Technik und Organisation 121 Videoüberwachung auch in Geschäften kein Patentrezept AUS DER PRAXIS Seit ca

Im Hinblick auf das immer mehr Anklang findende Verfahren zur gegenseitigen Anerkennung von verbindlichen Unternehmensregelungen in der EU (Mutual Recognition)150 wurde beschlossen, dass bei deutscher Beteiligung am europäischen Koordinierungsverfahren nach dessen Abschluss kein Beschluss des Düsseldorfer Kreises mehr erforderlich ist, mit dem ausreichende Datenschutzgarantien attestiert werden. Künftig reicht die Benachrichtigung des Düsseldorfer Kreises durch die federführende deutsche Aufsichtsbehörde aus.

12. Technik und Organisation

Videoüberwachung ­ auch in Geschäften kein Patentrezept AUS DER PRAXIS

Seit ca. einem Jahr häufen sich die Beschwerden von Bürgerinnen und Bürgern wegen der zunehmenden Videoüberwachung in Geschäften mittelständischer und kleiner Unternehmen mit Kundenverkehr. Hierzu zählen auch die unzähligen Filialen der Lebensmittelketten. Betroffen sind fast alle Branchen wie Friseurgeschäfte, Videotheken, Apotheken, Boutiquen, Imbissbuden, Kioske und Zeitungsstände.

Die verantwortlichen Stellen (die Ladenbesitzer) berufen sich auf §6 b Abs. 1 Nr. 3 BDSG. Danach ist die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) nur zulässig, soweit sie zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Allerdings ist eine Videoüberwachung nur dann erforderlich, wenn es auch tatsächlich zu solchen Vorfällen gekommen ist.

Ladenbesitzerinnen und -besitzer sollten diese Vorfälle durch die Vorlage einer Strafanzeige bei der Polizei belegen können. Die Erforderlichkeit kann in Einzelfällen aber auch angenommen werden, wenn ein besonderes Schutzbedürfnis dargestellt werden kann, 150 Neben Deutschland sind bislang Belgien, Bulgarien, Frankreich, Großbritannien, Irland, Island, Italien, Lettland, Liechtenstein, Luxemburg, Malta, Niederlande, Norwegen, Österreich, Slowenien, Spanien, Tschechien und Zypern beteiligt. z.B. wenn das videoüberwachte Geschäft in einer Umgebung mit hoher Kriminalitätsdichte liegt.

Einige Geschäfte neigen dazu, ihre Verkaufsräume lückenlos mit Videokameras auszustatten. Das ist aber nur dann verhältnismäßig, wenn ausschließlich solche Bereiche im Beobachtungsfeld der Kameras liegen, die geschützt werden sollen. Wenn etwa Bezahlvorgänge dokumentiert oder an der Kasse Beschäftigte vor tätlichen Übergriffen geschützt werden sollen, muss sich die Kameraüberwachung auf den Kassenbereich beschränken.

Es gibt Geschäfte, die ihre hochwertigen Artikel offen in Regalen anbieten oder nah am Eingangsbereich platzieren. Zum Schutz dieser Ware ist die Installation einer Videoüberwachung jedoch nicht geeignet.

Diebstähle könnten wirkungsvoller durch das Aufstellen leerer Flaschen und Kartons oder Verpackungen verhindert werden. Möglich wären auch Glasvitrinen oder abschließbare Regale. Diese Alternativen wären mildere Mittel, die einerseits die gewünschten Zwecke der verantwortlichen Stelle erreichen und andererseits die Persönlichkeitsrechte der betroffenen Kundinnen und Kunden berücksichtigen würden.

FAZIT

Vor der Installation von Videoüberwachungskameras in Geschäften mit Kundenverkehr muss ihre Zulässigkeit nach §6 b BDSG geprüft werden.

Videoüberwachung muss erforderlich, geeignet und verhältnismäßig sein, und es ist zu prüfen, ob andere Mittel, die nicht in Persönlichkeitsrechte der Kundschaft und der Beschäftigten eingreifen, nicht in gleicher Weise zum Ziel führen.

Neue Bedrohungen durch Schadprogramme

Obwohl ständig neue Schadprogramme bekannt werden, geraten sie immer weniger in den Blickpunkt der Medien. Dies mag daran liegen, dass das öffentliche Interesse an diesen mittlerweile allgegenwärtigen Problemen ermüdet sein könnte, auch weil zumindest in Europa151 spektakuläre Angriffe auf die IT-Sicherheit bedeutender Anwender nicht bekannt wurden. Dies sollte aber nicht dazu führen, dass die Computeranwender in Wirtschaft und Verwaltung sich in trügerischer Sicherheit wähnen.

Untersuchungen152 haben gezeigt, dass Computer durchschnittlich bis zu einem Jahr mit Schädlingen befallen sind, bevor diese sich bemerkbar machen. An dieser langen Verweildauer sind oft sog. Botnetze Schuld, die die Computer infizieren, dann aber ihre

Die Risiken durch Schadprogramme, wie sie im Jahresbericht beispielhaft aufgezeigt werden, werden ausweislich der Ergebnisse des aktuellen ITSicherheitsberichtes auch von den Behörden der Berliner Verwaltung als wesentliche Bedrohung der IT-Sicherheit eingeschätzt. Maßnahmen zum Schutz vor diesen Risiken (z. B. Virenscanner, Firewall, regelmäßige Programmaktualisierungen usw.) sind auf Basis der Empfehlungen des IT-Grundschutzkatalogs des Bundesamtes für Sicherheit in der Informationstechnik (BSI) umgesetzt. In der behördenübergreifenden AG IT-Sicherheit wird das Thema regelmäßig erörtert: Dabei spielt auch die im Jahresbericht angeregte grundsätzliche Diskussion über erforderliche neuartige Maßnahmen (Paradigmenwechsel) ei151 Nach Redaktionsschluss wurden massive ­ offenbar von China ausgehende ­ Hackerangriffe auf Google und andere Unternehmen bekannt.

Trend Micro, http://blog.trendmicro. Auffällig ist, dass immer mehr Schadprogramm-Angriffe über soziale Netzwerke erfolgen. Gründe dafür sind die Neugierde der Nutzenden oder die Einfachheit der WebWeiterleitung. Es gibt z. B. folgende aktuelle Bedrohungen, zu denen aktuelle Hinweise zur Gefahrenabwehr gegeben werden. ne Rolle.

Trojaner Trojaner sind schon seit längerem die am häufigsten auftretende Art von Schadprogrammen. Die meist in einem vorgeblich harmlosen Programm verborgenen, Schaden stiftenden Routinen dienen dazu, heimliche Zugänge (Hintertüren) zu öffnen oder die System- und Internet-Identitäten der Anwendenden auszuspionieren. Verbreitet sind sog. Keylogger, die die Tastaturanschläge protokollieren und die Protokolle zu einem späteren Zeitpunkt an eine zuvor definierte Adresse im Internet verschicken. Die Infektion erfolgt häufig beim Empfang einer E-Mail mit einem für Nutzende wichtigen Betreff und der Aufforderung, eine Anlage zur E-Mail aufzurufen, um Näheres zu erfahren. Als Weiterentwicklung können die Bootkits gesehen werden, die sich im Master Boot Record verstecken und somit vor dem Start des Betriebssystems aktiv werden. Wird später ein Antivirenprogramm gestartet, ist ein Auffinden sehr unwahrscheinlich. Das Bootkit „Kon-Boot 1.1" entfernt z. B. den Passwortschutz von diversen MS Windows-Betriebssystemen sowie Linux-Distributionen.