Die Datenschutzgrundverordnung (DSGVO) ist eine neue Verordnung des EU-Rechts zum Datenschutz und zur Wahrung der Privatsphäre für alle Personen in der EU und für Personen, deren personenbezogene Daten von in der EU ansässigen Organisationen verarbeitet werden. Die neue Regelung ist bindend für alle, die solche Daten erfassen, speichern und verarbeiten. Die DSGVO ist in allen EU-Ländern am 25. Mai 2018 in Kraft getreten.
Die DSGVO wurde zwar nicht ausdrücklich im Hinblick auf Videoaufnahmen verfasst, Videoaufnahmen gelten jedoch als personenbezogene Daten der von Kameras erfassten Personen. Daher sieht die Verordnung vor, dass Besitzer und Betreiber von Videoüberwachungssystemen die Auswirkungen ihrer Videoüberwachungssysteme auf den Datenschutz sorgfältig prüfen, dokumentieren und verwalten.
Technologie (z. B. Avigilon Control Center (ACC)-Videomanagementsoftware) an sich kann zwar nicht DSGVO-konform sein, jedoch müssen sich alle Technologieanbieter überlegen, wie ihre Produkte und Lösungen Unternehmen bei der Bereitstellung und beim Betrieb eines DSGVO-konformen Systems unterstützen. Avigilon hat dafür gesorgt, dass seine Videosicherheitslösungen der DSGVO entsprechen.
Diese Seite bietet einen einfachen Rahmen basierend auf fünf Grundprinzipien der DSGVO, die zur Einhaltung der Verordnung durch das Videosystem eines Datenverarbeiters beitragen. Außerdem werden bestimmte Funktionen der Videosicherheitslösungen von Avigilon hervorgehoben, die einer Organisation die Einhaltung der Verordnung ermöglichen.
5 Grundprinzipien der DSGVO
Eindeutig gerechtfertigter Zweck
Alle Organisationen müssen über eine gültige Rechtsgrundlage für die Erfassung und Verarbeitung von personenbezogenen Daten verfügen.
Datenschutz durch Technikgestaltung
Die DSGVO schreibt vor, dass Datenschutz bei der gesamten Gestaltung und Inbetriebnahme eines Systems Vorrang haben muss. Das Vorgehen in Bezug auf Datenschutz muss proaktiv sein, nicht reaktiv. Risiken müssen frühzeitig berücksichtigt werden, und das Ziel besteht in der Verhinderung von Ereignissen, bevor sie auftreten.
Auskunftsrecht
Gemäß Artikel 15 gewährt die DSGVO Personen Kontrolle über ihre personenbezogenen Daten, einschließlich des Rechts, diese Daten einzusehen.
Recht auf Vergessenwerden
Gemäß Artikel 17 gewährt die DSGVO Personen Kontrolle über ihre personenbezogenen Daten, einschließlich des Rechts, diese Daten löschen zu lassen, wenn sie für den vorgesehenen Zweck des Systems nicht mehr benötigt werden.
Sicherheit
Die DSGVO erfordert, dass Organisationen über umfassende Richtlinien und Verfahren verfügen, die gewährleisten, dass sich personenbezogene Daten jederzeit unter Kontrolle der Organisation befinden. Darüber hinaus müssen Verstöße gegen den Schutz personenbezogener Daten innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden, die von der jeweiligen Landesregierung ernannt wurde.
| Prinzip | Auswirkungen bei Videosystemen | Vorgeschlagene Maßnahmen zur Unterstützung der Einhaltung | Verwandte Merkmale und Funktionen von Avigilon |
|---|---|---|---|
| Eindeutig gerechtfertigter Zweck |
Dokumentierte Beschreibung von: Zweck des Videosystems, Art der gesammelten Informationen, wer sie wofür und wie lange verwendet. In bestimmten Fällen, die als hohes Risiko eines Eingriffs in die Privatsphäre gelten, ist eine formalisierte Datenschutz-Folgenabschätzung (DSFA) erforderlich. |
Stellen Sie unbedingt Hinweise bereit, die Details dazu enthalten, wo betroffene Personen weitere Informationen finden können. Stellen Sie sicher, folgende Informationen für jede betroffene Person verfügbar sind: Zweck der Datensammlung, Art der Verarbeitung (z. B. Live-Video oder Aufzeichnung), Aufbewahrungsdauer von Daten usw. Prüfen Sie, ob eine DSFA erforderlich ist. |
Keine. Diese aufeinander aufbauenden Anforderungen unterliegen der Verantwortung des Datenverantwortlichen. |
| Datenschutz durch Technikgestaltung |
Organisationen müssen sorgfältig berücksichtigen und dokumentieren, wie Systeme entworfen werden, damit sie mit den genannten Zielen vereinbar sind. Es muss darauf geachtet werden, dass keine personenbezogenen Daten von Personen erfasst werden, die sich außerhalb der Domäne des Systems (z. B. in angrenzenden öffentlichen Bereichen) befinden. Sorgfältige Prüfung, wer welche Informationen (z. B. Live-Video/Aufzeichnungen, Zeitraum, Auflösung) anzeigen muss und er auf welche Funktionen (z. B. Suche) zugreifen kann. |
