DSGVO Videoüberwachung – Anforderungen aus dem Datenschutz

Aktualisiert: 06.01.2019   Autor: Torben Vanselow über den Autor

Autor Bild

Autor: Torben Vanselow
Inhaber CamTelligence e.K. war zuvor u.a. tätig bei Mobotix AG, Prosegur GmbH, Ideal CCTV LTD (Schottland) u.a. in Position / Verantwortung: Projektkoordinator Videoüberwachung (VÜA), Hauptverantwortliche Fachkraft VÜA (BHE), Fachplaner VÜA (BHE) jeweils deutschlandweit. Referent für technische Seminare VÜA und BDM VÜA Deutschland-Mitte. Geschäftsführer.

Dieser Artikel befasst sich mit den technischen Anforderungen an Video-Überwachungs-Anlagen, welche sich aus der DSGVO und anderen Rechtsbereichen ergeben. Er stellt keine rechtliche Beratung dar, sondern weist viel mehr Lösungen technischer Natur, zur Umsetzung und korrekter Erfüllung dieser Anforderungen auf.

Über welche Funktionen sollte Ihr neues (oder bestehendes) Videosystem verfügen, um optimal auf die aktuellen Datenschutzanforderungen optimiert werden zu können?

DSGVO Datenschutz Funktionen für die Videoüberwachung

Seit dem 25.05.2018 ist die Datenschutz-Grundverordnung (DSGVO) voll rechtskräftig. Es wird noch einige Zeit vergehen, bis Urteile und Präzedenzfälle einen klaren Leitfaden zur Anwendung in der Videoüberwachung abbilden werden. Dennoch ist klar abzusehen, welche Funktionen Videosysteme spätestens jetzt bieten müssen, um auf aktuelle, DSGVO-konforme Datenschutzkonzepte anwendbar zu sein.

Ob bei der Anpassung einer Anlage im Bestand, oder vor dem Erwerb einer neuen; achten Sie darauf, dass die folgenden Features enthalten und die entsprechenden Funktionen möglich sind.

Videodaten enthalten personenbezogene Daten

Videodaten enthalten personenbezogene Daten. Um diese vor unbefugtem Zugriff zu schützen, benötigt ein Video Sicherheits System sowohl Technologien zur angemessenen Vergabe von Benutzerberechtigungen, wie auch solche, die eine sichere und manipulationsfreie Kommunikation der Komponenten (Kameras, Netzwerk, Klienten-PC) bis hin zur Aufbewahrung auf einem Netzwerk-Speicher gewährleisten. Dazu gehören:

Im Artikel 25 der DSGVO ist die Rede von der Pflicht des Verantwortlichen, technische und organisatorische Maßnahmen zu treffen, welche mittels Voreinstellung, die Zugänglichkeit zu personenbezogenen Daten regulieren. Lassen Sie sich hierzu hinsichtlich Ihres Datenschutzkonzepts rechtlich beraten. Zur technischen Umsetzung der Anforderungen sind die nachfolgenden Funktionen sinnvoll... 

Flexible Benutzerverwaltung

Die Möglichkeit Benutzer anzulegen, die keinerlei administrative Berechtigungen haben

Die Möglichkeit jedem Benutzer individuell Zugriffe auf Live- und gespeicherte Daten, sowie den Export von Daten aus dem System zu verwehren

Vier-Augen-Prinzip / Doppelte Passwortabfrage: Für datenschutzrelevante Funktionen, kann die Anwesenheit und Bestätigung einer zusätzlichen Person erzwungen werden (z.B. Datenschutzbeauftragter oder Betriebsrat)

Auto-Logout: Nach einer einstellbaren Zeit wird ein inaktiver Benutzer aus dem System ausgeloggt

Der Artikel 32 der DSGVO spricht bzgl. Beschaffung, der Installation und dem Betrieb von Videoüberwachungssystemen von Achtsamkeit hinsichtlich einer sicheren Verarbeitung der Daten. Lassen Sie sich hierzu hinsichtlich Ihres Datenschutzkonzepts rechtlich beraten. Zur technischen Umsetzung der Anforderungen sind die nachfolgenden Funktionen sinnvoll... 

