Anhang: Einhaltung der DSGVO

Durchführung einer Folgenabschätzung

Bevor Sie Videoüberwachungssysteme installieren und implementieren, sollten Sie eine Datenschutz-Folgenabschätzung vornehmen.

Der Zweck der Datenschutz-Folgenabschätzung besteht darin, die Auswirkungen des geplanten Systems auf die Privatsphäre von Einzelpersonen sowie auf sonstige Grundrechte zu ermitteln und Möglichkeiten zur Minderung oder Vermeidung negativer Auswirkungen zu suchen.

Wie viel Aufwand sollte für die Folgenabschätzung betrieben werden? Das hängt von den Umständen ab. Ein Videoüberwachungssystem mit einem hohen Risiko der Verletzung der Privatsphäre rechtfertigt eine höhere Investition als ein Videoüberwachungssystem mit begrenzten Auswirkungen auf die Privatsphäre, z. B. ein herkömmliches statisches CCTV-System.

Nach Paragraph 35 (7) DSGVO muss die Bewertung mindestens enthalten:

• Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich des vom für die Verarbeitung Verantwortlichen verfolgten berechtigten Interesses

• Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Hinblick auf deren Zweck

• Eine Bewertung der Risiken für die Rechte und Freiheiten der in Paragraph 35 (1) DSGVO genannten betroffenen Personen:

  Kann eine Verarbeitungsweise, insbesondere mit neuen Technologien und unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, so nimmt der Verantwortliche vor der Verarbeitung eine Abschätzung der Folgen der geplanten Verarbeitungsvorgänge für den Schutz personenbezogener Daten vor. Eine Einzelbewertung kann eine Reihe ähnlicher Verarbeitungsvorgänge betreffen, die ähnliche Risiken mit sich bringen.

• Die geplanten Maßnahmen zum Umgang mit den Risiken, einschließlich der Maßnahmen zum Schutz und zur Sicherheit und der Mechanismen, die den Schutz personenbezogener Daten gewährleisten und die Einhaltung der DSGVO unter Berücksichtigung der Rechte und berechtigten Interessen der betroffenen und sonstiger Personen nachweisen sollen

In jedem Fall müssen Sie bewerten und begründen, ob Sie auf Videoüberwachung zurückgreifen wollen, wo Sie Ihre Systeme aufstellen, auswählen und konfigurieren und wie Sie den Datenschutz umsetzen wollen. Weitere Informationen dazu, wie Sie Ihre XProtectVMS-Installationen schützen können, finden Sie im Absicherungsleitfaden und im Zertifikate-Leitfaden.

Das Zugriffsrecht

Laut Paragraph 15 gibt die DSGVO Einzelpersonen die Kontrolle über Ihre personenbezogenen Daten, einschließlich des Rechts auf Einsichtnahme in diese Daten. Besonders wichtig ist das Recht, dass die betroffenen Personen eine Kopie ihrer Daten erhalten können und dass unbeteiligte Dritte unkenntlich gemacht werden (und zwar mit Hilfsmitteln von Drittanbietern).

Auf Anfrage muss die betreffende Organisation einer betroffenen Person alle über sie gesammelten personenbezogenen Daten zur Verfügung stellen, einschließlich der von Videoüberwachungssystemen aufgezeichneten Videos.

Achten Sie darauf, dass Sie formale Verfahren und Richtlinien für den Umgang mit Anfragen zum Auskunftsrecht einrichten, wie unter Register der übertragenen und offengelegten Daten beschrieben.

Übertragene und offengelegte Daten

In der DSGVO gibt es drei wichtige Regeln für die Weitergabe von Daten, die sich danach richten, ob die Aufnahmen weitergegeben werden:

• An einen Empfänger innerhalb der Organisation oder an einen in einer anderen Organisation

  In diesem Fall sieht die DSGVO vor, dass die Aufzeichnungen an andere innerhalb derselben Organisation oder in einer anderen Organisation übertragen werden können, wenn dies für die rechtmäßige Erfüllung von Aufgaben erforderlich ist, die in die Zuständigkeit des Empfängers fallen.

• An Dritte innerhalb der Europäischen Union

  In diesem Fall kann die Weitergabe an Dritte außerhalb der Organisation, jedoch innerhalb der Europäischen Union, erfolgen, wenn dies für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder durch eine öffentliche Behörde erfolgt, oder wenn der Empfänger in sonstiger Weise nachweist, dass die Weitergabe erforderlich ist und kein Grund zu der Annahme besteht, dass die berechtigten Interessen der Personen, deren Bilder weitergegeben werden, beeinträchtigt werden könnten.

• Oder außerhalb der Europäischen Union

  In diesem Fall kann die Weitergabe an Dritte außerhalb der Europäischen Union erfolgen: (i) wenn dies nur geschieht, damit die Organisation ihre Aufgaben erfüllen kann und (ii) nur unter Beachtung weiterer Anforderungen, vo allem um sicherzustellen, dass die Daten im Ausland angemessen geschützt sind.

