Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung (DSGVO) vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden.
In diesem Beitrag setzen wir uns damit auseinander, welchen Zulässigkeitsanforderungen der Einsatz einer Videoüberwachung künftig zu unterwerfen ist.
Rechtsgrundlage für die Videoüberwachung
Allgemeiner Erlaubnistatbestand
Die DSGVO enthält keine Spezialregelung zum Einsatz einer Videoüberwachung. Die Zulässigkeit wird daher künftig an den allgemeinen Erlaubnistatbeständen zu messen sein.
Die zentrale Erlaubnisnorm findet sich in Art. 6 Abs. 1 lit. f DSGVO, der die Zulässigkeit von einer Interessenabwägung abhängig macht. Die Vorschrift ähnelt der des § 28 Abs. 1 S.1 Nr.2 Bundesdatenschutz-gesetz (BDSG) und erfordert das Vorliegen eines berechtigten Interesses der verantwortlichen Stelle oder eines Dritten, dem keine überwiegenden Interessen oder Grundrechte und Grundfreiheiten der erfassten Personen entgegenstehen dürfen.
Hier ist Vorsicht geboten, denn in diese Abwägung ist einzubeziehen, ob Kinder die per Video erfassten Bereiche durchschreiten oder sich hier aufhalten können. Art. 6 Abs. 1 lit. f DSGVO fordert in diesen Fällen zu einer besonders sorgfältigen Abwägung auf.
Videoüberwachung von Beschäftigten
Auch für die Videoüberwachung von Beschäftigten gilt zunächst die allgemeine Vorschrift in Art 6 Abs. 1 lit. f DSGVO. In einem früheren Beitrag wurde bereits dargestellt, dass die Datenschutz-Grundverordnung den Mitgliedstaaten über eine Öffnungsklausel in Art. 88 DSGVO die Möglichkeit gibt, eigene spezielle Regelungen zum Beschäftigtendatenschutz zu treffen.
Einwilligung als Rechtsgrundlage
Wie schon nach aktueller Rechtslage kommt grundsätzlich auch eine Einwilligung als Rechtsgrundlage für eine Videoüberwachung in Betracht. Die praktische Relevanz wird jedoch angesichts der hohen Anforderungen (siehe unseren Beitrag) nach wie vor eher gering sein. Kurzum muss eine Einwilligung u.a. folgende Voraussetzungen erfüllen:
- Sie muss für den konkret festgelegten Zweck erteilt worden sein (Art. 6 Abs. 1 lit. a DSGVO).
- Sie muss nachgewiesen werden können (Art. 7 Nr. 1 DSGVO).
- Sie muss durch eindeutige Handlungen und freiwillig (ohne Zwang) erfolgen (Art. 7 Nr. 4 DSGVO; Nr. 32 der Erwägungsgründe).
Bei einer Videoüberwachung fehlt es regelmäßig an der Möglichkeit, alle betroffenen Personen im Vorfeld zu bestimmen und von diesen entsprechende Erklärungen einzuholen. Werden zudem Beschäftigte erfasst, ist aufgrund der potentiellen Abhängigkeitssituation stets davon auszugehen, dass die Einwilligung nicht ohne Zwang erteilt werden kann und daher unwirksam ist.
Erfassung biometrischer Daten per Videosystem
Nach wie vor ungelöst ist das Problem, ob Bilddaten von Personen zugleich als biometrische Daten zu behandeln sind. Biometrische Daten sind gemäß Art. 4 Abs. 14 DSGVO personenbezogene Daten, die mit speziellen technischen Verfahren gewonnen werden und sich auf physische, physiologische oder verhaltenstypische Merkmale eines Menschen beziehen und dessen eindeutige Identifizierung ermöglichen (siehe Beitrag). Beispielhaft werden hierfür „Gesichtsbilder“ angeführt. Da biometrische Daten zu den besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO gehören, ist deren Verarbeitung grundsätzlich verboten und nur im Rahmen der engen Voraussetzungen des Art. 9 Abs. 2 DSGVO ausnahmsweise zulässig. Unklarheiten bezüglich der Auslegung dieser Ausnahmetatbestände könnten durch die Öffnungsklausel des Art. 9 Abs. 4 DSGVO nunmehr geklärt werden.
Informationspflichten
Die Rechte der Betroffenen in Kapitel III der DSGVO stellen Betreiber von Videoüberwachungssystemen vor besondere Herausforderungen. Zwar gilt für Überwachungssysteme schon lange eine grundsätzliche Transparenzpflicht. So ist gemäß § 6b Abs. 2 BDSG der Umstand der Beobachtung und die verantwortliche Stelle durch geeignete Maßnahmen erkennbar zu machen, was z.B. durch Anbringen eines Piktogramms gemäß DIN 33450 in Verbindung mit der Anschrift der verantwortlichen Stelle erfüllt werden kann. Art. 12 i.V.m. Art. 13 DSGVO weitet die Transparenzpflichten allerdings deutlich aus. So sind neben den Kontaktdaten des für die Verarbeitung Verantwortlichen nunmehr auch sein Vertreter, die Kontaktdaten des betrieblichen Datenschutzbeauftragten, die Zwecke und Rechtsgrundlagen sowie die Abwägungs-schritte gemäß Art. 6 Abs. 1 lit. f DSGVO spätestens zum Zeitpunkt der Datenerhebung mitzuteilen. Um letztendlich eine faire und transparente Videoüberwachung zu gewährleisten – Art. 13 Abs. 2 DSGVO – sind zudem u.a. Speicherdauer, Auskunfts-, Berichtigungs- und Löschungsrechte zu nennen.
Diese Informationen sind präzise, transparent, verständlich und in leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, insbesondere, wenn sie sich an Kinder richten. Leider geht die DSGVO nicht darauf ein, wie all diese Aspekte vor Betreten des per Video erfassten Bereiches in der Praxis dargestellt werden können.
