Strafen vermeiden

Der Arm der Verordnung reicht weit: Betroffen sind weltweit alle Unternehmen, die Daten von EU-Bürgern sammeln, verarbeiten und speichern. Zur Überwachung der Umsetzung werden nationale Datenschutzbehörden mit weitgehenden Rechten ausgestattet, darunter Anordnung auf Informationsherausgabe, Durchführung von investigativen Audits und Zugriff auf Daten und Einrichtungen vor Ort. Konkretes Risiko für Unternehmen: Fehlende Compliance kann mit Geldstrafen von bis zu vier Prozent des globalen Jahresumsatzes geahndet werden.

Videoaufzeichnungen, in denen Personen oder ihre Fahrzeuge eindeutig identifiziert werden können, fallen wie Geburtsdatum oder Familienstand in den Bereich der personenbezogenen Daten. Mehr noch: Die GDPR sieht vor, dass EU-Bürger der Verarbeitung ihrer Daten ausdrücklich zustimmen müssen – was bei der Videoüberwachung ganz oder teilweise öffentlicher Bereiche schlechterdings unmöglich sein wird. Auch durch die Anbringung von „Sie werden gefilmt“- Hinweisen lässt sich ein Einverständnis im Sinne der GDPR wahrscheinlich nicht einholen. Aufgrund des fehlenden Einverständnisses und der massenhaften Datenerhebung ist daher grundsätzlich davon auszugehen, dass Videoaufzeichnungen von Personen und Nummernschildern in die Kategorie der High-Risk-Daten im Sinne des Artikels 35 der GDPR fallen. Die Sammlung und Verarbeitung von High- Risk-Daten erfordert die Aufsicht durch einen Datenschutzbeauftragten sowie die Durchführung von Privacy Impact Assessments, um Schwachstellen im Datenschutz finden und schließen zu können. Mit der GDPR werden zudem zwei Konzepte eingeführt, die ganz neue Anforderungen an den technischen Datenschutz stellen: „Privacy by Design“ und State-of-the-Art-Sicherheit. Das bedeutet, dass die Infrastruktur zum Schutz personenbezogener Daten von Grund auf sicher konzipiert sein muss und Sicherheitstechnologie zum Einsatz kommt, die dem aktuellen Stand der Technik entspricht. Konkretere Angaben zur technischen Umsetzung werden nicht gemacht, denn die GDPR soll technologisch neutral sein – im Ernstfall einer internen oder externen Datenschutzverletzung sowie bei Audits müssen Unternehmen aber die Compliance nachweisen können, ansonsten drohen empfindliche Strafen.

Die Videoaufzeichnung von Personen in öffentlichen Außen und Innenbereichen, wie sie heute zum Einbruch- und Diebstahlsschutz gang und gäbe ist, wird durch die GDPR zu einem erheblichen rechtlichen Risiko für Unternehmen. Um Compliance bei der Verarbeitung von High-Risk-Daten herzustellen, werden unter Umständen hohe Investitionen in Technik und Personal erforderlich. Eine Alternative kann die Senkung des Risikofaktors sein: Werden Personen durch eine korrekt implementierte Verpixelung vollständig unkenntlich, fallen Videoaufzeichnungen unter Umständen nicht mehr in die Kategorie der High-Risk-Daten. Dabei ist aber zu bedenken, dass nicht jede Methode zur Verpixelung den Anforderungen genügen wird: Grundsätzlich basieren Algorithmen zur Verpixelung auf der Erkennung von Bewegungen im Bild – aber was ist, wenn Personen stehen bleiben oder Fahrzeuge kurz anhalten? Bietet der Algorithmus hier nicht die nötige Intelligenz, um auch in solchen Situationen die Echtzeit-Verpixelung fortzuführen, wird die Person oder das Fahrzeug zwischenzeitlich erkennbar und der ganze Aufwand hinfällig.

Um die Anforderung von „Privacy by Design“ zu erfüllen, muss also sichergestellt sein, dass der gesamte Prozess von Grund auf so konzipiert wurde, dass keine Lücken in der Verpixelung entstehen können. Lieber etwas zu viel als zu wenig lautet hier die Devise für Unternehmen. Bietet die eingesetzte Lösung die Möglichkeit, die eingesetzte Verpixelungsmethode, Blockgröße und Ein- oder Mehrfarbigkeit optimal auf jede Überwachungssituation anzupassen, bleiben trotzdem Bewegungen sichtbar und Handlungen erkennbar. Ebenso sollte sich einstellen lassen, dass in Hochrisikobereichen wie zum Beispiel vor Geldautomaten nie verpixelt wird. Idealerweise ist der Algorithmus außerdem lernfähig und kann verschiedene Beleuchtungszustände erkennen, sodass selbst bei Ein- oder Ausschalten des Lichts im Innenbereich die Verpixelung nicht neu initialisiert wird.