Register der übertragenen und offengelegten Daten

Die betreffende Organisation sollte ein Register der übertragenen und offengelegten Daten führen - möglichst in elektronischer Form. Darin sollten alle an Dritte übertragende Daten aufgezeichnet werden. (solche Dritte sind u.a. alle Personen innerhalb der Organisation, an die durch diejenigen Daten übertragen werden, die zunächst Zugang zu den Aufzeichnungen haben. Hierzu gehört typischerweise jede Übertragung außerhalb der Sicherheitseinheit). Das Register sollte außerdem alle Fälle enthalten, in denen Dritten die Aufzeichnungen gezeigt wurden oder der Inhalt der Aufzeichnungen in sonstiger Weise an Dritte weitergegeben wurde, auch wenn keine Kopie der Aufzeichnung durch die Videoüberwachung nicht übertragen wurde.

Das Register sollte mindestens Folgendes enthalten:

• Das Datum der Aufzeichnungen
• Die anfordernde Partei (Name, Titel und Organisation)
• Name und Titel der Person, die Übertragung autorisiert hat
• Eine Kurzbeschreibung des Inhalts der Aufzeichnung
• Eine Begründung für die Anfrage und der Grund für ihre Genehmigung
• Ob eine Kopie der Aufzeichnung übertragen wurde, die Aufzeichnung gezeigt oder mündliche Informationen gegeben wurden

Das Recht, vergessen zu werden (Recht auf Löschung)

Laut Paragraph 17 gibt die DSGVO Einzelpersonen die Kontrolle über ihre personenbezogenen Daten, einschließlich des Rechts auf Löschung dieser Daten, wenn Sie für den beabsichtigten Zweck des Systems nicht mehr benötigt werden.

Laut Paragraph 17 (1)(c) DSGVO muss der für die Verarbeitung Verantwortliche Widersprüche der betroffenen Personen behandeln. Da es praktisch nicht möglich ist, eine bestimmte Person aus einem Video zu löschen, sollten die Datenverarbeiter die Aufbewahrungsdauer des Videos entsprechend dem dokumentierten Zweck des Systems streng begrenzen.

Was sollten Sie tun?

Überprüfen Sie die Aufbewahrungsdauer für alle Kameras und achten Sie darauf, dass sie entsprechend dem dokumentierten Zweck des Systems eingestellt ist.

Das Recht, vergessen zu werden, gilt häufig nicht für die Videoüberwachung, da die Aufbewahrungsdauer in der Regel kurz ist und andere Rechtsgrundlagen die "zumutbaren" technischen und rechtlichen Interessen überwiegen, z. B. gesetzliche Verpflichtungen (Arbeitsgesetz), öffentliches Interesse (Verbrechensverhütung, öffentliche Gesundheit und Sicherheit), vitale Interessen (lebens- und gesundheitsrelevante Daten, gefährliche Umgebungen), berechtigte Interessen (Betrugserkennung, Beschäftigung, Produktentwicklung) oder sogar Vertragserfüllung (Beschäftigung, Abonnements und Lizenzierung). Ein Beispiel für ein berechtigtes Interesse ist, dass die Aufzeichnungen aus der Videoüberwachung zum betreffenden Zeitpunkt eine vertrauenswürdige Beweisquelle sein müssen. Daher schützt das VMS in erster Linie Videobeweise vor der Manipulation und gewährleistet ihre Authentizität, so dass das Recht, vergessen zu werden, nachrangig ist.

Es gibt in der Regel zwei Gründe für die betroffenen Personen, der Speicherung von Videoaufzeichnungen zu widersprechen:

• Die Interessen des für die Verarbeitung Verantwortlichen an der Speicherung der Daten sind hinter den Interessen oder Grundrechte und Freiheiten der betroffenen Person, die den Schutz der personenbezogenen Daten erfordern, nachrangig (Paragraph 17 (1)(c) DSGVO)
• Die personenbezogenen Daten wurden unrechtmäßig verarbeitet, z. B. die ein Kindergarten oder eine Umkleidekabine wurde überwacht (Paragraph 17 (1)(d) DSGVO)

Daher muss jede Anfrage gründlich geprüft werden.

Wie lange sollten die Aufzeichnungen aufbewahrt werden?

Generell gilt der Grundsatz, dass Aufzeichnungen nicht länger aufbewahrt werden dürfen, als es für die konkreten Zwecke erforderlich ist, für die sie gemacht wurden. Es muss auch überlegt werden, ob die Aufzeichnung überhaupt notwendig ist und ob eine Live-Überwachung ohne Aufzeichnung ausreichen würde.

Wenn sich eine Organisation für die Aufzeichnung entscheidet, muss sie den Zeitraum angeben, für den die Aufzeichnungen aufbewahrt werden sollen. Nach Ablauf dieser Frist müssen die Aufzeichnungen gelöscht werden. Die Milestone XProtect-VMS automatisiert den Löschvorgang, indem Aufzeichnungen automatisch gelöscht werden, die älter sind als die eingestellte Aufbewahrungsdauer.

