Der Europäische Datenschutzausschuss (EDSA) hat am 29.Januar 2020 seine Leitlinien über die Verarbeitung persönlicher Daten durch Videogeräte gemäß der DSGVO (Datenschutzgrundverordnung) veröffentlicht. Der Beitrag fasst die wesentlichen Aussagen der Leitlinie zusammen.
1. Hintergrund
Der Europäische Datenschutzausschuss (EDSA) sieht insbesondere folgende Treiber für die Vorlage seiner Leitlinien: Der intensivierte und immer aufdringlichere Einsatz von Videogeräten in allen Lebensbereichen; der Einsatz smarter Technologien, was das Risiko der Zweckentfremdung und des Missbrauchs erhöht; das Risiko von Fehlfunktionen eingesetzter Systeme und die Verzerrungen, die sie verursachen können.
Der EDSA soll die einheitliche Anwendung der Datenschutz-Grundverordnung in der Europäischen Union sicherstellen. Zu seinen Aufgaben zählt daher, allgemeine Anleitungen (darunter Leitlinien, Empfehlungen und bewährte Verfahren) bereitzustellen, um für Rechtsklarheit zu sorgen. Der EDSA, der sich aus den Leitern jeweils einer Aufsichtsbehörde jedes Mitgliedsstaats der EU und dem Europäischen Datenschutzbeauftragten zusammensetzt (Art. 68 Abs. (3) DSGVO), wird die Praxis der einzelnen nationalen Datenschutzaufsichtsbehörden faktisch wesentlich prägen. Bindende Wirkung haben Leitlinien der EDSA freilich nicht.
2. Anwendungsbereich
Soweit keine personenbezogenen Daten verarbeitet werden, ist die DSGVO nicht anzuwenden, Art. 2 Abs. (1) DSGVO. Wer Aufnahmen von Personen macht, die anhand des Bildmaterials nicht identifiziert werden können, verarbeitet (durch die Aufnahme) keine personenbezogenen Daten. Aufnahmen aus großer Höhe und Parkassistenzsysteme, die die Nummernschilder anderer Kfz nicht aufnehmen, fallen aus der Betrachtung daher heraus.
Die DSGVO macht ferner eine „household exemption“. Ihre Regeln gelten nicht bei Verarbeitung von Daten zu privaten bzw. familiären Zwecken, Art 2 Abs. (2) c) DSGVO. Der EDSA zitiert den EuGH (Europäischer Gerichtshof) und erinnert daran, dass die Zugänglichmachung von Bildmaterial im Internet für eine undefinierte Anzahl von Usern nicht unter die household exemption fällt. Ebenso wenig kann der Immobilienbesitzer, der die Video-Ausleuchtung nicht auf seinen abgeschirmten Garten beschränkt, sondern – zumindest teilweise – die Straße oder den Gehweg, also öffentlichen Raum, im Blick hat, sich auf das Privileg der Verarbeitung zu rein privaten bzw. familiären Zwecken berufen.
3. Der Anforderungskatalog für Videoaufzeichnungen
- Der Verantwortliche muss den Zweck der Videoaufnahme festlegen, Art 15 Abs. (1) b) DSGVO;
- er muss den Zweck schriftlich dokumentieren, Art 5 Abs. (2) DSGVO;
- ferner die betroffenen Personen gemäß Artikel 13 über den Zweck bzw. die Zwecke der Verarbeitung informieren (dazu Abschnitt 7, Transparenz- und Informationspflichten);
- und selbstverständlich bedarf es einer Rechtsgrundlage, denn die Verarbeitung personenbezogener Date ist nur dann gestattet, wenn sie durch Rechtsvorschrift erlaubt ist (sogenannter Erlaubnisvorbehalt).
In der Praxis werden regelmäßig Artikel 6 Abs. (1) f) (berechtigtes Interesse) und Artikel 6 Abs. (1) e) (Notwendigkeit der Erfüllung einer Aufgabe, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt ausgeführt wird) herangezogen. In eher außergewöhnlichen Fällen kann Artikel 6 Abs. (1) a) (Einwilligung) vom für die Verarbeitung Verantwortlichen als Rechtsgrundlage herangezogen werden.
a) Artikel 6 Absatz 1 Buchstabe f) (berechtigtes Interesse)
Die Videoüberwachung ist nur dann rechtmäßig,
-
- wenn sie notwendig ist (ii),
- um den Zweck eines von einem für die Verarbeitung Verantwortlichen oder einem Dritten verfolgten legitimen Interesses zu erfüllen (i),
- es sei denn, die Interessen der betroffenen Person oder deren Grundrechte und -freiheiten überwiegen (iii).
