Datenschutzaudit für Videoüberwachung im Einzelhandel

Datenschutzaudit für Videoüberwachung im Einzelhandel

Mit einem  Datenschutzaudit Ihrer Videoüberwachung können Sie als Verantwortlicher nachweisen, dass Sie die Richtlinien der DSGVO befolgen und die hohen  Anforderungen der Bild-Datensicherheit erfüllt werden und somit das Vertrauen der Verbraucher gestärkt wird.

Hinweisschild Videoüberwachung   DSGVO -Analyse  (Kostenlos)

 

  1. Hinweisschild vorhanden?
  2. Ist das Hinweisschild deutlich sichtbar, ist die frühestmögliche Kenntlichmachung gegeben?
  3. Name und Kontaktdaten des Verantwortlichen ?
  4. Kontaktdaten des Datenschutzbeauftragten ?
  5. Ist ein Hinweis zu einem Informationsaushang gem. Art 13 DSGVO auf dem Hinweisschild?

 

 

 DSGVO Kurz-Analyse des Informationsaushanges –  Kostenlos

 

 

  1. Namen und die Kontaktdaten des Verantwortlichen,sowie gegebenenfalls seines Vertreters;
  2. Die Kontaktdaten des Datenschutzbeauftragten;
  3. Die Zwecke für jede einzelne Kamera, sowie die Rechtsgrundlage für die Verarbeitung;
  4. Wenn Art 6 f, dann die berechtigten Interessen, die von dem Verantwortlichen verfolgt werden;
  5. Weitergabe der Daten an Dritte oder ein (EU-) Drittland
  6. Die für jeden Zweck klar definierte und individuell festgelegte Speicherdauer

 

Es liegt in der Verantwortung des für die Verarbeitung Verantwortlichen, die  Einhaltung der Bestimmungen der DSGVO nachzuweisen

„Die Videoüberwachung darf nicht um ihrer selbst willen geschehen“, sagt Alexander Nguyen von der Berliner Datenschutzbehörde. Eine abstrakte Gefahr wie etwa „Videoüberwachung zum Schutz des Eigentums“ müsse der Händler mit präzisen Beispielen untermauern, etwa mit dem Verweis darauf, dass ständig Schnaps gestohlen wird. Als milderes Mittel käme hier etwa ein abschließbarer Schrank infrage.

 

 

Datenschutzaudit

Ein Video-Datenschutzaudit ist ein  Prüfungsprozess, bei dem Konzepte und Verfahren und auch die Installation  der Videoüberwachung geprüft werden. Geprüft wird auch, ob die erforderlichen Maßnahmen für die Einhaltung des Datenschutzes (DSGVO) gemacht und dokumentiert wurden.

Die Überprüfung der Videosysteme, der installierten Geräte und die Arbeitsabläufe und der Unterlagen übernehmen dabei die Video-DSGVO Spezialisten, zertifizierte Partner  der Deutschen Datenschutzhilfe.

Die Verbraucher/Kunden können auf Grundlage dieser DSGVO-Video-Zertifizierung darauf bauen, dass die bei diesem Unternehmen hinterlegten personenbezogenen Bild-Daten sicher aufbewahrt und sicher vor unbefugtem Zugriff und somit vor Missbrauch von Dritten geschützt  werden.

 

 

1. Schritt

DSGVO ORGA-Audit

Eine komplette organisatorische Überprüfung der vorhandenen Videoüberwachung mit Erstellung von datenschutzkonformen Unterlagen

880€  pro Videoüberwachungsanlage

Datenschutz-Analyse, Überprüfung der erforderlichen Datenschutz-Unterlagen 1-16

(gem. Urteil  OLG-Stuttgart muss der Betreiber nachweisen, dass seine Videoüberwachung datenschutzkonform ist)

  1. Ist Ihre Videoüberwachung dem Zweck angemessen und auf das notwendige Maß beschränkt
  2. Haben Sie geeignete technisch-organisatorische Maßnahmen getroffen?
  3. Entsprechen alle Kameras, Rekorder, Netzwerk , Zugriff-App, dem aktuellen Stand der Technik
  4. Können Sie nachweisen, dass Ihre Videoüberwachung in allen Punkten der DSGVO entspricht?

 

Anforderung von Unterlagen für unser Vor-Audit
  1. Informationsaushang für Kunden gem. Art. 13 DSGVO
  2. Vorabkontrolle mit Vorfallsdokumentation
  3. Wer ist für die Verwaltung und Technik des Videoüberwachungssystems verantwortlich?
  4. Bestellungsurkunde des Datenschutzbeauftragten
  5. Zweck und Umfang des Videoüberwachungsprojekts.
  6. Technisch und Organisatorische Maßnahmen , z.B. Standorte u- Blickwinkel der Kameras
  7. Information und Einverständniserklärung der Mitarbeiter
  8. Vertraulichkeitsvereinbarung der Zugriffsberechtigten
  9. Aus welchen Gründen und wie lange erfolgt eine Speicherung der Videoaufnahmen
  10. Wie wird der Zugriff zum Videosystem protokolliert? Logfiles-Protokoll?
  11. Nachweis über sicheren Standort des Videoaufnahmegerätes
  12. Datenschutzfolgenabschätzung und Verfahren zur Verwaltung von Vorfällen
  13. Letzte Updates u. SSL-Verschlüsselung bei IP-Kameras  und Rekorder (Protokolle)
  14. Verfahren für Netzwerksicherheit und Wartung der Videoüberwachung
  15. Dienstleistervereinbarung, Errichter, Wachdienst
  16. Datenschutzdokumentation mit Screenshots der Kamerabilder

