Anhang: Das Milestone XProtect VMS-System und die DSGVO

Beachten Sie bitte: In diesem Abschnitt werden die Anforderungen und Einschränkungen für ein nach dem europäischen Datenschutzsiegel (EuroPriSe) zertifiziertes Produkt beschrieben. Ein von diesen Anforderungen abweichender für die Verarbeitung Verantwortlicher/Datenverarbeiter kann sich nicht darauf berufen, dass er ein Produkt verwendet, das den Datenschutz und die Einhaltung der DSGVO besonders erleichtert.

Komponenten und Geräte, die nicht unter das Europäische Datenschutzsiegel fallen

Die folgenden Komponenten und Geräte fallen nicht unter das Europäische Datenschutzsiegel:

  • Auf dem Milestone Marketplace erhältliche Plug-ins
  • XProtect Mobile-Server (standardmäßig deaktiviert)
  • XProtect Mobile Client
  • XProtect Web Client
  • XProtect Access (standardmäßig deaktiviert)
  • XProtect LPR (standardmäßig deaktiviert)
  • XProtect Transact (standardmäßig deaktiviert)
  • Milestone Interconnect
  • XProtect DLNA Server
  • Milestone Open Network Bridge (sichere Videointegration privat-zu-öffentlich)
  • XProtect Event Server-Plug-ins
  • Verarbeitung von Audiodaten (standardmäßig deaktiviert)
  • Verarbeitung von Metadaten (standardmäßig deaktiviert)
  • Verarbeitung von Daten von Ein- und Ausgabegeräten (standardmäßig deaktiviert)
  • XProtect BYOL wie zur Verfügung gestellt über https://aws.amazon.com/marketplace/pp/B089DKW36G

Diese Komponenten dürfen nicht installiert werden, wenn die Milestone XProtect VMS Installation unter das Europäische Datenschutzsiegel fallen soll.

Darüber hinaus verfügt das Standardprodukt nicht über Funktionen zur Gesichtserkennung, Verhaltensanalyse, automatische Verfolgung oder Erkennung von Personen im Live-Feed oder in aufgezeichneten Medien. Diese Funktionen entsprechen auch nicht dem Europäischen Datenschutzsiegel.

Dies bedeutet, dass Sie bei der Installation der XProtect VMS die Option Einzelcomputer im Installationsprogramm nicht verwenden dürfen, da diese das Mobile Server automatisch installiert.

Installieren Sie stattdessen das XProtect VMS-System, entweder mit den Optionen Verteilt oder Benutzerdefiniert. Hiermit werden die Mobile Server nicht installiert.

Nach der Installation der XProtect VMS werden auf der Downloadseite auf der Management Server die zusätzlichen DLNA Server und Mobile Server Komponenten aufgeführt. Installieren Sie diese Server nicht.

Upgradeanleitung

Wenn Sie eine Milestone XProtect VMS-Installation der Version 2018 R2 oder früher erweitern, müssen die alten Protokolldateien von Hand gelöscht werden, damit die Installation der DSGVO entspricht.

Sobald Sie die XProtect VMS erweitert haben, können die alten Protokolldateien mithilfe der in diesem Knowledge-Base-Artikel beschriebenen Informationen und dem in diesem Knowledge-Base-Artikel beschriebenen Tool gelöscht werden.

Sicheres Netzwerk für Authentifizierung und Datenübertragung

Entwerfen Sie eine Netzwerkinfrastruktur, die so weit wie möglich die physische Netzwerk- oder VLAN-Segmentierung nutzt.

Milestone empfiehlt, dass Sie Kameras auswählen, die HTTPS unterstützen. Es wird empfohlen, die Kameras auf separate VLANs einzustellen und für die Kommunikation zwischen Kamera und Aufzeichnungsserver sowie zwischen Clients und Aufzeichnungsserver HTTPS zu verwenden.

Es wird empfohlen, dass sich XProtect Smart Client und XProtect Smart Wall im selben VLAN befinden wie die Server.

Verwenden Sie ein VPN-verschlüsseltes Netzwerk oder ähnliches, wenn Sie Smart Client oder Smart Wall von einem entfernten Standort aus verwenden.

Aktivieren Sie die Verschlüsselung für die gesamte Kommunikation. Weitere Informationen dazu, wie Sie Ihre XProtect VMS-Installationen schützen können, finden Sie im Schutzleitfaden und im Zertifikate-Leitfaden.

