Vermummungserkennung an Eingängen: was DSGVO und § 130 OWiG zulassen

Vermummungserkennung an Eingängen ist keine Gesichtserkennung. Wer beide Begriffe verwechselt, debattiert die falsche Rechtsfrage und kauft die falsche Technologie.

Boswau + Knauer baut seit mehreren Jahren Module zur Erkennung verdeckter Gesichter an Zutrittspunkten von Industrie, Logistik und kritischer Infrastruktur. In diesem Beitrag ordnet der Hersteller die Anwendung rechtlich und technisch ein, beschreibt, wo sie zulässig ist, wo sie an Grenzen stößt, und welche Sektoren sie heute in regelhaftem Betrieb führen. Die Grundlage ist Kapitel 9 und Kapitel 17 des Werks "BOSWAU + KNAUER. Vom Bau zur Sicherheitstechnologie". Die Erfahrung stammt aus Pilotbetrieben an Werkstoren, Rechenzentren, Logistikhubs und Verwaltungseingängen.

Die Diskussion ist sensibel, weil sie zwei Erinnerungen aktiviert. Die erste Erinnerung ist die Pandemie, in der Masken nicht nur erlaubt, sondern verpflichtend waren. Die zweite Erinnerung ist die Versammlungspraxis, in der das Vermummungsverbot in § 17a Versammlungsgesetz und das ordnungsrechtliche Umfeld um § 130 OWiG einen politischen Klang tragen, der die nüchterne sicherheitstechnische Anwendung überlagert. Beide Erinnerungen sind real. Beide sind für die Frage, was an einem Werkstor in München, Hamburg oder Leipzig zulässig ist, nur teilweise einschlägig.

Was Vermummungserkennung technisch tut, und was sie nicht tut

Eine Vermummungserkennung im Sinne unserer Plattform ist ein Klassifikator. Sie nimmt das Bild einer Person, die in den Erfassungsbereich einer Kamera tritt, und entscheidet in Millisekunden, ob das Gesicht ganz, teilweise oder vollständig verdeckt ist. Das Modell trifft keine Aussage darüber, wer die Person ist. Es vergleicht keine biometrischen Vektoren mit einer Datenbank. Es speichert keine Templates. Es liefert ein binäres Signal, in selteneren Konfigurationen ein dreistufiges Signal, das zwischen unverdeckt, teilverdeckt und vollverdeckt unterscheidet. Dieses Signal wird an eine Steuerung weitergegeben, die in der Regel zwei Reaktionen kennt: Hinweis an den Operator oder Aussetzen der automatischen Toröffnung.

Diese technische Architektur ist nicht zufällig. Sie ist eine Reaktion auf die rechtliche Lage, die der Hersteller bei der Modellentwicklung in Kapitel 17 als Rahmenbedingung gesetzt hat. Wer ein Sicherheitsmodul für den deutschen Markt baut, baut nicht das, was technisch möglich ist, sondern das, was rechtlich tragfähig ist. Gesichtserkennung wäre technisch trivial. Sie wäre datenschutzrechtlich an den meisten Anwendungspunkten nicht durchsetzbar. Vermummungserkennung wäre technisch ebenfalls als Variante einer Identifikation denkbar. Sie ist als reiner Verdeckungsklassifikator rechtlich anders zu bewerten, weil sie keine Identität verarbeitet.

Der Unterschied zwischen beiden Verarbeitungen ist nicht akademisch. Er ist die Grundlage dafür, dass die Anwendung in einem zutrittsbeschränkten Werksbereich rechtmäßig betrieben werden kann, ohne dass ein berechtigtes Interesse im Sinne der DSGVO an der Identifikation einzelner Personen behauptet werden muss. Die Verarbeitung erfasst ein Merkmal des Verhaltens, nicht ein Merkmal der Identität. Dieser Unterschied ist im Datenschutzfolgenabschätzungsdokument, das der Hersteller seinen Kunden zur Verfügung stellt, an drei Stellen ausgeführt und mit dem aktuellen Stand der Aufsichtspraxis abgeglichen.

Eine zweite technische Klarstellung ist nötig. Die Vermummungserkennung im Sinne des Moduls ist nicht identisch mit der reinen Maskenerkennung, die in der Pandemie verbreitet war. Pandemiebezogene Maskenerkennung hatte die Aufgabe, das Tragen einer medizinischen Maske zu verifizieren. Die heutige Vermummungserkennung hat die umgekehrte Aufgabe: sie unterscheidet zwischen einer in der Situation üblichen Teilverdeckung, etwa durch Helm, Schal oder Atemschutz, und einer Vollverdeckung, die in der konkreten Zutrittssituation nicht plausibel ist. Diese Unterscheidung ist nur durch Kontextmodelle leistbar, die wissen, in welchem Sektor die Kamera steht.

