Bußgeld wegen unzureichender Anonymisierung und Interessenkonflikten bei der DSFA

Ein Beschluss der italienischen Aufsichtsbehörde (Garante per la Protezione dei Dati Personali) vom April 2025 verdeutlicht zentrale Herausforderungen beim Einsatz von KI-gestützten Videoanalysesystemen im öffentlichen Raum. Der Fall betrifft ein Verkehrsüberwachungssystem in Mailand und zeigt exemplarisch auf, wo häufig Fallstricke bei der datenschutzkonformen Implementierung solcher Technologien liegen.

Der Sachverhalt

Die Mailänder Agentur AMAT (Agenzia Mobilità Ambiente e Territorio S.r.l.) entwickelte ein KI-basiertes System zur Verkehrsflussanalyse, das mittels Kameras verschiedene Verkehrsteilnehmer erfassen und klassifizieren sollte (bspw. Kraftfahrzeuge, Fahrräder aber auch Fußgänger). Das System sollte automatisch statistische Daten über Verkehrsströme generieren und dabei zur Anonymisierung Gesichter und Kennzeichen unkenntlich machen.

Die italienische Datenschutzbehörde verhängte jedoch ein Bußgeld von 9.000 Euro und stellte mehrere schwerwiegende Verstöße fest.

Kernprobleme der Umsetzung

1. Unzureichende Anonymisierung

Die Garante widersprach der Einschätzung, dass das System tatsächlich anonymisierte Daten verarbeitete. Die Entscheidung stellt klar, dass die bloße Unkenntlichmachung von Gesichtern nicht automatisch zu anonymen Daten führt.

Die Behörde begründete dies damit, dass Personen weiterhin potenziell identifizierbar bleiben. Nicht nur das Gesicht einer Person führe zu einer Identifizierbarkeit, sondern auch:

Körperliche Merkmale (Statur, Kleidung, Bewegungsmuster)
Kontextuelle Informationen (Standort der Kamera, Zeitpunkt der Aufnahme)
Verfügbare Zusatzinformationen Dritter (z. B. öffentlich zugängliche Daten)

Die Entscheidung betont, dass eine wirksame Anonymisierung voraussetzt, dass keinerlei Möglichkeit der direkten oder indirekten Identifizierung unter Berücksichtigung aller verfügbaren Mittel und Informationen besteht.

2. Interessenkonflikt des Datenschutzbeauftragten

Ein weiterer zentraler Kritikpunkt betraf die Erstellung der vorgeschriebenen Datenschutz-Folgenabschätzung (DSFA). Diese wurde vom internen Datenschutzbeauftragten nicht nur mitverfasst, sondern auch eigenständig unterzeichnet.

Die DSGVO verbietet es aber, den DSB in Situationen zu bringen, die zu Interessenkonflikten führen können. Die Garante sah einen solchen Konflikt darin, dass:

Der DSB gemäß Art. 35 Abs. 2 und Art. 39 Abs. 1 lit. c DSGVO eine unabhängige Beratungsfunktion bei der DSFA ausüben soll.
Diese Unabhängigkeit nicht mehr gegeben ist, wenn er selbst als Verfasser der DSFA auftritt.
Die erforderliche funktionale Trennung zwischen Beratung und Entscheidung aufgehoben wird.

Praxisrelevanz

1. Anonymisierung vs. Pseudonymisierung

Der Beschluss unterstreicht die hohen Anforderungen an eine wirksame Anonymisierung. Viele in der Praxis als „anonymisiert“ beworbene Verfahren erfüllen lediglich die Kriterien einer Pseudonymisierung und fallen damit weiterhin vollständig unter die DSGVO.

Als praktische Konsequenz sollten Verantwortliche bei der Bewertung ihrer Anonymisierungsmaßnahmen besonders sorgfältig prüfen und im Zweifel von der Anwendbarkeit der DSGVO ausgehen.

2. Rolle des Datenschutzbeauftragten bei DSFAs

Die Entscheidung bestätigt die Bedeutung einer klaren Rollentrennung: Der DSB berät und überwacht, trifft aber keine eigenen Entscheidungen über Datenverarbeitungen.

In der praktischen Umsetzung bedeutet das, dass Datenschutz-Folgenabschätzungen vom Verantwortlichen selbst erstellt und verantwortet werden müssen. Der Datenschutzbeauftragte soll dabei zwar konsultiert werden und kann fachliche Empfehlungen aussprechen, doch die Entscheidung über die Durchführung, den Inhalt und die Ausgestaltung der Verarbeitung liegt ausschließlich beim Verantwortlichen. Nur so bleibt die Unabhängigkeit des DSB gewahrt und ein Interessenkonflikt wird vermieden.

Fazit

Der italienische Fall verdeutlicht typische Herausforderungen bei der datenschutzkonformen Implementierung von KI-Systemen im öffentlichen Raum. Er zeigt, dass technische Maßnahmen allein nicht ausreichen, denn Anonymisierung erfordert eine ganzheitliche Betrachtung aller potenziellen Identifizierungsmöglichkeiten. Gleichzeitig ist organisatorische Klarheit unverzichtbar, da Rollen und Verantwortlichkeiten im Datenschutzprozess eindeutig getrennt sein müssen. Für Verantwortliche, die ähnliche Technologien einsetzen möchten, empfiehlt sich deshalb eine frühzeitige und umfassende datenschutzrechtliche Bewertung unter Einbeziehung aller beteiligten Akteure bei klarer Trennung ihrer jeweiligen Rollen.

Max Tauschhuber | 15. Oktober 2025 | Allgemein | Anonymisierung, Aufsichtsbehörde, Bußgeld, Datenschutz-Folgenabschätzung, Datenschutzbeauftragter, DSFA, Interessenkonflikt, Italien, italienischen Aufsichtsbehörde, KI, öffentlicher Raum, Pseudonymisierung