Kameraüberwachung in einem Bahnhof

Videoüberwachung in der DS-GVO

Die DS-GVO enthält zur Videoüberwachung von öffentlichen wie nicht-öffentlichen Bereichen keine spezifischen Regelungen, sondern stellt diese auf allgemeine Regelungen ab. Bei der Verarbeitung erhobener Überwachungsdaten ist eine Vielzahl an Vorgaben zu beachten, vor allem, da es sich hierbei um biometrische Daten handeln kann.

Eine Rechtmäßigkeit der Erhebung und Verarbeitung kann u.a. im Sinne der Generalklausel des Art. 6 Abs. 1 S. 1 lit. f DS-GVO gegeben sein, wobei das berechtigte Interesse eines Verantwortlichen dem Schutz der Interessen, Grundrechte und Grundfreiheiten betroffener Personen hinten anzustellen ist, sofern diese überwiegen.

Die konformen Umsetzung muss allgemeinen Grundsätzen des Datenschutzes folgen und sich am Best Practice, der Machbarkeit sowie einschlägiger Rechtsprechung orientieren. Aufgrund des Anwendungsvorrangs sind die Regelungen des BDSG-neu zur Überwachung öffentlicher Bereiche als zusätzliches Kriterium neben der DS-GVO zu beachten.

Die Datenschutzbehörden des Bundes und der Länder weisen eindeutig darauf hin, dass das Betreten eines als videoüberwacht gekennzeichneten Bereichs weder eine Einwilligung nach Art. 7 DS-GVO noch eine informierte Einwilligung nach Art. 4 Nr. 11 DS-GVO darstellt. Hinweisschilder zum Anzeigen eines überwachten Bereichs sind somit nicht ausreichend, um eine Interessenabwägung nach Art. 6 DS-GVO zu umgehen.

Zusätzliche formelle Anforderungen sind u.a. das Aufführen der Videoüberwachung im Verarbeitungsverzeichnis gemäß Art. 30 DS-GVO sowie das Erstellen einer Datenschutz-Folgenabschätzung, sofern erhebliche Risiken für die Rechte und Freiheiten betroffener Personen mit der Erhebung einhergehen. Letzteres ist vor allem bei der systematischen und umfassenden Überwachung öffentlich zugänglicher Bereiche gegeben.

Biometrische Daten: Gesichtserkennung

Erhobene Daten einer Videoüberwachung qualifizieren sich als biometrische Daten (vgl. ErwGr. 51 DS-GVO), wenn sie sich aufgrund von Auflösung, Perspektive, überwachten Bereich, etc. zur späteren Extraktion biometrischer Daten eignen und zur eindeutigen Identifizierung einer natürlichen Person führen können. Biometrische Daten gehören zu den besonderen Kategorien personenbezogener Daten, die eine Risikoabschätzung erfordern und besonders gehandhabt werden müssen.

Darüber hinaus wird Verarbeitung biometrischer Daten zur Identifizierung betroffener Personen durch Art. 9 Abs. 1 DS-GVO untersagt. Zum Zweck der Authentifizierung können ggf. Ausnahmetatbestände nach Art. 9 Abs. 2 DS-GVO herangezogen werden. § 22 Abs. 2 des BDSG-neu liefert eine beispielhafte Aufzählung zur Wahrung der Interessen der betroffenen Personen beim Umgang mit biometrischen Daten.

Voraussetzung einer Videoüberwachung

Eine Prüfung auf Rechtmäßigkeit einer Videoüberwachung unter den Voraussetzungen des Art. 6 Abs. 1 S. 1 lit. f DS-GVO muss unterschiedliche Kriterien berücksichtigen.  Auch die Konstellation des Datenerhebenden und des Verantwortlichen ist einzubeziehen sowie in eine Prüfung entsprechende Aufträge zur Datenverarbeitung einzubeziehen. Es können sich hierbei Konstellationen ergeben, in denen ein Dritter Daten für den Verantwortlichen erhebt. Werden z.B. Anlagen eines Bürogebäudes durch einen externen Sicherheitsdienstleister überwacht werden, erhebt dieser damit Daten u.a. über Mitarbeiter, Kunden und Lieferanten von Nutzern des Gebäudes. Die Prüfung der Rechtmäßigkeit sollte mindestens folgende Punkte umfassen.

Voraussetzung 1: Berechtigtes Interesse

Es ist zu bestimmen, ob ein berechtigtes Interesse an der durchzuführenden Überwachung besteht. Dieses kann sich z.B. aus Maßnahmen des Arbeitsschutzes, des Diebstahlschutzes oder der Zugangskontrolle ergeben und folgt weitestgehend der bisherigen Handhabung auf Basis des BDSG.

Voraussetzung 2: Erforderlichkeit

Videoüberwachung stellt einen starken Eingriff in das Recht auf Schutz personenbezogener Daten dar. Im Rahmen einer Prüfung muss entsprechend abgewägt werden, ob der zu erreichende Zweck auch durch andere Mittel erreicht werden kann. Im Falle einer Zugangskontrolle könnte eine Maßnahme der Gesichtserkennung vorgezogen, die nicht auf biometrischen Daten beruht, wie z.B. eine PIN-Eingabe.

Voraussetzung 3: Interessenabwägung

Bei diesem Prüfkriterium ist auf die subjektiven Erwartung von betroffenen Personen und deren Beziehung zum Verantwortlichen abzustellen, sowie auf die Frage, was ein unbeteiligter Dritter erwarten würde. Ein Beispiel ist die Videoüberwachung zum Schutz vor Diebstahl in Ladengeschäften – diese Überwachung wird durch Kunden weitgehend toleriert bzw. akzeptiert.