(i) Das legitime Interesse muss real und aktuell sein; es darf nicht fiktiv oder spekulativ sein. Eine reale Notsituation muss vorliegen, wie z.B. Schäden oder schwerwiegende Vorfälle in der Vergangenheit, bevor der Verarbeiter beginnt aufzuzeichnen. Angesichts des Prinzips der Rechenschaftspflicht in Art 5 Abs. (2) DSGVO rät der EDSA den datenschutzrechtlich Verantwortlichen, relevante Vorfälle (Datum, Art und Weise, finanzieller Verlust) und die damit verbundenen Strafanzeigen zu dokumentieren. Diese dokumentierten Vorfälle können ein starker Beleg für das Vorhandensein eines legitimen Interesses sein. Auch Erfahrungen aus der Nachbarschaft sind nützlich. Es ist nicht notwendig, dass ein Schaden bei der Person vorgelegen hat, die überlegt, ein Videosystem zu installieren. Es reicht jedoch nicht aus, eine nationale oder allgemeine Kriminalitätsstatistik zu präsentieren. Aus ihr müssten sich schon Gefahren für das den Verantwortlichen betreffende geogaphische Gebiet oder sein spezielles Geschäft ableiten lassen.
Lediglich drohende Gefahrensituationen können allerdings dann als legitimes Interesse im Sinne des Art. 6 Abs. (1) f) für Videoaufzeichnungen begründen, wenn es um Räume geht, die als typische Tatorte für Eigentumsdelikte bekannt sind (z. B. Tankstellen) oder an denen wertvolle Waren angeboten werden (Banken, Juweliere).
Das Vorhandensein eines legitimen Interesses sowie die Notwendigkeit einer solchen Überwachung sollte in regelmäßigen Abständen (z. B. einmal pro Jahr, je nach den Umständen) neu bewertet werden.
(ii) Die Notwendigkeit einer Videomaßnahme setzt voraus, dass sie überhaupt geeignet ist, das gewünschte Ziel zu erreichen. Ungeeignete Maßnahmen können niemals notwendig sein. Der Verantwortliche hat im Übrigen zu prüfen, ob nicht weniger invasive Mittel ebenso gut verwendet werden können. Infrage kommen zum Schutz vor Eigentumsdelikten z.B. physische Sicherungen, Schlüsselsysteme, Pförtner oder Anti-Graffiti-Beschichtungen. Gemäß Art 5 Abs. (1) c) DSGVO muss die Verarbeitung personenbezogener Daten zum Zweck der Datenminimierung auch angemessen (für den Zweck geeignet), erheblich (kein geringer, sondern ein entscheidender Beitrag zur Erfüllung des Zwecks) und auf das für die Verarbeitungszwecke notwendige Maß beschränkt sein (keine alternative Maßnahme mit geringerer Eingriffstiefe gegeben). Die Anforderungen aus Art 6 Abs. (1) f) und Art. 5 Abs. (1) c) überlappen einander also teilweise.
Die vorgenannten Anforderungen hat der Verantwortliche einerseits in Bezug darauf zu prüfen, ob eine Videomaßnahmen schlechthin und ob ihre konkreten Anwendung rechtmäßig ist.
Maßnahmen Mit Blick auf die Dauer: „In der Regel wird ein Überwachungssystem, das sowohl nachts als auch außerhalb der regulären Arbeitszeiten betrieben wird, den Bedürfnissen des Kontrolleurs entsprechen, um Gefahren für sein Eigentum zu verhindern.“ [Leitlinie RN 26] In Bezug auf den ausgeleuchteten Bereich: Im Allgemeinen endet die Notwendigkeit der Videoüberwachung zum Schutz von Räumlichkeiten an den Grundstücksgrenzen [Leitlinie RN 27]. Im Hinblick auf die Speicherdauer: Je nach Zweck hat die Speicherung der Aufnahmen zu unterbleiben und die Geschehnisse sind am Monitor in Echtzeit zu beobachten oder – insbesondere zu Beweiszwecken – die Aufnahmen verschwinden in einem Speicher, der bei Bedarf eingesehen werden kann aus dem sie nach angemessener Zeit wieder gelöscht werden [Leitlinien RN 29].
(iii) ein Videoüberwachungssystem darf nur dann in Betrieb genommen werden, wenn die Interessen oder die Grundrechte und -freiheiten der betroffenen (aufgenommenen) Person die berechtigten Interessen des für die Verarbeitung Verantwortlichen oder die Interessen Dritter (z.B. Schutz des Eigentums oder der körperlichen Unversehrtheit) nicht überwiegen, Art. 6 Abs. (1) f). Der EDSA führt beispielgebend die Videoüberwachung eines privaten Parkunternehmens an, dessen Parkfläche frei zugänglich ist. Diebstähle während der Tageszeit haben den Betreiber zur Installation der Videomaßnahmen veranlasst. Das legitime Interesse des Betreibers im Sinne des Art. 6 Abs. (1) f) besteht nun darin, diese Diebstähle durch die Wirkung von Videosystemen zu verhindern. Das Interesse der Nutzer des Parkplatzes ist, sich unbeobachtet zu bewegen. Die Abwägung der Interessen fällt zugunsten der Betreibermaßnahme aus: Die Nutzer werden nur für einen begrenzten Zeitraum überwacht, sie befinden sich nicht zu Erholungszwecken auf dem Platz und die Parkraumüberwachung dient als Diebstahlschutz auch ihrem eigenen Interesse. [Leitlinien RN 31]
Bei der Abwägung der Interessen des Verantwortliche bzw. Dritten gegen die Interessen der Betroffenen in jedem konkreten Einzelfall ist die Intensität des Eingriffs das entscheidende Kriterium. Sie ist nach dem Informationsgehalt (welche Daten sind betroffen?), der Informationsdichte (Zahl der erhobenen Daten und betroffenen Personen), der konkreten betreffenden Situation, den tatsächlichen Interessen der Gruppe der betroffenen Personen und mit Blick auf alternative Mittel sowie durch Art und Umfang der Datenbewertung zu bestimmen [Leitlinien RN 33].
