Personenzählung mit KI-Videoanalyse: DSGVO-konform und ohne Identifikation

Personenzählung ist keine Videoüberwachung. Sie wird in der Praxis trotzdem so behandelt, weil viele Betreiber dieselbe Kamera, dieselbe Verkabelung und dieselbe Auswertesoftware nutzen, mit der sie auch identifizieren könnten. Aus dieser Vermischung entstehen die meisten datenschutzrechtlichen Konflikte.

Die saubere Trennung beginnt nicht bei der Auswertung, sondern beim Sensor. Wer eine Anlage so baut, dass sie identifizieren könnte und es nur nicht tut, hat eine Identifikationsanlage mit Selbstverpflichtung. Wer eine Anlage so baut, dass sie technisch nicht identifizieren kann, hat eine Zählanlage. Der rechtliche Unterschied zwischen beiden ist die Differenz zwischen einer ausführlichen Datenschutz-Folgenabschätzung mit ungewissem Ausgang und einem vergleichsweise schlanken Verfahren mit definierten Lieferobjekten.

Boswau + Knauer baut die zweite Variante. Was in Kapitel 9 und Kapitel 17 des Bandes "BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie" als Plattformlogik beschrieben ist, gilt für Personenzählung in besonderer Härte. Die KI-Modelle laufen lokal auf dem Gerät, die Bilddaten verlassen die Kamera nicht in personenbeziehbarer Form, und was nach außen geht, ist eine Zahl. Dieser Beitrag beschreibt, wie diese Architektur funktioniert und warum sie für jeden Betreiber, der Personenzählung ernsthaft einsetzen will, die einzige tragfähige Option ist.

Warum die Kamera der falsche Ausgangspunkt ist

Die meisten Diskussionen über DSGVO-konforme Personenzählung beginnen bei der Frage, wie lange Bilddaten gespeichert werden dürfen. Das ist die zweite Frage. Die erste lautet, ob Bilddaten überhaupt entstehen müssen.

In einer klassischen Videoanlage entsteht ein Bildstrom, der auf einem Server ankommt, dort analysiert wird und dann gelöscht oder archiviert wird. Jede dieser drei Stufen ist datenschutzrechtlich relevant. Der Bildstrom enthält personenbeziehbare Merkmale, auch wenn niemand sie auswertet. Die Übertragung kreuzt Netzwerksegmente, in denen Mitlesen technisch möglich ist. Die Speicherung schafft eine Quelle, die im Fall einer behördlichen Anfrage oder eines Angriffs offengelegt werden kann. Wer eine solche Anlage zur Personenzählung nutzt, übernimmt die volle Last einer Videoüberwachung, ohne den entsprechenden Nutzen zu ziehen.

Die Alternative ist eine Anlage, in der das Bild den Sensor nicht verlässt. Auf dem Gerät selbst läuft ein Modell, das aus dem Bild eine Zahl errechnet. Diese Zahl, ergänzt um Zeitstempel und Standortkennung, wird übertragen. Das Bild wird unmittelbar nach der Analyse verworfen. Es gibt keinen Speicherort, an dem es nachträglich rekonstruiert werden könnte. Diese Architektur ist nicht eine Verschärfung der DSGVO-Compliance. Sie ist die Voraussetzung dafür, dass Personenzählung als nicht-personenbezogene Verarbeitung eingestuft werden kann.

Der Unterschied wirkt akademisch und ist es nicht. Eine Verarbeitung, die personenbezogene Daten erfasst und dann anonymisiert, bleibt eine Verarbeitung personenbezogener Daten mit allen Pflichten, die daraus folgen. Eine Verarbeitung, die ausschließlich nicht-personenbezogene Aggregate erzeugt, fällt aus dem Anwendungsbereich der DSGVO heraus, soweit sie keine Re-Identifikation ermöglicht. Diese Schwelle ist der eigentliche Hebel, und sie wird im Sensor entschieden, nicht im Rechenzentrum.

Wer in dieser Frage spart, spart an der falschen Stelle. Eine Kamera, die zehn Euro günstiger ist, aber den Bildstrom nach außen führt, kostet im Datenschutzverfahren mehr, als sie im Einkauf einspart. Die Investitionsentscheidung muss diese Folgekosten einrechnen. In der Praxis tut sie es selten, weil die Verantwortlichkeiten für Einkauf, Betrieb und Datenschutz in vielen Organisationen entkoppelt sind.

