Grund zur Sorge?

Moderator Dirk Ostermann leite- te das Thema mit einer Betrachtung im Kontext der Historie ein: „Wer schon länger in der Videotechnik unterwegs ist, weiß, dass Datenschutz schon seit sehr langer Zeit ein Thema ist. Dennoch wurde es nicht überall und immer ernst genug genommen. Mit in Kraft treten der DSGVO im Mai kann das empfindliche Strafen nach sich ziehen. Worauf sollten also Hersteller, Integratoren und auch Anwender jetzt ganz besonders achten und woran haperte es bisher?“

Mark Kieffer vom Software-Spezialisten Milestone meint: „Als Anbieter von Videomanagementsoftware ist Datenschutz für uns natürlich schon lange ein großes Thema, das wir stets auf dem Radar haben. Intern wird das immer wieder sehr intensiv besprochen und in die Produktentwicklung hineingetragen. Wir versuchen aber auch, zusammen mit unseren Partnern die Message nach draußen zu transportieren und die Thematik über Webinare und diverse Veranstaltungen den Kunden und Endanwendern näher zu bringen.“ Einen ähnlichen Ansatz verfolgt Henning Wenzel von Synology: „Natürlich haben auch wir in letzter Zeit mehr Anfragen zum Thema Datenschutz-Grundverordnung bekommen, und in dem Zusammenhang auch Nachfragen nach Funktionen, die teilweise noch nicht implementiert waren. Diese wurden direkt weitergeleitet an unsere Entwicklung, damit sie möglichst bald nachgeliefert werden können. Alle neuen Funktionen, die wir entsprechend in unserer Software integrieren, werden wir dann durch Schulungen und Webinare an unsere Errichter und Partner weitertragen, um sie darüber zu informieren, wie sie unsere Lösungen datenschutzkonform einsetzen können. Es reicht ja nicht, Funktionen zur Verfügung zu stellen, sondern man muss auch das Know-how vermitteln, wie die Software konfiguriert werden müssen, damit größtmögliche Konformität gegeben ist.“

Doch inwieweit werden diese Möglichkeiten genutzt? Uwe Gleich vom Errichterbetrieb Gleich GmbH berichtet aus der Praxis: „Meine Erfahrung ist, dass viele den Datenschutz trotz allem noch zu locker sehen und in der Hinsicht auch zu unvorsichtig sind. Ich glaube aber auch, dass sich das mit der Datenschutz-Grundverordnung tatsächlich ändern wird, nicht weil die Gesetze strenger geworden sind, sondern wegen der Folgen in Form von Abmahnungen, Bußgeldern und ähnlichem. Das erzeugt auf Seiten der Kunden natürlich ein gewisses Maß an Angst.“ Angst vor Bußgeldern ist das eine, aber gleichzeitig gibt es natürlich die Angst vor Missbrauch der Daten, was auch die Notwendigkeit von Datenschutzgesetzen aufzeigt. Wilhelm Fischer von Netzwerkservice Fischer erklärt: „Die Frage, ob man an dieser oder jener Stelle eine Kamera einsetzen darf und was man dabei alles sehen oder nicht sehen darf, beschäftigt uns schon lange. Diese Angst in Deutschland gibt es schon immer. Aber durch die Datenschutz-Grundordnung, die bald in Kraft tritt, wird zusätzlich noch mehr sensibilisiert. Und das fällt mir auch an meinen Kunden auf, die bei dem Thema noch offener und genauer zuhören als bisher. Es ist auch absolut richtig, sich zu dem Thema Gedanken zu machen.“ Stephan Roth von PCS schildert die Sicht eines Herstellers: „Das Thema Datenschutz hat natürlich jeder Hersteller auf der Agenda. Und das wurde vor allem im Videobereich schon in der Vergangenheit oft diskutiert. Es ist auch sinnvoll, denn die Daten müssen sicher abgelegt sein, Videobilder brauchen einen geregelten Zugang, mit Passwort geschützt und je nachdem mit Vieraugenprinzip und ähnlichem gesichert. Das sind Notwendigkeiten, die sich bisher auch schon durch das Bundesdatenschutzgesetz ergeben haben. Jetzt wurde das Thema auf internationale Ebene gezogen. Und hier stellen vor allem die massiven Strafen für jeden eine Art Damoklesschwert dar, wenn man sich nicht an die Vorgaben hält.“