Die Dashcam in einem Kfz darf „nicht ständig den Verkehr sowie Personen, die sich in der Nähe einer Straße aufhalten,“ aufzeichnen. „Andernfalls kann das Interesse an Videoaufzeichnungen als Beweismittel im eher theoretischen Fall eines Verkehrsunfalls diesen schwerwiegenden Eingriff in die Rechte der betroffenen Personen nicht rechtfertigen.“ [Leitlinien RN 34]
Gemäß dem Erwägungsgrund 47 der DSGVO sind bei der Abwägung der Interessen des Verantwortlichen (also der Person, die die Videoaufzeichnungen zu verantworten hat) bzw. der Dritten gegen die Interessen, Grundrechte und Grundfreiheiten der Betroffenen (die aufgezeichneten Personen) die vernünftigen Erwartungen der betroffenen Personen zu bewerten und einzubeziehen. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen. Der EDSA hierzu: „Beispielsweise erwartet ein Arbeitnehmer an seinem Arbeitsplatz in den meisten Fällen wahrscheinlich nicht, dass er von seinem Arbeitgeber überwacht wird. Außerdem ist eine Überwachung im privaten Garten, im Wohnbereich oder in Untersuchungs- und Behandlungsräumen nicht zu erwarten. Ebenso wenig ist eine Überwachung in Sanitär- oder Saunaeinrichtungen zu erwarten – die Überwachung in diesen Bereichen stellt einen intensiven Eingriff in die Rechte der betroffenen Person dar. Die berechtigte Erwartung der betroffenen Personen ist, dass in diesen Bereichen keine Videoüberwachung stattfindet. Andererseits kann der Kunde einer Bank erwarten, dass er innerhalb der Bank oder durch den Geldautomaten überwacht wird.“ [Leitlinien RN 37] Und weiter: „Die betroffenen Personen können auch erwarten, dass sie in öffentlich zugänglichen Bereichen nicht überwacht werden, insbesondere wenn diese Bereiche typischerweise für Erholung, Regeneration und Freizeitaktivitäten genutzt werden, wie z.B. Sitzecken, Tische in Restaurants, Parks, Kinos und Fitnesseinrichtungen. Hier werden die Interessen oder Rechte und Freiheiten der betroffenen Person häufig die legitimen Interessen des für die Verarbeitung Verantwortlichen überwiegen.“ [Leitlinien RN 38]
Feststellung Für diese Fälle stellt der EDSA klar, dass die vernünftigen Erwartungen des Publikums nicht ausgedehnt werden können, indem der Verantwortliche eines der gebräuchlichen Hinweiszeichen auf Videoüberwachung verwendet [Leitlinien RN 39].
b) Notwendigkeit zur Erfüllung einer Aufgabe, die im öffentlichen Interesse oder in Ausübung der dem für die Verarbeitung Verantwortlichen übertragenen öffentlichen Gewalt ausgeführt wird, Art. 6 Abs. (1) e) DSGVO
Der EDSA beschränkt sich hier auf den Hinweis, dass die Mitgliedstaaten gemäß Art. 6 Abs. (2) DSGVO spezifische nationale Rechtsvorschriften für die Videoüberwachung beibehalten oder einführen können, um die Anwendung der Regeln der DSGVO anzupassen, indem sie genauere spezifische Anforderungen an die Verarbeitung festlegen, solange diese mit den Grundsätzen der DSGVO in Einklang stehen. Denn Art.6 Abs.1 Buchst.e) DSGVO selbst ist keine Rechtsgrundlage, wie in Art.6 Abs.3 S.1 DSGVO klarstellt.
Deutschland hat von dieser Ermächtigung Gebrauch gemacht und die Verarbeitung personenbezogener Daten in Ausübung öffentlicher Gewalt (Fall 2 des Art. 6 Abs. (1) e) DSGVO) den öffentlichen Stellen im Sinne des § 2 BDSG (z.B. Behörden) übertragen, die § 3 BDSG als Rechtsgrundlage verwenden. Hierauf geht der Beitrag nicht ein, weil es sich um nationales deutsches Recht handelt.