Beachten Sie bitte: Ein unverschlüsselter und nicht gesicherter Transport von Videodaten würde gegen das EuroPriSe-Siegel verstoßen und zum Verlust der Konformität mit dem EuroPriSe-Datenschutzsiegel führen.

Personen bei Zugang unkenntlich machen

Nach Paragraph 15 DSGVO hat die betroffene Person das Recht, Zugang zu ihren verarbeiteten personenbezogenen Daten zu erhalten, z. B. Videoaufzeichnungen der betroffenen Person.

Die betroffene Person hat das Recht, von dem jeweiligen Unternehmen Auskunft darüber zu verlangen, welche ihrer personenbezogenen Daten verarbeitet werden und aus welchem Grund.

Da XProtect VMS die automatische Erkennung von Personen nicht unterstützt, müssen Sie zusätzliche Maßnahmen zum Schutz der Rechte des Einzelnen ergreifen. Im Zusammenhang mit einem VMS, siehe Anhang: Ad-hoc-Mitteilung.

Mehr noch, XProtect VMS unterstützt nicht die Unkenntlichmachung sonstiger beweglicher Personen, die zusammen mit dem Antragsteller für das Recht auf Zugang aufgezeichnet werden.

Mehrere Milestone technische Lösungen unserer Partner zur dynamischen Unkenntlichmachung aller oder anderer Personen vor dem Export finden Sie auf dem Milestone Marketplace. Alternativ kann die Unkenntlichmachung zu einzelnen Bildern oder Videostreams manuell oder, nach dem Export, unterstützt hinzugefügt werden. Es gibt Firmen, die die Unkenntlichmachung als Dienstleistung anbieten (z.B. FACIT Data Systems).

Teilweise Löschung von Videoaufzeichnungen

Nach Paragraph 17 DSGVO hat die betroffene Person das Recht, die Löschung ihrer Daten zu verlangen. Im Zusammenhang mit einem VMS wird dies aufgrund überwiegender berechtigter Interessen (Betrugserkennung, Gesundheit und Sicherheit) oder anderer in der Videoüberwachungsrichtlinie festgelegter geschäftlicher Zwecke oft nicht erfüllt (siehe Das Recht, vergessen zu werden (Recht auf Löschung) und Anhang: Richtlinie für die Videoüberwachung). Die Videoüberwachungsrichtlinie legt die automatische Aufbewahrungsfrist fest (standardmäßig 7 Tage), die gewährleistet, dass das Filmmaterial automatisch gelöscht wird; dabei müssen die Rechte der betroffenen Personen gegen angemessene Geschäftszwecke abgewogen werden.

Wenn die betroffene Person die Löschung ihrer Daten verlangt, wird empfohlen, dass der für die Verarbeitung Verantwortliche den Anspruch in einer Anfrage der betroffenen Person dokumentiert (siehe Anfragen von betroffenen Personen). Einen Musterantrag einer betroffenen Person finden Sie unter Milestone Musterantrag einer betroffenen Person.

Sie müssen alle Aufzeichnungen von den betreffenden Kameras löschen.

Um alle anderen Aufzeichnungen zu behalten, die nicht gelöscht werden sollen, exportieren Sie alle Daten und bewahren sie sicher auf. Sie können diese Daten auf dem VMS nicht wiederherstellen.

Jeder Export muss verschlüsselt und digital signiert sein und die angegebenen Zeitintervalle von den konkret angegebenen Kameras ausschließen. Das heißt, Export bis zum Zeitpunkt/Datum und Export nach dem Zeitpunkt/Datum. Dies kann dazu führen, dass Sicherungen über mehrere Zeiträume erfolgen müssen.

Der Smart Client – Player kann dann dazu verwendet werden, die Daten einzusehen.

Es wird empfohlen, dass sich der für die Verarbeitung Verantwortliche rechtlich beraten lässt und sowohl eine Geschäftsfolgenabschätzung als auch eine Datenschutzfolgenabschätzung durchführt (siehe Durchführung einer Folgenabschätzung), bevor die betroffene Person ihr Recht ausgeübt, vergessen zu werden, da die Löschung neue geschäftliche Risiken mit sich bringen kann, die die Interessenabwägung umkehren und Risiken mit sich bringen kann, die sich auf den den Schutz der Privatsphäre anderer betroffener Personen negativ auswirken.

