Gilt die DSGVO für Videoaufnahmen, wenn mein Unternehmen außerhalb der EU ansässig ist?

In der Regel ja, wenn die Aufnahmen identifizierbare EU-Bürger zeigen und Ihre Organisation entweder in der EU niedergelassen ist oder EU-Personen gezielt mit Waren oder Dienstleistungen anspricht (DSGVO Art. 3). Der räumliche Anwendungsbereich richtet sich nach dem Aufenthaltsort der betroffenen Person, nicht nach dem Sitz des Unternehmens.

Behandelt die CCPA/CPRA Gesichtsdaten und biometrische Daten anders als andere personenbezogene Daten?

Ja. California Civil Code §1798.140 führt 'biometrische Informationen' — einschließlich Gesichtserkennungsvorlagen und Stimmabdrücke — als eigene Kategorie personenbezogener Informationen auf. Die CPRA (wirksam seit 2023) stuft biometrische Daten zusätzlich als 'sensitive personal information' ein, was weitergehende Opt-out-Rechte und Zweckbindungspflichten auslöst.

Reicht das Verpixeln eines Gesichts im Video aus, um DSGVO oder CCPA zu erfüllen?

Eine Verpixelung oder Unschärfe auf der Darstellungsebene, bei der die ursprünglichen Bilddaten in der Datei erhalten bleiben, ist nicht ausreichend — sie kann durch Extraktion des unveränderten Videostroms rückgängig gemacht werden. Regelkonforme Anonymisierung erfordert die irreversible Vernichtung der identifizierenden Pixel, etwa durch deckende Übermalung oder ffmpeg-basierte Frame-Überschreibung, sodass keine ursprünglichen Gesichtsdaten aus der Ausgabedatei wiederhergestellt werden können.

Was ist der praktische Unterschied zwischen 'anonymen Daten' nach DSGVO und 'deidentifizierten' Daten nach CCPA?

Die DSGVO (Erwägungsgrund 26) betrachtet Daten nur dann als anonym, wenn eine Identifizierung für niemanden mehr vernünftigerweise möglich ist — unter Berücksichtigung aller verfügbaren Hilfsmittel. Die CCPA verlangt, dass Daten nicht 'vernünftigerweise' mit einem Verbraucher in Verbindung gebracht werden können und dass das Unternehmen technische Schutzmaßnahmen ergreift und vertraglich auf Re-Identifizierung verzichtet. Der DSGVO-Standard ist generell strenger, da er das Risiko der Re-Identifizierung durch Dritte weltweit berücksichtigt.

Gilt die CCPA für Videoüberwachungsaufnahmen von Mitarbeitenden?

Seit dem 1. Januar 2023 ist die Beschäftigtendaten-Ausnahme der CPRA ausgelaufen. Arbeitnehmer und Bewerber in Kalifornien haben damit volle CCPA/CPRA-Rechte — einschließlich über am Arbeitsplatz aufgenommene Videoaufnahmen, die sie identifizieren könnten. Unternehmen sollten interne Überwachungspraktiken auf die CPRA-Vorschriften für biometrische sensitive Daten prüfen.

Kann ein einziger Anonymisierungsworkflow DSGVO und CCPA gleichzeitig erfüllen?

In den meisten Fällen ja. Erfüllt die Anonymisierung den strengeren DSGVO-Standard — irreversible Entfernung, sodass eine Re-Identifizierung für niemanden mehr vernünftigerweise möglich ist — wird sie in der Regel auch die CCPA-Anforderung erfüllen, dass Daten nicht 'vernünftigerweise' mit dem Verbraucher verknüpft werden können. Einmalig nach dem strengsten Standard zu implementieren ist der effiziente Compliance-Weg für Organisationen, die beiden Regelwerken unterliegen.

CCPA vs. DSGVO: Datenschutz-Leitfaden für Video- und Bilddaten

Gesichter in Sicherheitskameras, in Kundenservice-Videoanrufen oder in Trainingsdatensätzen sind personenbezogene Daten — sowohl nach US-amerikanischem als auch nach europäischem Recht. Die Anforderungen unterscheiden sich jedoch in wesentlichen Punkten, die bestimmen, wie Sie Aufnahmen verwalten, teilen und speichern müssen. Ob die DSGVO, die CCPA/CPRA oder beide für Ihre Organisation gelten, hängt davon ab, wo sich Ihre Nutzer befinden und wie Sie ihre Daten verarbeiten.

