Videos gemäß EU-Datenschutzrecht managen

Videos und die DSGVO

| Autor / Redakteur: Rainer Möller / Peter Schmitz

Videos werden von Unternehmen immer vielfältiger eingesetzt. Was viele dabei aber übersehen: Sind in Videos Personen zu sehen, macht sie das zu personenbezogenen Daten und damit relevant für die DSGVO.
Videos werden von Unternehmen immer vielfältiger eingesetzt. Was viele dabei aber übersehen: Sind in Videos Personen zu sehen, macht sie das zu personenbezogenen Daten und damit relevant für die DSGVO. (Bild: Pixabay / CC0)

Videos enthalten in vielen Fällen personenbezogene Daten. Deshalb müssen Unternehmen auch Bewegtbilder im Rahmen der EU-DSGVO vor unautorisierten Zugriffen und unerlaubter Weiterverarbeitung schützen. Nutzen Unternehmen eine Enterprise-Video-Plattform, die dem Grundsatz des „Privacy by Design“ entspricht, können sie die Einhaltung der DSGVO leichter nachweisen.

Ab 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) europaweit. Spätestens dann führt für Unternehmen kein Weg mehr am umfassenden Schutz personenbezogener Daten vorbei – nicht zuletzt, weil das neue Regelwerk empfindliche Strafen für Verstöße androht. Daten, die dabei nicht vergessen werden dürfen, sind Videos. Immer mehr Unternehmen setzen Videos immer vielfältiger ein, von How-to-Anleitungen für den Kundenservice über Firmenporträts für Marketing-Zwecke bis hin zu Mitarbeitervideos für die interne Kommunikation; und in fast allen dieser Videos sind Personen zu sehen und zu hören. Das macht sie zu personenbezogenen Daten und deshalb müssen auch sie von den Unternehmen vor unautorisierten Zugriffen und unerlaubter Weiterverarbeitung geschützt werden. Es gilt sicherzustellen, dass solche Videos ausschließlich von den Personen genutzt werden können, für die sie bestimmt sind. So kann es sein, dass manche Videos von Mitarbeitern nur für die Kollegen in der eigenen Abteilung gemacht wurden; andere wiederum wurden ausschließlich für ausgewählte Kunden produziert; und wieder andere dürfen nur von exklusiven Partner gesehen werden. Aber auch Personen, die Zugriff auf diese Videos haben dürfen, können deshalb damit noch lange nicht tun, was sie möchten. Gehört ein Mitarbeiter etwa zu einer Gruppe, für die ein Video bestimmt ist, muss das nicht automatisch heißen, dass er das Video auch bearbeiten oder teilen darf.

Um diesen Anforderungen gerecht zu werden, haben Unternehmen natürlich grundsätzlich die Möglichkeit, ihren Videobestand nachträglich mit den nötigen Maßnahmen, Mechanismen und Technologien auszustatten. Das wäre aber nicht nur sehr aufwändig und teuer; es würde auch dem Grundsatz des „Privacy by Design“ widersprechen, der ausdrücklich in der EU-DSGVO verankert ist. Technik zur Datenverarbeitung, so der Grundsatz, sollte von vornherein gezielt auf Datenschutz ausgerichtet sein. Nutzen Unternehmen eine Lösung, die diesem Grundsatz entspricht, können sie die Einhaltung der DSGVO leichter nachweisen.

9 DSGVO-Mythen enttarnt!

Klarheit bei der Datenschutz-Grundverordnung

9 DSGVO-Mythen enttarnt!

09.01.18 - Die Vorbereitungen auf die DSGVO / GDPR kommen bei vielen Unternehmen nicht schnell genug voran. Umso wichtiger ist deshalb die Aufklärung, was wirklich hinter der Datenschutz-Grundverordnung steckt. Aktuell kursieren viele Mythen und falsche Informationen zur DSGVO im Netz. Wir klären auf. lesen

Inhärente Sicherheitsarchitektur schützt die Videos

Die bessere Alternative ist es deshalb, den Videobestand auf eine professionelle Enterprise-Video-Plattform (EVP) zu migrieren die „Privacy by Design“ gewährleistet, indem sie Videos durch eine mehrschichtige inhärente Sicherheitsarchitektur von Haus aus umfassend schützt. Eine solche Architektur beginnt mit Absicherung des Zugangs zu den Videos durch Authentifizierung der Nutzer. Dabei sollte die EVP nicht nur eine klassische passwortbasierte Anmeldung mitbringen, sondern auch Single-Sign-On-Systeme und eine Multifaktor-Authentifizierung unterstützen. Dazu muss sie Authentifizierungsmethoden wie SAML, One-Time-Passwords (OTP), Smart-Cards oder biometrische Erkennung beherrschen.

