DSGVO-konforme Videosicherheitstechnik – geht das überhaupt?

Das Thema Datenschutz wird nach wie vor stark strapaziert, und gerade beim Einsatz von Videotechnik herrscht oftmals noch Unklarheit darüber, welche Anforderungen Unternehmen erfüllen müssen. Unsicherheit herrscht auch darüber, welche Systemfunktionen notwendig sind, um Videosicherheitssysteme auf einfache Weise DSGVO-konform konfigurieren können.

Viele Endanwender stellen fest, dass die europäische Datenschutz-Grundverordnung (DSGVO) keine spezifische Regelung zur Videoüberwachung enthält, weshalb sich die DSGVO-konforme Umsetzung für jedes Unternehmen anders darstellt, beispielsweise auch durch unterschiedliche Entscheidungen der Betriebsräte.

Neben dem Datenschutz kommt in der DSGVO auch der Datensicherheit ein höherer Stellenwert zugute, da erhobene Daten vor Verlust oder Manipulation geschützt werden sollen. Somit gilt: Kein Datenschutz ohne Datensicherheit, und Unternehmen müssen die DSGVO in beiden Bereichen erfüllen. Für viele Firmen stellt sich nun die Frage, welche Komponenten notwendig sind, um die Anforderungen konkret erfüllen zu können. Hersteller bieten hier unterschiedliche Ansätze, das Datenschutz- und Datensicherheitsmodul von Dallmeier bietet beispielsweise 18 verschiedene Komponenten.

Datenschutz – Schutz der Rechte der betroffenen Personen

Beim Datenschutz geht es darum, wie in Art. 25 der DSGVO gefordert, geeignete technische und organisatorische Maßnahmen zu treffen, um Datenschutzgrundsätze und die Rechte der betroffenen Personen zu wahren. Im Modul von Dallmeier finden sich dazu acht wesentliche Komponenten:

1. Die Verpixelung von ganzen Personen durch „People Masking“, die bei Bedarf rückgängig gemacht werden kann.
2. Die Einrichtung von „Privaten Zonen“ im erfassten Bild, um z.B. öffentliche Bereiche unsichtbar zu machen. Diese Abdeckung kann weder live noch in der Aufzeichnung rückgängig gemacht werden.
3. Die Festlegung der Speicherdauer für jede einzelne Kamera bzw. Aufzeichnungsspur, um eine Löschung nach Zweckerfüllung zu garantieren.
4. Die Sichtbarmachung von datenschutzrechtlich irrelevanten Bereichen durch detaillierte, virtuelle 3D-Simulation bereits bei der Projektplanung. So lässt sich einerseits feststellen, wo die Bildqualität keine Personenerkennung zulässt und daher keine personenbezogenen Daten entstehen. Anderseits können für datenschutzrelevante Bereiche die Funktionen, wie z. B. People Masking, bereits im Vorfeld maßgeschneidert geplant werden.
5. Das sog. Edge-Konzept ermöglicht eine dezentrale Speicherung und Analyse der erfassten Daten direkt bei der Überwachungskamera, ohne dass eine Übertragung notwendig ist. So wird die Netzwerklast gesenkt und das Prinzip der Datenminimierung gestärkt.
6. Die Video-Management-Software protokolliert sämtliche Ereignisse, Meldungen, System- und Anwenderaktionen. Dies ist z. B. für interne und externe Audits relevant.
7. Die patentierten Multifocal-Sensorkameras können nur zuvor definierte Bildbereiche erfassen und ermöglichen die Trennung von Übersichts- und Detailbild für unterschiedliche Benutzergruppen.
8. Das sog. „Panomera Privacy Shield” ist eine Art Datenschutz-Rollo, mit der Anwender die Bilderfassung temporär und weithin deutlich sichtbar deaktivieren können. Somit können Anwender auch die datenschutzrechtlichen Vorgaben bei Kundgebungen oder Versammlungen erfüllen.