Der rechtliche Rahmen: DSGVO, BDSG, Hausrecht, § 130 OWiG

Wer Vermummungserkennung betreibt, bewegt sich in einem Feld aus vier rechtlichen Schichten. Die erste Schicht ist die DSGVO. Sie regelt, ob personenbezogene Daten verarbeitet werden dürfen, auf welcher Rechtsgrundlage und mit welcher Transparenz. Das Bild einer Person an einem Werkstor ist personenbezogenes Datum, auch wenn die Person nicht identifiziert wird, weil die Möglichkeit der Identifikation nach der Rechtsprechung ausreicht. Die zweite Schicht ist das Bundesdatenschutzgesetz, insbesondere die Regelungen zur Videoüberwachung öffentlich zugänglicher Räume und zur Beschäftigtendatenverarbeitung. Die dritte Schicht ist das Hausrecht des Eigentümers oder Besitzers, das den Zutritt zu privatem Grund regelt und die Grundlage für vertragliche Pflichten der Eintretenden ist. Die vierte Schicht ist das Ordnungswidrigkeitenrecht, mit § 130 OWiG als Generalnorm der Aufsichtspflichtverletzung in Betrieben, die dort einschlägig wird, wo Sicherheitsmaßnahmen unterlassen werden, die zur Verhinderung von Zuwiderhandlungen erforderlich gewesen wären.

Die Verbindung dieser vier Schichten ist die eigentliche Aufgabe. Auf einem privaten Werksgelände ist die Vermummungserkennung in der Regel auf zwei Rechtsgrundlagen tragfähig. Die erste ist das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO, das sich aus dem Sicherheitsbedürfnis des Betreibers ergibt. Die zweite ist die vertragliche Grundlage, die durch das Hausrecht in Verbindung mit ausgehängten Zutrittsbedingungen entsteht. Wer den Zutritt von der Bereitschaft zur Erkennbarkeit des Gesichts abhängig macht, handelt im Rahmen seiner Eigentümerrechte und kann diese Bedingung an die Sichtbarkeit eines Schildes knüpfen, das den Zweck der Maßnahme, den Verantwortlichen und die Kontaktwege zur Datenschutzaufsicht nennt.

§ 130 OWiG kommt von der anderen Seite ins Spiel. Wer ein Unternehmen leitet, in dem aus Sicherheitsgründen erkennbar sein muss, wer das Gelände betritt, hat eine Aufsichtspflicht, die durch das Unterlassen wirksamer Maßnahmen verletzt werden kann. In sicherheitsrelevanten Sektoren, etwa in Anlagen, die unter das KRITIS-Regime fallen, oder in Bereichen, in denen die BG BAU Anforderungen an die Zugangskontrolle stellt, wandelt sich die Frage. Sie lautet nicht mehr, ob Vermummungserkennung zulässig ist, sondern, ob ihr Verzicht haftbar macht. Diese Verschiebung ist im Markt noch wenig verstanden. Sie ist jedoch der Grund, warum Versicherer und VdS-anerkannte Errichter zunehmend nach dem Verfahren fragen, mit dem an Eingängen die Erkennbarkeit der eintretenden Person sichergestellt wird.

Das Vermummungsverbot des Versammlungsrechts ist in diesem Zusammenhang nicht direkt anwendbar. Es regelt das öffentliche Demonstrationsgeschehen, nicht den privaten Zutritt. Wer den Begriff verwendet, sollte das wissen. Im sicherheitstechnischen Sprachgebrauch hat sich Vermummungserkennung dennoch eingebürgert, weil er die Sache präziser beschreibt als Maskenerkennung. Der Hersteller verwendet beide Begriffe und stellt sie im Kundengespräch in den jeweiligen Rechtsrahmen.