Dieser Leitfaden vergleicht die Pflichten aus DSGVO und CCPA/CPRA speziell für Video- und Bilddaten, klärt, wie jedes Regelwerk biometrische Informationen definiert, und zeigt, wie irreversible Anonymisierung beide Rechtsrahmen gleichzeitig erfüllen kann.

Rechtlicher Hinweis: Dieser Leitfaden dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Datenschutzrecht ist komplex und jurisdiktionsspezifisch. Konsultieren Sie eine qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Kurzübersicht

Die DSGVO schützt identifizierbare EU-Bürger; die CCPA schützt kalifornische Verbraucher — ein US-Unternehmen, das EU-Nutzer bedient, kann beiden gleichzeitig unterliegen; der räumliche Anwendungsbereich folgt der betroffenen Person, nicht dem Unternehmenssitz.
Beide Regelwerke behandeln Gesichter und biometrische Daten als besonders schutzbedürftige Daten, aber die CPRA klassifiziert sie ausdrücklich als „sensitive personal information" mit Opt-out-Rechten, während die DSGVO für ihre Verarbeitung als „besondere Kategorie" eine Rechtsgrundlage voraussetzt.
Echte anonyme Video- und Bilddaten fallen aus beiden Regelwerken heraus — DSGVO-Erwägungsgrund 26 schließt sie aus; die CCPA schließt „deidentifizierte" Daten aus — Anonymisierung ist daher die wirkungsvollste Compliance-Maßnahme.
Sie können Video und Bilder jetzt mit Medianonymizer anonymisieren — KI erkennt Gesichter, Kennzeichen und sichtbaren Text; eine deterministische Pipeline überschreibt sie irreversibel; ein Prüfprotokoll dokumentiert, was entfernt wurde.

Anwendungsbereich der jeweiligen Regelwerke

DSGVO (EU)

Die Datenschutz-Grundverordnung (EU) 2016/679 gilt, wenn Sie personenbezogene Daten von Personen verarbeiten, die sich in der EU oder im EWR aufhalten. Der räumliche Anwendungsbereich nach Art. 3 wird ausgelöst durch:

Niederlassung: Ihre Organisation hat ein Büro, eine Niederlassung oder eine stabile Einrichtung in der EU, oder
Ausrichten: Sie bieten EU-Personen Waren oder Dienstleistungen an oder beobachten deren Verhalten (Art. 3 Abs. 2).

Ein in den USA ansässiges Unternehmen, das ein in Kalifornien aufgezeichnetes Webinar mit EU-Teilnehmern streamt, verarbeitet grundsätzlich EU-personenbezogene Daten und unterliegt für diese Personen der DSGVO.

CCPA / CPRA (Kalifornien)

Der California Consumer Privacy Act (Cal. Civ. Code §1798.100 ff.), geändert durch den California Privacy Rights Act (CPRA, wirksam ab Januar 2023), gilt für gewinnorientierte Unternehmen, die in Kalifornien tätig sind und mindestens eine der folgenden Schwellen erfüllen:

Jährliche Bruttoumsätze über 25 Millionen US-Dollar
Kauf, Verkauf, Empfang oder Weitergabe personenbezogener Daten von 100.000 oder mehr kalifornischen Verbrauchern oder Haushalten pro Jahr
Erzielung von 50 % oder mehr des Jahresumsatzes aus dem Verkauf oder der Weitergabe personenbezogener Daten von Verbrauchern

Beide Gesetze schützen „personenbezogene Informationen" weit gefasst, und beide erkennen an, dass Videoaufnahmen, die eine Person identifizieren, in den Anwendungsbereich fallen.

Definition personenbezogener Daten in Video und Bild

DSGVO: Personenbezogene Daten und besondere Kategorien

Nach DSGVO Art. 4 Nr. 1 sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen — einschließlich Bilder, auf denen ein Gesicht, ein Gang oder ein anderes biometrisches Merkmal eine Identifizierung ermöglicht. Die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung einer Person ist nach Art. 9 ausdrücklich untersagt, sofern keine enge Ausnahme greift (ausdrückliche Einwilligung, lebenswichtige Interessen, legitimes öffentliches Interesse usw.).

