Vorabkontrolle

Vorabkontrolle für Videoüberwachung

2.2.1. Verfahrensverzeichnis, Vorabkontrolle, Sicherungspflichten

Vor Beginn der Videoüberwachung ist seitens der verantwortlichen Stelle der konkrete
Zweck der Überwachungsmaßnahme (vgl. Nr. 2.1.3.1.) schriftlich festzulegen. Zudem
sind technische und organisatorische Maßnahmen zu treffen (§ 9 BDSG), um die Sicherheit
der Daten zu gewährleisten. Vor der Inbetriebnahme einer Videoüberwachung ist eine Vorabkontrolle nach § 4d Absatz 5 BDSG erforderlich, wenn bei dem Einsatz der Videotechnik von besonderen Risiken für die Rechte und Freiheiten der Betroffenen auszugehen ist. Nach der Gesetzesbegründung bestehen besondere Risiken, wenn Überwachungskameras „in größerer Zahl und zentral kontrolliert eingesetzt werden“ (BT-Drs. 14/5793, S. 62). Der betriebliche Datenschutzbeauftragte hat gemäß § 4d Absatz 6 BDSG die Vorabkontrolle durchzuführen und das Ergebnis sowie die Begründung schriftlich
zu dokumentieren.

Unabhängig von der Durchführung einer Vorabkontrolle ergibt sich das Erfordernis der
vorherigen Zweckbestimmung aus § 6b Absatz 1 Nr. 3 BDSG, wenn die Videoüberwachung zur Wahrnehmung berechtigter Interessen erfolgt. Darüber hinaus ist für Verfahren,
die automatisiert Daten verarbeiten, eine Verfahrensübersicht zu erstellen (vgl. § 4g Absatz 2 und 2a BDSG). Eine Videoüberwachung ist jedenfalls dann, wenn sie mittels digitaler Technik erfolgt, als automatisierte Verarbeitung zu qualifizieren. Welche Angaben in diese Übersicht aufgenommen werden müssen, zählt § 4e Satz 1 BDSG verbindlich und abschließend auf. Der dort geforderten allgemeinen Beschreibung der technisch-organisatorischen Maßnahmen zum Schutz der Daten kommt bei der Videoüberwachung besondere Bedeutung zu. Die Videobilddaten unterliegen wegen der sich aus einer unsachgemäßen Handhabung möglicherweise für den Betroffenen ergebenen Beeinträchtigungen entsprechend hohen Schutzkontrollen sowohl hinsichtlich des Zutritts, Zugangs und Zugriffs, aber auch der Weitergabe an Strafver-

Maßnahme Bäckerei   Kassen-Videoüberwachung ja nein
Ist eine Verfahrensdokumentation vorgelegt worden, die den Zweck des Verfahrens klar erläutert? x
Liegt ein Datenmodell oder eine Betriebsvereinbarung vor? x
Stehen die Art der Daten, die verarbeitet werden, die Zweckbestimmung, die erfassten Personengruppen und die Empfänger der Daten im Einklang mit dem BDSG? x
Welche Dialog-Transaktionen mit personenbezogenen Daten sollen ausgeführt werden? Bildübertragung per CMS-

Software zu den berechtigten Personen

Welche Reportingfunktionen sind vorgesehen? Suche nach Storno
Wer sind die Anwender des Verfahrens? Herr A und Frau B
Sollen Auftragsdatenverarbeiter (§ 11 BDSG), also insbesondere Dienstleister, eingeschaltet werden? x
Liegen die erforderlichen Verträge vor? x
Ist nach der Verfahrensdokumentation sichergestellt, dass der Betroffene über das Verfahren informiert wird bzw. ihm auf Nachfrage die erforderlichen Auskünfte gegeben werden können und Berichtigungen, Sperrungen und Löschungen möglich sind? x
Sind die Spezialvorschriften für automatisierte Einzelentscheidungen (§ 6a BDSG), für den Videoeinsatz in öffentlich zugänglichen Räumen (§ 6b BDSG) und für Chipkarten (§ 6c BDSG) beachtet? x
Ist eine Datenübermittlung in Drittstaaten geplant? x
Wenn ja, ist diese zulässig?
Welche Folgen hat eine missbräuchliche Verwendung der sensiblen Daten? Nicht möglich, Daten zugangsgesichert
Liegt ein Datensicherheitskonzept vor, das entsprechend der Sensibilität der Daten Risiken für die Vertraulichkeit, Integrität, Verfügbarkeit und Revisionsfestigkeit hinreichend sicher verhindert? x
Sind insbesondere die erforderlichen Maßnahmen für die Sicherung des Zugangs, die Sicherung und Protokollierung des Zugriffs und für die Verschlüsselung getroffen? x
 Liegt ein Berechtigungskonzept vor? x
Gibt es Schnittstellen zu anderen Systemen
(Uploads/Downloads)?
x
Welche Software wird eingesetzt? Cash-Plus
Standard-/Individualsoftware? x
Ist die Funktionalität des Verfahrens erprobt worden? x
Werden alle Anwender, die mit dem System arbeiten, datenschutzrechtlich geschult? x
Ist die geplante Datenverarbeitung also insgesamt nach §§ 4, 28 BDSG zulässig und sind die ergriffenen Sicherheitsmaßnahmen im Hinblick auf die vorhandenen Risiken geeignet, erforderlich und angemessen? x