Damit sind einige Folgen aus dem Inkrafttreten der europäischen DSGVO bereits eindeutig angesprochen. Es geht vor allem auch ums Geld. Und das ist die eigentliche Neuerung, die ab dem 25. Mai relevant wird. Stefan Dörenbach von Genetec erklärt: „Wir schreiben das Thema Datenschutz schon seit Jahren ganz groß auf unsere Fahne, weil wir wissen, dass die Datenschutz-Grundverordnung mit ihren empfindlichen Strafen ab dem 25. Mai dieses Jahres in Kraft tritt. Denn eigentlich gilt die Datenschutz-Grundverordnung ja bereits seit zwei Jahren. Dieses Zeitfenster wurde als Übergangsfrist eingeräumt, um die Vorgaben im eigenen Unternehmen umzusetzen. Das ist ein riesiges Thema, bei dem auch wir als Hersteller überlegen müssen, welche Mechanismen wir zur Verfügung stellen, damit ein solches System in Übereinstimmung mit den Anforderungen der DSGVO betrieben werden kann.“ Dass die Strafen bei Verstößen durchaus schmerzhaft werden dürften, bekräftigt Martin Scherrer von Siemens: „Die Bußgelder können bis zu 20 Millionen Euro beziehungsweise vier Prozent des Konzernjahresumsatz betragen. Durch diese Änderung bekommt der Datenschutz eine noch wichtigere Priorität. Einerseits müssen die Systeme bedacht und entsprechend des Datenschutzes ausgelegt werden. Andererseits ist es wichtig, sich auch vertraglich abzusichern und konsequente Regelungen festzulegen. Die Verpflichtung zu dieser vertraglichen Regelung bestand kundenseitig bereits in der Vergangenheit, wurde jedoch in der Praxis nicht immer umgesetzt. Man sollte alles schriftlich einwandfrei fixieren, gerade wenn noch Subunternehmer beteiligt sind. Um hier gesetzeskonform zu arbeiten, schulen wir unsere Mitarbeiter und aktualisieren unsere Vorgaben und Prozesse.“

Das Schlagwort, das hier im Hintergrund mitschwingt, lautet Haftung. Auch aufgrund der empfindlichen Bußgelder ist es notwendig, sich abzusichern, auch als Errichter und Integrator. Diese sind zu recht besorgt, wie Thorsten Reichegger von Videor schildert: „Wir spüren eine gewisse Verunsicherung auch auf Seiten unserer Kunden. Einige Errichter hatten das Thema lange nicht auf dem Schirm oder einfach unterschätzt. Denn es ist so: Auch Errichter und Planer haben gewisse Pflichten und können, wenn sie nicht auf die entsprechenden Bestimmungen hinweisen, eventuell mit in die Haftung fallen. Darauf weisen wir als Distributor hin und helfen auch unseren Kunden durch Schulungen und Dienstleistungen.

Generell gilt es, die richtigen Fragen zu stellen und auf die juristischen Aspekte hinzuweisen. Auch gilt es aus Datenschutzsicht die Systeme sauber zu dokumentieren. Hier sieht man schon eine Welle, die momentan auf uns zukommt, denn gerade viele kleine Unternehmen haben das in den letzten zwei Jahren ein bisschen verschlafen.“ Walter Dieterich von der Deutschen Datenschutzhilfe kann dem zustimmen: „Es gibt definitiv einen ziemlich starken Nachholbedarf. Denn man muss schon sagen, dass viele Errichter sich in der Vergangenheit nicht um Datenschutz gekümmert haben und es auch nicht mitbekommen haben, als die Datenschutz-Grundordnung vor zwei Jahren in Kraft getreten ist. Aber sobald nun die Übergangsfrist am 25.