Datensicherheit

Sichere Verbindungen für den Transfer von personenbezogenen Daten - TLS/ SSL

Sichere Verwahrung der Daten: Eine zusätzliche Verschlüsselung der Video-Daten auf dem bereits verschlüsselten Netzwerk, kann gezielt vor unbefugtem physikalischen Zugriff auf die Speichermedien schützen

Im Artikel 25 der DSGVO ist die Rede von der Pflicht des Verantwortlichen, technische und organisatorische Maßnahmen zu treffen, welche mittels Voreinstellung Menge, Umfang und Speicherfrist von zweckmäßig erhobenen personenbezogenen Daten regulieren.Lassen Sie sich hierzu hinsichtlich Ihres Datenschutzkonzepts rechtlich beraten. Zur technischen Umsetzung der Anforderungen sind die nachfolgenden Funktionen sinnvoll... 

Zweckmäßigkeit - minimale Daten erfassen (Bild)

Minimum: Die Möglichkeit Privatzonen einzublenden d.h. Bereiche im Bild der Kamera zu verpixeln. Achtung: Es wird empfohlen ein Video-System zu verwenden, welches diese Verpixelung bereits in der Kamera umsetzt; nachträgliche Verpixelung in einer VMS (Video Management Software), oder auf einem Rekorder können problematisch und eventuell nicht manipulationssicher sein

Besser und flexibler: Konditionelle Privatzonen: einige intelligente Kameras verfügen bereits über integrierte Logiken, die in definierten Fällen eine Verpixelung deaktivieren können. Beispielsweise kann ein Bereich in einem Video-Bild verdeckt werden, da auch öffentlicher Bereich oder ein Arbeitsplatz erfasst würde. Beim Eintreten einer gewissen Situation, wie das Auslösen einer Alarmanlage, die Betätigung eines Panik-Tasters, eines Brandes oder eines arbeissicherheitsrelevanten Szenarios, wird die Privatzone automatisch deaktiviert und gibt den Blick auf die ganze Szene frei. Mit einer solchen Funktionalität könnte optimal auf die entsprechenden Gewichtungen der rechtlichen Ansprüche von Anlagenbetreiber (Hausrecht) und eventuellen schutzwürdigen Interessen Betroffener eingegangen werden.

In Problemfällen - Wärmebildkamera: Immer wieder treten Fälle auf in denen eine Videoüberwachung zwar zwingend notwendig aber rechtlich grenzwertig ist. Eine Einigung mit einem Datenschutzbeauftragten, oder dem Betriebsrat verzögert die Inbetriebnahme einer dringend benötigten Kamera. Einige intelligente Kameras ermöglichen bereits heute den Betrieb von jeweils einem Wärmebild- und einem normalen optischen Video-Sensor in einem Kameragehäuse. Thermalkameras erfassen per se keine personenbezogenen Daten. Bei Eintreten eines Szenarios mit berechtigtem Anspruch des Anlagenbetreibers, erfolgt eine manuelle oder automatische Umschaltung auf ein video-optisches Bild.

Zweckmäßigkeit - minimale Daten vorhalten (Aufzeichnungsdauer & Löschen)

Das Videosystem benötigt die Funktion, Videodaten nach Ablauf der datenschutzrechlich definierten Speicherfrist automatisch zu löschen, oder zu überschreiben

Datenauszug

Im Falle eines eventuellen Antrages auf Datenlöschung (Recht auf vergessen werden) oder auf Datenauszug seitens Behörden etc. - ist ein System mit komfortablen Recherche und Exportfunktionen empfehlenswert. Idealerweise nutzen Sie ein System mit integrierter Konvertierungs-Funktion in allgemein-abspielbare Videoformate (wie z.B. AVI)

Werbung: Sie sind auf der Suche nach einem System, welches alle oben aufgeführten Funktionen bieten kann? Dann informieren Sie sich jetzt bei uns über eine Videoüberwachungs-Lösung von Mobotix.