Der erste Fall des Art. 6 Abs. (1) e) DSGVO betrifft die Verarbeitung personenbezogener Daten bei Wahrnehmung von Aufgaben im öffentlichen Interesse und damit die Daseinsvorsorge wie soziale Sicherung, Verwaltung von Leistungen der Gesundheitsfürsorge und die Gesundheitsvorsorge. Hierauf gehen die Leitlinien aus demselben Grund nicht ein: Buchst.e) ist keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten bei Wahrnehmung von Aufgaben im öffentlichen Interesse, Art.6 Abs.3 S.1 DSGVO.
c) Einwilligung, Artikel 6 Abs. (1) a) DSGVO
Videoaufnahmen mit Einwilligung der betroffenen Personen kommen nur ausnahmsweise in Betracht. Das liegt zum einen daran, dass Videomaßnahmen regelmäßig der Verhinderung bzw. Aufdeckung von (Eigentums-)Delikten dienen, die Maßnahme also gerade nicht auf die Einwilligung des Delinquenten setzt. Zum anderen sind die materiellen und formellen Anforderungen an eine Einwilligung derart hoch, dass sie – insbesondere bei systematischer Überwachung einer Vielzahl von Personen – schwerlich eingeholt werden kann. Der Ausnahmecharakter der Einwilligung gilt auch im Arbeitsverhältnis. Angesichts des Ungleichgewichts der Macht zwischen Arbeitgeber und Arbeitnehmer werden Einwilligungserklärungen von Arbeitnehmern regelmäßig nicht freiwillig gegeben und sind damit ohne Wirkung.
Praktische Relevanz haben demgegenüber Betriebsvereinbarungen [Leitlinien RN 47], auf die der EDSA allerdings nicht eingeht, weil die Datenverarbeitung im Beschäftigungskontext Sache der Mitgliedsstaaten ist, Art. 88 DSGVO. Deutschland hat die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses in § 26 BDSG geregelt. § 26 Abs. (4) BDSG lässt die Datenverarbeitung (also auch Videoaufnahmen) für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen (dazu gehören Betriebsvereinbarungen) grundsätzlich zu. Die Einwilligung jedes Mitglieds der Belegschaft kann also durch eine Betriebsvereinbarung ersetzt werden. Auf die Reichweite einer Betriebsvereinbarung und die Voraussetzungen ihrer Rechtmäßigkeit geht der Beitrag nicht ein.
4. Die Offenlegung von Videoaufzeichnungen
Die Offenlegung des Videomaterials (also die Übermittlung, Verbreitung oder sonstige Bereitstellung, Art. 4 Ziffer 2 DSGVO) ist ein eigener Verarbeitungstatbestand, der isoliert von der Aufzeichnung zu betrachten ist und ebenso durch eine Rechtsgrundlage legitimiert sein muss. In der Regel werden das die Erlaubnistatbestände des Art. 6 DSGVO sein. Dieselben Überlegungen muss der Empfänger des Materials anstellen. Auch er benötigt eine juristische Legitimation zum Empfang der Aufzeichnungen [Leitlinien RN 54].
5. Die Verarbeitung besonderer Kategorien von Daten
Die Verarbeitung besonderer Kategorien von Daten ist gemäß Art. 9 Abs. (1) DSGVO verboten. Zu diesen sensiblen Daten zählen nach Abs. (1) die rassische und ethnische Herkunft, politische Meinung, religiöse und weltanschauliche Überzeugungen oder die Gewerkschaftsangehörigkeit sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Ein Ausnahmetatbestand gemäß Art. 9 Abs. (2) DSGVO wird in der Regel nicht erfüllt sein [Leitlinien RN 70], so dass Videoaufzeichnungen ohne Einwilligung der betroffenen Personen nicht erlaubt zu sein scheinen. Denn jede brauchbare Videoaufzeichnung könnte genutzt werden, um die rassische und ethnische Herkunft der jeweils erfassten Person und ihre biometrischen Daten zu verwenden. Der EDSA stellt mit Blick auf Videoaufzeichnungen allerdings klar, dass es auf den Zweck der Videoaufzeichnung ankommt:
Feststellung Wenn Videomaterial verarbeitet wird, um besondere Datenkategorien abzuleiten, gilt Artikel 9 DSGVO. Wird dieser Zweck nicht verfolgt, ist Art. 9 DSGVO nicht anzuwenden [Leitlinie RN 62].
Beispiel: Videoaufnahmen, die eine Person mit einer Brille oder mit einem Rollstuhl zeigen, gelten nicht per se als besondere Kategorien personenbezogener Daten (hier: Gesundheitsdaten)
Beispiel: Videoaufnahmen in einem Krankenhaus, um den Gesundheitszustand eines Patienten zu überwachen, sind als die Verarbeitung besonderer Kategorien personenbezogener Daten (Artikel 9) zu qualifizieren [Leitlinien RN 63].