Wohin führt also die Umsetzung der Informationspflichten des Art. 13 DSGVO bei einer Videoüberwachung konkret? Wird es künftig – wie im Einzelhandel – eine Art AGB-Aushang neben jeder Kamera geben? Würden QR-Codes oder eine Telefonnummer zum Abruf dieser Informationen ausreichen? Müssen im Zuge einer Barrierefreiheit auch akustische Signale zur Verfügung gestellt werden? Wie kann die für die Verarbeitung Verantwortliche Stelle einem Missbrauch dieser Informationsansprüche begegnen?
Schon jetzt zeigen Beispiele aus der Praxis, dass Infozeichen und Piktogramme – genau wie die Kameras selbst – Gegenstand mutwilliger Zerstörung sind. Es dürfte kaum gelingen, eine Information stetig aktuell und verfügbar zu halten. Verstöße hiergegen ziehen allerdings drakonische Strafen nach sich, die den Nutzen der Kameras um ein Vielfaches überschreiten können. Der nationale Gesetzgeber ist daher dazu aufgerufen, von den Öffnungsklauseln Gebrauch zu machen und das zu enge Korsett der Formalien für eine zulässige Videoüberwachung zu lockern.
Löschung der Bilddaten
Nach Art. 17 Abs. 1 lit. a DSGVO ist der für die Verarbeitung Verantwortliche verpflichtet, Daten ohne unangemessene Verzögerung zu löschen, sofern sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Wenn auch die Formulierung im BDSG etwas strenger ist, dürfte mit Blick auf den Grundsatz der Datensparsamkeit weiterhin die Pflicht zur Löschung der Bilddaten unmittelbar nach Zweckerreichung bestehen. Nach wie vor sollte also im Einzelfall geprüft werden, nach welchem Zeitraum realistisch eine Auswertung der Videodaten erfolgen kann, wobei die maximale Speicherdauer von 72 Stunden nicht überschritten werden sollte.
Technische und organisatorische Sicherheitsmaßnahmen
Bilddaten und personenbeziehbare Logdaten der Videosysteme unterliegen den IT-Sicherheitsmaßnahmen des Art. 32 DSGVO. Daher kann auf die Ausführungen unseres Beitrages hierzu (hier) verwiesen werden. Bei Videosystemen wird es darauf ankommen, ob Bilddaten zu verschlüsseln sind. Dem Grundsatz des privacy by design muss bereits bei der Entwicklung von Kamerasystemen Rechnung getragen werden, etwa durch Pseudonymisierungsprogramme oder Verschleierungssoftware. Videosysteme sind zudem so voreinzustellen (privacy by default), das sie nur die nötigsten personenbezogenen Daten erfassen. Dazu gehören beispielsweise enge Zugriffsberechtigungskonzepte.
Datenschutz-Folgenabschätzung und Dokumentation
Bislang erforderte der Einsatz einer Videoüberwachung die Durchführung einer Vorabkontrolle. Vergleichbar schreibt nun die Datenschutz-Grundverordnung in Art. 35 eine sogenannte vorherige Datenschutz-Folgenabschätzung für solche Datenverarbeitungsformen vor, die ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bedeuten können.
Die Vorschrift nennt Beispielsfälle, in denen eine Folgenabschätzung durchzuführen ist, darunter auch die „systematische weiträumige Überwachung öffentlich zugänglicher Bereiche“. Im Umkehrschluss könnte das zu der Annahme führen, dass die Videoüberwachung in nicht-öffentlich zugänglichen Bereichen nicht hinzuzuzählen ist, ebenso wie eine Videoüberwachung öffentlich zugänglicher Bereiche, die nur einen begrenzten Bereich erfassen. Das zu beurteilen liegt im Ermessen der Aufsichtsbehörden. Denn diese haben gemäß Art. 35 Abs. 4 DSGVO eine Liste mit Verarbeitungsvorgängen zu erstellen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist.
Das Videoüberwachungssystem ist darüber hinaus wie bisher in einem Verzeichnis zu dokumentieren (Art. 30 DSGVO).
Einsatz externer Dienstleister
Werden externe Dienstleister, wie Wachdienste oder Detekteien, mit der Videoüberwachung beauftragt, handelt es sich um Auftragsverarbeiter i.S.d. Art. 28 DSGVO (siehe hierzu unseren Beitrag). Mit diesen ist ein gesonderter Vertrag zu schließen, der inhaltlich in etwa den Anforderungen des § 11 BDSG entspricht. Anders als bisher ist neben der Schriftform auch die elektronische Form möglich.
Von Bedeutung für die Videoüberwachung ist der Wegfall der Regelung in § 11 Abs. 5 BDSG. Nach dieser Vorschrift ist der Einsatz externer Wartungsunternehmen, die lediglich potenziell Einsicht in Daten nehmen könnten, einer Auftragsdatenverarbeitung gleichzusetzen. Das ändert sich mit der Datenschutz-Grundverordnung, so dass hier künftig keine vertraglichen Regelungen mehr erforderlich sind.
Fazit
Viele Aspekte der Videoüberwachung werden nach der Datenschutz-Grundverordnung ähnlich zu bewerten sein wie bisher. Dennoch führen gerade die erweiterten Betroffenenrechte zu erheblichen Herausforderungen in der Umsetzung. Darüber hinaus ist abzuwarten, ob die Videoüberwachung generell einer Datenschutz-Folgenabschätzung zu unterziehen ist.
Weitere Beiträge zur DSGVO in unserem Blog.
Update 11.4.2016: Der Artikel wurde an die konsolidierte Fassung der DSGVO vom 6.4.2016 angepasst.