Wenn Dateien, die die aufgezeichneten Videodaten enthalten, vom VMS gelöscht werden, werden die Dateien und ihr Inhalt tatsächlich nicht von den Datenblöcken auf dem Speichersystem gelöscht, sondern lediglich im Dateisystem als frei markiert, so dass andere Dateien an diese Stelle des Speichersystems geschrieben werden können. Bis die Datenblöcke tatsächlich mit neuen Daten überschrieben werden, können die alten Videodaten, die gelöscht wurden, ggf. wiederhergestellt werden, was den Zugriff auf Aufnahmen ermöglicht, die älter sind als die eingestellte Aufbewahrungsdauer.

Daher wird empfohlen, das Speichersystem nicht zu groß zu machen, da das Risiko mit der Größe des ungenutzten Speicherplatzes steigt.

Ist das zugewiesene Speichersystem z. B. doppelt so groß wie die Menge der für die eingestellte Aufbewahrungsdauer gespeicherten Videodaten - z. B. sieben Tage - können die gelöschten Datenblöcke, die gelöschte Altvideodaten enthalten, statistisch gesehen noch weitere sieben Tage auf dem Speichersystem herumliegen, bevor sie überschrieben werden.

Um das Risiko des Zugriffs auf gelöschte Altvideodaten weiter zu senken sowie aus allgemeinen Sicherheitsüberlegungen heraus wird empfohlen, die Verschlüsselung der Mediendatenbanken zu aktivieren, da dies neben der Wiederherstellung der gelöschten Dateien dann außerdem erfordert, dass die Verschlüsselung überwunden wird.

Unabhängig davon, ob die Videodaten verschlüsselt sind oder nicht, ist es wichtig, dass Sie die zum Speichern von Mediendatenbanken verwendeten Festplatten desinfizieren oder physisch zerstören, bevor sie entsorgt werden (z. B. durch Schreddern oder in ähnlicher Weise), sobald sie im Speichersystem nicht mehr verwendbar sind.

Informationen darüber, wie Sie dies in Milestone XProtect einrichten können, finden Sie im Abschnitt Speicherung und Archivierung (Erklärung) im Administratorhandbuch für das XProtect VMS.

Wenn die Videoüberwachung Sicherheitzwecken dient und ein Sicherheitsvorfall eintritt und festgestellt wird, dass die Aufzeichnungen zur weiteren Untersuchung des Vorfalls oder zur Verwendung als Beweismittel erforderlich sind, kann die betreffende Aufzeichnung über die üblichen Aufbewahrungsfristen hinaus so lange aufbewahrt werden, wie sie für diese Zwecke benötigt wird. Danach müssen jedoch auch sie gelöscht werden.

Aufbewahrungsfrist für typische Sicherheitszwecke: eine Woche bis ein Monat

Wenn aus Sicherheitsgründen Kameras installiert werden, sollte eine Woche bis zu einem Monat ausreichen, damit das Sicherheitspersonal eine begründete Entscheidung treffen kann, ob die betreffende Aufzeichnung für einen längeren Zeitraum aufbewahrt werden soll, um den Sicherheitsvorfall weiter zu untersuchen oder um sie als Beweismittel zu verwenden.

Ein Beispiel für örtlich geltende Gesetze: Laut einigen deutschen Datenschutzbehörden, sowie einem Großteil der Literatur zum Thema Datenschutz, beträgt diese Aufbewahrungsfrist als Richtwert für die Zugriffskontrolle und die Untersuchung von Straftaten 48 bis 72 Stunden.

Auf dem Gebiet der Mitgliedstaaten oder von Drittländern: 48 Stunden

Falls sich die Überwachung auf Bereiche außerhalb der Gebäude auf dem Gebiet eines Mitgliedstaates (oder eines Drittlandes) erstreckt (typischerweise Bereiche in der Nähe von Ein- und Ausfahrten) und es unvermeidbar ist, dass Passanten oder vorbeifahrende Fahrzeuge von den Kameras erfasst werden, wird empfohlen, die Aufbewahrungsdauer auf 48 Stunden zu reduzieren oder den örtlichen Belangen möglichst in sonstiger Weise Rechnung zu tragen.

Das Recht auf die Beschränkung der Verarbeitung

Die betroffene Person kann nach Paragraph 18 (1) DSGVO das Recht beanspruchen, die Verarbeitung zu beschränken. In einem VMS-Basisszenario kann die betroffene Person geltend machen, dass die Verarbeitung durch das VMS rechtswidrig ist, z. B. wenn die betroffene Person nicht weiß, dass die Videoüberwachung im öffentlichen Raum so durchgeführt wird, dass Bildbereiche aus Datenschutzgründen verdeckt werden. Es wird empfohlen, dies unter Verwendung einer Vorlage für eine Anfrage der betroffenen Person geltend zu machen (siehe Anfrage einer betroffenen Person). Einen Musterantrag einer betroffenen Person finden Sie unter Milestone Musterantrag einer betroffenen Person.