Edge-Compute als technische Voraussetzung

Edge-Compute ist im Sicherheitsmarkt zu einem Schlagwort geworden, das von vielen Anbietern verwendet und von wenigen sauber gebaut wird. Edge-Compute heißt nicht, dass auf dem Gerät irgendetwas gerechnet wird. Es heißt, dass die rechtlich relevante Verarbeitungsstufe auf dem Gerät stattfindet und das Ergebnis dieser Stufe so beschaffen ist, dass die nachgelagerte Übertragung keine personenbeziehbare Information mehr transportiert.

Für die Personenzählung bedeutet das eine konkrete Bauanforderung. Der Sensor muss über genügend Rechenleistung verfügen, um ein Erkennungsmodell in Echtzeit auszuführen. Das Modell muss so trainiert sein, dass es Personen als Objekte klassifiziert, ohne biometrische Merkmale zu extrahieren. Das Ergebnis muss so reduziert sein, dass aus ihm keine Rekonstruktion des Ausgangsbildes möglich ist. Diese drei Bedingungen sind nicht trivial, und sie sind in der Hardware-Auswahl, in der Modellarchitektur und in der Firmware-Architektur gleichzeitig zu erfüllen.

In den Plattformen, die Boswau + Knauer in diesem Anwendungsfeld einsetzt, läuft die Erkennung auf einem dedizierten Prozessor im Kameragehäuse. Das Bild wird im flüchtigen Speicher gehalten, verarbeitet und unmittelbar überschrieben. Es existiert kein Speichermedium auf dem Gerät, auf das das Bild geschrieben werden könnte. Diese Eigenschaft ist nicht eine Konfiguration, sondern eine Hardware-Entscheidung. Sie kann durch ein Software-Update nicht rückgängig gemacht werden, was im Audit ein wesentliches Argument ist.

Die Datenschutz-Folgenabschätzung wird durch diese Architektur erheblich vereinfacht. Wo kein personenbezogenes Datum entsteht, entfallen die Prüfschritte zu Speicherdauer, Zweckbindung, Berechtigungskonzept und Löschpflichten in der Form, die für Bildverarbeitung üblich ist. Was bleibt, ist die Prüfung, ob das Aggregat unter Umständen mit anderen Daten verknüpft werden könnte, die eine Re-Identifikation zulassen. Diese Prüfung ist in den meisten Anwendungsfällen mit überschaubarem Aufwand zu führen, weil die Zahl der gezählten Personen pro Zeitintervall in keinem realistischen Szenario einer einzelnen Person zugeordnet werden kann.

Das BSI hat in mehreren Veröffentlichungen Hinweise zur Edge-Verarbeitung in sicherheitsrelevanten Anwendungen gegeben, und der TÜV prüft entsprechende Anlagen nach etablierten Verfahren. Diese Prüfwege sind nutzbar und sollten genutzt werden, weil sie die Position des Betreibers gegenüber Aufsichtsbehörden, Versicherern und Betriebsräten erheblich verbessern. Eine geprüfte Anlage ist nicht nur eine sichere Anlage. Sie ist auch eine verhandelbare Anlage, in Versicherungsgesprächen, in Mitbestimmungsverfahren und in der Außendarstellung.

Aggregation statt Erfassung

Der Begriff der Aggregation klingt nach einer nachgelagerten Operation, die ohnehin stattfindet. In der hier beschriebenen Architektur ist Aggregation die einzige Operation, die nach außen sichtbar wird. Das, was die Anlage liefert, ist nicht eine Folge von Bildern oder Erkennungsereignissen, sondern eine Zeitreihe von Zahlen pro Sensor und Intervall.

Diese Zeitreihe kann fein oder grob sein. Sie kann minütlich, viertelstündlich oder stündlich aggregiert werden. Sie kann nach Eingangs- und Ausgangsrichtung getrennt sein, oder sie kann eine Nettoauslastung pro Bereich abbilden. Jede dieser Konfigurationen ist möglich, und jede hat Implikationen für die Datenschutzbewertung. Eine minütliche Auflösung mit Richtungsunterscheidung in einem kleinen Raum ist näher an einer personenbeziehbaren Verarbeitung als eine stündliche Nettoauslastung in einer großen Halle. Die richtige Granularität ist eine Funktion des Anwendungszwecks, nicht des technisch Möglichen.

