Aufgrund der Datenschutz-Grundverordnung – derzeit ein heißes Thema für alle Unternehmen in Deutschland – geraten viele in Panik wegen der Auswirkungen der neuen Verordnung auf ihren Geschäftsalltag. Die auf der Hand liegenden Themen für die Anwendung der DSGVO wurden bereits ausführlich diskutiert. Unternehmen müssen genau beachten, wie personenbezogene Daten gesammelt, gespeichert und verwaltet werden, manche Bereiche wie die Nutzung von VÜA werden dabei jedoch oft übersehen.
Bei den Vorschriften der DSGVO geht es vor allem darum, dass man Online-Daten und Risikomanagement versteht und weiß, wie man geeignete und effiziente Kontrollen implementiert. Die Vorschriften der DSGVO betreffen jedoch nicht nur Online-Sicherheit, sondern auch physische Sicherheit. Da der Einsatz von VÜAs vorschriftskonform sein und bei Sicherheitskontrollen Compliance nachgewiesen werden muss, müssen Sie sich Klarheit darüber verschaffen, welche Auswirkungen die DSGVO für Sie hat.
VÜAs (Videoüberwachungsanlagen) dienen dem bildlichen Erfassen von Personen, gleichgültig ob zu Sicherheits- oder Arbeitsschutzzwecken. Bildmaterial, in dem Personen identifiziert werden können, gelten in der neuen DSGVO als „personenbezogene Daten“, mit denen, wer darüber verfügt (der „Verantwortliche“), verantwortungsvoll umgehen muss. Alle Verantwortlichen müssen in der Lage sein, das Erfassen und Nutzen personenbezogener Daten mittels einer VÜA zu begründen.
Begründung
Wenn Sie im Umkreis Ihres Unternehmens Kameras zur Intrusionserfassung installieren, so ist das leicht zu begründen. Wenn Sie jedoch Kameras im Gebäude platzieren möchten, etwa zur Überwachung der Bewegungsabläufe von Mitarbeitern, dann ist es nicht so einfach. Sie müssen für jede eingesetzte Kamera eine Datenschutz-Folgenabschätzung (DFA) durchführen, in der der geplante Erfassungsbereich und der Grund für die Kamera anzugeben sind.
Andere informieren
Sie müssen alle Anwesenden vom Vorhandensein der Kamera in Kenntnis setzen und den Zweck der Datenerfassung deutlich machen. Das ist besonders wichtig, wenn der Zweck nicht offenkundig ist. Wenn Sie Mitarbeiter am Arbeitsplatz oder den Arbeitsschutz überwachen, so ist das deutlich hervorzuheben. Die Beschilderung ist obligatorisch.
Aufzeichnung
VÜAs müssen regelbar sein, die Aufzeichnung muss unterbrochen werden können. In den Anlagen müssen Bild- und Tonaufnahme unabhängig voneinander angehalten werden können. Das gleichzeitige Aufnehmen von Bild und Ton könnte für unverhältnismäßig erachtet werden, und Sie müssen die Gründe dafür plausibel darlegen und angeben, auf welche rechtlichen Grundlagen Sie sich stützen. VÜAs dürfen im Normalfall nicht dazu verwendet werden, Konversationen von firmenfremden Personen oder Mitarbeitern in der Arbeitsumgebung aufzunehmen. Die Aufzeichnung von Konversationen ist ein sehr weitreichender Eingriff und würde eine detaillierte, belegte Begründung ihrer Angemessenheit erfordern. Es ist regelmäßig zu überprüfen, ob Datums- und Zeitstempel in der Aufnahme korrekt sind.
Datenspeicherung
Eine bewährte Vorgehensweise bei der Datenspeicherung ist die Aufbewahrung von VÜA-Aufnahmen für 30 Tage. Wenn Sie Daten länger aufbewahren möchten, müssen Sie in Ihrer Datenschutz-Folgenabschätzung oder bei der Datenschutzüberprüfung angeben, wie lang und zu welchem Zweck Sie die Daten benötigen.
Aufbewahrung und Zugriff
Mittels VÜA erfasste Daten müssen sicher aufbewahrt und durch entsprechende Sicherheitsvorkehrungen geschützt werden, um unberechtigtes Abfangen und unberechtigten Zugriff zu unterbinden. Es ist wichtig, dass eine schriftliche Richtlinie zur Aufbewahrung von Informationen vorliegt und dokumentiert ist, die von jenen, die die VÜA bedienen, verstanden wird.
Genehmigung
In den DSGVO-Vorschriften heißt es: „Personen, deren Gesicht durch eine VÜA aufgenommen wurde, haben das Recht auf eine Kopie ihrer personenbezogenen Daten im Filmmaterial.“ Daher hat jeder, der von Ihren VÜA-Kameras erfasst wurde, das Recht, das Material zu verlangen, da es sich um personenbezogene Daten gemäß DSGVO handelt. Bei der Datenanforderung ist ein bestimmtes Verfahren einzuhalten (ein „Auskunftsersuchen über personenbezogene Daten“ zu stellen, dem Sie binnen 40 Tagen nachzukommen haben, wofür Sie etwas berechnen können. Sind im Material auch andere Personen zu sehen, so sind die Gesichter dieser Personen unkenntlich zu machen. Das mit den Daten befasste Personal ist im Hinblick auf den Umgang mit Personen, die Zugriff auf VÜA-Aufnahmen wünschen, zu schulen.
Unterstützung
Können Sie bei einer persönlichen Zugriffsanforderung oder polizeilichen Ermittlungen an bestimmten Orten und zu bestimmten Zeiten problemlos auf Aufnahmen zugreifen?
Jeder wirklich effiziente Sicherheitsansatz bei der Vorbereitung auf DSGVO-Compliance muss drei Aspekte abdecken: Prävention/Technologie, Personen und den Prozess. Mit der richtigen Anleitung und Unterstützung erfüllen die Datenschutzanforderungen der DSGVO nicht nur den Complianceanspruch, sondern können auch zu einer verbesserten Sicherheitslage und wirtschaftlichen Vorteilen führen. Das Wichtigste ist, nicht die Nerven zu verlieren: Sie haben, wenn auch nur begrenzt, Zeit, Ihren Datenschutz und den physischen Zugriff auf diese Daten in Ordnung zu bringen. Warten Sie nicht, bis es zu spät ist. Starten Sie jetzt mit der Prüfung. Wenn Sie eine kostenlose DSGVO-Sicherheitskontrollliste erhalten möchten, kontaktieren Sie uns bitte hier.