Datensicherheit – Schutz der personenbezogenen Daten selbst

Für den Bereich Datensicherheit legt die DSGVO in Art. 32 fest, dass geeignete technische und organisatorische Maßnahmen ergriffen werden, um ein Schutzniveau zu gewährleisten, das den Sicherheitsrisiken angemessen ist. Zum Schutz vertraulicher oder personenbezogener Daten vor Manipulation, Verlust oder unberechtigtem Zugriff bietet das Dallmeier-Modul folgende Funktionen:

1. Das optionale „Vier-Augen-Prinzip“, das beim Zugriff auf Aufzeichnungen zwei Passwörter verlangt.
2. Die Benutzergruppenverwaltung über AD/LDAP zur Regelung der Zugriffsrechte.
3. Ein sicheres Netzwerk-Authentifizierungsverfahren gemäß IEEE 802.1X zum Schutz des Netzwerks vor unberechtigtem Zugriff.
4. Eine Ende-zu-Ende Verschlüsselung mit TLS 1.2 / 256 Bit AES für den Schutz sowohl der Daten- als auch der Videoübertragung zwischen aktuellen Dallmeier-Systemen.
5. Die Festlegung der Aufzeichnungszeit für jede Benutzergruppe. Bilder, die älter als der eingestellte Zeitraum sind, können nicht ausgewertet werden.
6. Das sichere Erkennen und Verhindern von Verbindungsversuchen durch Hackerangriffe. Werden wiederholte Verbindungsversuche von einer unbekannten IP-Adresse erkannt, wird diese automatisch für längere Zeit blockiert.
7. Die Möglichkeit, Aufzeichnungs-Appliances als Security Gateway des Videosystems einzusetzen. Dadurch werden Videonetzwerk und Produktionsnetzwerk voneinander getrennt. Dies verhindert unberechtigten Zugriff z.B. über Kameras im Außenbereich und senkt die Netzwerklast.
8. Die Entwicklung sämtlicher Hard-, Soft- und Firmware-Lösungen im eigenen Haus und damit keine versteckten Zugangsmöglichkeiten über Backdoors sowie gehärtete Betriebssysteme.
9. Failover- und Redundanzmechanismen gegen Datenverlust.
10. LGC-Zertifizierung für eine Beweissicherung, die alle Kriterien für eine gerichtliche Verwertbarkeit erfüllt.

Mehr zu Thema
Datenschutz Quick Guide
Datensicherheit Best Practice Guide
„Video Extra“ zum Thema „Wenn die Kamera nach Hause telefoniert“
Kurzpapier Nr. 15 – Videoüberwachung nach der Datenschutz-Grundverordnung Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte

Vorsicht bei DSGVO-„konformen“ Datenschutzzertifikaten

Grundsätzlich fördert die EU die Einführung von datenschutzspezifischen Zertifizierungen bzw. Datenschutzsiegeln, da diese die Transparenz erhöhen und Unternehmen den Nachweis über die Einhaltung der DSGVO erleichtern sollen. Jedoch gibt es bei dieser Thematik einige wichtige Punkte zu beachten: Einerseits gibt es derzeit (Stand: Januar 2021) immer noch keine offiziellen Zertifikate, die eine Konformität mit den Anforderungen der DSGVO bestätigen. Anderseits sind keine Zertifizierungen für Produkte oder Dienstleistungen selbst möglich, sondern nur für Datenverarbeitungsvorgänge. Dass bspw. eine Überwachungskamera „DSGVO-konform“ ist, ist somit nicht möglich. Des Weiteren ist bei Zertifikaten und Datenschutzsiegeln darauf zu achten, dass sowohl die Zertifizierungsstelle selbst als auch das von ihr angebotene Prüfverfahren für einen Datenverarbeitungsvorgang offiziell nach DSGVO akkreditiert sind. Andernfalls haben diese Zertifikate keinerlei rechtliche Wirkung in Bezug auf die DSGVO. Zu erkennen ist ein „echtes“, akkreditiertes Zertifikat bspw. am entsprechenden Logo einer offiziellen nationalen Akkreditierungsstelle – z. B. ist dies in Deutschland die Deutsche Akkreditierungsstelle, kurz DAkks. Akkreditierungsstellen „prüfen“ die Prüfer, also diejenigen Stellen, die eine Zertifizierung oder ein Datenschutzsiegel ausstellen. Unternehmen sollten also möglichst genau auf eine offizielle Akkreditierung der Zertifikate und Datenschutzsiegel nach DSGVO achten und nicht unnötig Geld für „Scheinzertifikate“ ausgeben.