Der Anspruch ist innerhalb eines angemessenen Zeit zu bearbeiten, insbesondere vor Ablauf der Aufbewahrungsfrist, um eine automatische Aufbewahrung oder Löschung der beanspruchten Beweise aus dem VMS zu vermeiden. Es ist allgemein ratsam, sich hinsichtlich der Einschränkung der Verarbeitung rechtlich beraten zu lassen. Eine Art des Umgangs mit einer solchen Anfrage ist, dass der Administrator des VMS die Zugriffsrechte der Bediener des VMS oder ihrer Vorgesetzten durch Zuweisung entsprechender Rollen so einschränkt, dass sie Aufnahmen nur innerhalb einer kurzen Zeitdauer nach ihrer Aufzeichnung abspielen können - z.B. für vier Stunden oder einen Tag (siehe Was sollten Sie tun?: "Ziehen Sie die Einschränkung des Zugriffs auf Videoaufzeichnungen für die Bediener in Betracht, entweder vollständig, nur auf in den letzten Stunden aufgezeichneten Videos oder nur mit zweifacher Genehmigung"). Einschränkungen der Wiedergabe gelten auch für Beweissicherungen. Wenn weitere Einschränkungen der Verarbeitung erforderlich sind, wird empfohlen, sowohl eine Geschäftsfolgenabschätzung als auch eine Datenschutzfolgenabschätzung (siehe Durchführung einer Folgenabschätzung) als Teil der Bearbeitung des Anspruchs durchzuführen.

Was sollten Sie tun?

• Die Auflösung verschiedener Punkte im Kamerabild dokumentieren
• Die beabsichtigte Speicherdauer dokumentieren
• Erwägen Sie die Verwendung verdeckter Bildbereiche aus Datenschutzgründen - permanent oder so, dass sie entfernt werden können
• Erwägen Sie, Berechtigungen zum Betrachten von Live-Videos, Aufzeichnungen einzurichten
• Erwägen Sie, den Zugriff zum Exportieren von Aufzeichnungen und zum Freilegen von aus Datenschutzgründen verdeckten Bildbereichen zu beschränken
• Überprüfen Sie regelmäßig die Rollen und Verantwortlichkeiten der Bediener, Ermittler, Systemadministratoren und sonstiger Personen, die Zugriff auf das System haben
• Erwägen Sie, den Zugriff auf Gruppen zu beschränken, die mit Ermittlungen befasst sind, für Kameras, die eigens zur Identitätserfassung positioniert sind (z. B. Gesichter von Personen, die ein Geschäft betreten)
• Ziehen Sie die Einschränkung des Zugriffs auf Videoaufzeichnungen für die Bediener in Betracht, entweder vollständig, nur auf in den letzten Stunden aufgezeichneten Videos oder nur mit zweifacher Genehmigung
• Begrenzen Sie die Anzahl der Benutzer mit Administratorrollen

Anforderungen für den eingebauten Datenschutz

Eingebauter Datenschutz und standardmäßiger Datenschutz

Nach der DSGVO muss der für die Verarbeitung Verantwortliche bei der Verarbeitung personenbezogener Daten technische oder organisatorische Maßnahmen ergreifen, die darauf ausgelegt sind, die in der DSGVO dargelegten Datenschutzgrundsätze umzusetzen. Die DSGVO bezeichnet dies als eingebauten Datenschutz.

Im Zusammenhang mit einer Kamera wäre ein Beispiel für "eingebauten Datenschutz" eine digitale Funktion, mit der der Benutzer die Bilderfassung auf einen bestimmten Umkreis beschränken kann, wodurch die Kamera daran gehindert wird, Bilder außerhalb dieses Umkreises zu erfassen, die ansonsten erfasst würden.

Im XProtect VMS gibt es Unterstützung zur Privatsphärenausblendung aus Datenschutzgründen in zwei Formen: dauerhaft verdeckte Bildbereiche, die nicht aufgedeckt werden können, und reversibel verdeckte Bildbereiche, die (mit den entsprechenden Berechtigungen) aufgedeckt werden können, um das verdeckte Bild freizulegen.

Der für die Verarbeitung Verantwortliche muss außerdem technische oder organisatorische Maßnahmen ergreifen, die standardmäßig die am wenigsten in die Privatsphäre eingreifende Verarbeitung der betreffenden personenbezogenen Daten gewährleisten. Die DSGVO nennt dies den standardmäßigen Datenschutz. Im Zusammenhang mit Kameras wäre ein Beispiel für den standardmäßigen Datenschutz die Abdeckung von Bildbereichen aus Datenschutzgründen, um sensible Bereiche im Sichtfeld der Kamera privat zu halten.

Was wäre ein Beispiel für eine XProtect Funktion, die den Ansatz des standardmäßigen Datenschutzes unterstützt?

