Was Bauunternehmen über DSGVO und Datenschutzgesetze wissen müssen – Foto- und Video-Anonymisierung

Bis vor kurzem hatten Bauunternehmen die gleichen Pflichten wie alle anderen Unternehmen gemäß der DSGVO. Sie mussten die personenbezogenen Daten ihrer Mitarbeiter, Lieferanten und Auftragnehmer schützen. In vielen Fällen reichten relativ einfache Lösungen wie verschlüsselte Datenübertragung, regelmäßige Backups und passwortgeschützte Datenbanken aus. Natürlich musste es auch einen DPO (Datenschutzbeauftragten) geben, der dafür verantwortlich war, die Abläufe des Unternehmens an die gesetzlichen Anforderungen anzupassen.

Aber das ist erst der Anfang des Datenschutzes in Bauunternehmen, insbesondere angesichts der Tatsache, dass sie jetzt Gigabytes an visuellen Daten sammeln und verarbeiten müssen, die oft Bilder von Gästen, Beamten, Arbeitern, anderen Mitarbeitern und sogar zufälligen Personen und Autokennzeichen enthalten.

Von Bauunternehmen gesammelte Fotodaten

Heutzutage sind die Dinge komplizierter, da Bauunternehmen riesige Mengen an visuellen Daten (sowohl Videos als auch Fotos) verarbeiten. Diese Materialien werden verwendet um:

• Bereiten Sie Baupläne, Pläne und Entwürfe vor
• Erhöhen Sie die Sicherheit der Arbeitnehmer und stellen Sie sicher, dass sie die Sicherheitsvorschriften einhalten
• Überwachen Sie Personen, die das Gelände betreten und verlassen
• Schützen Sie Baugeräte (das 24/7-Überwachungsschild kann viele potenzielle Diebstähle abschrecken)
• Dokumentieren Sie den Arbeitsfortschritt, die verwendeten Materialien und die angewandten Lösungen

Dies ist besonders wichtig, wenn es um große Infrastrukturprojekte geht, wie zum Beispiel:

• -Straßen und Autobahnen
• Eisenbahnen
• Windparks
• Pipelines
• Künstliche Wasserreservoirs
• Agrar- und Landumwandlungsprojekte

Bei einigen dieser Bilder handelt es sich um sehr spezielle Fotografien (z. B. Panoramafotos und 360-Grad-Bilder). Sie werden häufig mit speziellen, an Fahrzeugen montierten Geräten aufgenommen, ähnlich denen, die bei der mobilen Kartierung verwendet werden. In anderen Situationen ist die Dokumentation der Baustelle weitaus einfacher. Möglicherweise werden einige Bilder sogar von Mitarbeitern mit ihren Digitalkameras oder sogar Smartphones gemacht. Und natürlich kann man Arbeiter theoretisch anweisen, das Fotografieren von Personen oder Fahrzeugen mit sichtbaren Nummernschildern zu vermeiden, aber das ist nicht immer möglich.

Es ist sehr wahrscheinlich, dass zumindest einige der Bilder, die ein Bauunternehmen verarbeitet, Personen oder Fahrzeuge zeigen. Bauunternehmen müssen sich darüber im Klaren sein, dass alle diese Bilder den Datenschutzbestimmungen der DSGVO unterliegen. Selbst wenn das Unternehmen außerhalb der Europäischen Union tätig ist, gibt es höchstwahrscheinlich in einem bestimmten Land eine ähnliche Regelung mit ähnlichen Bestimmungen.

Wie können Bauunternehmen diese Vorschriften einhalten?

Schutz personenbezogener Daten: Herausforderungen und Verpflichtungen

Jedes europäische Bauunternehmen ist verpflichtet, in voller Übereinstimmung mit der DSGVO zu arbeiten. Was bedeutet es in der Praxis?

DAS RECHT AUF ZUGRIFF AUF PERSONENBEZOGENE DATEN

Eine der Fragen, die Bauunternehmen hierbei berücksichtigen müssen, ist das Auskunftsrecht der betroffenen Person (Art. 15). Es erübrigt sich zu erwähnen, dass im wahrsten Sinne des Wortes jeder betroffen sein kann, da CCTV-Kameras sogar Unbeteiligte „erfassen“ können, die den Bau des neuen Gebäudes beobachten. Einen unserer neuesten Blogbeiträge haben wir der Frage der Datenzugriffsrechte auf dem Gallio.PRO-Blog gewidmet: Artikel 15 DSGVO und Videoüberwachung – Pflicht zur Weitergabe der Aufnahmen.

