promo gdpr desktop
 

Einhaltung der DSGVO mit Avigilon

Als PDF herunterladen

1

Die Datenschutz-Grundverordnung (DSGVO) ist eine neue Verordnung im Rahmen des Rechts der Europäischen Union (EU) in Bezug auf Datenschutz und Privatsphäre für alle Personen innerhalb der EU und Personen, deren personenbezogene Daten von Organisation mit Sitz in der EU verarbeitet werden. Die neue Verordnung erlegt denjenigen neue Verpflichtungen auf, die solche Daten sammeln, speichern und verarbeiten. Die DSGVO trat am 25. Mai 2018 in allen EU-Ländern in Kraft.

Die DSGVO wurde zwar nicht ausdrücklich im Hinblick auf Videoaufnahmen verfasst, Videoaufnahmen gelten jedoch als personenbezogene Daten der von Kameras erfassten Personen. Daher sieht die Verordnung vor, dass Besitzer und Betreiber von Videoüberwachungssystemen die Auswirkungen ihrer Videoüberwachungssysteme auf den Datenschutz sorgfältig prüfen, dokumentieren und verwalten.

Technologie (z. B. Avigilon Control Center (ACC)-Videomanagementsoftware) an sich kann zwar nicht DSGVO-konform sein, jedoch müssen sich alle Technologieanbieter überlegen, wie ihre Produkte und Lösungen Unternehmen bei der Bereitstellung und beim Betrieb eines DSGVO-konformen Systems unterstützen können. Avigilon hat dafür gesorgt, dass die Funktionen und Funktionalität seiner Videosicherheitslösungen der DSGVO entsprechen.

Diese Seite bietet einen einfachen Rahmen basierend auf fünf Grundprinzipien der DSGVO, die zur Einhaltung der Verordnung durch das Videosystem eines Datenverarbeiters beitragen. Außerdem werden bestimmte Funktionen der Videosicherheitslösungen von Avigilon hervorgehoben, die eine Organisation bei der Einhaltung der Verordnung unterstützen.

5 Grundprinzipien der DSGVO

  • Eindeutig gerechtfertigter Zweck
    Alle Organisationen müssen über eine gültige Rechtsgrundlage für die Erfassung und Verarbeitung von personenbezogenen Daten verfügen.
  • Datenschutz durch Technikgestaltung
    Die DSGVO schreibt vor, dass Datenschutz bei der gesamten Gestaltung und Inbetriebnahme eines Systems Vorrang haben muss. Das Vorgehen in Bezug auf Datenschutz muss proaktiv sein, nicht reaktiv. Risiken müssen frühzeitig berücksichtigt werden, und das Ziel besteht in der Verhinderung von Ereignissen, bevor sie auftreten.
  • Auskunftsrecht
    Gemäß Artikel 15 gewährt die DSGVO Einzelpersonen Kontrolle über ihre personenbezogenen Daten, einschließlich des Rechts, diese Daten einzusehen.
  • Recht auf Vergessenwerden
    Gemäß Artikel 17 gewährt die DSGVO Einzelpersonen Kontrolle über ihre personenbezogenen Daten, einschließlich des Rechts, diese Daten löschen zu lassen, wenn sie für den vorgesehenen Zweck des Systems nicht mehr benötigt werden.
  • Sicherheit
    Die DSGVO erfordert, dass Organisationen über umfassende Richtlinien und Verfahren verfügen, die gewährleisten, dass sich personenbezogene Daten jederzeit unter Kontrolle der Organisation befinden. Darüber hinaus müssen Verstöße gegen den Schutz personenbezogener Daten innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden, die von der jeweiligen Landesregierung ernannt wurde.
PrinzipAuswirkungen bei VideosystemenVorgeschlagene Maßnahmen zur Förderung der Einhaltung der VerordnungEntsprechende Avigilon Funktionen und Funktionalität

Eindeutig gerechtfertigter Zweck

Dokumentierte Beschreibung von: Zweck des Videosystems, Art der gesammelten Informationen, wer sie wofür und wie lange verwendet.

In bestimmten Fällen, die als hohes Risiko eines Eingriffs in die Privatsphäre gelten, ist eine formalisierte Datenschutz-Folgenabschätzung (DSFA) erforderlich.

Stellen Sie unbedingt Hinweise bereit, die Details dazu enthalten, wo betroffene Personen weitere Informationen finden können.

Stellen Sie sicher, folgende Informationen für jede betroffene Person verfügbar sind: Zweck der Datensammlung, Art der Verarbeitung (z. B. Live-Video oder Aufzeichnung), Aufbewahrungsdauer von Daten usw.