Wo die Anwendung heute regelhaft läuft

Die Verbreitung der Vermummungserkennung ist sektoral konzentriert. Sie findet sich heute regelhaft an Eingängen von Rechenzentren, an Werkstoren der chemischen und pharmazeutischen Industrie, in Hochsicherheitsbereichen der Logistik, an Schleusenanlagen von Energieversorgern und in Verwaltungsbereichen, die Bargeld oder hochwertige Materialien führen. In all diesen Sektoren ist die Identifikation der eintretenden Person ohnehin Teil des Zutrittsprozesses, etwa über Ausweise, biometrische Kontrollen am internen Terminal oder die Begleitung durch Personal. Die Vermummungserkennung am Außenring ist hier kein Ersatz für die Identifikation, sondern eine vorgelagerte Plausibilitätsprüfung, die verhindert, dass eine identifizierte Person das Tor passiert, ohne dass ihr Gesicht im Bild dokumentiert ist.

In der Baustellensicherung, dem ursprünglichen Marktsegment des Herstellers, ist die Anwendung seltener im Dauerbetrieb. Sie kommt dort vor, wo Großbaustellen mit hohem Materialwert und definierten Zufahrtspunkten arbeiten und wo der Bauherr eine vertragliche Sicherheitsanforderung an den Generalunternehmer stellt, die über die übliche Baustellensicherung hinausgeht. In diesen Fällen ist die Vermummungserkennung Teil eines integrierten Zutrittssystems, das mobile Videotürme, Sensorik und KI-gestützte Videoanalyse verbindet, wie sie in Kapitel 7 bis 9 des Werks beschrieben sind.

Im Veranstaltungsbereich, in dem die Anwendung aus politischen Gründen oft thematisiert wird, ist der Hersteller zurückhaltend. Öffentliche Veranstaltungen fallen unter ein anderes rechtliches Regime. Geschlossene Veranstaltungen mit klar definiertem Hausrecht sind im Einzelfall möglich, werden aber nicht aktiv beworben. Die Erfahrung zeigt, dass die Akzeptanz der Maßnahme in privaten und industriellen Umgebungen deutlich höher ist als in Bereichen, in denen sie als politisch deutbar wahrgenommen wird. Diese Trennung ist eine Marktentscheidung, keine technische.

Eine Beobachtung aus der Praxis: die wirtschaftliche Wirkung der Vermummungserkennung liegt weniger in der Anzahl verhinderter Vorfälle als in ihrer Vorfeldwirkung. Wer weiß, dass eine Vollverdeckung am Tor zur automatischen Eskalation an einen Operator führt, verzichtet auf die Vollverdeckung. Die Maßnahme wirkt, indem sie sichtbar ist. Diese Logik ist aus der klassischen Sicherheitspraxis bekannt, sie gilt für KI-gestützte Module in derselben Weise. Der BDSW dokumentiert in seinen Statistiken zur Werkschutzpraxis seit Jahren, dass sichtbare technische Maßnahmen die Schwelle für versuchte Übertritte deutlich erhöhen.

Diskriminierungsfreiheit und das Trainingsdatenproblem

Ein Klassifikator ist nur so gut wie seine Trainingsdaten. Wer ein Modell zur Vermummungserkennung auf einem Datensatz trainiert, der eine bestimmte demografische Verteilung überrepräsentiert, baut Diskriminierung ein, ohne sie zu wollen. Diese Beobachtung ist in der Fachliteratur zur algorithmischen Fairness seit Jahren etabliert. Sie ist für eine Sicherheitsanwendung doppelt heikel, weil Fehler in der Klassifikation unmittelbar in Zutrittsentscheidungen münden.

Der Hersteller hat seine Trainingsdatenstrategie auf drei Prinzipien aufgebaut. Erstens werden Daten aus einer geografisch und demografisch breiten Basis gesammelt, mit dem Ziel, dass kein erkennbares Untersegment der erwartbaren Nutzerpopulation systematisch schlechtere Erkennungsraten erfährt. Zweitens werden alle Trainingsdaten in einem dokumentierten Prozess auf Bias geprüft, mit Kennzahlen, die in der Datenschutzfolgenabschätzung ausgewiesen sind. Drittens werden die Modelle in jedem produktiven Standort einer Nachtrainingsphase unterzogen, in der die lokale Verteilung erfasst und das Modell an sie angepasst wird, ohne dass Identifikationsmerkmale gespeichert werden.

Eine Restunsicherheit bleibt. Kein Klassifikator ist fehlerfrei. Der Hersteller arbeitet deshalb mit einer Architektur, in der die Vermummungserkennung niemals allein über den Zutritt entscheidet. Sie ist ein Vorfilter, der den Operator informiert. Die Entscheidung über die weitere Behandlung trifft ein Mensch, der die Lage einschätzen kann und der für seine Entscheidung verantwortlich ist. Diese Architektur ist nicht nur rechtlich sauber, sie ist auch operationell stabil, weil sie die Schwächen des Modells durch menschliche Urteilsfähigkeit auffängt.