DATEN SICHER SPEICHERN

Video- und Fotomaterialien, die personenbezogene Daten enthalten, können nicht beliebig und an jedem Ort gespeichert werden. Diese Vermögenswerte müssen gesichert werden, damit sie nicht in die falschen Hände geraten. Sicherlich möchte niemand Probleme haben, weil Filmmaterial durchgesickert ist, auf dem die Gesichter von Arbeitern, Umstehenden sowie lokalen oder Regierungsbeamten zu sehen sind. Daher müssen Bauunternehmen Folgendes sicherstellen:

1. Alle visuellen Daten werden an einem sicheren Ort gespeichert, der durch Zugangskontrolle geschützt ist.
2. Es gibt eine Datenzugriffs- und Datenschutzrichtlinie, die spezifisch und auf die Bedürfnisse eines bestimmten Unternehmens zugeschnitten ist.
3. Alle visuellen (und nicht-visuellen) Daten von Personen und Fahrzeugen werden durch Passwörter und andere relevante Cybersicherheitsmaßnahmen (z. B. Firewall) geschützt.
4. Personenbezogene Daten werden nicht länger als nötig gespeichert, und es gibt jemanden, der für die Zeitpläne und Verfahren zur Datenaufbewahrung verantwortlich ist (im Allgemeinen sollten Materialien, die personenbezogene Daten enthalten, bestimmte Geschäftsziele erreichen oder nach einer „angemessenen Zeit“ gelöscht werden).

DIE PROPORTIONALITÄTSREGEL

Wichtig ist, dass große Unternehmen, die regelmäßig und in großem Umfang visuelle Daten sammeln, noch strengere Verfahren und Sicherheitslösungen gewährleisten müssen. Das liegt an der sogenannten Verhältnismäßigkeitsregel.

Je mehr personenbezogene Daten ein Unternehmen speichert, desto mehr Sicherheitsmaßnahmen müssen umgesetzt werden.

Betrachten Sie dieses Beispiel: Es gibt zwei E-Commerce-Unternehmen. Der eine ist ein kleiner Shop mit einer Datenbank von einigen Tausend Kunden, der andere ein Marktführer mit Hunderttausenden Kunden und Newsletter-Abonnenten. Die DSGVO-Verordnung (hauptsächlich ihr Grundsatz der Verhältnismäßigkeit) impliziert, dass sich jedes große Unternehmen besser schützen, mehr Verfahren einführen, Datenschutzspezialisten beschäftigen und für fortschrittlichere Sicherheitsmaßnahmen bezahlen muss. Darüber hinaus benötigen solche Unternehmen strengere Regeln für die Meldung von Vorfällen und drohen im Falle eines Vorfalls deutlich höhere Strafen, selbst bei leichter Fahrlässigkeit.

Darüber hinaus schreibt die Verhältnismäßigkeitsregel vor, dass nur personenbezogene Daten erhoben und verarbeitet werden, die für die Zwecke der Verarbeitung angemessen und relevant sind.

TEILUNG PERSONENBEZOGENER DATEN

Bauunternehmen möchten oder müssen in der Regel gesammelte visuelle Daten mit anderen Unternehmen teilen, darunter:

• Kunden
• Auftragnehmer
• Behörden
• Und sogar Medien

Theoretisch erfordert jede dieser Situationen die Unterzeichnung separater Datenvertrauensvereinbarungen, in denen klar dargelegt wird, welche Art von personenbezogenen Daten an Dritte weitergegeben werden, warum und unter welchen Bedingungen. Im Rahmen einer solchen Vereinbarung hat die empfangende Partei die gleichen Pflichten wie die bereitstellende Partei, insbesondere hinsichtlich der Gewährleistung der vollständigen Sicherheit der empfangenen Daten.

So vermeiden Sie diese Probleme

All diese oben aufgeführten Herausforderungen und Pflichten entfallen fast vollständig, wenn es die Möglichkeit gibt, Personen und Nummernschilder aus Bildern und Aufnahmen zu entfernen. Bedeutet das aber, dass man auf solche Materialien gänzlich verzichten muss? Zum Glück nein. Es gibt eine sicherere und effektivere Lösung – die Datenanonymisierung.

Sobald die visuellen Daten anonymisiert sind, muss sich das Unternehmen keine Gedanken mehr über Datenschutzfragen im Zusammenhang mit diesen Materialien machen. Denn alle im Foto- oder Videomaterial eingebetteten personenbezogenen Daten wurden „neutralisiert“ und unterliegen somit nicht mehr der DSGVO.

Visuelle Datenanonymisierung – mögliche Optionen

In der einfachsten Form können Baufirmen ihre Bilder manuell anonymisieren. Auch einfache Grafiksoftware kann ausreichen. Diese Lösung wird jedoch ineffektiv, teuer und zeitaufwändig, wenn Hunderte oder sogar Tausende von Dateien anonymisiert werden müssen.

Glücklicherweise gibt es eine zweite, effektivere Option – eine Software zur automatisierten Datenanonymisierung. Solche Software wird normalerweise von KI-Algorithmen angetrieben, sodass diese Tools sehr effektiv darin sind, persönliche Daten (Gesichter, Nummernschilder) zu erkennen und sie zu anonymisieren, indem sie einen permanenten Unschärfefilter auf das Bild/die Aufnahme anwenden.