Gesichtserkennungsdaten — aus Bildern extrahierte Vorlagen zur Identifizierung von Personen — sind biometrische Daten besonderer Kategorie nach Art. 9 Abs. 1. Selbst rohes Videomaterial, auf dem Gesichter sichtbar sind, gilt nach Art. 4 als personenbezogene Daten, wenn Personen im Kontext identifizierbar sind.

CCPA/CPRA: Personenbezogene Informationen und sensible personenbezogene Informationen

California Civil Code §1798.140(v) definiert personenbezogene Informationen weit, einschließlich „Bilder" und Kennzeichen, die mit einem Verbraucher verknüpft werden können. Gemäß CPRA §1798.140(ae) sind sensitive personal information eine eigene Unterkategorie, zu der gehören:

Biometrische Informationen zur Identifizierung eines Verbrauchers (Gesichtserkennungsvorlagen, Stimmabdrücke, Ganganalyse)
Präzise Geolokalisierung
Rassische oder ethnische Herkunft
Kontoanmeldedaten

Für sensitive personal information haben Verbraucher das Recht, Verwendung und Weitergabe zu beschränken (CPRA §1798.121) — Unternehmen dürfen sie nur für die Erbringung der primär beantragten Leistung nutzen, es sei denn, der Verbraucher willigt in eine weitergehende Nutzung ein. Dies ist eine stärkere Einschränkung als die allgemeinen CCPA-Rechte.

Gegenüberstellung für Video- und Bilddaten

Dimension	DSGVO	CCPA / CPRA
Räumlicher Anwendungsbereich	Verarbeitung von Daten von EU/EWR-Bürgern	Unternehmen in CA mit CA-Verbrauchern
Gesichter im Video	Personenbezogene Daten (Art. 4); biometrische ID = besondere Kategorie (Art. 9)	Personenbezogene Informationen; Gesichtsvorlagen = sensitive PI
Rechtsgrundlage erforderlich?	Ja — eine der sechs Grundlagen nach Art. 6; Art. 9-Grundlage für Biometrie	Kein ausdrückliches Einwilligung erforderlich, aber sensitive PI löst Opt-out-Recht aus
Betroffenenrechte	Auskunft, Berichtigung, Löschung, Übertragbarkeit, Widerspruch (Art. 15–21)	Recht auf Kenntnis, Löschung, Berichtigung, Opt-out aus Verkauf/Weitergabe (§1798.100–§1798.125)
Wirkung der Anonymisierung	Daten aus dem Anwendungsbereich der Verordnung ausgenommen (Erwägungsgrund 26)	Daten als „deidentifiziert" ausgenommen (§1798.140(m))
Bußgelder	Bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5)	Bis zu 7.500 $ pro vorsätzlichem Verstoß (§1798.155)
Aufsichtsbehörde	Nationale Datenschutzaufsichtsbehörde + EDSA	California Privacy Protection Agency (CPPA)
Biometrischer Opt-out	Kein separater Opt-out; Rechtsgrundlage steuert Verarbeitung	Verbraucher können Nutzung sensitiver PI einschränken (§1798.121)

Wo die Unterschiede in der Praxis entscheidend sind

Rechtsgrundlage vs. Opt-out-Architektur

Die DSGVO verlangt, dass Sie eine Rechtsgrundlage vor der Verarbeitung personenbezogener Daten festlegen — berechtigtes Interesse, Vertragserfüllung, rechtliche Verpflichtung oder Einwilligung (Art. 6). Für biometrische Daten verlangt Art. 9 eine spezifische Grundlage; in den meisten gewerblichen Kontexten bedeutet das die ausdrückliche, freiwillige und informierte Einwilligung jeder betroffenen Person.

Die CCPA verfolgt einen anderen Ansatz: Verarbeitung ist grundsätzlich erlaubt, aber Verbraucher haben das Recht, dem Verkauf oder der Weitergabe ihrer personenbezogenen Informationen zu widersprechen und die Nutzung sensitiver personenbezogener Informationen auf den primären Geschäftszweck zu beschränken. Die Compliance-Last liegt bei Transparenzpflichten, Opt-out-Mechanismen und der Bearbeitung von Verbraucheranfragen — nicht bei einer Vorautorisierung.