Feststellung Soweit Videoüberwachungen nicht unter Art. 9 fallen, weil Zweck nicht die Ableitung besonderer Kategorien personenbezogener Daten ist, muss der für die Verarbeitung Verantwortliche eine besonders sorgfältige Bewertung gemäß Artikel 6 Abs. (1) f) vornehmen und bei der Beurteilung der Interessen der betroffenen Person die Art der Daten sowie das Risiko der Erfassung anderer sensibler Daten (über Artikel 9 hinaus) berücksichtigen [Leitlinie RN 65].
Nebenbei stellt der EDSA in der umstrittenen Rechtsfrage, ob Art. 9 eine abschließende Rechtsgrundlage ist oder ob neben Art. 9 stets auch ein Erlaubnistatbestand gemäß Art. 6 DSGVO geprüft werden muss, klar:
Feststellung Wenn ein Videoüberwachungssystem verwendet wird, um besondere Datenkategorien zu verarbeiten, muss der für die Verarbeitung Verantwortliche sowohl eine Ausnahme für die Verarbeitung besonderer Datenkategorien nach Artikel 9 (d.h. eine Ausnahme von der allgemeinen Regel, dass man keine besonderen Datenkategorien verarbeiten darf) als auch eine Rechtsgrundlage nach Artikel 6 festlegen [Leitlinie RN 66].
Verarbeitung biometrischer Daten
Besonderes Augenmerk legt der EDSA auf Erläuterungen zur Verarbeitung biometrischer Daten [Leitlinie Ziffer 5.1 RN 72 ff], da die Grundrechte und Grundfreiheiten Betroffener durch den Einsatz von Technologien zur Gesichtserkennung besonders gefährdet sind.
Feststellung Die Verarbeitung biometrischer Daten im Sinne des Art. 9 DSGVO findet jedoch nur dann statt, wenn folgende Tatbestände kumulativ vorliegen [Leitlinien 74-76]:
a. Art der Daten: Rohdaten, die sich auf physische, physiologische oder Verhaltensmerkmale einer natürlichen Person beziehen, Art 4 Ziffer 14 DSGVO;
b. Mittel und Art der Verarbeitung: Daten, die „aus einer bestimmten technischen Verarbeitung“ aus diesen Rohdaten „resultieren“ und die die eindeutige Identifizierung dieser natürlichen Person ermöglicht oder bestätigt, Art 4 Ziffer 14 DSGVO;
c. Zweck der Verarbeitung: Die Daten müssen zum Zweck der eindeutigen Identifizierung einer natürlichen Person verwendet werden.
Das Videomaterial einer Person kann für sich genommen also nicht als biometrische Daten im Sinne von Art. 9 DSGVO qualifiziert werden, wenn es nicht spezifisch technisch verarbeitet wurde, um zur Identifizierung einer Person beizutragen [Leitlinie RN 74]. Art. 9 DSGVO ist auch dann nicht einschlägig, wenn die biometrischen Daten nicht zum Zweck der eindeutigen Identifizierung einer natürlichen Person verarbeitet werden [Leitlinie RN 74].
Feststellung Wenn der Zweck der Verarbeitung jedoch beispielsweise darin besteht, eine Personenkategorie (Geschlecht, Alter) von einer anderen zu unterscheiden, aber nicht darin, jemanden eindeutig zu identifizieren, fällt die Verarbeitung ebenfalls nicht unter Art. 9 DSGVO [Leitlinie RN 79f].
Beispiel: Ein Ladenbesitzer möchte seine Werbung auf der Grundlage von Geschlechts- und Altersmerkmalen des Kunden, die von einem Videoüberwachungssystem erfasst wurden, individuell gestalten. Wenn dieses System keine biometrischen Vorlagen erzeugt, um Personen eindeutig zu identifizieren, sondern nur diese physischen Merkmale erkennt, um die Person zu klassifizieren, dann würde die Verarbeitung nicht unter Artikel 9 fallen (solange keine anderen Arten von speziellen Datenkategorien verarbeitet werden).
Für Einwilligungen nach Art. 9 Abs. (2) a) DSGVO erinnert der EDSA an das Koppelungsverbot gemäß Art 7 Abs. (4) DSGVO in Verbindung mit den Erwägungsgründen 42 Satz 5 und 43 Satz 2 DSGVO:
Feststellung Wenn die Einwilligung nach Artikel 9 GDPR erforderlich ist, soll der für die Datenverarbeitung Verantwortliche den Zugang zu seinen Diensten nicht von der Einwilligung in die biometrische Verarbeitung abhängig machen [Leitlinie RN 85].
Der Verantwortliche muss eine Alternativlösung anbieten, die keine biometrische Verarbeitung beinhaltet – ohne Einschränkungen oder zusätzliche Kosten für die betroffene Person.
Im Übrigen gibt der EDSA weitere Hinweise mit Blick auf die allgemeinen Prinzipien der Datenverarbeitung gemäß Art. 5 DSGVO und insbesondere mit Blick auf technische und organisatorische Maßnahmen gemäß Art 25 Abs. (1) DSGVO [Leitlinie RN-86-89].
