Rechtsberatung. Wenden Sie sich für Ihre spezifische Situation an einen qualifizierten Anwalt.

Wie die DSGVO personenbezogene Daten in Bildern definiert

Artikel 4 der DSGVO definiert personenbezogene Daten als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Erwägungsgrund 51 geht noch weiter und besagt, dass Fotos in Frage kommen, wenn sie „durch ein bestimmtes technisches Mittel verarbeitet werden, das die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglicht“.

Im Klartext: Wenn ein Foto oder Video ein Gesicht, ein Nummernschild, einen Personalausweis oder ein anderes Element enthält, das eine Person identifiziert, behandelt die DSGVO es als personenbezogene Daten.

Ein vollständige Aufschlüsselung der visuellen PII-Kategorien deckt die 13 Arten identifizierbarer Informationen ab, die in Bildern erscheinen - von QR-Codes über Tätowierungen bis hin zu Straßenschildern, die den Standort verraten.

Wenn die DSGVO auf Ihre Bilder anwendbar ist

Die DSGVO gilt immer dann, wenn Sie Bilder verarbeiten, die identifizierbare Informationen über EU-Bürger enthalten. „Verarbeitung“ umfasst ein breites Spektrum an Tätigkeiten:

  • Aufnehmen von Bildern mit Überwachungskameras, Drohnen oder Telefonen -Speichern von Fotos oder Videos auf Servern, Cloud-Speichern oder Geräten -Teilen von Bildern mit Partnern, Kunden oder der Öffentlichkeit -Veröffentlichung visueller Inhalte auf Websites, in Listen oder in sozialen Medien -Analysieren von Bildern mit Computer Vision oder KI-Tools

Wenn Ihr Unternehmen dies mit Bildern tut, die identifizierbare Personen oder Daten enthalten, unterliegen Sie den Verpflichtungen der DSGVO.

Die sechs Rechtsgrundlagen für die Verarbeitung visueller Daten

Die DSGVO verlangt für jede Verarbeitungstätigkeit eine Rechtsgrundlage. Für Bilder sind die wichtigsten Grundlagen:Einwilligung. Die betroffene Person stimmte der spezifischen Verarbeitung zu. Bei öffentlicher Fotografie ist es selten praktikabel, die Zustimmung aller im Bild befindlichen Personen einzuholen.Berechtigtes Interesse. Ihr Unternehmen hat ein echtes Bedürfnis, das die Rechte des Einzelnen nicht außer Kraft setzt. Hier fallen häufig Aufnahmen von Überwachungskameras an, Sie müssen jedoch eine Legitimate Interest Assessment (LIA) durchführen und dokumentieren.Gesetzliche Verpflichtung. Das Gesetz verlangt von Ihnen, die Bilder zu verarbeiten - zum Beispiel aufgrund behördlicher Aufzeichnungen in bestimmten Branchen.

Öffentliche Aufgabe. Die Verarbeitung ist für eine im öffentlichen Interesse liegende Aufgabe erforderlich. Dies gilt vor allem für öffentliche Stellen.

Für die meisten kommerziellen Nutzungen - Überwachungssysteme, Bilder auf Straßenebene, Immobilienfotografie - ist die Einwilligung in großem Umfang unpraktisch. Berechtigtes Interesse ist die typische Grundlage, aber es ist an Bedingungen geknüpft: Sie müssen nachweisen, dass die Verarbeitung notwendig und verhältnismäßig ist und im Einklang mit den Datenschutzrechten des Einzelnen steht.

Der einfachste Weg, dieses Gleichgewicht zu wahren, besteht darin, identifizierbare Informationen vor der Veröffentlichung oder Weitergabe von Bildern zu schwärzen.

Praktische Schritte zur DSGVO-Konformität mit Bildern

1. Überprüfen Sie Ihre Image-Pipeline

Kartieren Sie jeden Punkt, an dem Ihr Unternehmen Bilder erfasst, speichert, verarbeitet oder teilt. Identifizieren Sie, welche Bilder wahrscheinlich personenbezogene Daten enthalten. Häufige Quellen: Sicherheitskameras, in Fahrzeugen montierte Kameras, Drohnenaufnahmen, Mitarbeiterfotos und von Benutzern hochgeladene Inhalte.