Operatoren, die diese Frage zum ersten Mal stellen, neigen dazu, die feinste verfügbare Auflösung zu wählen, weil sie sich nichts entgehen lassen wollen. In der Praxis ist die feinste Auflösung selten die nützlichste. Eine Steuerung von Reinigungsintervallen in einer Sanitäranlage funktioniert mit stündlichen Aggregaten besser als mit minütlichen, weil die operative Entscheidung in Stundenzyklen getroffen wird. Eine Optimierung der Klimatisierung in einer Versammlungsstätte braucht keine Sekundengenauigkeit. Wer die Anforderung an die Auflösung aus dem operativen Zweck herleitet, erhält automatisch eine datenschutzfreundlichere Konfiguration, ohne an Nutzen zu verlieren.

Aggregation ist außerdem der Punkt, an dem die Anlage in andere Systeme einspeist. Eine Belegungsdichte kann an ein Gebäudeleitsystem gehen, eine Besucherfrequenz an ein Reporting-System, eine Auslastungskurve an eine Personaleinsatzplanung. In jedem dieser Übergänge muss geprüft werden, ob das empfangende System die Aggregate mit anderen Daten zusammenführt, die eine Re-Identifikation ermöglichen könnten. Das ist in der Regel nicht der Fall, aber die Prüfung gehört in die Verfahrensdokumentation. Wer sie unterlässt, verliert im Streitfall das Argument, dass die Anlage als reine Zählanlage betrieben wurde.

Der GDV hat in mehreren Stellungnahmen darauf hingewiesen, dass Aggregatdaten aus Personenzählungen in vielen Fällen versicherungsrechtlich nützlich sind, etwa für die Plausibilisierung von Schadensmeldungen oder die Bewertung von Risiken in Versammlungsstätten. Diese Nutzung setzt voraus, dass die Aggregate verlässlich erhoben und dokumentiert sind. Eine Anlage, deren Datenherkunft nicht prüfbar ist, taugt für versicherungsrechtliche Argumente nicht. Auch hier zahlt sich die saubere Architektur aus.

Rechtsgrundlage, Verantwortlichkeit, Dokumentation

Die DSGVO verlangt, dass jede Verarbeitung personenbezogener Daten auf eine Rechtsgrundlage gestützt wird. Bei einer korrekt gebauten Personenzählanlage ist die rechtliche Vorfrage, ob überhaupt personenbezogene Daten verarbeitet werden. Die Antwort hängt von der konkreten Architektur ab, und sie muss in einer Verfahrensdokumentation begründet werden, die einer Prüfung standhält.

In der Praxis empfiehlt sich eine zweistufige Argumentation. Erstens wird nachgewiesen, dass die Anlage technisch keine personenbezogenen Daten nach außen gibt. Dieser Nachweis erfolgt über die Hardware-Spezifikation, die Modellarchitektur und die Netzwerkkonfiguration. Zweitens wird hilfsweise eine Rechtsgrundlage benannt, für den Fall, dass die zuständige Aufsichtsbehörde die Einstufung als nicht-personenbezogene Verarbeitung nicht teilt. In den meisten Anwendungsfällen ist diese hilfsweise Rechtsgrundlage das berechtigte Interesse nach Artikel 6 Absatz 1 Buchstabe f, ergänzt um eine Interessenabwägung, die die Schutzinteressen der betroffenen Personen ausdrücklich würdigt.

Diese zweistufige Argumentation schützt den Betreiber gegen das Risiko, dass eine Auseinandersetzung um die Einstufung den Betrieb der Anlage in Frage stellt. Wer sich ausschließlich auf die nicht-personenbezogene Einstufung verlässt und in der Auseinandersetzung unterliegt, steht ohne Rechtsgrundlage da. Wer hilfsweise das berechtigte Interesse dokumentiert hat, kann die Anlage weiterbetreiben, auch wenn die rechtliche Einordnung im Verfahren verschoben wird.

Die Verantwortlichkeit muss namentlich zugeordnet sein. In den meisten Organisationen liegt sie beim Datenschutzbeauftragten in Abstimmung mit der Geschäftsführung. Wer eine Anlage betreibt, ohne diese Zuordnung verbindlich getroffen zu haben, hat im Schadensfall ein Verantwortlichkeitsproblem, das größer ist als das eigentliche Datenschutzproblem. Die Dokumentation muss zudem die Lieferanten, die Wartungspartner und die mit der Auswertung befassten Personen benennen. Diese Liste ist nicht ein Bürokratieakt, sondern eine Voraussetzung dafür, dass im Fall einer Anfrage einer Aufsichtsbehörde die Auskunft innerhalb der gesetzten Fristen erteilt werden kann.

