Technische und organisatorische Maßnahmen zur Videoüberwachung (CCTV)

COMPLIANCE,

Christian Werbik

VACE Business Consultant Compliance

E-Mail schreiben

Im VACE-Infoletter hatten wir uns neulich der Frage gewidmet, ob Ihre Videoüberwachung (CCTV) rechtmäßig ist. Dabei standen der Zweck sowie die Rechtsgrundlage dieser Personendatenverarbeitung im Mittelpunkt

Die Überwachungskamera an der Laderampe eines Spediteurs wurde mit „berechtigten Interessen“ gerechtfertigt. Dabei hatten wir auch festgestellt, dass technische und organisatorische Maßnahmen zum Schutz der Betroffenen zu setzen sind und es um die Einhaltung von DSGVO-Grundprinzipien wie privacy-by-design und privacy-by-default geht.
Zuletzt wurde die erlaubte Speicherdauer einer Bildverarbeitung erörtert. Dieser Artikel soll grundlegende technische und organisatorische Maßnahmen aufgreifen und die Abhängigkeit vom Betroffenenrisiko aufzeigen.

Verschlüsselung

Artikel 32 DSGVO zur „Sicherheit der Verarbeitung“ nennt die „Verschlüsselung personenbezogener Daten“ als typische Maßnahme zum Datenschutz. Ist im Zuge einer Videoüberwachung Verschlüsselung kategorisch verpflichtend? Nicht unbedingt.
Das Vertraulichkeitsinteresse des Betroffenen lässt sich in menschenleeren Lagerhallen auch mit einer kurzen Speicherdauer sowie einer fixierten und geschützten Aufstellung der Geräte absichern (Verschraubung, Gehäuse, Kabelkanäle, Montagehöhe). Jedoch: Beim Eingang eines oftmalig besuchten Suchtberatungszentrums würde ich eine Verschlüsselung als zwingend ansehen.
Letztere könnte in Windows 10 etwa mit einer BitLocker-geschützten Partition erreicht werden. Dabei wird das Verfahren AES (Advanced Encryption Standard) zum Einsatz gebracht. Profis stellen vor der Verschlüsselung und bei entsprechend hoher Risikolage die Schlüssellänge von 128 auf 256 bit…
 

Berechtigungsmanagement & Protokollierung von Zugriffen

In Österreich lohnt sich ein Blick in § 13 DSG. Dessen fragwürdige „Unionsrechtskonformität“ - mit der sich bereits das Bundesverwaltungsgericht befasst hat - ist nicht Gegenstand dieser Abhandlung. Absatz 2 der Norm führt aus: „Der Verantwortliche hat – außer in den Fällen einer Echtzeitüberwachung – jeden Verarbeitungsvorgang zu protokollieren.“
Eine solche Protokollierung geht freilich mit Identitäts- und Berechtigungsmanagement einher. Diese Maßnahme ist etwa im Kapitel ORP.4 des IT-Grundschutz-Kompendiums des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) allgemein beschrieben. Im Zusammenhang mit Aufzeichnungen einer Videoüberwachung geht es uns freilich um die Einschränkung des Zugriffs auf einen kleinen Personenkreis – unter Vergabe minimaler Rechte.

Die genaue Umsetzung hängt in erster Linie von organisatorischen Erwägungen ab. Der IT-Administrator wird auch hier allumfassende Rechte besitzen – diese braucht er, um den Betrieb einzurichten und Probleme zu lösen. Wachpersonal und Werkfeuerwehr hingegen werden (bei Bedarf) mit einem schlichten Lesezugriff auskommen – ohne Möglichkeit zur Löschung oder Veränderung von Einstellungen. 

Die korrekte Umsetzung einer Protokollierung hängt also vom Berechtigungsmanagement ab. Es gilt, jegliche Vorgänge (Lesen, Löschen, Einstellen) anhand einer Log-Datei nachvollziehen zu können. Es liegt auf der Hand, warum ein ‚shared user account‘ – das Teilen von Benutzername und Passwort durch mehrere Personen – abzulehnen ist.
Dass eine Vielzahl (gefilmter) Betroffener die Datenschutzrelevanz erhöht wurde oben bereits angedeutet. Bedenken Sie bitte auch den Kreis der Personen, die zu einer Video-Auswertung berechtigt sind! Um beim Beispiel der Betriebsfeuerwehr zu bleiben: Genügt Echtzeitüberwachung?
 

Zusammenfassung und Ausblick

Wie Sie bereits wissen gibt es keine „DSGVO-Konformität“ an und für sich – sondern hängt das nötige Maß des Datenschutzes vom Betroffenenrisiko und der jeweiligen Situation ab. In einigen Fällen wird man ohne Verschlüsselung auskommen; Berechtigungsmanagement sowie Protokollierung von Zugriffen sind – abgesehen von Echtzeitüberwachung – ein Muss. Sie haben Ihre Videoüberwachung noch nicht abgeklärt und dokumentiert? Schreiben Sie mir gerne und wir vereinbaren Ihr kostenloses Erstgespräch.