Mai 2018 abgelaufen ist, wird es sich knallhart auswirken. Ich denke, es besteht eine große Gefahr, dass die Bußgelder, die immer wieder im Raum stehen, nicht nur die ganz Großen treffen werden. Im Prinzip muss jeder Anwender damit rechnen und unter Umständen eben auch die Errichter, sofern sie nicht nachweisen können, dass sie ihren Datenschutz-Pflichten nachgekommen sind. Das Thema Datenschutz ist in den vergangenen Jahren nicht so richtig wahrgenommen worden, was auch einer der Gründe war, warum wir den Verein Deutsche Datenschutzhilfe gegründet haben.“ Errichter müssen also darauf achten, dass sie rechtskonform beraten, ohne dabei selbst eine Rechtsberatung zu machen, die nicht zulässig wäre. Uwe Gleich stellt klar: „Beim Datenschutz kommt irgendwann der Punkt, wo wir in die Rechtsberatung gehen müssten, und da sind wir als Errichter raus, denn das dürfen wir gar nicht machen. Selbstverständlich habe ich als Errichter eine Hinweispflicht, der ich nachkommen muss, wenn ich nicht in der Haftung stehen möchte. Bei uns erfolgt das etwa in Form eines entsprechenden Aufklärungsschreibens, das der Kunde mit der Auftragsbestätigung erhält. Zusätzlich ist es sicher eine gute Idee, einmal zu überprüfen, ob die Haftpflichtversicherung des Unternehmens einen Datenschutzverstoß mit abdecken würde.“

Unabhängig von der rein rechtlichen Absicherung von Errichtern, ist es in den praktischen Projekten sinnig, so offen und so konkret wie möglich das Thema Datenschutz anzusprechen. Und dies sollte zudem so frühzeitig wie möglich geschehen. Andreas Fieberg von Moog Pieper berichtet: „Aus unserer Sicht muss das Thema Datenschutz so früh wie möglich in den Projekten mit dem Endkunden angesprochen werden, wenn dieses ernsthaft umgesetzt werden soll. Die Erfahrung aus der Vergangenheit zeigt aber, dass manche Kunden von Datenschutz nicht viel wissen wollen, wohl um der ganzen Paragraphenreiterei ein Stück weit zu entgehen. Wir können nur davon abraten, das Thema zu ignorieren, weil dies als Bumerang sehr schnell zurückkommt.

Man muss den Betriebsrat von Anfang an einbeziehen und das Gespräch suchen. Mit der Datenschutz-Grundverordnung wird sicher noch mehr Bewegung in die Sache kommen.“ Thorsten Reichegger kann dem beipflichten: „Ich bin immer ein Verfechter des Runden Tisches mit allen Beteiligten. Auch Mitarbeitervertreter und Betriebsrat müssen dabei sein, und noch dazu ein Datenschutzbeauftragter. Als Errichter kann man dann mit dem Betreiber konkret diskutieren, wo welche Kameras warum zum Einsatz kommen sollen. Da lässt sich klären: Ist in der Historie etwas vorgefallen? Gab es hier schon Straftaten? Warum muss der Flur überwacht werden? Was ist der Zweck der Anlage? Solche Dinge muss man vorher besprechen und diskutieren.“ Walter Dieterich ergänzt: „Betreiber müssen mit Angabe eines genau definierten Zweckes begründen, wofür jede Kamera eingesetzt werden soll. Dabei gilt es auch zu prüfen, ob es für den Zweck nicht auch mildere Mittel als eine Videokamera gibt. Man darf nicht immer nur Kameras aufhängen. Eine Vorabkontrolle für Videoüberwachung ist bereits seit dem 15. März 2000 Vorschrift. Essenziell ist dabei das Warum. Natürlich können auch wirtschaftliche Gründe ausschlaggebend sein, warum eine Kamera nötig ist, aber man muss die Gründe herausarbeiten und sauber dokumentieren. Und wenn es in der Firma einen Betriebsrat gibt, muss man diesen selbstredend bei der Planung mit einbeziehen. Unabhängig vom Betriebsrat muss aber auch jeder Mitarbeiter über Art und Umfang einer Videoüberwachung informiert werden.“

Man muss als Errichter und Fachplaner immer auf den Kunden eingehen und dabei seine Anforderungen in Sachen Sicherheit im Einzelfall mit dem Datenschutz in Einklang bringen. Zu diesem Zwecke schilderte Moderator Dirk Ostermann ein Beispiel aus seiner Praxis als Videofachplaner: „Ich möchte es mal an einem konkreten Fall anschaulich machen. Eine Händlerin betreibt auf Märkten den Verkauf von Fleischwaren, dazu besitzt sie 50 Verkaufswägen, die deutschlandweit unterwegs sind. Nun hat sie das Problem, dass an der Kasse immer mal wieder Geld verschwindet, weshalb in jedem Wagen zwei Kameras installiert werden sollen. Eine wird auf die Kasse positioniert, die andere Kamera wird aus dem Wagen heraus positioniert, so dass der Kunde zu sehen ist.