Milestone entwickelt sein Produktportfolio kontinuierlich weiter, und der standardmäßige Datenschutz ist ein wichtiges Bewertungskriterium dafür, dass XProtect die DSGVO erfüllt. Weitere Informationen finden Sie im Leitfaden zum sicheren Entwicklungslebenszyklus unter Milestone. Dieser Leitfaden ist integraler Bestandteil des standardmäßigen Datenschutzes, und wendet Prinzipien an wie "Defense-in-Depth", "Least Privileges" sowie die Vermeidung weniger sicherer Standardeinstellungen und die standardmäßige Abschaltung selten verwendeter Funktionen.

Was sollten Sie tun, um einen standardmäßigen Datenschutz zu gewährleisten?

• Denken Sie über die Auflösung verschiedener Punkte im Kamerabild nach und dokumentieren Sie diese

  Unterschiedliche Zwecke erfordern unterschiedliche Bildqualitäten. Wenn keine Identifizierung erforderlich ist, sollten die Kameraauflösung und andere einstellbare Faktoren so gewählt werden, dass keine Bilder aufgenommen werden, in denen Gesichter erkennbar sind.

• Verschlüsseln Sie Ihre Aufzeichnungen

  Milestone empfiehlt, dass Sie Ihre Aufzeichnungen sichern, indem Sie im Speicher und in den Archiven Ihres Aufzeichnungsservers die Verschlüsselung aktivieren. Milestone verwendet zur Verschlüsselung den Algorithmus AES-256. Bei der Auswahl der Schwachen Verschlüsselung wird nur ein Teil der Aufzeichnung verschlüsselt. Bei der Auswahl der Starken Verschlüsselung wird die gesamte Aufzeichnung verschlüsselt.

• Untersuchungsdatenbank verschlüsseln

  Milestone empfiehlt Ihnen, die Untersuchungsdatenbank auf dem Mobile Server zu sichern.

• Sichern des Netzwerkes

  Milestone empfiehlt, dass Sie Kameras auswählen, die HTTPS unterstützen. Es wird empfohlen, die Kameras auf separate VLANs einzustellen und für die Kommunikation zwischen Kamera und Aufzeichnungsserver sowie zwischen Clients und Aufzeichnungsserver HTTPS zu verwenden.

  Es wird empfohlen, die Verschlüsselung für die gesamte Kommunikation zwischen allen Servern und Clients zu aktivieren. Weitere Informationen dazu, wie Sie Ihre XProtectVMS-Installationen schützen können, finden Sie im Absicherungsleitfaden und im Zertifikate-Leitfaden.

  Es wird empfohlen, dass sich XProtect Smart Client und XProtect Smart Wall im selben VLAN befinden wie die Server.

  Verwenden Sie ein VPN-verschlüsseltes Netzwerk oder ähnliches, wenn Sie Smart Client oder Smart Wall von einem entfernten Standort aus verwenden.

• Aktivieren und dokumentieren Sie die beabsichtigte Speicherdauer

  Nach Paragraph 17 (1) (a) DSGVO dürfen Aufzeichnungen nicht länger aufbewahrt werden, als es für die konkreten Zwecke erforderlich ist, für die sie gemacht wurden. Milestone empfiehlt, die Verweilzeit entsprechend einzustellen. Somit wird dann die Löschung von Videoaufzeichnungen automatisiert.

• Sicherer Export

  Milestone empfiehlt, dass Sie den Zugriff auf die Exportfunktion nur einer ausgewählten Gruppe von Benutzern erlauben, die diese Berechtigung benötigen.

  Milestone empfiehlt außerdem, das Smart Client Profil so zu ändern, dass der Export nur im XProtect Format mit aktivierter Verschlüsselung möglich ist. Der Export als AVI und JPEG sollte nicht erlaubt sein, da diese Formate nicht sicher gemacht werden können. Dadurch wird der Export von Beweismaterial passwortgeschützt, verschlüsselt und digital signiert, so dass gewährleistet ist, dass das forensische Material echt ist, nicht manipuliert wurde und nur von einem befugten Empfänger betrachtet werden kann.

• Aktivieren Sie aus Datenschutzgründen verdeckte Bildbereiche - permanent oder so, dass sie wieder sichtbar gemacht werden können

  Verwenden Sie aus Datenschutzgründen verdeckte Bildbereiche, um die Überwachung von Bereichen auszuschließen, die für Ihr Überwachungsziel irrelevant sind.

• Zugriffsberechtigungen mit Rollen einschränken

  Wenden Sie das Prinzip des geringsten Privilegs (PoLP) an.

  Milestone empfiehlt, dass Sie den Zugriff auf die Exportfunktion nur einer ausgewählten Gruppe von Benutzern erlauben, die diese Berechtigung benötigen. Standardmäßig kann nur der Systemadministrator auf das System zugreifen und Aufgaben ausführen. Alle Rollen und Benutzer, die neu angelegt werden, haben keinen Zugriff auf Funktionen, bis sie von einem Administrator absichtlich konfiguriert werden.