Verwendung der geographischen Hintergründe in XProtect Smart Client

XProtect Smart Client unterstützt die Verwendung geographischer Hintergründe. Diese Hintergründe zeigen Kartenhintergründe.

Sie riskieren einen Verstoß gegen die DSGVO, wenn Sie einen der folgenden Kartendienste nutzen, und Sie erfüllen dann nicht die DSGVO im Rahmen der EuroPriSe-Zertifizierung:

  • Bing Maps
  • Google Maps
  • Milestone Map Service

Diese Dienste bieten keinen angemessenen Schutz vor der Verarbeitung personenbezogener Daten in den USA. Der Kunde wird (Mit-)Verantwortlicher für die Verarbeitung der Nutzerdaten.

Siehe ggf. Aktualisierungen des Urteils Schrems II der EU-Kommission auf der offiziellen Website.

Als Alternative wird empfohlen, den privaten Dienst OpenStreetMap für den geografischen Hintergrund einzurichten.

Integrationen von registrierten Partnern.

Wenn eine Lizenz aktiviert wird, sammelt Milestone Daten auf der Basis "je Integration". Der XProtect VMS sammelt Daten über Plugins und Plugin-Hersteller sowie über die vom Kunden verwendeten Plugins und Integrationen.

Die von jeder Installation gesammelten Daten sind:

  • Name der Integration

  • Hersteller der Integration

  • Integrationsversion

  • Integrationstyp (eigenständig, Smart Client, Management Client, Event Server) und Anzahl der Instanzen jedes Typs (d.h. auf wie vielen Clients das Plugin läuft)

Die Entwickler von Plugins dürfen bei der Registrierung ihres Produktes niemals ihre persönlichen Namen verwenden. Verwenden Sie nur den Firmennamen.

Die Daten werden von Milestone nur verarbeitet, wenn der Hersteller des Plugins im Marketplace gelistet ist und der Verarbeitung der Daten zum Zweck der Verbesserung von Milestone XProtect Corporate (und nicht für Marketing und Marktforschung) zugestimmt hat. Wenn das Plugin nicht registriert ist, werden die Daten sofort gelöscht. Die Rechtsgrundlage der Verarbeitung ist Paragraph 6 (1)(f) DSGVO, der die berechtigten Interessen von Milestone und die Nutzer des VMS zeigt.

Zusätzliche Sicherungen

Um besser zu gewährleisten, dass die Konfiguration des Milestone XProtect VMS der DSGVO entspricht, finden Sie in dieser Liste einige zusätzliche Sicherheitsvorkehrungen, die Sie bei der Konfiguration des Systems beachten sollten.

Problem Negative Auswirkungen auf den Datenschutz Hinweise für den für die Verarbeitung Verantwortlichen
Die PTZ-Kameras und zum Schutz der Privatsphäre unkenntlich gemachte Bildbereiche arbeiten nicht zusammen. Die unkenntlich gemachten Bildbereiche folgen nicht den PTZ-Bewegungen. Die Wirkung der unkenntlich gemachten Bildbereiche zugunsten der Privatsphäre kann umgangen werden.

Milestone empfiehlt Ihnen eine der folgenden Maßnahmen:

  • Sie sollten die XProtect eingebaute Funktion zur Unkenntlichmachung von Bildbereichen zum Schutz der Privatsphäre bei PTZ-Kameras nicht verwenden, da sich die Maske im Verhältnis zu den dekodierten Pixeln des Bildes statisch ist, nicht auf die tatsächliche Richtung / Position der PTZ-Kamera.
  • Deaktivieren Sie die PTZ-Funktion, wenn Sie Bildbereiche unkenntlich machen.
  • Erwerben Sie PTZ-Kameras, die eine dynamische Unkenntlichmachung von Bildbereichen zum Schutz der Privatsphäre unterstützen (damit die ausgewählten Bereiche immer unkenntlich gemacht werden, unabhängig von der Position und dem Zoomfaktor der Kamera).
Die Verwendung von Mikrofonen oder Metadatengeräten kann die persönliche Privatsphäre beeinträchtigen. (In XProtect Corporate sind diese standardmäßig deaktiviert.)

Die Art der Verwendung von Mikrofonen kann leicht gegen die DSGVO verstoßen.