 

 

2. Schritt

DSGVO Hardware-Audit- inkl. Technischen- Maßnahmen, 880€ pro Videoüberwachungsanlage

Hardware-Audit –  Kamera-Analyse , Überprüfung  welche Kameras DSGVO-konform sind und welche abgebaut werden müssen und welche TOM noch getroffen werden müssen. Wir prüfen, ob Hacker bereits Zugang zu Ihren Kameras oder Ihrem Netzwerk  haben.  Erstellung einer Datenschutzfolgenabschätzung in der insgesamt 14 technische Prüfungspunkte aufgeführt werden.  Veraltete Geräte müssen auf Kosten des Betreibers ausgetauscht werden (z.B. Router, IP-Kameras, etc.) Preis 880,–€

  • Ist der Zugang zu dem Rekorder SSL-verschlüsselt (HTTPS)?
  • Haben Dritte (Sicherheitsunternehmen) ebenfalls Zugriff zu den Bilddaten?

Wie  wird der externe Zugriff gemacht?

  • P2P (damit über einen Server des Herstellers in China)
  • DynDNS (damit über Server in USA)
  • Abspeicherung der Videodaten in einer Cloud
  • Feste IP-Adresse

Erfolgt der Zugriff auf den Rekorder direkt über den Router oder ist ein Reconnect-Switch dazwischen, der einen Hacker –Zugriff unmöglich macht. Derzeit sind fast alle Linux-Rekorder von Hackern erfasst worden, deshalb ist es dringend erforderlich zu überprüfen, wie die Verbindung zum Internet gemacht wurde.

Für die Analyse des Videosystems benötigen wir die folgenden Angaben vom Einzelhändler:

  1. Hersteller der Videogeräte
  2. Kamera Typ, Rekorder Typ
  3. Angabe der Indikatoren für die Kamerastandorte
  4. Nachweis Verkabelung, DC, Video, Audio deaktiviert
  5. Begründung für die Kamerablickwinkel
  6. Dokumentation +Protokoll: Zugang zu den Bilddaten
  7. Fernzugang über IP-Adresse, P2P, Cloud
  8. Ist ein Zugang für Dritte ermöglicht
  9. Protokoll Logfiles
  10. Dauer der Bildspeicherung, ( lokal, Cloud)
  11. Absicherung DVR/NVR (Rekorder
  12. Verschlüsselung der IP-Kameras
  13. Letzte Updates bei IP-Kameras
  14. Netzwerksicherheit, Save-Wall

 

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gem. EDPB Guideline Video devices – Europäische Leitlinie zur Videoüberwachung

 

Die Zugriffskontrolle stellt sicher, dass nur autorisierte Personen auf das System und die Daten zugreifen können, während andere daran gehindert werden, dies zu tun. Maßnahmen, die die physische und logische Zugriffskontrolle unterstützen, wie folgt:

  • Sicherstellen, dass alle Räumlichkeiten, in denen die Überwachung durch Videoüberwachung erfolgt und in denen Videomaterial gespeichert ist, vor unbeaufsichtigtem Zugriff durch Dritte geschützt sind.
  • Positionieren Sie die Monitore so (insbesondere, wenn sie sich in offenen Bereichen wie einer Rezeption befinden) so dass, nur autorisierte Benutzer darauf schauen können
  • Verfahren zum Gewähren, Ändern und Widerrufen des physischen und logischen Zugriffs werden definiert und durchgesetzt.
  • Methoden und Mittel zur Benutzerauthentifizierung und -Autorisierung, einschließlich z. Passwortlänge und Änderungshäufigkeit sind implementiert.
  • Vom Benutzer durchgeführte Aktionen (sowohl für das System als auch für die Daten) werden aufgezeichnet und regelmäßig überprüft.
  • Die Überwachung und Erkennung von Zugriffsfehlern erfolgt kontinuierlich und erkannte Schwachstellen werden so schnell wie möglich behoben

Die System- und Datensicherheit, d. h.  der Schutz vor  vorsätzlichen und unbeabsichtigten Eingriffen in den normalen Betrieb, kann folgendes umfassen:

  • Schutz der gesamten VSS-Infrastruktur (einschließlich Remote-Kameras, Verkabelung und Stromversorgung) vor physischen Manipulationen und Diebstahl.
  • Schutz der Filmmaterialübertragung mit Kommunikationskanälen, die gegen Abfangen geschützt sind
  • Datenverschlüsselung.
  • Verwendung von Hardware- und Software-basierten Lösungen wie Firewalls, Antiviren- oder Intrusion Detektion-Systemen gegen Cyber-Angriffe.
  • Erkennung von Fehlern von Komponenten, Software und Verbindungen.
  • Mittel zur Wiederherstellung der Verfügbarkeit und des Zugriffs auf das System im Falle eines physischen oder technischen Vorfalls.

(siehe europäische Leitlinie für Videoüberwachung)

3. Schritt Datenschutz-Auditierung der vorhandenen Videoüberwachung beim Einzelhändler vor Ort  (Im Preis  Hardware-Audit enthalten)

 

Schlagwörter: ,