Von zentraler Bedeutung für die Compliance mit der GDPR und anderen Vorschriften ist zudem die strenge Reglementierung des Zugriffs auf Videodaten. Aus diesem Grund ist zum Beispiel der Privacy Protector von Kiwisecurity direkt in die übergeordnete Security-Center-Management-Plattform von Genetec integriert. Über die Autorisierungsverfahren von Security Center ist sichergestellt, dass Nutzer nur innerhalb ihrer Rechte Daten aufrufen, exportieren, löschen oder bearbeiten können. Insbesondere für IP-basierte Sicherheitsinfrastrukturen, bei denen Video-Feeds von den Kameras über das LAN zu den Servern übertragen werden, muss zudem die Überprüfung von Nutzeridentitäten per Zwei-Faktoren-Authentifizierung sowie eine starke Verschlüsselung der Kommunika tionskanäle zwischen Kameras, Clients und Servern gewährleistet sein. Die Last des Nachweises von „Privacy by Design“ und State-of-the-Art-Sicherheit liegt wie bereits erwähnt ganz bei den Unternehmen. Bei der Auswahl einer Verpixelungstechnologie können Zertifizierungen wie das European Privacy Seal daher eine Entscheidungshilfe sein. Dieses Gütesiegel wird nur nach intensiver technischer und juristischer Prüfung der Kompatibilität von IT-Produkten mit europäischen Datenschutzrichtlinien vergeben. Das Siegel ist zwei Jahre gültig, sodass zertifizierte Produkte immer den neuesten Anforderungen entsprechen.

Zu einem wirksamen Einbruchs- und Diebstahlschutz gehört die Videoüberwachung von internen Risikozonen im Unternehmen. Oftmals lässt sich dabei nicht vermeiden, dass Arbeitsplätze von Mitarbeitern ins Sichtfeld der Kameras geraten. Dies greift in das Recht der Angestellten am eigenen Bild und das Recht auf informationelle Selbstbestimmung ein, daher muss die Unternehmensführung die Errichtung von Sicherheitstechnik mit dem Betriebsrat abstimmen. Ein rechtlich einwandfreier Überwachungsschutz erfordert den Abschluss einer Betriebsvereinbarung. Auf dem Weg zu einer Einigung müssen Unternehmensinteressen und Arbeitnehmerrechte nach dem Grundsatz der Verhältnismäßigkeit gegeneinander abgewogen werden. Je geringer der Eingriff in Mitarbeiterrechte ausfällt, desto leichter wird der Betriebsrat zustimmen. Der erste Schritt besteht hier in der Beschränkung auf die absolut erforderliche Anzahl von Kameras und einer klaren Begründung für die jeweilige Notwendigkeit. Im zweiten Schritt können Mitarbeiterrechte durch den Einsatz von Verpixelungs- und Maskierungstechnologie auch in überwachten Zonen geschützt werden. So lassen sich Mitarbeiter vollständig unkenntlich machen und Bereiche, die grundsätzlich nicht gefilmt werden dürfen (zum Beispiel Bildschirme), zuverlässig maskieren. Schon im Vorfeld sollte zudem eine Lösung für einen häufigen Streitfall bedacht werden: Die Regelung des Zugriffs auf unverpixelte Daten. Der Privacy Protector von Kiwisecurity löst dies zum Beispiel durch die kryptografische Verschlüsselung des unverpixelten Videos mithilfe eines Zertifikats einer Chipkarte, die an einen Sicherheitsbeauftragten oder Personalvertreter ausgegeben wird. Kommt es zu einem Vorfall, so kann nur mit Chipkarte, dazugehörigem PIN-Code und einem zusätzlichen Supervisor-Passwort einer zweiten Person auf das unverpixelte Video zugegriffen werden. Somit bleibt das Vieraugenprinzip stets gewahrt und die Videodaten auf höchstem Niveau gegen Missbrauch geschützt.

Die Absicherung von Außen- und Innenbereichen ist nach wie vor der wichtigste Einsatzbereich für Videoüberwachung – aber längst nicht mehr der einzige. Immer mehr Unternehmen mit Publikumsverkehr nutzen Analysen der Videodaten auch für ihre Business Intelligence. So kann mit entsprechenden Werkzeugen auf einen Blick sichtbar gemacht werden, welche Pfade oder Bereiche häufig genutzt werden, wie beliebt ein Verkaufsplatz oder Exponat für Kunden ist und wo noch Maßnahmen zur Optimierung getroffen werden sollten. Durch die optische Zählung von Personen erhalten Shops, Supermärkte und Shoppingcenter exakte Informationen über Kundenanzahl und Besucherströme nach definierbaren Bereichen sowie eine statistische Auswertungen zur Vergleichbarkeit von Filialen oder Abteilungen. Angesichts von GDPR und anderer Datenschutzbestimmungen sind zuverlässige Verpixelung und Maskierung hier Schlüsseltechnologien für die rechtskonforme Nutzung innovativer Business-Intelligence-Werkzeuge.

Unternehmen, die Videoüberwachung in ganz oder teilweise öffentlichen Bereichen einsetzen, müssen sich jetzt auf die bevorstehende GDPR vorbereiten. Nur wer im Ernstfall den verantwortlichen Umgang mit personenbezogenen Daten und den Schutz durch State-of-the-Art-Technologie nachweisen kann, ist vor Reputationsverlusten und möglichen Strafzahlungen geschützt. Durch Verpixelung und Maskierung können Risiken für den Datenschutz an der Quelle eliminiert werden, wenn die eingesetzte Technologie nachweisbar den Compliance-Anforderungen entspricht und ein striktes Zugriffsmanagement implementiert ist. Darüber hinaus kann der Einsatz von Verpixelung und Maskierung den rechtskonformen Einsatz interner Videoüberwachung erleichtern und die Nutzung moderner Business-Intelligence- Tools ermöglichen.

Nick D‘hoedt, Regional Sales Director Genetec Deutschland GmbH