Die Abwägung von Interessen muss für jeden Einzelfall durchgeführt werden und darf sich nicht alleine auf vergleichbare Fälle stützen. Hierbei ist die Erwartungshaltung der betroffenen Personen maßgeblich. So ist eine Videoüberwachung von Kunden oder Gästen eher „den Erwartung entsprechend“, als die Überwachung des Arbeitsplatzes oder von Individualbereichen, wie Wartezimmern.

Anforderungen an die Beschilderung videoüberwachter Bereiche

Sicherheitsdienste überwachen Gebäude und Anlagen

Die Verarbeitung personenbezogener Daten muss für die betroffenen Personen in nachvollziehbarer Weise erfolgen, vgl. Art. 5 Abs. 1 lit. a DS-GVO und entsprechend Art. 13 DS-GVO sind bei der Datenerhebung durch den Verantwortlichen Informationen verpflichtend mitzuteilen. Die Datenschutzbehörden des Bundes und der Länder empfehlen folgende Mindestanforderungen, die sich aus Art. 13 Abs. 1 DS-GVO ergeben:

  • Kennzeichnung des Umstands der Videoüberwachung
  • Identität des für die Videoüberwachung Verantwortlichen
  • Kontaktdaten des betrieblichen Datenschutzbeauftragten
  • Verarbeitungszweck und Rechtsgrundlage
  • Angabe des berechtigten Interesses (sofern Verarbeitung nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO)
  • Dauer der Speicherung
  • Hinweis auf Zugang zu weiteren Pflichtinformationen (am Ort der Überwachung)

Aufbewahrung von Daten einer Videoüberwachung

Die durch eine Videoüberwachung erhobenen personenbezogenen Daten unterliegen allen Vorgaben und Anforderungen der DS-GVO, so auch den Grundsätzen der Datenminimierung und Speicherbegrenzung (vgl. Art. 5 Abs. 1 lit. c und e DS-GVO).

Speicherbegrenzung

Bei der Prüfung der maximalen Speicherdauer ist der Zweck der Datenerhebung ebenso entscheidend wie die schutzwürdigen Interessen der Betroffenen. Ist der Zweck der Verarbeitung erreicht oder überwiegen die Interessen betroffener Personen die Interessen des Verantwortlichen, sind erhobene Daten unverzüglich zu löschen. Bei praktisch allen Überwachungsdaten steht nach kurzer Zeit fest, ob eine Sichtung und weitere Aufbewahrung notwendig ist, z.B. als Beweismittel der Strafverfolgung. Entsprechend sollten Daten der Videoüberwachung spätestens nach 48 Stunden gelöscht werden.

Auch eine Echtzeit-Überwachung mit direkter Übertragung ohne Speicherung ist als Verarbeitung im Sinne der DS-GVO zu werten.

Datenminimierung

Die Systeme zur Datenerhebung sollten hohe Sicherheitsanforderungen erfüllen sowie durch Vorkonfiguration oder bei Installation datenschutzfreundlich gestaltet werden. Hierbei haben die technischen Spezifikationen dem zu erreichenden Zweck folgen und die Art. 25 und 32 DS-GVO erfüllen.

Wesentliche Merkmale können sein:

  • Verschlüsselte Übertragung und Speicherung der Videodaten (Verschlüsselung der Übertragung und des Speicherortes, automatisierte Löschung, etc.)
  • Einschränkung der erhobenen Daten auf relevante Bereiche der Überwachung (Kamerawinkel, Schwenkbereich, Verpixelung bestimmter Bereiche, keine Erhebung von Audiodaten, etc.)

Zurück zum Themenfokus DS-GVO


Verweise auf Rechtstexte mit Stichwort

  • Art. 2 Abs. 2 lit. c DS-GVO Persönliche oder familiäre Tätigkeit
  • Art. 4 Nr. 11 DS-GVO Informierte Einwilligung
  • Art. 4 Nr. 14 DS-GVO Verarbeitung biometrischer Daten
  • Art. 5 Abs. 1 lit. a DS-GVO Verarbeitung in nachvollziehbarer Weise
  • Art. 6 Abs. 1 S.1 lit. f DS-GVO Rechtmäßigkeit der Verarbeitung
  • Art. 7 DS-GVO Einwilligung der Verarbeitung (nur selten gegeben)
  • Art. 9 Abs. 1 DS-GVO Verarbeitung besonderer Kategorien personenbezogener Daten sowie ErwGr. 51 DS-GVO zu biometrischen Daten
  • Art. 12 ff DS-GVO Transparenzpflichten
  • Art. 13 Abs. 1 und 2 DS-GVO Informationspflichten
  • Art. 25 DS-GVO Datenschutzfreundliche Voreinstellung
  • Art. 32 DS-GVO Sicherheit der Verarbeitung
  • Art. 83 Abs. 5 DS-GVO Bußgeldtatbestand
  • § 4 BDSG-neu Regelung zur Überwachung öffentlich zugänglicher Räume
  • § 22 Abs. 2 BDSG-neu Umgang mit biometrischen Daten

Quellen

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) dl-de/by-2-0

datenschutz.com GmbH – Erläuterungen zum Umgang mit besonderen Kategorien personenbezogener Daten.


Zurück zum Themenfokus DS-GVO