6. Betroffenenrechte
Auskunftsrecht
Gemäß Art 15 hat der Betroffene umfangreiche Auskunftsansprüche, deren Einschränkung der EDSA für 2 Fälle kommentiert.
a) 15 Abs. (4) DSGVO, Beeinträchtigung der Rechte anderer
Gemäß Art 15 Abs. (3) DSGVO kann der Betroffene beanspruchen, eine Kopie der personenbezogenen Daten zu erhalten, die Gegenstand der Verarbeitung sind. Übersetzt für den Fall der Videoaufnahme heißt das: Eine Kopie des Materials, auf dem der Betroffene zu erkennen ist. Diesem Auskunftsanspruch stehen jedoch dann Rechte und Freiheiten anderer entgegen, wenn wiederum auch diese auf dem Videomaterial identifizierbar sind. Etwa bei der Überwachung einer beliebigen Anzahl von Personen auf einem Platz. Durch Herausgabe der Kopie an einen der Betroffenen würde der Verantwortliche die personenbezogenen Daten anderer Betroffener durch Übermittlung im Sinne des Datenschutzrechts verarbeiten. Einen Erlaubnistatbestand kann er hierfür schwerlich anführen. Art 15 Abs. (3) DSGVO erlaubt die und verpflichtet zur Herausgabe der Kopie an den Auskunft Suchenden nur soweit es seine personenbezogenen Daten betrifft. Dies darf allerdings nicht als Grund dafür herhalten, dem die Auskunft suchenden Betroffenen die Herausgabe der Kopie zu verweigern.
Maßnahme: Der Verantwortliche solle zum Schutz anderer Personen technische Maßnahmen ergreifen (Bildbearbeitung wie etwa die Maskierung), soweit er nicht auf andere Weise dem Antrag nach Art. 15 DSGVO nachkommen kann. [Leitlinie RN 93]
b) 11 Abs. (2) DSGVO, der Verantwortliche ist nicht in der Lage, die betroffene Person zu identifizieren
Art. 11 DSGVO ist anzuwenden auf Datenverarbeitungen, bei denen eine Identifizierung der betroffenen Personen für den Verantwortlichen nicht erforderlich ist. Die verwendeten Daten haben allerdings Personenbezug. So liegt der Fall bei einer Videoüberwachung am Eingang eines Einkaufszentrums mit 30.000 Besuchern täglich [Beispiel des EDSA, Leitlinie RN 96]. Auf die Identität der Besucher kommt es dem Verantwortlichen im Regelfall nicht an. Die Besucher weisen jedoch körperliche Merkmale und Rohdaten auf, die sich für eine biometrische Verarbeitung verwenden ließen. Darin liegt ihr Personenbezug. Art. 11 DSGVO leitet daraus zweierlei ab: (1) Der Verantwortliche ist nicht verpflichtet, eine Kopie des gespeicherten Videomaterials herauszugeben, wenn er nachweisen kann, dass er nicht in der Lage ist, den Anspruchsteller zu identifizieren, Art. 11 Abs. (2) DSGVO (und daher nicht in der Lage ist, die den Anspruchsteller betreffende Videosequenz zu finden). (2) Und er ist erst recht nicht verpflichtet, zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren, Art. 11 Abs. (1) DSGVO (z.B. damit er auf diese Weise die Videosequenzen herausfiltern kann, auf denen der jeweilige Anspruchsteller abgebildet ist).
Den Auskunftsanspruch des Art 15 DSGVO kann der Verantwortliche mit einem Hinweis auf Art 11 Abs. (2) DSGVO aber dann nicht ablehnen, wenn die betroffene Person zusätzliche Informationen bereitstellt, die ihre Identifikation ermöglichen. Im Fall der Videoaufnahme im Einkaufszentrum etwa soll der Hinweis genügen, wann die Person den überwachten Bereich innerhalb eines Zeitraums von etwa zwei Stunden passiert hat [Leitlinie RN 95]. Außerdem muss sich der Anspruchsteller persönlich oder durch Personalausweis gegenüber dem Verantwortlichen identifizieren [Leitlinie RN 95].
Maßnahme: Der EDSA erwartet vom Verantwortlichen, er solle die betroffene Person im Voraus darüber informieren, welche Informationen erforderlich sind, damit der für die Verarbeitung Verantwortliche dem Antrag nachkommen kann [Leitlinie RN 95].
Maßnahme: Wenn der für die Verarbeitung Verantwortliche nachweisen kann, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, muss der für die Verarbeitung Verantwortliche die betroffene Person, wenn möglich, entsprechend informieren. In einer solchen Situation sollte der für die Verarbeitung Verantwortliche in seiner Antwort an die betroffene Person über den genauen Bereich für die Überwachung, die Überprüfung der verwendeten Kameras usw. informieren, damit die betroffene Person in vollem Umfang versteht, welche personenbezogenen Daten von ihr möglicherweise verarbeitet wurden [Leitlinie RN 95f].
