EDSA zur Videoüberwachung: Sensible Daten und Betroffenenrechte

Fachbeitrag

Der Europäische Datenschutzausschuss (EDSA) hat am 10.07.2019 Leitlinien zum datenschutzkonformen Einsatz von Videoüberwachung beschlossen. Der zweite Teil unseres Beitrages befasst sich zunächst mit den Ausführungen zur Verarbeitung von sensiblen Daten i.S.d Art. 9 Abs. 1 DSGVO, sodann mit Betroffenenrechten und letztlich mit den Statements zur Erfüllung der Informationspflichten beim Einsatz von Videoüberwachungssystemen.

Die Verarbeitung besonderer Kategorien von personenbezogenen Daten

Videoüberwachungssystemen ist die Tatsache immanent, dass sie auch dann sensible Daten über die aufgenommenen Personen erheben, obwohl der Anlass der Überwachung ursprünglich einen ganz anderen Zweck verfolgt. Sobald die Aufzeichnungen Rückschlüsse auf besonders schützenswerte Daten zulassen, kann die Videoaufzeichnung in den Schutzbereich des Art. 9 DSGVO fallen. Unproblematisch gestaltet sich der Fall, bei dem es der Zweck der Videoüberwachung ist, besondere Kategorien personenbezogener Daten des Art. 9 Abs. 1 DSGVO zu erheben, bedarf es sowohl eines Ausnahmetatbestandes gem. Art. 9 Abs. 2 DSGVO als auch einer tauglichen Rechtsgrundlage gem. Art. 6 DSGVO.

Dagegen vertritt der EDSA die Auffassung, dass Videoaufnahmen, die Menschen mit Brille oder etwa im Rollstuhl zeigen, nicht zwangsläufig „Gesundheitsdaten“ erfassen. Anders verhält es sich jedoch, wenn ein Betroffener eindeutig identifizierbar als Teilnehmer einer Demonstration oder eines Streiks aufgezeichnet wird. Diese Informationen können durchaus den Schutzbereich des Art. 9 DSGVO eröffnen. Zudem weist der EDSA in diesem Abschnitt verdeutlichend darauf hin, dass nicht jeder Ausnahmetatbestand des Art. 9 Abs. 2 DSGVO gleich geeignet ist, eine Videoüberwachung besonders sensibler personenbezogener Daten zu rechtfertigen. Selbstverständlich kann sich ein Verantwortlicher nicht auf Art. 9 Abs. 2 lit. e) DSGVO berufen, sobald sich eine Person schlicht in den Aufnahmebereich einer Kamera begibt.

Sonderfall: Biometrische Daten

Grundsätzlich sei laut EDSA bei der Verarbeitung von sensiblen personenbezogenen Daten, stets ein hohes Maß an Sicherheit zu verlangen sowie immer eine sorgfältige Prüfung der Recht- und Verhältnismäßigkeit vorzunehmen. Dies gelte insbesondere für biometrische Daten unter dem Einsatz von Gesichtserkennungssoftware.

Nicht jedes Videomaterial einer Person gilt als biometrisches Datum. Nach der Definition des Art. 4 Nr. 14 DSGVO müssen hierzu drei Kriterien erfüllt sein:

  • Die Daten geben Auskunft über physische, physiologische und verhaltensbedingte Merkmale natürlicher Personen
  • Die Daten ergeben sich aus einer spezifisch-technischen Verarbeitung.
  • Der Zweck der Verarbeitung ist die Identifizierung einer natürlichen Person.

Sofern nur physische Merkmale ausgelesen werden und somit nur „Personenklassen“ (z.B. Alter, Geschlecht, Größe) erkannt werden, fällt die Verarbeitung nicht unter Art. 9 Abs. 1 DSGVO.

Sobald jedoch die Kamerasysteme Vorlagen speichern, um eine Person eindeutig zu identifizieren (Widererkennung, wenn der Betroffene einen Bereich erneut betritt) liegt eine Videoüberwachung mittels biometrischer Daten vor, sodass in der Regel eine informierte und explizite Einwilligung aller betroffenen Personen einzuholen sein wird.

Der Verwender eines Videoüberwachungssystems mit Gesichtserkennungssoftware zu Authentifizierungszwecken (etwa an Eingängen von Stadion/Konzertsaal) muss zudem regelmäßig eine datenschonendere Alternativlösung anbieten und darf den Zugang zu seinen Dienstleistungen weder von der Einwilligung des Betroffenen abhängig machen noch darf der Zugang mit Mehrkosten oder sonstigen Einschränkungen verbunden sein.

Die Betroffenenrechte bei Videoüberwachung

Ferner widmet sich der EDSA in seinen Leitlinien dem Thema Betroffenenrechte bei der Videoüberwachung.

Auskunftsrecht

Das Auskunftsrecht des Art. 15 DSGVO kann im Fall von Videoaufnahmen gem. Absatz 4 beschränkt sein, sobald auf den Aufnahmen neben den Betroffenen noch weitere Personen zu sehen sind. Deren Rechte dürfen durch das Auskunftsersuchen nicht beeinträchtigt werden. Der Verantwortliche muss daher verhindern, dass er Sequenzen herausgibt, auf denen andere Personen eindeutig zu identifizieren sind. Er darf sich jedoch mit dem Verweis auf die Rechte Dritter nicht seiner Verantwortung entziehen, sondern hat, wenn möglich, mittels Bildbearbeitung die übrigen Personen unkenntlich zu machen.