Prüfen Sie, ob eine DSFA erforderlich ist.

Keine. Diese verfahrenstechnisch basierten Anforderungen liegen in der Zuständigkeit des Verantwortlichen.

Datenschutz durch Technikgestaltung

Organisationen müssen sorgfältig berücksichtigen und dokumentieren, wie Systeme entworfen werden, damit sie mit den genannten Zielen vereinbar sind.

Es muss darauf geachtet werden, dass keine personenbezogenen Daten von Personen erfasst werden, die sich außerhalb der Domäne des Systems (z. B. in angrenzenden öffentlichen Bereichen) befinden.

Sorgfältige Prüfung, wer welche Informationen (z. B. Live-Video/Aufzeichnungen, Zeitraum, Auflösung) anzeigen muss und er auf welche Funktionen (z. B. Suche) zugreifen kann.

Verwenden Sie das Avigilon System Design Tool (SDT), um die Auflösung an verschiedenen Punkten der Kameraszene, die beabsichtigte Aufbewahrung usw. zu dokumentieren.

Überprüfen Sie Rollen und Verantwortlichkeiten für Bediener, Ermittler, Systemadministratoren und andere Personen mit Zugriff auf das System.

Erwägen Sie das Beschränken des Zugriffs auf Kameras, die speziell für das Erfassen der Identität (z. B. Gesichter von Personen, die ein Geschäft betreten) positioniert sind, auf mit Untersuchungen beauftragte Gruppen.

Erwägen Sie die Einschränkung des Zugriffs auf Videoaufzeichnungen für Bediener entweder vollständig, auf seit der letzten Anmeldung aufgenommenes Videomaterial oder auf die Anzeige mit Doppelautorisierung.

Stellen Sie sicher, dass das Passwort des Administratorkontos nur bestimmten Personen bekannt ist, und dass dieses Konto nur für Verwaltungsaufgaben verwendet wird.

SDT ist nützlich bei der Planung eines Systems vor der Installation und trägt dazu bei, dass Abdeckung, Auflösung und Aufbewahrung ordnungsgemäß abgewägt werden.

ACC™ bietet Kontrolle über Benutzerberechtigungen und gewährleistet so, dass Sicherheitspersonal nur auf Videodaten zugreifen kann, die es zur Ausübung seiner Arbeit benötigt.

ACC steuert die Auflösung des angezeigten Videos basierend auf Benutzerberechtigungen.*

ACC erfordert explizite Benutzerberechtigungen für den Zugriff auf Suchfunktionen.*

Auskunftsrecht

Organisationen müssen einer betroffenen Person auf Anfrage alle personenbezogenen Daten übermitteln, die über sie erfasst wurden, einschließlich Videoaufzeichnungen eines Überwachungssystems.

Bei der Bereitstellung von Videomaterial für eine betroffene Person müssen andere Personen im Video verdeckt oder anderweitig anonymisiert werden.

Sorgen Sie für den Einsatz von formalen Verfahren und Richtlinien für den Umgang mit Auskunftsanforderungen.

ACC ermöglicht das Anlegen von Lesezeichen für Videos sowie deren Export.

Avigilon Appearance Search™-Technologie ist auch in ACC enthalten. Sie ermöglicht es Benutzern, Videoaufzeichnungen einer bestimmten Person zu finden, ein Lesezeichen dafür anzulegen und sie zu exportieren.

Appearance Search-Ergebnisse können von ACC so exportiert werden, dass Bilder aller anderen Personen im Video anonymisiert werden.*

Recht auf Vergessenwerden

Da es nicht praktikabel ist, eine bestimmte Person aus einem Video zu löschen, müssen Datenverarbeiter die Aufbewahrungsdauer für Video strikt begrenzen, sodass sie dem dokumentierten Zweck des Systems entspricht.

Überprüfen Sie die Aufbewahrungszeit für alle Kameras, und vergewissern Sie sich, dass sie dem dokumentierten Zweck des Systems entspricht.

ACC setzt die vom Endbenutzer angegebenen Begrenzungen der Aufbewahrungszeit pro Kamera konsequent durch.

Cybersicherheit

Veranlassen Sie alle angemessenen organisatorischen und technischen Maßnahmen zum Schutz gegen eine Gefährdung von personenbezogenen Daten.

Halten Sie die DSGVO-Richtlinien zur Meldung von Verstößen genau ein.

Informieren Sie sich über Sicherheitsrichtlinien rund um Passwortkontrolle und Kontonutzung.

Erwägen Sie das Festlegen einer Mindestpasswortsicherheit für alle Gruppen. Erwägen Sie strengere Anforderungen für Administratorkonten.