Damit die angemeldeten Personen Videos nur in der für sie zulässigen Art und Weise nutzen können, sollte die EVP als weitere Sicherheitsschicht eine feingranulare Vergabe von Nutzungsrechten ermöglichen. Um den Administrationsaufwand für die Konfiguration von Rechten auf Einzelnutzerbasis zu reduzieren, lässt die EVP idealerweise eine Rechtemodellierung über Benutzergruppen und Rollen zu. Dann kann auch eine komplexe Rechtekonfiguration bei einer großen Anzahl von Benutzern einfach und nachvollziehbar durchgeführt werden. Für Video-Use-Cases mit tausenden Nutzern – etwa Town Hall Meetings per Live-Stream – sollte außerdem eine Integration in vorhandene Unternehmensverzeichnisse wie ActiveDirectory oder LDAP möglich sein. Dann können Benutzer-Accounts regelbasiert mit den richtigen Rollen- und Gruppenzuordnungen automatisiert angelegt, geändert oder gelöscht werden.

Bestimmten Branchen wie dem Finanzwesen macht die EU-DSGVO verschärfte Auflagen für die Nachvollziehbarkeit. Die betroffenen Unternehmen sind in der Pflicht, rechtssicher zu dokumentieren, wann beispielsweise welches Video wo und von wem veröffentlicht wurde. Dafür muss die EVP ein datenschutzkonformes, fälschungssicheres Logging zur Protokollierung mitbringen. Zusätzlich sind Videos auch nach dem Löschen zu archivieren. Zur Erfüllung der Nachweispflicht sollte die EVP dabei eine speicherplatzsparende Videoversion mit niedriger Qualität aufbewahren.

Eine weitere Sicherheitsschicht stellt die Kontrolle der Wiedergabe dar. Damit Videos nicht von unautorisierten Personen abgespielt werden können, bieten manche Enterprise-Video-Plattformen zusätzliche Funktionen wie IP-Adressfilter, Geo-Blocking, Token-Authentifizierung und SSL-verschlüsseltes Streaming, um die Videoauslieferung abzusichern. Idealerweise lassen sich in der EVP damit Standardkonfigurationen für einzelne Sicherheitsklassen wie „öffentlich“, „vertraulich“ oder „geheim“ definieren. Endnutzer müssen beim Upload eines neuen Videos dann nur noch die entsprechende Klasse auswählen und die dahinterstehenden Sicherheitsvorkehrungen werden automatisch für das Video angewandt. Ist das der Fall, erfüllt die EVP mit „Privacy by Default“, einen weiteren zentralen Grundsatz der EU-DSGVO. Er fordert, dass die Voreinstellungen einer Software Endnutzern den Datenschutz so einfach wie möglich machen, indem sie nicht gezwungen sind, aufwändige und komplizierte Konfigurationen selbst vorzunehmen.

Cloud-Betrieb stellt zusätzliche Anforderungen

Videos sind per se große Dateien und ihre wachsende Verbreitung in den Unternehmen führt zu einem stetig steigenden Speicherbedarf. Zudem erfordert das gleichzeitige Hochladen und Verarbeiten vieler Videos in Stoßzeiten große Rechenkapazitäten. Wegen dieser hohen Skalierungsanforderungen empfiehlt es sich für Unternehmen, eine EVP als Software-as-a-Service (SaaS) aus der Cloud zu nutzen. Dabei sind allerdings weitere Implikationen der EU-DSGVO zu beachten. So müssen Unternehmen jederzeit nachweisen können, dass ihre Videos entsprechend den europäischen Datenschutzregelungen vorgehalten werden. Der Anbieter der EVP sollte deshalb idealerweise selbst ein europäisches Unternehmen sein und seine EVP ausschließlich in europäischen Rechenzentren hosten. Die Verträge zur Auftragsdatenverarbeitung, die mit dem Anbieter geschlossen werden, sollten außerdem gewährleisten, dass die komplette Infrastruktur der EVP eine durchgängige Datenschutz-Compliance gewährleistet.

Dazu zählt auch ein angeschlossenes Content Delivery Network (CDN), das zur performanten globalen Auslieferung von Videos genutzt wird. Der europäische Gesetzgeber verlangt, personenbezogene Daten nicht in Drittländern zu speichern, in denen ein zu niedriges Datenschutzniveau herrscht. Bei der weltweiten Auslieferung von Videos kann es aber nötig werden, dass das CDN Videos in Ländern zwischenspeichert, wo das generelle Datenschutzniveau mutmaßlich zu niedrig ist. Deshalb muss der EVP-Betreiber sicherstellen, dass die Infrastruktur seines CDN-Partners auch außerhalb Europas den Datenschutzregularien der EU gerecht wird und dies in den Verträgen mit den Anwenderunternehmen garantieren.

Über den Autor: Rainer Möller ist Lead Solution Architect bei Movingimage in Berlin.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45282797 / Compliance und Datenschutz )