Recht auf Löschung und Recht auf Einspruch
Der EDSA weist darauf hin, dass ein Löschungsanspruch (Art. 17 DSGVO) auch dann erfüllt ist, wenn das Bild unscharf ist, ohne dass die zuvor im Bild enthaltenen personenbezogenen Daten rückwirkend wiederhergestellt werden können [Leitlinien RN 102]
Steht dem Betroffenen ein Widerspruchsrecht aus Gründen, die sich aus seiner besonderen Situation ergeben, gemäß Art. 21 DSGVO zu, muss der Verantwortliche technisch in der Lage sein, die Verarbeitung personenbezogener Daten durch die Kamera sofort zu unterbinden, wenn er darum gebeten wird, oder den Zugang zu dem überwachten Bereich so zu kanalisieren, dass er die Zustimmung der betroffenen Personen vor dem Betreten des Bereiches sicherstellen kann (was wiederum ausgeschlossen ist, wenn es sich um einen Bereich handelt, zu dem die betroffene Person als Bürger berechtigt ist) [Leitlinien RN 105]. Beide Maßnahmen sind in der Praxis regelmäßig unbefriedigend für den Verantwortlichen. Der Verantwortliche mag daher soweit möglich so planen und Videomaßnahmen von Beginn an derart beschränken, dass der Verantwortliche den antizipierten Widerspruchsrechten Betroffener zwingende schutzwürdige Gründe für die Verarbeitung entgegenhalten kann, die die Interessen, Rechte und Freiheiten der Widersprechenden überwiegen. Dann ist er berechtigt, die Videomaßnahmen gemäß Art. 21 Abs. (1) Satz 2 DSGVO unverändert fortzusetzen.
7. Transparenz und Informationspflichten
Der Verantwortliche muss die Betroffenen gemäß Art. 13 DSGVO informieren, wenn personenbezogene Daten durch Beobachtung z.B. unter Verwendung von Kameras erhoben werden [Leitlinie RN 110 unter Verweis auf das Arbeitspapier 260 der Art-29-Arbeitsgruppe, dem Vorgänger des EDSA].
Angesichts der Menge an Informationen empfiehlt der EDSA ein Verfahren auf zwei Ebenen: ein Warnhinweis mit den relevanten Informationen etwa in Kombination mit einem Symbol und eine weitere Quelle, die die obligatorischen Informationen in Übereinstimmung mit Art. 13 DSGVO enthält.
Mit dem häufig verwendeten simplen Kamerasymbol genügt der Verantwortliche seiner Informationspflicht keinesfalls.
Wer diesem zweistufigen Ansatz folgt, sollte nach Auffassung des EDSA folgende Maßnahmen ergreifen:
Das Warnzeichen sollte auf leicht sichtbare, verständliche und klar lesbare Weise einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung geben (Artikel 12 Absatz 7 GDPR) [Leitlinie RN 110]; und so angebracht sein, dass die betroffene Person die Umstände der Überwachung leicht erkennen kann, bevor sie den überwachten Bereich betritt (ungefähr auf Augenhöhe). Nicht notwendig ist es, die Position der Kamera anzugeben, aber die betroffene Person muss in der Lage sein, abzuschätzen, welcher Bereich von einer Kamera erfasst wird, so dass sie sich der Überwachung entziehen oder gegebenenfalls ihr Verhalten anpassen kann [Leitlinien RN 111].
Darüber hinaus sollte das Zeichen auch alle Informationen enthalten, die die betroffene Person überraschen könnten. Das können z.B. Übermittlungen an Dritte sein, insbesondere wenn sie sich außerhalb der EU befinden, und die Speicherdauer. Wenn diese Informationen nicht angegeben werden, sollte die betroffene Person darauf vertrauen können, dass es sich ausschließlich um eine Live-Überwachung (ohne jegliche Datenaufzeichnung oder Übertragung an Dritte) handelt [Leitlinie RN 113].
|
Beispiel |
|
|||||
| Kamerasymbol |
|
|||||
|
Videoüberwachung |
|
|||||
|
|
Rechte der betroffenen Personen: Als betroffene Person haben Sie mehrere Rechte gegenüber dem für die Verarbeitung Verantwortlichen, insbesondere das Recht, von dem für die Verarbeitung Verantwortlichen Zugang zu Ihren persönlichen Daten oder deren Löschung zu verlangen. Für Einzelheiten zu dieser Videoüberwachung, einschließlich Ihrer Rechte, wird auf die vollständigen Informationen verwiesen, die durch den Verantwortlichen auf die links dargestellte Weise bereitgestellt werden. |
|||||
|
|
|
Für die Informationen auf zweiter Ebene, die den Katalog der einzelnen Informationsansprüche des Betroffenen gemäß Art. 13 in Verbindung mit Art. 12 DSGVO erfüllen müssen, empfiehlt der EDSA eine digitale Quelle, etwa einen QR-Code oder eine Webseite [Leitlinien RN 115]. Die Informationen sollten jedoch auch leicht nicht-digital verfügbar sein.