 

Wie sind Kameraattrappen zu beurteilen?

Information des
LDI NRW Achtung Kamera! Videoüberwachung durch private Stellen

Da mit einer Attrappe keine Beobachtung mit optisch elektronischen
Einrichtungen durchgeführt werden kann, ist § 6b BDSG nicht unmittelbar anwendbar. Dennoch können sich Passanten durch die vermeintliche Beobachtung zu Verhaltensänderungen veranlasst sehen und in ihrem Persönlichkeitsrecht beeinträchtigt
sein. Unter diesem Gesichtspunkt sind Attrappen durchaus kritisch zu beurteilen. In diesem
Fall sind unter Umständen zivilrechtliche Schritte nach §§ 823, 1004 BGB möglich.

Videoüberwachung-Wie lange darf abgespeichert werden?

Die Frage, die häufig gestellt wird: „Ist die Festplatte des Rekorders groß genug?“

Diese Frage zeigt ganz deutlich, dass der Anwender noch nicht Bescheid weiß, was das BDSG zum Thema #Bildspeicherung sagt.

Die erforderliche Größe einer Festplatte eines DVR ergibt sich aus dem Zweck der Videoüberwachung und der Begründung für jede einzelne Kamera.

Bevor Sie anfangen zu projektieren, fragen Sie, was die Aufgabenstellung ist  oder das Problem, das gelöst werden soll und wie viel Kosten dieses Problem  derzeit  verursacht. Dann wissen Sie auch recht schnell wie viel Geld für eine Problembeseitigung investiert werden kann. Wenn keine konkrete Aufgabenstellung oder kein Problem (Zweck*) vorliegt, so besteht in aller Regel auch keinen Bedarf an einer Videoanlage und laut Datenschutz, darf dann auch gem. § 6b BDSG und §4 BDSGneu keine Videoüberwachung  installiert werden. (* Der Zweck der Videoanlage und jeder einzelnen Kamera muss laut BDSG in einer Datenschutzdokumentation schriftlich festgehalten werden.) Vor der Installation muss der Betreiber zudem eine Vorabkontrolle durchgeführt haben. (AB 25.5.2018  zusätzlich eine Datenschutzfolgenabschätzung)  Ein „Zertifizierte Installateur“ stellt dem Betreiber alle für BDSG und DSGVO erforderliche Unterlagen bereits mit der Auftragsbestätigung zur Verfügung. Es ist zwingend vorgeschrieben, dass die Mitarbeiter über Art und Umfang der Videoüberwachung informiert worden sind und deren Erklärung und Einverständnis auch schriftlich vorliegt. Achtung:  Hinweis an den Installateur: Eine Videoüberwachungsanlage darf nicht an den Betreiber übergeben werden, wenn kein Datenschutzbeauftragter bestellt wurde. Für Kameras deren Platzierung nicht datenschutzkonform ist haftet der Planer oder der Installateur ebenso wie der Betreiber der Videoanlage.

Orientierungshilfe Düsseldorfer Kreis

2.3. Durchführung einer zulässigen Videoüberwachung

2.3.1. Speicherdauer

Gemäß § 6b Absatz 5 BDSG sind die Daten der Videoüberwachung unverzüglich zu
löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder
schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.