Fazit: Technische Antworten liefern und offizielle Auslegungshilfen zu Rate ziehen

In der DSGVO gibt es zwar viele Paragraphen und Artikel zum Datenschutzrecht – eine spezifische Regelung für Videoüberwachung gibt es jedoch immer noch nicht. Europäische und nationale Datenschutz-Organe haben dieses Dilemma erkannt und stellen inzwischen nützliche Orientierungshilfen bereit, insbesondere für nicht-öffentliche Stellen (siehe oben). Daher bleibt der beste Weg für Unternehmen bei der Videosicherheit: Anstatt auf einzelne, möglicherweise „scheinzertifizierte“ Teile einer Videosicherheitslösung zu vertrauen, ist es sinnvoller, im gesamten Prozess der Videodatenverarbeitung über die notwendigen datenschutz- und datensicherheitsrelevanten Techniken und Verfahren zu verfügen, und die offiziellen Auslegungshilfen zu beachten, um so flexibel wie möglich auf aktuelle und zukünftige Anforderungen reagieren zu können.

Mehr zu Dallmeier
Dallmeier ist der einzige Hersteller von Videosicherheitstechnik, der alle Komponenten in Deutschland entwickelt und produziert – von der Kamera, der Bildspeicherung und Bildübertragung über intelligente Videoanalyse bis hin zum individuell angepassten Managementsystem. Quality made by Dallmeier, made in Germany!
Dallmeier verfügt über eine mehr als 35-jährige Erfahrung in der Übertragungs-, Aufzeichnungs- und Bildverarbeitungstechnologie und ist als Pionier und Vorreiter im Bereich von CCTV/IP-Lösungen weltweit anerkannt. Das profunde Wissen wird in der Entwicklung intelligenter Software und der Herstellung qualitativ hochwertiger Recorder- und Kameratechnologie eingesetzt. Das ermöglicht dem Unternehmen Dallmeier, nicht nur Stand-alone Systeme, sondern komplette Netzwerklösungen bis hin zu Großprojekten mit perfekt aufeinander abgestimmten Komponenten anzubieten. Der Fokus des Unternehmens lag dabei von Anfang an auf eigenständiger, innovativer Entwicklung kombiniert mit höchster Qualität und Zuverlässigkeit.
Dabei gibt Dallmeier dem Markt mit neuen Entwicklungen und außergewöhnlichen Innovationen immer wieder entscheidende Impulse: So stammt beispielsweise der weltweit erste DVR, der vor mehr als 25 Jahren das Zeitalter digitaler Aufzeichnung in der gesamten Videosicherheitsbranche einläutete, aus dem Hause Dallmeier. In ähnlich bahnbrechender Weise hat die Einführung des patentierten Multifocal-Sensorsystems Panomera® eine neue Ära in der Branche eingeleitet und ist dabei, völlig neue Möglichkeiten für die Absicherung von Vermögenswerten, die Optimierung von Geschäftsprozessen sowie die öffentliche Sicherheit zu eröffnen. Dies und die weitreichende Erfahrung im CCTV- und IP-Bereich haben eine Spitzenstellung auf dem internationalen Markt für digitale Videoüberwachungssysteme möglich gemacht.

1. • • Mehr Infos zu Dallmeier finden Sie hier oder unter www.panomera.com