Für Videodaten ist diese Unterscheidung bedeutsam. Nach DSGVO erfordert die Aufzeichnung von Kundengesichtern für Analysezwecke wahrscheinlich eine neue Einwilligung oder eine fundierte berechtigte-Interesse-Abwägung mit einer Datenschutz-Folgenabschätzung (DSFA, Art. 35). Nach CCPA dürfen Sie das Material aufzeichnen und nutzen, müssen aber einen Link „Nutzung meiner sensitiven personenbezogenen Informationen einschränken" bereitstellen, wenn es sensitive PI darstellt, und Opt-out-Anfragen kalifornischer Verbraucher nachkommen.

Betroffenenrechte bei Videoaufnahmen

Beide Regelwerke gewähren Personen das Recht, die Löschung ihrer Daten zu beantragen. Unter DSGVO Art. 17 gilt das Löschrecht, wenn Daten für ihren ursprünglichen Zweck nicht mehr erforderlich sind, die Einwilligung widerrufen wurde oder die Person Widerspruch eingelegt hat und kein überwiegendes berechtigtes Interesse besteht. Nach CCPA §1798.105 können Verbraucher die Löschung verlangen, und das Unternehmen muss Auftragsverarbeiter und Dienstleister zur Löschung anweisen.

Für Videoarchive entsteht eine operative Herausforderung: Wenn eine Person die Löschung einer Aufnahme beantragt, in der sie erscheint, können Sie der Anfrage entsprechen? Enthält die Aufnahme auch andere Personen, können Sie die Datei nicht einfach löschen. Das selektive Anonymisieren des Gesichts der anfragenden Person — und die Neuausgabe der Datei — ist häufig der praktische Weg zur Erfüllung von Löschanfragen unter beiden Regelwerken.

DSFA und Risikobewertungspflichten

DSGVO Art. 35 verlangt eine Datenschutz-Folgenabschätzung, bevor Verarbeitungen erfolgen, die „voraussichtlich ein hohes Risiko" für betroffene Personen mit sich bringen. Der EDSA listet die umfangreiche Verarbeitung biometrischer Daten und die systematische Überwachung öffentlicher Bereiche als automatische DSFA-Auslöser. Wer Videoüberwachungsanlagen betreibt, Gesichtserkennungssysteme aufbaut oder Videodaten in großem Umfang für Analysen verarbeitet, ist grundsätzlich zur DSFA verpflichtet.

Die CCPA hat kein direktes Äquivalent, aber die CPRA §1798.185 hat die CPPA ermächtigt, Risikobewertungen für Verarbeitungstätigkeiten vorzuschreiben, die „ein erhebliches Risiko" für die Privatsphäre von Verbrauchern darstellen. Die CPPA veröffentlichte 2024 Entwürfe für Risikobewertungsvorschriften, die nach ihrer Finalisierung Bewertungspflichten für bestimmte Hochrisikoverarbeitungen — einschließlich biometrischer Überwachung — einführen werden.

Anonymisierung als gemeinsamer Compliance-Weg

Der effizienteste Weg zur Erfüllung beider Rechtsrahmen ist die Anonymisierung zu dem Zeitpunkt, an dem Aufnahmen Ihren unmittelbaren Einflussbereich verlassen — vor der Archivierung für Analysen, vor der Weitergabe an einen Dienstleister, vor der Verwendung in Trainingsdaten, vor der Veröffentlichung.

Szenario	Ohne Anonymisierung	Mit Anonymisierung
Weitergabe von CCTV-Aufnahmen an einen externen Analyseanbieter	Auftragsverarbeitungsvertrag (DSGVO Art. 28); Dienstleistervertrag (CCPA §1798.140(ag)); laufende Pflichten	Deidentifizierte Daten aus beiden Regelwerken ausgenommen; vertragliche Last reduziert
Archivierung von Kunden-Videogesprächen über die Betriebsaufbewahrung hinaus	Rechtsgrundlage und Aufbewahrungsbegründung nach beiden Gesetzen erforderlich	Anonymisiertes Archiv fällt aus der Definition personenbezogener Daten heraus
Nutzung von Video für das Training von KI-Modellen	Biometrische Einwilligung nach DSGVO Art. 9; sensitive PI-Offenlegung nach CPRA	Trainingsdaten aus dem Anwendungsbereich ausgenommen, wenn Re-Identifizierung nicht vernünftigerweise möglich
Beantwortung eines Löschungsantrags in einer Aufnahme mit mehreren Personen	Datei kann nicht gelöscht werden, ohne andere betroffene Personen zu beeinflussen	Antragstellende Person selektiv anonymisieren; Rest beibehalten