8. Speicherzeiträume und Löschungspflichten
Personenbezogene Daten dürfen nicht länger gespeichert werden, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Artikel 5 Abs. (1) c) und e) DSGVO).
Der EDSA sieht den Verantwortlichen daher „in den meisten Fällen“ in der Pflicht, das Videomaterial nach einigen Tagen zu löschen. Je länger die Frist, desto stärker müssen die Argumente für die Speicherung wiegen. Das gilt insbesondere für eine Aufbewahrung jenseits der Schwelle von 72 Stunden [Leitlinien RN 119]. Soweit für die Zwecke überhaupt eine Speicherung erforderlich ist, muss die Aufbewahrungsdauer für jeden einzelnen Zweck festgelegt werden.
Beispiel: Der Inhaber eines kleinen Geschäfts wird Vandalismus noch am selben Tag zur Kenntnis nehmen. Dementsprechend ist eine regelmäßige Aufbewahrungszeit von 24 Stunden ausreichend. Wochenenden und Feiertage könne als Legitimation für längere Speicherfristen herhalten. Wenn ein Schaden festgestellt wird, muss er das Videomaterial unter Umständen auch länger aufbewahren können, um rechtliche Schritte gegen den Täter einleiten zu können [Leitlinien RN 120].
9. Technische und Organisatorische Maßnahmen
Das EDSA erinnert daran, dass für Videovorrichtungen bereits in der Planungsphase und noch vor Anschaffung die Grundsätze der Datenverarbeitung (Art. 5 DSGVO) und die nach Art. 25 DSGVO vorgeschriebenen technischen und organisatorischen Maßnahmen zu berücksichtigen sind. Sie haben Auswirkungen auf jede Facette der Videoüberwachung: Von der Anschaffung des für die Zwecke am wenigsten invasiven Systems über die technische Absicherung der Aufnahmen, ihrer Speicherung, etwaigen Übertragung und sonstigen Verarbeitung bis zur Löschung.
Das EDSA beschränkt sich darauf, (a) auf IEC TS 62045 – Multimedia-Sicherheit. Leitfaden für den Datenschutz bei genutzten oder ungenutzten Einrichtungen und Systemen sowie auf die ISO/IEC 27000 – Informationssicherheitsmanagement hinzuweisen und (b) kurze Checklisten für die relevanteren („high level“) technischen [RN 129ff] und organisatorischen [RN 128] Maßnahmen zu veröffentlichen, auf die verwiesen wird.
10. Datenschutz-Folgenabschätzung
Die für die Verarbeitung Verantwortlichen sind verpflichtet, eine Datenschutz-Folgenabschätzung (DSFA) vorzunehmen, wenn eine Art der Datenverarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 Abs. (1) DSGVO). Artikel 35 Abs. (3) c) DSGVO legt fest, dass die für die Verarbeitung Verantwortlichen bei einer systematischen Überwachung eines öffentlich zugänglichen Bereichs in großem Maßstab in jedem Fall zu einer DSFA verpflichtet sind.
Wegen der DSFA verweist der EDSA auf die Leitlinien der Art-29-Gruppe 2016/679 WP 248 Rev.01 vom 4. April 2017.
Die Aufsichtsbehörden sind gemäß Art. 35 Abs. (4) DSVO verpflichtet, Listen mit Verarbeitungsvorgängen zu veröffentlichen, für die eine DSFA erforderlich ist, worauf der EDSA hinweist. Die Liste der Datenschutzkonferenz (DSK), dem Gremium der Datenschutzaufsichtsbehörden in Deutschland, ist hier abgelegt. Für die Verarbeitung biometrischer Daten ist nach Ansicht der DSK eine DSFA in aller Regel erforderlich. Zur DSFA ist auch verpflichtet, wer automatisiert Video- oder Audio-Aufnahmen zur Bewertung der Persönlichkeit der Betroffenen auswertet.
Diese Zusammenfassung der Leitlinie kann eine Prüfung der Rechtmäßigkeit von Videoaufnahmen bzw. der Verbreitung des Materials nicht ersetzen. Zum einen ist die Leitlinie nicht erschöpfend (wie sie selbst feststellt, RN 91). Zum anderen müssen in der Leitlinie die nationalen Regelungen zum Thema unberücksichtigt bleiben, weil es nicht die Aufgabe des EDSA ist, das jeweilige nationale Datenschutzrecht (in Deutschland das BDSG) zu interpretieren. Daher bleiben vor allem die Bedeutung von § 4 BDSG (Videoüberwachung öffentlich zugänglicher Räume) und die Datenverarbeitung im Beschäftigungskontext (§ 26 BDSG) außer Betracht.
Datenschutzrecht (DSGVO) | Videoaufnahmen
Art. 5, 6, 12ff, 25, 35 DSGVO