Beachten Sie bitte: Die Verwendung von Mikrofonen und Metadatengeräten wird nicht durch das Europäische Datenschutzgütesiegel abgedeckt. Ihre Aktivierung würde gegen das EuroPriSe-Siegel verstoßen.

Bevor Sie Mikrofone oder Metadatengeräte in Betrieb nehmen, müssen muss gewährleistet sein, dass Sie für die Datenerfassung einen klar begründeten Zweck haben. Siehe Haben Sie eine Rechtsgrundlage dafür, Daten zu erheben?
Bediener und Administratoren können Videodaten, Videoarchive, Konfigurationssicherungen und Prüfprotokolle auf lokale Festplatten oder Wechselmedien wie CDs, DVDs, USB-Sticks usw. exportieren oder kopieren. Personenbezogene Daten verlassen die Grenzen von XProtect VMS. Die Daten sind nicht mehr durch die Zugriffskontrollmechanismen von XProtect VMS geschützt und können von XProtect VMS nicht mehr gelöscht werden, wenn die Aufbewahrungsfrist verstrichen ist. Dies bringt das Risiko mit sich, dass die Daten länger gespeichert werden als erlaubt, dass sie für andere Zwecke verwendet werden und dass die Vertraulichkeit der Daten verletzt wird.

Die für die Verarbeitung Verantwortlichen müssen technische und organisatorische Maßnahmen ergreifen, um Daten zu schützen, die die Grenzen von XProtect VMS verlassen. Mögliche Maßnahmen, die Sie ergreifen können, finden Sie unter Umgang mit exportierten Daten.

Audit-Protokolldaten und sonstige personenbezogene Daten werden vom Produkt erst verschlüsselt, wenn sie in den SQL-Datenbanken gespeichert werden.

Datenbankadministratoren können über Datenbank-Clients auf Audit-Protokolldaten zugreifen. XProtect Corporate kann diesen Zugriff weder kontrollieren noch protokollieren.

Insbesondere können die sensiblen Audit-Protokolldaten unbefugten Benutzern zugänglich gemacht werden. Siehe Schutz der gespeicherten und übertragenen Daten. Weitere Informationen dazu, wie Sie Ihre XProtect VMS-Installationen vor Cyber-Angriffen schützen, finden Sie im Schutzleitfaden.

Führen Sie folgende Schritte aus:

  • Führen Sie für die Datenbankverwaltung ein adäquates Rollenkonzept ein.
  • Beschränken Sie den Zugriff auf die Datenbank ausschließlich auf befugtes Personal.
  • Aktivieren Sie möglichst die Verschlüsselung der Datenbank mithilfe von Datenbankmechanismen.
Das Produkt richtet eine Sicherungsfunktion ein. Diese Funktion sorgt für die Sicherung der Konfiguration des VMS, jedoch nicht der Audit-Log-Datenbank. Die physische Zerstörung des Datenträgers, auf dem sich die Auditprotokolldatenbank befindet, kann den für die Verarbeitung Verantwortlichen daran hindern, seinen Rechenschaftspflichten nachzukommen, wenn keine Sicherungskopien der Auditprotokolle existieren.

Erwägen Sie die Erstellung von Sicherungskopien der Auditprotokolldatenbank.

Wenn der Verantwortliche für die Verarbeitung beschließt, Sicherungskopie der Auditprotokolldatenbank zu erstellen, sollte auch ein Prozess eingerichtet werden, um die Sicherungskopien nach Ablauf der Aufbewahrungsfrist zu löschen und sie vor unberechtigtem Zugriff zu schützen (z. B. indem die Sicherungskopien verschlüsselt oder die Sicherungsmedien eingeschlossen werden usw.). Weitere Informationen finden Sie im Administratorhandbuch für XProtect VMS.
XProtect VMS verwendet für die Kommunikation Client-zu-Server und Server-zu-Server in einigen Fällen kryptografisch nicht gesicherte Authentifizierungs-/Autorisierungs-Tokens über nicht gesicherte Kommunikationskanäle.

Angreifer mit Zugriff auf das Netzwerk könnten die Token abhören und sich damit entweder als VMS-Benutzer oder als Serverkomponenten ausgeben. Dies könnte die Vertraulichkeit der Videodaten oder die Integrität des gesamten Systems beeinträchtigen.

Beachten Sie bitte: VPN und/oder HTTPS muss so konfiguriert werden, dass nicht sichere Kommunikationskanäle geschützt werden, um die Kriterien des EuroPriSe-Siegels zu erfüllen.