Jetzt ist die Frage: Unter welchen Voraussetzungen darf sie das? Und: Braucht sie dafür einen Datenschutzbeauftragten? Der Errichter, von dem diese Anfrage kam, war sich da nicht sicher.“ Wilhelm Fischer kann das nachvollziehen: „Dass die Kasse im Wagen überwacht wird, muss ja nur mit den Mitarbeitern geklärt werden, aber wenn die Kamera aus dem Wagen nach außen schaut, ist es ja möglich, dass öffentliche Bereiche zu sehen sind. Auch wenn es eigentlich nur um die Kunden vor dem Wagen geht, muss man aufpassen, dass nicht sichtbar ist, wenn jemand im Hintergrund eine Bank oder ähnliches betritt.“ Walter Dieterich merkt an: „Der Betreiber muss auch darauf achten, dass öffentliche Bereiche (Straßen, Parkplätze, Gehwege) nicht im Bild sind, vor allem, wenn sie weiter als einen Meter vom überwachten Objekt entfernt sind. Eventuelle öffentliche Bereich können mit einer ‚Privatzone‘ unkenntlich gemacht werden. Davon unabhängig ist für jede Videoüberwachung ein Datenschutzbeauftragter zu bestellen, was ganz häufig vergessen wird. Der Datenschutzbeauftragte kann auch ein Externer sein, denn zum einen sind Fachkenntnisse erforderlich und ein Inhaber, Geschäftsführer oder IT-Leiter darf selbst nicht Datenschutzbeauftragter sein.“ Das bestätigt Ostermann: „Ich habe in dem Fall einen Rechtsanwalt hinzugezogen, um sicher zu sein. Der hat ebenfalls klar gesagt, ein Datenschutzbeauftragter ist Pflicht.“

Im geschilderten Beispiel hat sich das Engagement des Errichters ausgezahlt, den Sachverhalt rechtsverbindlich klären zu lassen, denn die Betreiberin wusste dies zu schätzen. Walter Dieterich sieht das Eingehen auf Datenschutz sogar als Trumpfkarte: „Auch wenn die Auseinandersetzung mit Datenschutz in der Vergangenheit vielleicht etwas lästig erschien, so kann man den Datenschutz auch als Trumpfkarte im Marketing verwenden. Denn der Kunde will Gewissheit, er will genau wissen, wie er auf der sicheren Seite ist. Wenn Hersteller und Errichter das bieten können, haben sie gegenüber anderen einen Vorteil.“ Stefan Dörenbach meint: „Wir sollten die Diskussion über den Datenschutz aber nicht nur negativ führen und nur über Haftung und Bußgelder sprechen. Trotz aller Komplexität sollten wir als Hersteller, aber auch die Errichter, überlegen, was die Verordnung Positives bringen kann. Wie lässt sie sich nutzen? Dazu müssen wir aber in erster Linie dafür sorgen, dass unsere Produkte und Dienstleistungen datenschutzkonform eingesetzt werden können. Der Endkunde möchte ein Gesamtsystem, das eine datenschutzkonforme Nutzung ermöglicht. Da Genetec das anbietet, haben wir einen echten Vorteil.“ Auch Jörg Flohr von Bosch sieht die Entwicklung als Chance: „Dadurch, dass Bosch zu einem globalen IoT-Unternehmen transformiert, ist Datenschutz ein größeres Thema denn je. Wir sehen es als Hersteller auch als große Chance, denn auch mit Hilfe des Datenschutzes kann man sich von anderen Marktteilnehmern absetzen. Beim Kunden lässt sich damit auch angesichts der Datenschutz-Grundordnung viel besser argumentieren.“

MG