Die BG BAU und der BDSW haben in den vergangenen Jahren Hinweise zur Dokumentation in sicherheitstechnischen Anwendungen herausgegeben, die auch für Personenzählanlagen sinngemäß übertragbar sind. Diese Hinweise sind keine Verordnungen, aber sie definieren einen Stand der Praxis, an dem sich Aufsichtsbehörden in Streitfällen orientieren. Wer diesen Stand kennt und einhält, hat in der Auseinandersetzung eine bessere Position als wer ihn ignoriert.

Anwendungsfelder und ihre besonderen Anforderungen

Personenzählung wird in einer wachsenden Zahl von Anwendungsfeldern eingesetzt. Die rechtlichen und technischen Anforderungen unterscheiden sich je nach Feld. Eine pauschale Architektur, die für alle Anwendungen passt, gibt es nicht, auch wenn der Sensor in vielen Fällen derselbe sein kann.

In Einzelhandel und Mall-Betrieb dient die Zählung der Steuerung des Personaleinsatzes, der Flächenoptimierung und der Bewertung von Marketingmaßnahmen. Die rechtliche Lage ist überschaubar, weil die Kunden den Bereich freiwillig betreten und mit einer Zählung in aggregierter Form rechnen müssen. Eine Information über die Zählung am Eingang ist üblich und sinnvoll, auch wenn sie bei strikt anonymer Erhebung rechtlich nicht in jeder Konstellation zwingend ist.

In Bürogebäuden und Verwaltungsstandorten kommt die Mitbestimmung hinzu. Personenzählungen in Bereichen, in denen Beschäftigte regelmäßig anwesend sind, berühren Interessen der Arbeitnehmer, auch wenn die Erhebung anonym ist. Ein Betriebsrat wird in der Regel an der Konfiguration beteiligt, und die Vereinbarung mit dem Betriebsrat ist Teil der Verfahrensdokumentation. Hier zahlt sich aus, dass die Anlage technisch nicht zur Identifikation taugt. Diese technische Eigenschaft ist ein starkes Argument in der Mitbestimmung, weil sie die Sorge ausräumt, dass die Anlage zweckentfremdet werden könnte.

In Versammlungsstätten, Bahnhöfen und Flughäfen dient die Zählung der Sicherheit. Belegungsobergrenzen müssen eingehalten werden, Evakuierungsplanungen müssen Daten haben, Personalreserven müssen bedarfsgerecht gesteuert werden. Die Anforderung an Verfügbarkeit und Genauigkeit ist hier besonders hoch, weil die Daten in operative Entscheidungen mit Sicherheitsrelevanz einfließen. Der VdS hat Anforderungsprofile für entsprechende Anlagen veröffentlicht, und eine Zertifizierung nach diesen Profilen ist in vielen Fällen versicherungsrechtlich vorteilhaft.

In kritischen Infrastrukturen, die unter KRITIS-Regulierung fallen, kommt die Anforderung hinzu, dass die Anlage auch im Fall einer Netzstörung weiterzählt und nach Wiederherstellung der Verbindung die zwischengespeicherten Aggregate nachliefert. Diese Anforderung verändert die Geräteauswahl, weil sie eine lokale Pufferung verlangt, die wiederum datenschutzrechtlich sauber konstruiert sein muss. Hier zeigt sich, dass die saubere Trennung zwischen Bilddaten und Aggregaten in der Hardware nicht ein theoretisches Konstrukt ist, sondern eine praktische Voraussetzung für den Einsatz in regulierten Umgebungen.

Was bleibt

Personenzählung ist eine der wenigen Anwendungen der KI-Videoanalyse, die rechtssauber gebaut werden kann, ohne den Nutzen einzuschränken. Die Voraussetzung ist eine Architektur, die die Trennung zwischen Bild und Aggregat in der Hardware vornimmt und nicht in einer Software-Selbstverpflichtung. Wer diese Voraussetzung erfüllt, verlässt die Diskussion um Speicherfristen und Berechtigungskonzepte und bewegt sich in einem Verfahren, das mit überschaubarem Aufwand dokumentierbar und gegenüber Aufsichtsbehörden vertretbar ist.

