Einwilligungsgetriebene Bild‑Metadaten‑Governance 2025 — Datenschutz & Vertrauen

Kontext

Bilder transportieren personenbezogene Daten, Standort und Urheberangaben. 2025 ist automatisierte, zustimmungszentrierte Governance Standard. Dieser Leitfaden verbindet Betrieb und Umsetzung für reproduzierbare Regeln.

Prinzipien

1. Datenminimierung (nur Notwendiges)
2. Explizite Einwilligung (Umfang, Derivate, Wiederverwendung)
3. Observability (Nachvollziehbarkeit und Änderungsprotokolle)

Umsetzungsmuster

• EXIF/IPTC/XMP bei Ingestion analysieren und zu einer Policy‑Matrix normalisieren.
• Unmittelbar vor öffentlicher Auslieferung entscheiden: löschen/behalten/ersetzen.
• Im Client CSP verstärken und Offline‑Caches sauber dimensionieren.

Policy‑Matrix (Beispiele)

• Sensitiv (GPS/Gesichter/Geräte‑ID): standardmäßig löschen; behalten nur mit Einwilligung.
• Rechte (Urheber/Lizenz): standardmäßig behalten; in UI anzeigen.
• Kontakt/Autor‑URL: Anzeige zweckgebunden und mit Einwilligung.

Next.js Pipeline Beispiel

import exifr from 'exifr';

export async function sanitize(buffer: ArrayBuffer) {
  const meta = await exifr.parse(buffer, { iptc: true, xmp: true });
  const allowGps = false;
  return { ok: true, redacted: !allowGps, meta };
}

CMP Integration

• TCF v2 oder eigene Signale serverseitig auswerten.
• Beispiel: „keine Standortverarbeitung“ → GPS/Heading entfernen, Zeit runden.

type Consent = { gps: boolean; aiTraining: boolean; credit: boolean };
function decidePolicy(consent: Consent) {
  return { removeGps: !consent.gps, allowAiTraining: consent.aiTraining, showCredit: consent.credit } as const;
}

Speicherung & Aufbewahrung

• Originale verschlüsselt (WORM gegen Manipulation).
• Öffentlich nur bereinigte Derivate; CDN‑TTL 7–30 Tage.
• Aufbewahrung nach Klasse (Ads: 1 Jahr; Archiv: 5–10 Jahre).

Audit & Incidents

• Monatliches Sampling; automatische Tickets bei Abweichungen.
• Incident: 24–72h SLA für Purge öffentlich/CDN/Backups.
• Fälschungssichere Hash‑Protokolle.

type AuditLog = { inputSha256: string; outputSha256: string; removedFields: string[]; actor: string; timestamp: string };

Ereignisgesteuerte Pipeline

1. Upload → Queue
2. Sanitizing → Rewrite → Validierung
3. Klassifizieren → Rechte/Consent‑Labels
4. Publizieren → signierte URL → CDN; Credits in UI
5. Audit → Logs → Dashboard

Credits in der UI

function Credit({ xmp }: { xmp?: { creator?: string; license?: string } }) {
  if (!xmp) return null;
  return (
    <figcaption className="mt-2 text-xs text-muted-foreground">
      {(xmp.creator && `© ${xmp.creator}`) || ''}
      {xmp.license && (<>
        {' '}· Lizenz: <a href={xmp.license} target="_blank" rel="noreferrer noopener">{xmp.license}</a>
      </>)}
    </figcaption>
  );
}

Sicherheit & Datenschutz

• Separat eingebettete EXIF‑Thumbnails entfernen.
• Signierte URLs/kurzlebige Tokens gegen Hotlinks.
• CSP/Referrer‑Policy zur Vermeidung von Metadaten‑URL‑Leaks.

Checkliste

• [ ] Datenminimierung dokumentiert
• [ ] Einwilligungs‑Schema und UI
• [ ] Automatisches Sanitizing
• [ ] Audit‑Logs speichern/finden
• [ ] Credits/Rechte in UI
• [ ] Backup/Lösch‑Policy

FAQ

• F: Alles löschen?

  • A: Nein. Rechte/Credits behalten; sensible Daten (GPS etc.) entfernen.

• F: Bestandsassets?

  • A: Batch‑Audit → Auto‑Sanitizing → Diff‑Review.

• F: Widerruf?

  • A: Über ID rückverfolgen; öffentlich/CDN/Backups purgen; SLA protokollieren.

• F: KI‑Bild‑Metadaten?

  • A: Prompts/Logs können sensibel sein. Öffentlich entfernen; intern auditierbar halten.

• F: CDN entfernt ICC/Metadaten

  • A: Optimierer löschen oft standardmäßig. Profil wählen, das Rechte neu einbettet.