Das ist der Fall, wenn eine Gefahr nicht weiter abgewendet werden muss oder
eine Beweissicherung nicht notwendig ist. Ist es beispielsweise an einer Tankstelle zu
keinem Überfall oder Diebstahl gekommen, werden Videoaufzeichnungen für Beweiszwecke
nicht mehr benötigt und sind daher zu löschen.
Ob eine Sicherung des Materials notwendig ist, dürfte grundsätzlich innerhalb von ein bis zwei Tagen geklärt werden können.

Das bedeutet, dass Videoaufzeichnungen grundsätzlich nach 48 Stunden zu löschen sind. In begründeten Einzelfällen kann eine längere Speicherfrist angenommen werden, etwa wenn an Wochenenden und Feiertagen kein Geschäftsbetrieb erfolgt.
Da sich die gesetzliche Speicherdauer am Aufzeichnungszweck orientiert, kann der
Zeitpunkt der Löschpflicht je nach Einzelfall variieren. Dem Löschungsgebot wird am wirksamsten durch eine automatisierte periodische Löschung, z.B. durch Selbstüberschreiben zurückliegender Aufnahmen, entsprochen.

 

Noch ein Hinweis der Behörden

LDI NRW Achtung Kamera! Videoüberwachung durch private Stellen Stand: 07/09

Unter welchen Voraussetzungen und wie lange dürfen die Videobilder aufgezeichnet werden?

Da die Videoaufzeichnung gegenüber der bloßen Beobachtung den schwerwiegenderen Eingriff darstellt, ist eine Aufzeichnung  nur rechtmäßig, wenn der mit der Videoüberwachung verfolgte Zweck eine Aufzeichnung erfordert.

Wenn aufgezeichnet wird, ist das Videomaterial nach der Verwirklichung des Aufzeichnungszwecks ohne schuldhaftes Verzögern (unverzüglich) zu löschen.
Am sinnvollsten erscheint es, das Videomaterial automatisiert, etwa durch
Selbstüberschreiben zurückliegender Aufnahmen, unkenntlich zu machen.

Da sich die vom Gesetz gestattete Speicherdauer am Aufzeichnungszweck
orientiert, ist die mögliche Speicherdauer von Videoaufzeichnungen in verschiedenen Anwendungsbereichen sehr unterschiedlich. So muss etwa eine Videoaufzeichnung am
Geldautomaten erst nach mehreren Wochen gelöscht werden, wenn feststeht, dass gegen die Kontobelastung durch die Geldabhebung kein Widerspruch mehr eingelegt werden kann. Videoaufzeichnungen zum Beweis von Ladendiebstählen werden nicht mehr benötigt, wenn kein Ladendiebstahl festgestellt wurde.
Die zur allgemeinen Kriminalitätsbekämpfung gefertigten Aufzeichnungen eines Geschäftstages sollten möglichst am  nächsten Tag überprüft und überspielt
werden, spätestens aber nach Ablauf von zwei Arbeitstagen.

Verzögert sich das Erreichen des Aufnahmezwecks durch Verschulden der verantwortlichen Stelle, etwa weil eine Aufnahme ohne Grund nicht ausgewertet wurde, kann wegen schutzwürdiger Interessen der Betroffenen ebenfalls eine Verpflichtung bestehen,
das Videomaterial zu löschen.

Videoüberwachung – Wer haftet bei Datenschutz-Verstoß?

 Datenschutzverstöße bei einer Videoüberwachung – Wer haftet?

 

In erster Linie ist natürlich grundsätzlich der für die Verarbeitung Verantwortliche der Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzgesetze zuständig.

Bei der Installation einer Videoüberwachung gibt es jedoch theoretisch zwei Verantwortliche, die gemeinsam  den Umfang der Videoüberwachungsanlage festlegen. Der Endkunde kann dies schon mangels Fachkenntnis im technischen Bereich nicht allein projektieren und planen. Somit legen zwei oder mehrere Verantwortliche Art und Umfang einer Videoüberwachung gleichberechtigt und gemeinsam fest (Art. 26 EU-DSGVO). In diesem Fall kann der Betroffene seine Rechte gegenüber jedem für die Verarbeitung Verantwortlichen geltend machen.

Wer haftet bei Datenschutzverstößen?

Die Haftung für Datenschutzverstöße nach Art. 82 DSGVO ändert sich im Vergleich zu unserem bekannten Schadensersatzrecht schon gewaltig. Im Gegensatz zum BDSG, das die Haftung des Einzelhändlers/Auftraggebers vorsieht, finden sich in Artikel 82 DSGVO wesentlich gravierende Haftungsregeln:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder moralischer Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“

Deshalb haftet auch der Errichter/Installateur direkt gegenüber dem Geschädigten.