Boswau + Knauer baut Anlagen in dieser Logik. Die Modelle laufen lokal, die Bilder verlassen den Sensor nicht, die Aggregate sind in Granularität und Übertragung an den operativen Zweck angepasst. Was nach außen sichtbar wird, sind Zahlen, deren Herkunft prüfbar dokumentiert ist. Diese Architektur ist nicht ein Premiumsegment, sondern der Stand der Technik, der von Aufsichtsbehörden zunehmend erwartet wird. Wer heute investiert, sollte sie zur Grundvoraussetzung machen.

Für Betreiber, die ihre bestehende oder geplante Anlage prüfen lassen wollen, ist der nächste Schritt ein Audit nach Weg II. Drei bis fünf Tage vor Ort, definierter Festpreis, definierter Lieferumfang. Das Ergebnis ist ein Bericht, der die Architektur, die Verfahrensdokumentation und die rechtliche Position prüft und konkrete Empfehlungen zur Verbesserung liefert. Wer den Schritt davor sucht, ist mit dem Gespräch nach Weg I richtig beraten. Sechzig Minuten, vertraulich, ohne Folgekosten. Die Frage, ob eine bestehende Anlage als personenbeziehbare oder als nicht-personenbeziehbare Verarbeitung einzustufen ist, lässt sich in dieser Zeit in den meisten Fällen klären.

Häufige Fragen

Ist Personenzählung mit KI DSGVO-konform?

Ja, sofern die Anlage so gebaut ist, dass technisch keine personenbezogenen Daten entstehen. Das setzt voraus, dass die Bildanalyse auf dem Sensor stattfindet, das Bild den Sensor nicht verlässt und nur aggregierte Zahlen übertragen werden. Eine Anlage, die diese Bedingungen erfüllt, fällt in weiten Teilen aus dem Anwendungsbereich der DSGVO heraus. Wo die Einstufung im Einzelfall strittig ist, sollte hilfsweise eine Rechtsgrundlage nach Artikel 6 Absatz 1 Buchstabe f dokumentiert sein. Eine Anlage, die Bilder zentral verarbeitet und nachträglich anonymisiert, ist demgegenüber datenschutzrechtlich deutlich aufwendiger.

Welche Anonymisierungsmethoden gibt es?

Die saubere Methode ist die Vermeidung personenbezogener Daten am Sensor, nicht die nachträgliche Anonymisierung. Auf dem Gerät läuft ein Modell, das Personen als Objekte erkennt und zählt, ohne biometrische Merkmale zu extrahieren oder zu speichern. Das Bild wird im flüchtigen Speicher verarbeitet und unmittelbar überschrieben. Nachgelagerte Methoden wie Verpixelung, Maskierung oder Hashing sind technisch möglich, aber rechtlich schwächer, weil sie eine Verarbeitung personenbezogener Daten voraussetzen. Die Hardware-basierte Vermeidung ist der Goldstandard und sollte bei Neuinstallationen eingefordert werden.

Wer prüft die Konformität?

Die Datenschutzaufsichtsbehörden der Länder sind zuständig für die Prüfung im Anlassfall. Vorbeugend prüfen können der betriebliche oder externe Datenschutzbeauftragte, der TÜV nach entsprechenden Prüfprofilen und der VdS für sicherheitstechnische Aspekte. Das BSI gibt Hinweise zur technischen Architektur, insbesondere bei Anlagen in kritischer Infrastruktur. Eine externe Prüfung vor Inbetriebnahme ist nicht gesetzlich verpflichtend, aber dringend empfohlen, weil sie die Position des Betreibers gegenüber Aufsichtsbehörden, Versicherern und Mitbestimmungsgremien deutlich verbessert. Ein Audit liefert die dafür nötige Dokumentation.

Welche Speicherfristen gelten?

Bei einer korrekt gebauten Anlage werden Bilddaten nicht gespeichert, weil sie den Sensor nicht in personenbeziehbarer Form verlassen. Was gespeichert wird, sind Aggregate, also Zahlen pro Zeitintervall und Standort. Für diese Aggregate gelten keine spezifischen datenschutzrechtlichen Fristen, weil sie keine personenbezogenen Daten darstellen. Die Aufbewahrung richtet sich nach dem operativen oder handelsrechtlichen Bedarf. In sicherheitsrelevanten Anwendungen werden Aggregate häufig zwölf bis vierundzwanzig Monate vorgehalten, in betrieblichen Anwendungen oft länger. Die konkrete Frist sollte in der Verfahrensdokumentation begründet und an den Verarbeitungszweck gebunden sein.