Die Frage, wie Diskriminierung vermieden wird, ist damit nicht abschließend beantwortet. Sie ist eine Daueraufgabe. Der Hersteller dokumentiert die Erkennungsraten nach den Kriterien, die in den einschlägigen Standards des BSI für KI in sicherheitsrelevanten Anwendungen vorgesehen sind, und legt diese Dokumentation den Aufsichtsbehörden auf Anfrage offen. Der TÜV begleitet seit zwei Jahren die Audits, die der Hersteller in einem zweijährigen Rhythmus für seine produktive Modellfamilie durchführt. Diese Audits sind freiwillig. Sie werden zur Bedingung, sobald die einschlägige europäische KI-Regulierung in Kraft tritt.

Speicherfristen, Transparenz und die Frage, was im Logbuch steht

Die Frage nach der Speicherfrist ist die häufigste, die im Kundengespräch fällt. Sie ist nicht abstrakt zu beantworten. Sie hängt davon ab, was gespeichert wird. Der Hersteller unterscheidet drei Datentypen. Der erste Typ ist das Rohbild der Kamera. Es wird in der Standardkonfiguration nicht über die operative Pufferzeit hinaus gespeichert, die in der Regel zwischen 48 und 72 Stunden liegt und sich am Erfordernis der Aufklärung kurzfristiger Vorfälle orientiert. Der zweite Typ ist das Klassifikationsergebnis, also das Signal, ob eine Person verdeckt oder unverdeckt erkannt wurde. Es wird in einem strukturierten Logbuch geführt, ohne Bezug zu einer Identität, und kann nach den Aufbewahrungspflichten des jeweiligen Sektors zwischen 30 Tagen und einem Jahr gehalten werden. Der dritte Typ sind Vorfallaufzeichnungen, die ausgelöst werden, wenn eine Vollverdeckung erkannt und an den Operator eskaliert wurde. Diese Aufzeichnungen können je nach Vereinbarung mit der Versicherung und den behördlichen Vorgaben für mehrere Monate aufbewahrt werden.

Die rechtliche Grundlage für jede dieser Fristen ist im Datenschutzfolgenabschätzungsdokument des Standorts ausgewiesen. Der Hersteller liefert ein Standarddokument, das von der Datenschutzorganisation des Kunden auf den konkreten Standort angepasst wird. Diese Anpassung ist Teil der Implementierung und nicht delegierbar. Wer die Anwendung ohne dokumentierte Folgenabschätzung betreibt, betreibt sie nicht regelkonform, unabhängig davon, wie gut die Technik ist.

Transparenz ist die zweite Säule. An jedem Standort, an dem die Vermummungserkennung läuft, sind Hinweisschilder angebracht, die den Zweck der Maßnahme, den Verantwortlichen, die Rechtsgrundlage und die Kontaktwege zur Aufsichtsbehörde nennen. Diese Schilder sind nicht dekorativ. Sie sind eine Wirksamkeitsvoraussetzung. Wer sie weglässt, verliert die Berufung auf das berechtigte Interesse, weil die betroffene Person ihre Rechte nicht ausüben kann. Der GDV hat in seinen Empfehlungen zur technischen Absicherung mehrfach darauf hingewiesen, dass die Versicherbarkeit einer Anlage auch von der dokumentierten Einhaltung der datenschutzrechtlichen Anforderungen abhängt.

Was bleibt

Vermummungserkennung an Eingängen ist eine technisch enge, rechtlich anspruchsvolle und sektoral begrenzte Anwendung. Sie ist nicht der Eintritt in eine Welt der Gesichtserkennung. Sie ist ein präzise umrissenes Modul, das in den Sektoren, in denen die Identifizierbarkeit der eintretenden Person Teil der Sicherheitsarchitektur ist, eine messbare Wirkung entfaltet. Wer sie als politisches Symbol begreift, missversteht die Anwendung. Wer sie als Allheilmittel gegen unbefugte Zutritte begreift, überschätzt sie.

