Videoüberwachung und Datenschutz: Das müssen Sie beachten
Schon die klassische Videoüberwachung kann zum Risiko für den Datenschutz werden. Neue Funktionen, mobile Geräte und Cloud-Speicher kommen hinzu.
Soll eine Videoüberwachung für die Zutrittskontrolle im Unternehmen eingesetzt werden, wird ein sensibler Bereich aus dem Datenschutz berührt. Prüfungen der Aufsichtsbehörden für den Datenschutz ergeben vielfach, dass die jeweils untersuchte Videoüberwachung nicht den rechtlichen Anforderungen gerecht wird.
Die rechtlichen Vorgaben finden sich insbesondere im Bundesdatenschutzgesetz (§ 6b BDSG). Obwohl die Aufsichtsbehörden zusätzlich umfangreiche Leitfäden zur Videoüberwachung anbieten, ist die Umsetzung in Unternehmen meistens mit Mängeln behaftet.
Zutrittskontrolle erfordert auch Zugangskontrolle
Bei der Einführung von Videoüberwachung konzentrieren sich viele Unternehmen unter anderem darauf, welche Bereiche überwacht werden sollen und vergessen dabei, dass es auch Bereiche gibt, die nicht ohne weiteres mittels Videosystemen überwacht werden dürfen, wie zum Beispiel Sanitäranlagen.
Ein ebenfalls gerne vergessenes Problem ist die Speicherung der Videoaufnahmen. Es gilt, die Vorgaben zur Löschung der Videodaten nach Zweckerfüllung und zur klaren Begrenzung der Auswertung auf den Erhebungszweck zu erfüllen. Dafür müssen die Videodaten geschützt gespeichert werden.
Es darf zum Beispiel nicht möglich sein, dass ein Unbefugter auf die Daten zugreifen kann. Videoanalysen dürfen auch nicht zum Zwecke der Verhaltenskontrolle der Beschäftigten eingesetzt werden. Heimliche Kopien der Videoaufzeichnungen sind nicht erlaubt. Der Zugang zu den Videosystemen und der Zugriff auf die Videoanalysen müssen also geschützt sein, damit die Videoüberwachung bei der Zutrittskontrolle helfen kann.
Neue Funktionen bergen auch neue Risiken
Der Markt für Videoüberwachungs-Systeme hat viele neue Funktionen hervorgebracht, die die Videoüberwachung einfacher, komfortabler und flexibler machen sollen. So besteht teilweise die Möglichkeit, die Videosysteme über Smartphones und Tablets zu administrieren. Die Videoanalysen sind so fortschrittlich, dass sie automatisch verdächtiges Verhalten erkennen wollen und die Speicherung der Videodaten erfolgt inzwischen auch in der Cloud. Zudem laufen auch die Videoanalyse-Software und das Video-Management-System in der Cloud. Solche neuen Funktionen haben aber nicht nur Vorteile, sondern bringen auch Risiken, die bei der internen Datenschutzkontrolle in Unternehmen berücksichtigt werden müssen.
Zusätzliche Kontrollen sind erforderlich
Unternehmen sollten also nicht nur prüfen, ob der geplante Zweck eine Videoüberwachung rechtfertigt. Überprüfen Sie, welche Bereiche aus der Überwachung ausgenommen werden müssen. Wichtig ist auch, wie auf die Videoüberwachung hingewiesen wird und wie lange die Videodaten gespeichert werden müssen. Sie müssen außerdem die Sicherheit der Videoüberwachung an sich hinterfragen.
Dazu gehört die Prüfung, wer auf welchem Weg auf die Videodaten zugreifen darf. Als Beispiel wäre zu nennen, ob das auch über ein Smartphone möglich sein soll. Klären Sie, wie der Zugriff auf die Videodaten geschützt wird, ob also zum Beispiel eine Verschlüsselung zum Einsatz kommt.
Aber auch der Übertragungsweg zum Speicherort der Videodaten ist zu prüfen: Kommt ein Cloud-basiertes Verfahren zum Einsatz, dürfen die Videoaufzeichnungen nicht einfach ungeschützt via Internet in die Cloud übertragen werden. Verschlüsselung ist hier Pflicht, auch deshalb, weil die Speicherung in der Cloud neue Anforderungen an die Zugangs- und Zugriffskontrolle für die Videodaten stellt. Es darf nicht möglich sein, dass Mitarbeiter des Cloud-Providers heimlich Zugriff auf die Videodaten erhalten können.
Auch die Webcams nicht vergessen
Die technische Entwicklung hat dafür gesorgt, dass bei dem Thema Videoüberwachung auch mobile Datenrisiken bei Smartphone-Zugriff und die Vorgaben an eine Auftragsdatenverarbeitung bei Videoüberwachung in Verbindung mit Clouds eine Rolle spielen.
Zudem gibt es im Unternehmen weitaus mehr Videokameras als die Videoüberwachungsanlage am Gebäudeeingang und vor dem Serverraum. Nahezu jedes Notebook, jedes Tablet und jedes Smartphone hat eine integrierte Webcam, die ebenfalls zur Videoüberwachung genutzt werden könnte, heimlich und unerlaubt von einzelnen Mitarbeitern, aber auch im Sinne eines Diebstahlschutzes.
Videoüberwachung als Notebook-Schutz
So bieten zum Beispiel Notebooks häufig eine Funktion, mit der die integrierte Webcam zum Aufpasser wird. Bei Aktivierung der Raumüberwachung startet die Webcam, wenn sich jemand im Raum bewegt oder sich dem Notebook nähert. Die automatische Aufnahme wird dann als E-Mail an den definierten Notebook-Nutzer geschickt oder im Firmennetzwerk beziehungsweise in der Cloud gespeichert.
Die Personen in dem jeweiligen Raum, ob Kolleginnen, Kollegen oder Besucher, könnten heimlich gefilmt werden, wenn ein Notebook in dem entsprechenden Büro so eingestellt und derart vor Dieben „geschützt“ werden soll. Auch hier gilt es, die Datenschutz-Anforderungen an eine Videoüberwachung einzuhalten, was gerne übersehen wird.
Fazit: Videoüberwachung, ein klassisches und ein neues Datenrisiko
Videoüberwachung ist somit nicht nur ein Klassiker unter den Datenschutz-Problemen in Unternehmen. Durch Cloud-Dienste, mobile Endgeräte und integrierte Webcams ist Videoüberwachung auch eine neuartige Datenschutz-Herausforderung für viele Unternehmen. Wer also glaubt, die Videoüberwachung im Unternehmen bereits geregelt zu haben, sollte auf die Suche nach möglichen, neuartigen Funktionen gehen. Die können nicht nur Risiken abwenden, sondern auch neue Gefahren für die Privatsphäre mit sich bringen.