Für eine umfassende Datensicherheit zu sorgen, gestaltet sich für Unternehmen in Zeiten von unbegrenzt hohen Datenmengen und steigenden Sicherheitsrisiken als eine besondere Herausforderung. Viele statten ihr Gelände deswegen mit einem Videoüberwachungssystem aus. Doch welche rechtlichen Rahmenbedingungen sind hier zu beachten? Und was genau heißt es, für eine datenschutzkonforme Videoüberwachung zu sorgen?
Veli Kirim, Pre-Sales Manager DACH bei Hikvision, gibt Antworten.

Welche Bedeutung hat Videoüberwachung heutzutage, vor allem für Unternehmen?

Veli Kirim: Unternehmen müssen ihr Firmengelände davor schützen, dass es niemand unbefugt betreten kann. Aber auch IT-Systeme und sensible Daten  muss man vor dem Zugriff nicht-autorisierter Personen bewahren. Umfassende Sicherheitsvorkehrungen haben deshalb oberste Priorität.  Es ist also sinnvoll, Unternehmensgebäude unter anderem mit Videoinstallationen auszustatten. Im Fall eines Einbruchs oder Diebstahls ist es dann zumindest möglich, die Straftat schnell aufzuklären. Dabei müssen Unternehmen jedoch bedenken, dass sie mit Videoinstallationen zwar für höhere Sicherheit sorgen, ihre Angestellten jedoch einer bedenklichen Rundum-Überwachung aussetzen und eventuell die Persönlichkeitsrechte verletzen. Genauso wie die von Kunden und Lieferanten, die im Unternehmen ein- und ausgehen.

Wie gestaltet sich das auf rechtlicher Seite? Was müssen Unternehmen beachten?

Veli Kirim: Die Verantwortlichen müssen sich auf jeden Fall zuerst über die rechtlichen Grundlagen informieren, bevor sie eine Videoüberwachung einführen. Dazu zählen die aktuelle Gesetzeslage und das Thema Datenschutz. Das Allgemeine Persönlichkeitsrecht (APR) und das Bundesdatenschutzgesetz (BDSG) zum Beispiel regeln die Persönlichkeitsrechte von Personen. Das BDSG verfolgt den Zweck, einzelne Personen davor zu schützen, dass sie durch den Umgang mit ihren personenbezogenen Daten in ihren Persönlichkeitsrechten beeinträchtigt werden. Das umfasst die Erhebung, Verarbeitung – also Speicherung, Erfassung und Aufnahme – sowie die Nutzung personenbezogener Daten. Nicht-öffentliche Stellen, also auch Unternehmen, sind unter anderem dazu verpflichtet, Personen, über die sie Videomaterial gespeichert haben, von der Speicherung in Kenntnis zu setzen.

Wie sorgt ein Unternehmen dann für eine datenschutzkonforme Videoüberwachung?

Veli Kirim: Es gibt Lösungen, die dafür sorgen, dass die Videoüberwachung datenschutzkonform erfolgt. Das richtige Produkt hält die nötige Balance zwischen notwendigen Sicherheitsvorkehrungen und dem Privatsphärenschutz der Betroffenen. Es gibt dabei drei Dinge zu beachten: Personen dürfen nicht zu erkennen sein, das Datenmaterial muss verschlüsselt und die Datensicherheit durch das „Vier-Augen-Prinzip“ gewährleistet sein. Unternehmen, die sich durch Videoinstallationen vor unbefugtem Betreten bzw. nicht-autorisierten Zugriffen datenschutzkonform schützen möchten, müssen also eine Lösung einsetzen, die diese drei Kriterien erfüllt.

Wie lässt sich sicherstellen, dass man Personen auf den Aufnahmen nicht erkennt?

Veli Kirim: Um die Privatsphäre der Personen zu schützen, die durch die Videoinstallationen aufgenommen werden, gehören ihre Gesichter verschleiert, also unkenntlich gemacht. Dabei ist für das Unternehmen ersichtlich, was die Person gerade tut, ohne deren Persönlichkeitsrechte zu verletzen. Im Falle eines kriminellen Vorfalls können Unternehmen diese Verschleierung wieder aufheben, sofern es der Betriebsrat genehmigt.

Und wie kann man Datenmaterial verschlüsseln?

Veli Kirim: Um Videomaterial vor dem Zugriff Dritter wirksam zu schützen, sollte es bereits vor der Übertragung von der Kamera zum Rekorder Ende-zu-Ende verschlüsselt sein. Das erfolgt zum Beispiel über AES: AES bedeutet Advanced Encryption Standard und steht für einen Algorithmus, der relevante Daten in Blöcken und symmetrisch ver- und entschlüsselt. Dabei kommt derselbe Schlüssel sowohl zur Verschlüsselung als auch zur Entschlüsselung von Daten zum Einsatz. Die verantwortlichen Personen, also Absender und auch Empfänger, müssen denselben geheimen Schlüssel kennen, um die Daten einerseits zu verschlüsseln und andererseits wieder auf sie zugreifen zu können.

Was genau ist das Vier-Augen-Prinzip und wie funktioniert es?

Veli Kirim: Vor allem die Aufbewahrung von Videoaufnahmen bedarf besonderer Vorkehrungen. Unternehmen müssen hier für umfassende Datensicherheit sorgen, indem sie es einer einzelnen Person unmöglich machen, auf die Aufnahmen zuzugreifen. Genau darum geht es beim „Vier-Augen-Prinzip“. Dabei gibt es zwei individuelle Passwörter, die man benötigt, um Daten einsehen zu können. Zum Beispiel kann ein Unternehmen verschiedene Benutzerrollen mit unterschiedlichen Rechten an zwei verantwortliche Personen oder auch Personengruppen vergeben und so den Zugriff auf die Aufnahmen und den Missbrauch des Videomaterials durch eine einzelne Person verhindern. 