Der Hersteller liefert das Modul nicht isoliert. Es ist Teil einer Plattform, die in Kapitel 17 des Werks "BOSWAU + KNAUER. Vom Bau zur Sicherheitstechnologie" beschrieben ist. Die Verbindung mit Sensorik, Robotik und einer revisionsfähigen Datenschicht ergibt erst das System, in dem die Vermummungserkennung ihre Funktion erfüllt. Allein eingesetzt, ist sie ein Filter ohne Architektur. Im System eingesetzt, ist sie ein Baustein, der den Operator entlastet, die Vorfeldwirkung erhöht und die Dokumentationspflicht gegenüber Versicherern und Aufsicht erfüllt.

Wer prüfen will, ob die Anwendung für den eigenen Standort tragfähig ist, sollte nicht mit einer Produktauswahl beginnen, sondern mit einer Lagebeurteilung. Boswau + Knauer bietet dafür ein vertrauliches Gespräch von sechzig Minuten an. In diesem Gespräch wird nicht verkauft. Es wird eingeordnet. Wenn die Einordnung ergibt, dass ein Audit der nächste Schritt ist, folgt das Audit. Wenn die Einordnung ergibt, dass ein Pilotbetrieb der richtige Weg ist, folgt der Pilotbetrieb. Wenn die Einordnung ergibt, dass die Anwendung am betreffenden Standort nicht passt, wird das gesagt.

Häufige Fragen

Ist Maskenerkennung rechtlich zulässig?

Im Sinne einer reinen Vermummungserkennung an Zutrittspunkten auf privatem Grund ist die Anwendung in der Regel zulässig, sofern sie auf einer dokumentierten Rechtsgrundlage betrieben wird, in einer Datenschutzfolgenabschätzung beschrieben ist, durch sichtbare Hinweisschilder transparent gemacht wird und die Verarbeitung auf das verhältnismäßige Maß begrenzt bleibt. Die Anwendung ist nicht zulässig in öffentlich zugänglichen Räumen ohne berechtigtes Interesse, nicht zulässig als verdeckte Maßnahme und nicht zulässig in einer Konfiguration, die in eine Identifikation der einzelnen Person mündet, ohne dass eine eigene Rechtsgrundlage für diese Identifikation besteht.

Welche Sektoren nutzen sie?

Im deutschen Markt findet sich die Anwendung regelhaft an Eingängen von Rechenzentren, in der chemischen und pharmazeutischen Industrie, an Schleusen von Energieversorgern, in Hochsicherheitsbereichen der Logistik und in Verwaltungsbereichen mit hohen Materialwerten. In KRITIS-Sektoren wird sie zunehmend zur Anforderung der zuständigen Aufsicht. Im Bau ist die Verbreitung selektiv, mit Schwerpunkt auf Großbaustellen mit hohen Materialwerten und vertraglich definierten Sicherheitsanforderungen des Bauherrn. Im Veranstaltungsbereich ist die Anwendung möglich, aber durch den Hersteller nicht aktiv vermarktet. Die sektoralen Schwerpunkte verschieben sich aktuell in Richtung Energieinfrastruktur und Datenzentren.

Wie wird Diskriminierung vermieden?

Diskriminierung wird durch eine Kombination aus drei Maßnahmen reduziert. Erstens durch eine demografisch breite Trainingsdatenbasis, deren Verteilung dokumentiert ist. Zweitens durch standortspezifisches Nachtraining, das ohne Speicherung von Identifikationsmerkmalen arbeitet. Drittens durch eine Architektur, in der die Klassifikation niemals allein über den Zutritt entscheidet, sondern an einen Operator eskaliert, der die Lage menschlich einschätzt. Die Erkennungsraten werden in einem zweijährigen Rhythmus durch externe Stellen geprüft, unter Begleitung des TÜV. Der Hersteller legt die Prüfberichte den Datenschutzaufsichtsbehörden auf Anfrage offen.

Welche Speicherfrist gilt?

Eine pauschale Speicherfrist gibt es nicht. Der Hersteller unterscheidet drei Datentypen mit eigenen Fristen. Rohbilder der Kamera werden in der Standardkonfiguration zwischen 48 und 72 Stunden vorgehalten, abhängig vom Standort. Klassifikationsergebnisse ohne Identitätsbezug werden in einem strukturierten Logbuch zwischen 30 Tagen und einem Jahr aufbewahrt, je nach sektoraler Anforderung. Vorfallaufzeichnungen, die durch eine erkannte Vollverdeckung ausgelöst wurden, werden je nach Vereinbarung mit Versicherung und Behörden mehrere Monate aufbewahrt. Jede dieser Fristen ist in der standortspezifischen Datenschutzfolgenabschätzung dokumentiert und mit der zuständigen Aufsichtsbehörde abgestimmt.