  Richten Sie Berechtigungen für alle Funktionen ein, einschließlich des Abspielens von Live-Video und Aufzeichnungen, des Anhörens von Audio, des Zugriffs auf Metadaten, der Steuerung von PTZ-Kameras, des Zugriffs und der Konfiguration von Smart Wall, des Freilegen von Bildbereichen, die zum Schutz der Privatsphäre unkenntlich gemacht wurden, der Arbeit mit Exporten, des Speicherns von Schnappschüssen usw.

  Schränken Sie den Zugriff auf Video- und Audioaufzeichnungen und Metadaten für die Bediener entweder vollständig ein, oder beschränken Sie den Zugriff auf ausschließlich Video- und Audioaufzeichnungen oder Metadaten, die erst in den vorangegangenen Stunden aufgezeichnet wurden.

  Überprüfen Sie regelmäßig die Rollen und Zuständigkeiten der Bediener, Ermittler, Systemadministratoren und sonstiger Personen, die Zugriff auf das System haben. Gilt Prinzip des geringsten Privilegs weiterhin?

• Aktivieren und verwenden Sie die zweistufige Verifikation

  Milestone empfiehlt, dass Sie einen zusätzlichen Anmeldungsschritt für Benutzer von XProtect Mobile oder XProtect Web Client vorgeben, indem Sie die zweistufige Verifikation aktivieren.

• Schränken Sie die Berechtigungen der Administratoren ein

  Milestone empfiehlt Ihnen, die Anzahl der Benutzer mit Administratorrolle zu begrenzen.

Einrichtung und Konfiguration des Videoüberwachungssystems

Das Leitprinzip bei allen in diesem Abschnitt behandelten Punkten sollte sein, negative Auswirkungen für die Privatsphäre und sonstige Grundrechte und legitime Interessen der überwachten Personen auf ein Mindestmaß zu begrenzen.

Standorte und Blickwinkel der Kameras

Die Standorte der Kameras sollten so gewählt werden, dass sichtbare Bereiche, die für die beabsichtigten Zwecke irrelevant sind, auf ein Mindestmaß begrenzt werden.

Wenn ein Videoüberwachungssystem zum Schutz der Vermögenswerte (Eigentum oder Informationen) der Organisation oder der Sicherheit der Mitarbeiter und Besucher installiert wird, sollte die Organisation die Überwachung in der Regel beschränken auf

• sorgfältig ausgewählte Bereiche, die sensible Informationen, wertvolles Eigentum oder sonstige Werte enthalten, für die aus bestimmten Gründen ein erhöhter Schutz erforderlich ist,
• Zu- und Ausgänge zu Gebäuden (einschließlich Notausgänge und Fluchtwege sowie Umgebungsmauern oder -zäune um das Gebäude oder Grundstück), und
• Ein- und Ausgänge innerhalb des Gebäudes, die verschiedene Bereiche verbinden, die unterschiedlichen Zugangsberechtigungen unterliegen und durch verschlossene Türen oder andere Zugangskontrollmechanismen getrennt sind.

Anzahl Kameras

Die Anzahl der zu installierenden Kameras hängt von der Größe der Gebäude und von den Sicherheitsanforderungen auf ab, die ihrerseits von einer Vielzahl von Faktoren abhängen. Dieselbe Anzahl und derselbe Kameratyp kann für die eine Organisation geeignet und für die andere vollkommen unverhältnismäßig sein. Bei ansonsten gleichen Voraussetzungen ist die Anzahl der Kameras jedoch ein guter Indikator für die Komplexität und Größe eines Überwachungssystems und kann ein Hinweis auf erhöhte Risiken für die Privatsphäre und sonstige Grundrechte sein. Mit zunehmender Anzahl Kameras steigt auch die Wahrscheinlichkeit, dass diese nicht effizient eingesetzt werden und Informationen im Übermaß gesammelt werden. Daher empfiehlt der Europäische Datenschutzbeauftragte (EDSB), die Anzahl der Kameras auf das unbedingt erforderliche Maß zu begrenzen, mit dem die Zwecke des Systems erreicht werden können. Die Anzahl Kameras muss in der Videoüberwachungsrichtlinieangegeben sein.

Überwachungszeiten

Die eingestellten Zeit, zu denen die Kameras aufzeichnen, sollten so gewählt werden, dass die Überwachung zu Zeiten auf ein Mindestmaß begrenzt wird, die für die beabsichtigten Zwecke irrelevant sind. Wenn die Videoüberwachung Sicherheitszwecken dient, sollte das System möglichst eingestellt werden, dass es nur zu Zeiten aufzeichnet, zu denen die Wahrscheinlichkeit höher ist, dass mögliche Sicherheitsprobleme auftreten.

Auflösung und Bildqualität

Es sollte eine angemessene Auflösung und Bildqualität gewählt werden. Unterschiedliche Zwecke erfordern unterschiedliche Bildqualitäten. Ist es z.B. entscheidend, dass Personen erkannt werden, sollten die Auflösung der Kameras, die Komprimierungseinstellungen in einem digitalen System, der Standort, die Ausleuchtung und sonstige Faktoren berücksichtigt und so gewählt oder verändert werden, dass die erhaltene Bildqualität ausreichen würde, um Bilder zu erhalten, auf denen Gesichter erkannt werden können. Wenn keine Erkennung erforderlich ist, sollten die Kameraauflösung und sonstige einstellbare Faktoren so gewählt werden, dass keine Bilder aufgenommen werden, in denen Gesichter erkennbar sind.