2. Schaffen Sie eine Rechtsgrundlage

Dokumentieren Sie für jede Kategorie der Bildbearbeitung Ihre Rechtsgrundlage. Wenn Sie sich auf ein berechtigtes Interesse berufen, füllen Sie eine Beurteilung des berechtigten Interesses aus und bewahren Sie diese auf.

3. Redaktion vor der Veröffentlichung durchführen

Schwärzen Sie identifizierbare Informationen - Gesichter, Nummernschilder, Ausweise und andere visuelle personenbezogene Daten - bevor Bilder Ihre internen Systeme verlassen. Die automatisierte Schwärzung erledigt dies in großem Umfang, ohne dass es zu Engpässen bei der manuellen Überprüfung kommt.

PiiBlur erkennt 13 Kategorien personenbezogener Daten in Bildern und Videos und wendet automatisch Unschärfe oder Pixelierung an. Integrieren Sie es per API in Ihre bestehende Pipeline oder nutzen Sie das Dashboard für die Ad-hoc-Verarbeitung.

4. Datenaufbewahrung minimieren

Auch für Bilder gilt der Grundsatz der Datensparsamkeit der DSGVO. Bewahren Sie nicht redigierte Bilder nicht länger als nötig auf. Definieren Sie Aufbewahrungsfristen und setzen Sie diese durch.

5. Bearbeitung von Anfragen betroffener Personen

Einzelpersonen haben das Recht, auf ihre personenbezogenen Daten - einschließlich Bilder - zuzugreifen, diese zu berichtigen und deren Löschung zu verlangen. Erstellen Sie einen Prozess, um diese Anfragen innerhalb des 30-Tage-Fensters zu finden und zu beantworten.

6. Dokumentieren Sie Ihre Prozesse

Führen Sie Aufzeichnungen über Ihre Verarbeitungsaktivitäten (Artikel 30), einschließlich der Art der verarbeiteten Bilder, Rechtsgrundlagen, Aufbewahrungsfristen und Schwärzungsverfahren. Diese Dokumentation ist Ihre erste Verteidigungslinie bei einem Audit.

Die Kosten für einen Fehler

DSGVO-Bußgelder für Bildverstöße sind real. Regulierungsbehörden in der gesamten EU haben Strafen verhängt für:

  • Veröffentlichung von Bildern im Street View-Stil ohne angemessene Schwärzung
  • Betreiben von CCTV-Systemen ohne ordnungsgemäße Beschilderung oder Rechtsgrundlage
  • Weitergabe von Mitarbeiterfotos ohne Zustimmung
  • Das Aufbewahren von Sicherheitsaufnahmen über einen angemessenen Zeitraum hinaus

Die Strafen betragen 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist. Über Bußgelder hinaus schädigen Durchsetzungsmaßnahmen das Vertrauen der Kunden und stören den Betrieb.

Integrieren Sie die Schwärzung in Ihren Workflow

Die Einhaltung der DSGVO für Bilder ist kein einmaliges Projekt. Jedes neue Bild, das Ihr Unternehmen aufnimmt, kann personenbezogene Daten enthalten. Der einzig nachhaltige Ansatz ist die automatische Schwärzung, die in Ihre Bildpipeline integriert ist - das Erkennen und Entfernen identifizierbarer Informationen, bevor sie Veröffentlichungs-, Speicher- oder Drittsysteme erreichen.

Die API von PiiBlur verarbeitet Bilder und Videos in großen Mengen, erkennt alle 13 PII-Kategorien und gibt eine redigierte Ausgabe zurück. Das kostenlose Kontingent umfasst 100 Bilder und 5 Minuten Video pro Monat, sodass Sie es mit Ihren tatsächlichen Inhalten testen können, bevor Sie sich für einen Plan entscheiden.