Die Pipeline von Medianonymizer ist genau für diese Szenarien entwickelt: KI-Erkennung lokalisiert frame-für-frame Gesichter, Kennzeichen und sichtbaren Text; ffmpeg-basierte Überschreibung ersetzt die identifizierten Bereiche irreversibel; und ein herunterladbares Prüfprotokoll erfasst Erkennungskategorien, Zeitstempel und den Prüfsummenwert der Ausgabedatei. Siehe den DSGVO-Video-Anonymisierungs-Use-Case für einen detaillierten Workflow.

Was „irreversibel" tatsächlich bedeutet

Ein visueller Weichzeichner oder Verpixelungsfilter auf der Darstellungsebene ist für die Erfüllung von DSGVO oder CCPA nicht ausreichend, wenn die zugrundeliegenden Pixeldaten in der kodierten Datei erhalten bleiben. Echte Anonymisierung erfordert, dass die identifizierenden Daten in der Ausgabedatei überschrieben werden — nicht nur in der Oberfläche verborgen. Das bedeutet:

Video: Neu-Enkodierung mit dem Gesichtsbereich, der durch eine Volltonfarbe oder Rauschen gefüllt wird — nicht durch eine Overlay-Ebene
Bilder: pixelgenaues Übermalen mit Metadaten-Entfernung (EXIF, XMP, IPTC)
Audio im Video: Wellenform-Überschreibung (Stille oder Piep) für das relevante Segment — keine Stummschalt-Ebene

Der DSGVO-Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) unterstützt dies direkt: Nur das Notwendige erheben und aufbewahren. Bei Aufnahmen, bei denen das Gesicht für den nachgelagerten Zweck nicht erforderlich ist, erfüllt die irreversible Entfernung den Minimierungsgrundsatz und entzieht die Daten dem Anwendungsbereich.

Implementierungs-Checkliste

Alle Video- und Bildbestände mit identifizierbaren Personen identifizieren (Videoüberwachung, Anrufaufzeichnungen, Nutzer-Uploads, Trainingsdaten)
Feststellen, welche betroffenen Personen EU/EWR-Bürger sind (DSGVO) und welche Verbraucher in Kalifornien sind (CCPA/CPRA)
Für DSGVO: Rechtsgrundlage für jede Verarbeitungstätigkeit dokumentieren; DSFA für biometrische oder umfangreiche Videoverarbeitung durchführen
Für CCPA/CPRA: Steuerungselemente „Nutzung meiner sensitiven personenbezogenen Informationen einschränken" hinzufügen, wenn biometrische Daten verarbeitet werden; Datenschutzerklärung aktualisieren
Aufbewahrungsfristen für Videobestände und den Anonymisierungsauslöser festlegen (Ablauf, Export, Weitergabe, Forschungsnutzung)
Irreversible Anonymisierung für alle Aufnahmen implementieren, die den primären operativen Einsatz verlassen — Gesichter, Kennzeichen und sichtbarer Text
Prüfprotokoll für jeden Anonymisierungsvorgang aufbewahren: Eingabe-Hash, Erkennungskategorien, Ausgabe-Hash, Zeitstempel
Prozess zur Bearbeitung von Löschungsanträgen in Aufnahmen mit mehreren Personen durch selektive Gesichtsanonymisierung einrichten
Auftragsverarbeitungsverträge (DSGVO) oder Dienstleisterverträge (CCPA) mit Anbietern abschließen, die Videodaten erhalten — oder die Verpflichtung durch ausschließliche Weitergabe anonymisierter Ausgaben eliminieren

Jetzt unter beiden Regelwerken anonymisieren

Der schnellste Weg zur Reduzierung des DSGVO- und CCPA-Risikos bei Video- und Bilddaten besteht darin, identifizierende Informationen zu entfernen, bevor sie sich verbreiten — an Dienstleister, Archive, Analysesysteme und Trainingsdatensätze. Ein einziger Anonymisierungsschritt, irreversibel und mit Prüfpfad durchgeführt, erfüllt die Deidentifizierungsstandards beider Rechtsrahmen und beseitigt die nachgelagerten Pflichten, die personenbezogene Daten nach sich ziehen.

Datei jetzt anonymisieren →