Verwenden Sie das Avigilon System Design Tool (SDT), um die Auflösung an verschiedenen Punkten der Kameraszene, die beabsichtigte Aufbewahrung usw. zu dokumentieren. Überprüfen Sie Rollen und Verantwortlichkeiten für Bediener, Ermittler, Systemadministratoren und andere Personen mit Zugriff auf das System. Erwägen Sie das Beschränken des Zugriffs auf Kameras, die speziell für das Erfassen der Identität (z. B. Gesichter von Personen, die ein Geschäft betreten) positioniert sind, auf mit Untersuchungen beauftragte Gruppen. Erwägen Sie die Einschränkung des Zugriffs auf Videoaufzeichnungen für Bediener entweder vollständig, auf seit der letzten Anmeldung aufgenommenes Videomaterial oder auf die Anzeige mit Doppelautorisierung. Stellen Sie sicher, dass das Passwort des Administratorkontos nur bestimmten Personen bekannt ist, und dass dieses Konto nur für Verwaltungsaufgaben verwendet wird. |
SDT ist nützlich bei der Planung eines Systems vor der Installation und trägt dazu bei, dass Abdeckung, Auflösung und Aufbewahrung ordnungsgemäß abgewägt werden. ACC™ bietet Kontrolle über Benutzerberechtigungen und gewährleistet so, dass Sicherheitspersonal nur auf Videodaten zugreifen kann, die es zur Ausübung seiner Arbeit benötigt. ACC steuert die Auflösung des angezeigten Videos basierend auf Benutzerberechtigungen. ACC erfordert explizite Benutzerberechtigungen für den Zugriff auf Suchfunktionen, bei denen personenbezogene Informationen wie Aussehen, Zugangskontrollausweise, Nummernschilder oder PoS-Daten verwendet werden. |
| Auskunftsrecht |
Organisationen müssen einer betroffenen Person auf Anfrage alle personenbezogenen Daten übermitteln, die über sie erfasst wurden, einschließlich Videoaufzeichnungen eines Überwachungssystems. Bei der Bereitstellung von Videomaterial für eine betroffene Person müssen andere Personen im Video verdeckt oder anderweitig anonymisiert werden. |
Sorgen Sie für den Einsatz von formalen Verfahren und Richtlinien für den Umgang mit Auskunftsanforderungen. |
ACC ermöglicht das Anlegen von Lesezeichen für Videos sowie deren Export. ACC verwendet außerdem die Avigilon Appearance Search™-Technologie, mit der Benutzer aufgezeichnetes Videomaterial zu bestimmten Personen suchen, markieren und exportieren können. Appearance Search-Ergebnisse können von ACC so exportiert werden, dass Bilder aller anderen Personen im Video anonymisiert werden. |
| Recht auf Vergessenwerden | Da es nicht praktikabel ist, eine bestimmte Person aus einem Video zu löschen, müssen Datenverarbeiter die Aufbewahrungsdauer für Video strikt begrenzen, sodass sie dem dokumentierten Zweck des Systems entspricht. | Überprüfen Sie die Aufbewahrungszeit für alle Kameras, und vergewissern Sie sich, dass sie dem dokumentierten Zweck des Systems entspricht. | ACC setzt die vom Endbenutzer angegebenen Begrenzungen der Aufbewahrungszeit pro Kamera und Nummernschild konsequent durch. |
| Cybersicherheit |
Veranlassen Sie alle angemessenen organisatorischen und technischen Maßnahmen zum Schutz gegen eine Gefährdung von personenbezogenen Daten. Halten Sie die DSGVO-Richtlinien zur Meldung von Verstößen genau ein. |
Informieren Sie sich über Sicherheitsrichtlinien rund um Passwortkontrolle und Kontonutzung. Erwägen Sie das Festlegen einer Mindestpasswortsicherheit für alle Gruppen. Erwägen Sie strengere Anforderungen für Administratorkonten. Wenden Sie Verfahren zur Überwachung des Schutzstatus und zur Erkennung von Verstößen an. Stellen Sie sicher, dass Benutzer Konten nicht gemeinsam verwenden, indem sie entweder Passwörter austauschen oder sich zum Ende/Beginn ihrer Schicht nicht ab-/anmelden. Pflegen Sie dokumentierte Richtlinien und Verfahren für geeignete Maßnahmen im Falle eines Verstoßes gegen die Datensicherheit. |
ACC setzt Maßnahmen wie die Durchsetzung sicherer Passwörter, Verbindungsauthentifizierung und Datenverschlüsselung ein. ACC stellt Aktivitätsprotokolle für alle Benutzeraktionen bereit, sodass Prüfer anzeigen können, wer wann auf welche Ressourcen zugegriffen hat. |
Weitere Ressourcen
ICO.org-Leitfaden zur Datenschutz-Grundverordnung
Europäischer Datenschutzbeauftragter, „Leitlinien des EDSB für die Videoüberwachung“ (PDF)
Europäischer Datenschutzbeauftragter, „Artikel 15 – Auskunftsrecht der betroffenen Person“,
Diese Seite ist nicht als Rechtsberatung zu verstehen und dient nur zu Informationszwecken. Dieser Flyer dient als Zusammenfassung und sollte nicht als umfassende Analyse oder Zusammenfassung aller für Sie relevanten Überlegungen zur Einhaltung der DSGVO verwendet werden. Die Einhaltung der Datenschutzgesetze ist kontext- und situationsspezifisch. Als Endbenutzer von Avigilon-Produkten liegt es in Ihrer Verantwortung, sicherzustellen, dass Ihre Handlungen den geltenden Datenschutzgesetzen (einschließlich der DSGVO) entsprechen. Wenn Sie diesbezüglich Rat suchen, sollten Sie sich an einen qualifizierten Rechtsbeistand wenden.