Führen Sie folgende Schritte aus:

  • Verwenden Sie kartographisch sichere VPNs. Weitere Informationen dazu, wie Sie Ihre XProtect VMS-Installationen vor Cyber-Angriffen schützen, finden Sie im Schutzleitfaden.
  • Trennen Sie Ihre Netzwerke voneinander. Weitere Informationen dazu, wie Sie Ihre XProtect VMS-Installationen vor Cyber-Angriffen schützen, finden Sie im Schutzleitfaden.
  • Konfigurieren Sie die HTTPS-Adresse für Recording Server. Weitere Informationen dazu, wie Sie Ihre XProtect VMS-Installationen schützen können, finden Sie im Schutzleitfaden und im Zertifikate-Leitfaden.
Der Betrieb eines VPN im Split-Modus kann möglicherweise die IP-Adresse von XProtect VMS-Benutzern offenlegen. Wenn Split-Tunneling aktiviert ist, umgehen Benutzer Sicherheitsmaßnahmen auf Gateway-Ebene, die innerhalb der Netzwerk-Infrastruktur vorhanden sein können.

Führen Sie folgende Schritte aus:

  • Verwenden Sie eine sichere VPN-Verbindung (ein VPN ist grundsätzlich sicher, aber einige alte VPN-Protokolle verschlüsseln die zwischen Server und Client ausgetauschten Daten nicht)

  • Verwenden Sie stets vollständiges Tunneling

  • Verwenden Sie die höchsten unterstützten Authentifizierungs-Protokolle (falls vorhanden)

  • Verwenden Sie Active Directory, um VPN-Benutzer zu authentifizieren

Weitere Informationen dazu, wie Sie Ihre XProtect VMS-Installationen vor Cyber-Angriffen schützen, finden Sie im Schutzleitfaden.
Das Produkt ermöglicht die Einstellung von Aufbewahrungszeiten für Audit-Protokolle, Videodaten, Alarme und sonstige personenbezogene Daten. Wenn Sie die Aufbewahrungszeit auf zu lange Zeiträume einstellen, kann dies gegen die Anforderungen für die Speicherbegrenzung laut DSGVO verstoßen (Paragraph 5 (1)(e) und Paragraph 17 DSGVO). Die Aufbewahrungszeiten müssen sich nach den Verarbeitungszwecken richten (siehe Das Recht, vergessen zu werden (Recht auf Löschung)).
Der Administrator kann E-Mail-Empfänger konfigurieren, die bei bestimmten Ereignissen vom VMS Ausschnitte oder Standbilder aus Videoaufzeichnungen erhalten können. Für solche E-Mail-Empfänger kann keine Whitelist mit erlaubten Domänen konfiguriert werden. Ein Tippfehler könnte zu einem Verstoß gegen den Datenschutz führen, wenn Dritte E-Mails mit Videodaten und Systemalarmen erhalten.

Der für die Verarbeitung Verantwortliche ist über diese Gefahr aufzuklären.

Milestone empfiehlt, einen organisatorisches Verfahren einzurichten, z. B. das Vier-Augen-Prinzip, der das Risiko von Fehlern bei der Eingabe von E-Mail-Adressen senkt.
Benachrichtigungen sind E-Mails, die an eine bestimmte E-Mail-Adresse gesendet werden. Beim Erstellen einer Benachrichtigung kann der Administrator wählen, ob er mehrere Schnappschüsse oder eine AVI einer Sequenz mit einschließen möchte. Da die angehängten Momentaufnahmen und AVI-Sequenzen in den Benachrichtigungen das VMS verlassen, befinden sie sich für die Zwecke des Benutzerzugriffs und der Aufbewahrung nicht mehr unter der Kontrolle des VMS.

Da E-Mails und deren Inhalte hinsichtlich Zugriff und Aufbewahrung der Kontrolle durch das VMS entzogen sind, wird empfohlen, keine Bilder oder AVI-Sequenzen an E-Mail-Benachrichtigungen anzuhängen.

Wenn der Kunde diese Funktion benötigt, muss er zumindest sicherstellen, dass es organisatorische Verfahren und Kontrollen dafür gibt, wer die E-Mails erhält und wie damit umgegangen wird. Siehe Umgang mit exportierten Daten in Benachrichtigungen und E-Mails.