Wer sollte Zugriff auf das VMS haben?

Die Zugriffsberechtigungen müssen auf eine kleine Anzahl eindeutig angegebener Personen beschränkt werden, die nur bei Bedarf Zugang erhalten. Die VMS-Zugriffsrichtlinien sollten nach dem Prinzip des "geringsten Privilegs" festgelegt werden: Benutzern wird der Zutritt nur zu denjenigen Ressourcen gestattet, die für die Ausführung ihrer Aufgaben unbedingt erforderlich sind.

Nur der für die Verarbeitung Verantwortliche, der Systemadministrator oder andere von dem für die Verarbeitung Verantwortlichen eigens zu diesem Zweck benannte Mitarbeiter sollten in der Lage sein, Personen Zugangsberechtigungen zu erteilen, diese zu ändern oder sie aufzuheben. Jede Erteilung, Änderung oder Aufhebung von Zugangsberechtigungen muss in Übereinstimmung mit den in der Videoüberwachungsrichtlinie der Organisation festgelegten Kriterien erfolgen.

Personen, die über eine Zugangsberechtigung verfügen, müssen stets eindeutig identifizierbar sein.

In der Videoüberwachungsrichtlinie muss eindeutig festgelegt und dokumentiert werden, wer zu welchem Zweck Zugriff auf die Aufzeichnungen aus der Videoüberwachung und/oder die technische Architektur, z. B. den VMS-Server, das Videoüberwachungssystem, hat und was diese Zugriffsberechtigungen beinhalten. Insbesondere müssen Sie angeben, wer die Berechtigungen hat, um

• Die Video-/Audioaufzeichnungen in Echtzeit zu betrachten
• Die Schwenk-Neige-Zoom-Kameras (PTZ) zu bedienen
• Die Aufzeichnungen anzusehen
• Aufzeichnungen zu Exportieren oder
• zu löschen

Darüber hinaus müssen Sie den Zugriff auf die folgenden Funktionen des VMS konfigurieren:

• Lesezeichen
• Beweissicherungen
• Privatzonenmasken aufheben
• Exportieren
• Auslösende Ereignisse
• Starten/anhalten der Aufzeichnung
• Voreinstellungen der PTZ-Kameras erstellen/bearbeiten/löschen/aktivieren/sperren/freigeben
• PTZ-Patrouillenschemata erstellen/bearbeiten/löschen/starten/stoppen
• intelligente Suche
• Audio, Metadaten, E/A und Ereignisberechtigungen

Schutz der gespeicherten und übertragenen Daten

Zuallererst muss eine interne Analyse der Sicherheitsrisiken durchgeführt werden, um ermitteln, welche Sicherheitsmaßnahmen zum Schutz des Videoüberwachungssystems, einschließlich der darin verarbeiteten personenbezogenen Daten, erforderlich sind.

In jedem Fall müssen Maßnahmen getroffen werden, um die Sicherheit zu gewährleisten hinsichtlich

• Weitergabe
• Speicherung (z.B. in Computerdatenbanken)
• Zugriff (z.B. Zugriff auf Server, Speichersysteme, das Netzwerk und die Räumlichkeiten)

Die Übermittlung muss über sichere Kommunikationskanäle erfolgen und abhörgeschützt sein, z.B. durch folgende Maßnahmen:

• Verschlüsselung der Mediendatenbank im Recording Server und Verschlüsselung der gesamten Kommunikation zwischen Servern und Clients. Weitere Informationen dazu, wie Sie Ihre XProtectVMS-Installationen schützen können, finden Sie im Absicherungsleitfaden und im Zertifikate-Leitfaden.

• Anschließen der HTTPS-Kamera an das Recording Server

• VPN für Smart Client oder Management Client mit Verbindung über das Internet verwenden

• Verwenden Sie HTTPS für XProtect Mobile Client und XProtect Web Client

Der Abhörschutz ist besonders wichtig, wenn ein drahtloses Übertragungssystem verwendet wird oder wenn Daten über das Internet übertragen werden. In solchen Fällen müssen die Daten bei der Übertragung verschlüsselt werden, oder es muss ein gleichwertiger Schutz vorhanden sein.

Verschlüsselung oder sonstige technische Mittel, die einen gleichwertigen Schutz gewährleisten, müssen auch in anderen Fällen, während der Speicherung, in Betracht gezogen werden, wenn die interne Analyse der Sicherheitsrisiken dies rechtfertigt. Dies kann z. B. dann der Fall sein, wenn es sich um besonders sensible Daten handelt. Dies geschieht durch die Aktivierung der Verschlüsselung der Mediendatenbank.