Recht auf Löschung

Bei der Videoüberwachung gilt laut EDSA, dass die Unkenntlichmachung ohne die Möglichkeit der Widerherstellung einer Löschung nach DSGVO gleichkommt. Ansonsten richteten sich die Löschpflichten nach Art. 17 DSGVO nach den jeweiligen Rechtsgrundlagen.

Widerspruchsrecht

Interessant werden die Ausführungen bezüglich des Widerspruchsrechts aus Art. 21 Abs. 1 DSGVO gegen eine Verarbeitung auf Grundlage des berechtigten Interesses. Laut EDSA ist eine Videoüberwachung aufgrund Art. 6 Abs. 1 lit. f), abgesehen von zwingend schutzwürdigen Gründen, nur dann zulässig wenn

  • der Verantwortliche in der Lage ist, die Aufnahme jederzeit zu unterbrechen oder
  • der aufgezeichnete Bereich begrenzt ist, Betroffene vor dem Betreten Kenntnis von der Überwachung erhalten können und es sich bei dem Bereich nicht um einen öffentlichen Bereich handelt, der von den Betroffenen als Bürger betreten werden dürfen.

An dieser Stelle sind die Leitlinien ungenau. Mit „assure the approval“ kann wohl nur „Kenntnisnahme“ gemeint sein, ein Einverständnis oder gar eine Einwilligung des Betroffenen fordert Art. 6 Abs. 1 lit f) DSGVO ja gerade nicht. Rechtsunsicherheiten bleiben auch weiterhin bestehen. Dort, wo typischerweise Sicherheitsgefahren bestehen oder es zu Eigentumsverletzungen kommen kann (z.B. Veranstaltungshallen, Diskotheken, Supermärke) wird die Widerspruchsmöglichkeit de facto selten erfolgreich sein.

Die Informationspflichten bei Videoüberwachung

Um seinen Informationspflichten nachzukommen, empfiehlt der EDSA den verantwortlichen Betreibern von Videoüberwachungsanlagen einen „mehrstufigen Ansatz“ (layered approach).

Das Warnschild (first layer)

Die wichtigsten Informationen sollten den Betroffenen auf einem Warnschild angezeigt werden:

  • Der Zweck der Verarbeitung
  • Den Verantwortlichen
  • Das Bestehen von Betroffenenrechten
  • Die Angaben zum berechtigten Interesse oder zum Datenschutzbeauftragten
  • Sowie Informationen zu weiteren Angaben (second layer) und wo diese eingesehen, abgerufen oder angefordert werden können.
  • Hinweis auf eine überraschende Verarbeitung (z.B. Weitergabe an Dritte)

Das Warnschild kann in Kombination mit Symbolen gestaltet sein und muss verständlich und gut sichtbar einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung bieten. Die Betroffenen müssen vor dem überwachten Bereich in die Lage versetzt werden, erkennen zu können, welcher Bereich von der Überwachung erfasst ist, um ihr Verhalten dementsprechend ausrichten zu können oder letztlich die Überwachung zu meiden.

Umsetzung der Informationspflichten bei der Videoüberwachung

Weitere Informationen (second layer)

Laut EDSA müssen die weiteren Informationen des Art. 13 DSGVO den Betroffenen ebenfalls so einfach wie möglich zugänglich gemacht werden. Der EDSA schlägt hier bespielhaft vor, man könnte eine Informationsbroschüre am Rezeptions-/Kassenbereich zur Einsicht bereitlegen oder einen leicht wahrnehmbaren Aushang gestalten. Ein anderer Vorschlag sieht den Verweis mittels QR-Code auf der ersten Information vor. Gleichwohl reicht laut EDSA der Verweis auf rein digital hinterlegte Informationen nicht aus, sodass die QR-Code-Variante wohl nur zusätzlich angeboten werden sollte.

Wie auch immer man sich entscheidet, der EDSA verlangt, dass die Betroffenen in jedem Fall vor dem Betreten des überwachten Bereiches die Informationen zur Kenntnis nehmen können. Bemerkenswert ist der Hinweis der EDSA, dass die Informationen auch durch die Angabe einer Infotelefonnummer erteilt werden können.

Erwägungen zu Informationspflichten kaum praxistauglich

Insgesamt schafft der Ausschuss mit seinen Leitlinien nur bedingt mehr Klarheit beim Thema Videoüberwachung. Insbesondere die umfangreichen Informationspflichten stellen an die verantwortlichen Betreiber kaum erfüllbare Anforderungen. Die Erwägungen des EDSA erscheinen hier nur begrenzt praxistauglich. Ein Ladenbesitzer wird seinen Kassenbereich und den Weg dorthin nicht deswegen unbeobachtet lassen, damit Kunden sich, ohne überwacht zu werden, dort die Infobroschüre zu Art. 13 DSGVO abholen können. Aber es bleibt Ihnen ja immer noch die Möglichkeit die Infotelefonnummer mit Bandansage anzurufen!

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

DSGVO Beratung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.