Wenden Sie Verfahren zur Überwachung des Schutzstatus und zur Erkennung von Verstößen an.

Stellen Sie sicher, dass Benutzer Konten nicht gemeinsam verwenden, indem sie entweder Passwörter austauschen oder sich zum Ende/Beginn ihrer Schicht nicht ab-/anmelden.

Pflegen Sie dokumentierte Richtlinien und Verfahren für geeignete Maßnahmen im Falle eines Verstoßes gegen die Datensicherheit.

ACC setzt Maßnahmen wie die Durchsetzung sicherer Passwörter, Verbindungsauthentifizierung und Datenverschlüsselung ein.

ACC stellt Aktivitätsprotokolle für alle Benutzeraktionen bereit, sodass Prüfer anzeigen können, wer wann auf welche Ressourcen zugegriffen hat.

* Funktion in einer zukünftigen Version von ACC im Jahr 2018

Weitere Ressourcen

ICO.org-Leitfaden zur Datenschutz-Grundverordnung

Europäischer Datenschutzbeauftragter, „Leitlinien des EDSB für die Videoüberwachung“ (PDF)

Europäischer Datenschutzbeauftragter, „Artikel 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“,

Europäischer Datenschutzbeauftragter, „Artikel 15 – Auskunftsrecht der betroffenen Person“,

Europäischer Datenschutzbeauftragter, „Artikel 25 – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“,

Europäischer Datenschutzbeauftragter, „Artikel 33 – Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde“,

 

Diese Seite ist nicht als Rechtsauskunft auszulegen und wird lediglich zu Informationszwecken bereitgestellt. Diese Seite ist von summativem Charakter und ist nicht als umfassende Analyse oder Gliederung aller Aspekte der DSGVO-Konformität zu verstehen, die für Sie relevant sind. Die Einhaltung von Datenschutzvorschriften ist kontext- und situationsspezifisch. Als Endbenutzer von Avigilon Produkten übernehmen Sie die Verantwortung dafür, dass Ihre Handlungen den gesetzlichen Datenschutzbestimmungen (einschließlich der DSGVO) entsprechen. Sollten Sie eine diesbezügliche Beratung benötigen, wenden Sie sich an einen qualifizierten Rechtsberater.


Glossar

ACC-Version Aktuelle ACC-Version mit Kamera getestet. Falls nicht anders angegeben, werden auch höhere Versionen von ACC unterstützt.
Audio-Eingang Audiofeed von Kamera empfangen
Audioausgabe Audio an mit der Kamera verbundene Lautsprecher senden
Automatische Erkennung Automatische Erkennung von Kamera-IP-Adressen bei Verbindung in einer LAN-Umgebung
Komprimierungskategorie Beschreibt die für die Kamera unterstützten Codierungstypen
Anschlussart Beschreibt den Typ des verwendeten Gerätetreibers. „Nativ“ bezieht sich auf den spezifischen Gerätetreiber des Herstellers.
Entzerrung Entzerrung von Fischaugen- oder Panoramakameras im Client
Digitaler Input Empfang von digitalen oder Relaiseingaben von der Kamera
Digitaler Output Auslösung von digitalen oder Relaisausgaben, die physisch mit einer Kamera verbunden sind
Bewegung Schnelle Anzeige, ob Bewegungsaufzeichnung für die Kamera verfügbar ist
Bewegungskonfiguration Konfiguration der Bewegungserkennung im ACC-Client
Bewegungsaufzeichnung Unterstützung von bewegungsbasierter Aufzeichnung
PTZ Schnelle Anzeige, ob PTZ-Funktionen für die Kamera verfügbar sind
PTZ-Steuerung Grundlegende PTZ-Bewegung
PTZ-Muster/-Touren Möglichkeit zum Erstellen und Auslösen von PTZ-Mustern oder PTZ-Touren je nach Kameraunterstützung
PTZ-Voreinstellungen Erstellen und Auslösen von voreingestellten PTZ-Positionen
Einheitentyp Kameratyp
Verifiziert von Organisation, die eine Kamera und die angegebenen Funktionen getestet hat
Verifizierte Firmware Specific firmware version tested.
Hersteller Blah
Modell DS-2DE2103
Anschlussart ONVIF
Einheitentyp IP-PTZ-Kamera
Compression Types H.264

  • ACC-Version
  • Modell DS-2DE2103
  • Anschlussart ONVIF
  • Hersteller Blah
  • Hersteller Blah
  • Hersteller Blah
  • Hersteller Blah
  • Hersteller Blah
  • Hersteller Blah
  • Hersteller Blah
  • Hersteller Blah
  • Hersteller Blah

Verifiziert von:

Vendor
Testbericht herunterladen