Natürlich ist keine Anonymisierungssoftware zu 100 % genau (obwohl die Genauigkeit normalerweise bei nahezu 100 % liegt), aber selbst wenn es dem Tool nicht gelingt, ein Gesicht von – um ein Beispiel zu nennen – 10.000 anonymisierten Gesichtern zu anonymisieren, kann der Datenverarbeiter dies tun behaupten zumindest, dass sie alle geeigneten Maßnahmen ergriffen haben, um personenbezogene Daten in ihren Bildmaterialien zu schützen. Und dies könnte eine wirksame Verteidigungslinie sein, die die Schwere möglicher Bußgelder und Strafen abmildert.

ZWEI ARTEN VON DATENANONYMISIERUNGSSOFTWARE

Für Bauunternehmen, die ihre visuellen Materialien effektiv anonymisieren möchten, gibt es zwei Hauptoptionen:

• Cloud-basierte Lösungen: Der Hauptnachteil dieser Tools besteht darin, dass das Unternehmen für die rechtmäßige Nutzung dieser Tools immer noch die Datenübertragungsvereinbarung (der Benutzer ist verpflichtet, Bilder und Videos an Server Dritter zu senden) mit dem Anbieter unterzeichnen muss. Die Nutzung cloudbasierter Plattformen ohne entsprechende Datenbereitstellungsvereinbarungen verstößt immer noch gegen die DSGVO.
• Lokale Lösungen: Sie sind langsamer als Cloud-Tools, aber da sie offline arbeiten, besteht kein Risiko, dass personenbezogene Daten verloren gehen, und es ist daher nicht erforderlich, zusätzliche Vereinbarungen zu unterzeichnen. Die Daten bleiben während des gesamten Prozesses im Unternehmen. In diesem Szenario ist das Unternehmen bei der Datenanonymisierung zu 100 % DSGVO-konform.
  

MASSGESCHNEIDERTE ANONYMISIERUNGSLÖSUNGEN

Darüber hinaus erfordern einige branchenübliche Vor-Ort-Lösungen dedizierte Implementierungen auf den Servern des Bauunternehmens, während andere als „Container“ bereitgestellt werden, der auf dem Server des Kunden ausgeführt werden kann. Diese Einrichtung erfordert in der Regel qualifiziertes IT-Personal und ist mit zusätzlichen Implementierungs-/Servicekosten verbunden. Solche Anonymisierungslösungen sind fast ausschließlich für groß angelegte, kontinuierliche industrielle Arbeitsabläufe sinnvoll (eher nicht für Bauunternehmen, die Materialien in Chargen im Zusammenhang mit bestimmten Projekten anonymisieren müssen), insbesondere wenn dies nur gelegentlich bei der Übergabe von Material an geschieht Dritte (Auftragnehmer oder Auftraggeber).

Ein weiterer entscheidender Faktor ist hier die Benutzerfreundlichkeit. Für einige Anwendungen erfordert der Einsatz einer dedizierten Serverlösung komplexe Implementierungs- und Konfigurationsprozesse. Hier ist eine einfache Desktop-Lösung klar im Vorteil. Jeder Benutzer, auch weniger technisch versierte, kann eine solche Desktop-Software auf jedem Windows-/Mac-Computer installieren.

Dennoch sind die KI-Algorithmen, die diesen Desktop-Anwendungen zugrunde liegen, oft genauso leistungsstark wie in maßgeschneiderten, maßgeschneiderten Lösungen.

VERSCHIEDENE PREISMÖGLICHKEITEN

Auch die Preisgestaltung sollte berücksichtigt werden. Wenn es um Anonymisierungssoftware geht, gibt es verschiedene Preismodelle. Die beliebtesten sind die folgenden:

• Bezahlen pro Benutzung
• Flatrate kombiniert mit einer zeitlich begrenzten Lizenz

Firmeninhaber müssen sicherstellen, dass sie das Preismodell wählen, das den Anforderungen ihres Unternehmens entspricht, damit sie alle relevanten Dateien anonymisieren können und nicht zu viel für den Zugriff auf ein ausgewähltes Tool bezahlen.

Fazit: Bauunternehmen müssen sich um die Datenanonymisierung kümmern

Im heutigen rechtlichen Umfeld müssen alle europäischen Bauunternehmen die notwendigen Maßnahmen zur Datenminimierung und gegebenenfalls Datenanonymisierung ergreifen. Dazu gehört das Entfernen/Unkenntlichmachen von Gesichtern und Nummernschildern auf allen Fotos und Videos. Durch die Anonymisierung visueller Daten können zusätzliche organisatorische Kosten, mögliche Risiken und rechtliche Probleme durch Datenschutzfehler vermieden werden.

Wenn nach der Lektüre dieses Beitrags noch Fragen bestehen, wenden Sie sich in der Regel am besten an den örtlichen Datenschutzbeauftragten oder die örtliche Datenschutzbehörde.