Das Thema DSGVO ist spätestens seit dem Mai des Jahres 2018 stark strapaziert - und gerade beim Einsatz von Videotechnik herrscht weiterhin viel Unklarheit darüber, welche Anforderungen Unternehmen erfüllen müssen. Unsicherheit herrscht auch darüber, welche Systemfunktionen notwendig sind, um Videosicherheitssysteme auf einfache Weise DSGVO-konform konfigurieren können.

Viele Endanwender stellen fest, dass die neue europäische Datenschutz-Grundverordnung (DSGVO) selbst keine spezifische Regelung zur Videoüberwachung enthält, weshalb sich die DSGVO-konforme Umsetzung für jedes Unternehmen anders darstellt. Zudem ist davon auszugehen, dass neben noch ausstehender Rechtsprechung und damit der tatsächlichen Auslegung in der Praxis auch unternehmensspezifisch – beispielsweise durch unterschiedliche Entscheidungen der Betriebsräte – Unterschiede bezüglich der Videosicherheit zu erwarten sind. Neben dem Datenschutz kommt hierbei nun auch der Datensicherheit ein höherer Stellenwert zugute, da dadurch erhobene Daten vor Verlust oder Manipulation geschützt werden sollen. Somit gilt: Kein Datenschutz ohne Datensicherheit, und Unternehmen müssen die DSGVO in beiden Bereichen erfüllen. Für viele Firmen stellt sich nun die Frage, welche Komponenten notwendig sind, um die Anforderungen konkret erfüllen zu können. Hersteller bieten hier unterschiedliche Ansätze, das Datenschutz- und Datensicherheitsmodul von Dallmeier bietet beispielsweise 14 verschiedene Komponenten.

Datenschutz – Schutz der Rechte der betroffenen Personen
Beim Datenschutz geht es darum, wie in Art. 25 der DSGVO gefordert, geeignete technische und organisatorische Maßnahmen zu treffen, um Datenschutzgrundsätze und die Rechte der betroffenen Personen zu wahren. Im Modul von Dallmeier finden sich dazu vier wesentliche Komponenten:
Die Verpixelung von ganzen Personen durch „People Masking“, die bei Bedarf rückgängig gemacht werden kann.

• Die Einrichtung von „Privaten Zonen“ im erfassten Bild, um z.B. öffentliche Bereiche unsichtbar zu machen. Diese Abdeckung kann weder live noch in der Aufzeichnung rückgängig gemacht werden.
• Die Festlegung der Speicherdauer für jede einzelne Kamera bzw. Aufzeichnungsspur, um eine Löschung nach Zweckerfüllung zu garantieren.
• Die Sichtbarmachung von datenschutzrechtlich irrelevanten Bereichen durch detaillierte, virtuelle 3D-Simulation bereits bei der Projektplanung. So lässt sich einerseits feststellen, wo die Bildqualität keine Personenerkennung zulässt und daher keine personenbezogenen Daten entstehen. Anderseits können für datenschutzrelevante Bereiche die Funktionen, wie z. B. People Masking, bereits im Vorfeld maßgeschneidert geplant werden.

Datensicherheit – Schutz der personenbezogenen Daten selbst
Für den Bereich Datensicherheit legt die DSGVO in Art. 32 fest, dass geeignete technische und organisatorische Maßnahmen ergriffen werden, um ein angemessenes Schutzniveau zu gewährleisten, das den Sicherheitsrisiken angemessen ist. Zum Schutz vertraulicher oder personenbezogener Daten vor Manipulation, Verlust oder unberechtigtem Zugriff bietet das Dallmeier-Modul folgende Funktionen:

• Das optionale „Vier-Augen-Prinzip“, das beim Zugriff auf Aufzeichnungen zwei Passwörter verlangt.
• Die Benutzergruppenverwaltung über AD/LDAP zur Regelung der Zugriffsrechte.
• Ein sicheres Netzwerk-Authentifizierungsverfahren gemäß IEEE 802.1X zum Schutz des Netzwerks vor unberechtigtem Zugriff.
• Eine Ende-zu-Ende Verschlüsselung mit TLS 1.2 / 256 Bit AES für den Schutz sowohl der Daten- als auch der Videoübertragung zwischen aktuellen Dallmeier-Systemen.
• Die Festlegung der Aufzeichnungszeit für jede Benutzergruppe. Bilder, die älter als der eingestellte Zeitraum sind, können nicht ausgewertet werden.
• Das sichere Erkennen und Verhindern von Verbindungsversuchen durch Hackerangriffe. Werden wiederholte Verbindungsversuche von einer unbekannten IP-Adresse erkannt, wird diese automatisch für längere Zeit blockiert.
• Die Möglichkeit, Aufzeichnungs-Appliances als Security Gateway des Videosystems einzusetzen. Dadurch werden Videonetzwerk und Produktionsnetzwerk voneinander getrennt. Dies verhindert unberechtigten Zugriff z.B. über Kameras im Außenbereich und senkt die Netzwerklast.
• Die Entwicklung sämtlicher Hard-, Soft- und Firmware-Lösungen im eigenen Haus und damit keine versteckten Zugangsmöglichkeiten über Backdoors sowie gehärtete Betriebssysteme.
• Failover- und Redundanzmechanismen gegen Datenverlust.
• LGC-Zertifizierung für eine Beweissicherung, die alle Kriterien für eine gerichtliche Verwertbarkeit erfüllt.

Vorsicht bei DSGVO-„konformen“ Datenschutzzertifikaten
Grundsätzlich fördert die EU die Einführung von datenschutzspezifischen Zertifizierungen bzw. Datenschutzsiegeln, da diese die Transparenz erhöhen und Unternehmen den Nachweis über die Einhaltung der DSGVO erleichtern sollen. Jedoch gibt es bei dieser Thematik einige wichtige Punkte zu beachten: Einerseits waren trotz der zweijährigen Übergangsfrist keine gültigen Zertifizierungen vor dem 25. Mai 2018 möglich, die eine Konformität mit den Anforderungen der DSGVO offiziell bestätigen. Anderseits sind keine Zertifizierungen für Produkte oder Dienstleistungen selbst möglich, sondern nur für Datenverarbeitungsvorgänge. Dass beispielsweise eine Überwachungskamera „DSGVO-konform“ ist, ist somit nicht möglich. Des Weiteren ist bei Zertifikaten und Datenschutzsiegeln darauf zu achten, dass sowohl die Zertifizierungsstelle selbst als auch das von ihr angebotene Prüfverfahren für einen Datenverarbeitungsvorgang offiziell nach DSGVO akkreditiert sind. Andernfalls haben diese Zertifikate keinerlei rechtliche Wirkung in Bezug auf die DSGVO. Zu erkennen ist ein „echtes“, akkreditiertes Zertifikat etwa am entsprechenden Logo einer offiziellen nationalen Akkreditierungsstelle – in Deutschland die Deutsche Akkreditierungsstelle, kurz DAkks. Akkreditierungsstellen „prüfen“ die Prüfer, also diejenigen Stellen, die eine Zertifizierung oder ein Datenschutzsiegel ausstellen. Unternehmen sollten also möglichst genau auf eine offizielle Akkreditierung der Zertifikate und Datenschutzsiegel nach DSGVO achten und nicht unnötig Geld für „Scheinzertifikate“ ausgeben.

Fazit: Am besten gut vorbereitet sein
Seit dem 25. Mai 2018 existieren zwar „auf dem Papier“ viele Paragraphen und Artikel zum Datenschutzrecht. Deren finale Auslegung im praktischen Vollzug steht aber noch keinesfalls fest und wird auch über das Jahr 2018 hinaus noch von den nationalen und europäischen Datenschutzaufsichtsbehörden kontrovers diskutiert und definiert werden – einschließlich einer abschließenden Beurteilung durch den Europäischen Gerichtshof bei strittigen Punkten.

Daher bleibt der beste Weg für Unternehmen bei der Videosicherheit: Anstatt auf einzelne, möglicherweise „scheinzertifizierte“ Teile einer Videosicherheitslösung zu vertrauen, ist es oft sinnvoller, im gesamten Prozess der Videodatenverarbeitung über die notwendigen datenschutz- und datensicherheitsrelevanten Techniken und Verfahren zu verfügen, um so flexibel wie möglich auf die zu erwartenden Anforderungen reagieren zu können.