Alle Räumlichkeiten, in denen die Videoüberwachungsdaten gespeichert werden und in denen sie gesichtet werden, müssen gesichert sein. Der physische Zugang zum Kontrollraum und zum Serverraum, in dem die VMS-Server untergebracht sind, muss geschützt werden. Dritte (z. B. Reinigungs- oder Wartungspersonal) dürfen keinen unbeaufsichtigten Zugang zu diesen Räumlichkeiten haben.

Der Standort der Monitore muss so gewählt werden, dass sie nicht von Unbefugten eingesehen werden können. Wenn sie sich in der Nähe öffentlicher Bereiche befinden müssen, müssen die Monitore so aufgestellt werden, dass nur das Sicherheitspersonal sie einsehen kann.

Die XProtect-VMS protokolliert standardmäßig Basisinformationen. Wir empfehlen jedoch, dass Sie die Protokollierung der Benutzerzugriffe im Management Client für das Auditprotokoll aktivieren.

Dieses digitale Protokollierungssystem soll sicherstellen, dass bei einer Prüfung jederzeit festgestellt werden kann, wer wann und wo Zugriff auf das System hatte. Das Protokollierungssystem kann feststellen, wer die Videoüberwachungsdaten angesehen, gelöscht oder exportiert hat (hierzu müssen Sie die Protokollierung der Benutzerzugriffe aktivieren).

Weitere Informationen finden Sie im Administratorhandbuch für XProtect VMS.

Diesbezüglichh, und auch an anderer Stelle, ist auf die Schlüsselfunktionen und -befugnisse der Systemadministratoren zu achten, sowie auf die Notwendigkeit, diese gegen angemessene Überwachungs- und Schutzmaßnahmen abzuwägen.

Richtlinien zum Schutz der Nutzung von Mobilgeräten

Es wird empfohlen, eine Richtlinie für die Nutzung mobiler Geräte und Apps einzurichten, die folgende Maßnahmen beinhaltet:

• Erwägen Sie den Einsatz von Software für das Mobile Device Management (MDM)

• Begrenzen Sie die Anzahl der Mitarbeiter, die Zugriff auf XProtect Mobile Client oder XProtect Web Client haben

• Erlauben Sie keine XProtect Mobile Client Installationen auf privaten Geräten

• Verwenden Sie für Konten auf geschäftlichen Geräten keine privaten E-Mail-Adressen, da Google oder Apple die betroffenen Personen identifizieren und möglicherweise berufliche und private Profile miteinander verknüpfen können

• Erstellen Sie Rollen für mobile Benutzer, die Zeitprofile verwenden

• Erstellen Sie pseudonymisierte Konten auf mobilen Geräten, die von Roaming-Guards verwendet werden sollen. Diese Google und Apple Konten könnten mit einer pseudonymisierten geschäftlichen E-Mail-Adresse wie "guard01@company-name.com" mit dem Kontonamen "Guard 01" verknüpft werden.

  Die Verwendung derartiger pseudonymisierter Konten schränkt die Menge an personenbezogenen Daten ein, die von Google und Apple verarbeitet werden. Somit verstoßen Push-Benachrichtigungen nicht gegen das EuGH-Urteil in der Rechtssache Schrems II, da personenbezogene Daten im Zusammenhang mit Push-Benachrichtigungen von keiner in den USA ansässigen Organisation oder Behörde ohne die Hilfe der Organisation, welche die VMS betreibt, aus der Pseudonymisierung herausgenommen werden können.

• Verwenden Sie eine zweistufige Authentifizierung

• Wenn Sie die biometrische Authentifizierungsfunktion des Betriebssystems verwenden, stellen Sie sicher, dass die Verwendung dieses Authentifizierungsmechanismus ein angemessenes Sicherheitsniveau bietet. Die biometrische Authentifizierung verbessert die Gesamtsicherheit, sofern sie in Kombination mit einer strengen Passwortpolitik verwendet wird.

  Durch die Einführung der biometrischen Authentifizierung können Sie gemäß Artikel 9 der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung besonderer Kategorien von personenbezogenen Daten verantwortlich sein.

• Begrenzen Sie die Speicherzeit für Untersuchungen auf ein Minimum und dokumentieren Sie sie

• Weisen Sie Mobilfunkanwender an, Screenshots sofort zu löschen, wenn sie nicht mehr relevant sind

• Deaktivieren Sie die automatische Sicherung von Bildbibliotheken von mobilen Geräten auf entfernten Servern wie z. B. Google und Apple

Sie müssen zudem über Richtlinien und Verfahren für den Fall verfügen, dass Geräte verloren gehen oder gestohlen werden, insbesondere wenn diese Geräte personenbezogene Daten preisgeben können.

Wenn ein Gerät, z.B. ein mobiles Gerät oder ein Smartphone verloren geht oder gestohlen wird, sollten Sie folgende Maßnahmen ergreifen:

• Das Benutzerkonto deaktivieren

• Eine Passwortänderung für die erneute Aktivierung des Gerätes erzwingen