Um dem Geschädigten die Durchsetzung seiner Forderung zu erleichtern, führt die DSGVO darüber hinaus auch noch die gesamtschuldnerische Haftung des Auftraggebers und des Auftragnehmers ein. Der für die Installation der Videoüberwachung Verantwortliche (Auftraggeber/Einzelhändler/Gewerbetreibende) und der Auftragsverarbeiter (Errichter/Installateur) haften gegenüber dem betroffenen Verbraucher gemeinsam.

Das bedeutet, sowohl der Errichter, wie auch der Endkunde haften  im Außenverhältnis auf den gesamten Schaden. Allerdings beschränkt sich die Haftung des Errichters auf Verstöße gegen speziell den Auftragsverarbeitern auferlegten Pflichten. Kann er aber nicht nachweisen, dass er seine Pflichten (Verarbeitungsdokumentation, Unterrichtung und Information des Endkunden, etc.) nicht erfüllt hat, dann haftet der Errichter ebenso wie der Endkunde.

Möglichkeiten zur Schuldbefreiung

Beiden, Endkunden und Errichter steht die Möglichkeit der „Schuldbefreiung“ zur Verfügung. Dazu müssen sie allerdings nachweisen, dass sie nicht für den Umstand, durch den ein  Schaden aufgetreten ist, verantwortlich sind. Das bedeutet für den Errichter, er muss lückenlos über seine Tätigkeiten Buch führen. Dazu ist natürlich erforderlich, dass er erst mal weiß was er zu tun hat.

Was er zu tun hat steht im „DSGVO-Errichter-Video-Praxisleitfaden“, den er über die Deutsche Datenschutzhilfe beziehen kann, sofern er dort Fördermitglied ist.

 

Welche besonderen Pflichten hat der Errichter/Installateur?

Der Errichter unterliegt nach der DSGVO mehreren Dokumentationspflichten, um nachzuweisen, dass die von ihm vorgenommene Installation der Videoüberwachung den Vorschriften der Datenschutzgrundverordnung entspricht. Laut Artikel 30 Abs. 2 DSGVO müssen Auftragsverarbeiter ein Verzeichnis (Abs. 2 die Zwecke der Verarbeitung)   über ihre Verarbeitungstätigkeiten führen.

Das Verzeichnis, bzw. die  aus dem BDSG bekannten Datenschutzdokumentation, war bisher nur für Endkunden/Betreiber einer Videoüberwachung  verpflichtend.

 

Welche Sanktionen und Bußgelder drohen Unternehmen mit Videoüberwachung?

Mit der DSGVO erhöhen sich die Bußgelder eklatant. Der Hamburger Landesbeauftragte für Datenschutz Johanes Caspar spricht von einem  Faktor 67.  Der Gastwirt, der vor kurzem noch 1.000€ Bußgeld wegen einer falsch platzierten Kamera bezahlt hat, wird in Zukunft 67.000 € Bußgeld bezahlen. Bei Verstößen gegen die Verpflichtungen der Art. 28 ff. DSGVO drohen den für die Verarbeitung Verantwortlichen, also dem Anwender/Endkunden  und den Auftragsverarbeitern, den Errichtern/Installateuren nach Art. 83 EU-DSGVO Geldbußen von bis zu 10 Millionen Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist. Insbesondere Errichter sollten deshalb ein  besonderes Augenmerk auf eine rechtskonforme Videoüberwachung  legen.

 

Was sollten Errichter beachten?

In der Übergangsphase sollten bestehende Installationen und Verträge zur Videoüber-wachung überprüft werden. Neu abzuschließende Verträge sind so abzufassen, dass sie die Rechtslage nach der DSGVO berücksichtigen. Deshalb sind Grundkenntnisse über Datenschutz für jeden Errichter eklatant wichtig. Im Klartext heißt das, der Installateur oder Errichter sollte den  „DSGVO-Video-Praxisleitfaden“ vom EFDAT-Institut erwerben, denn er darf nicht mehr nach Belieben irgendwo eine Kamera installieren, wo der Kunde dies gerne haben will.

Der DSGVO-Video-Praxisleitfaden beinhaltet unter anderem eine Checkliste für den Installateur/Errichter,  damit dieser weiß, was er beim Endkunden abfragen muss, bevor er mit der Installation der Video – Geräte beginnen darf.

Bestandteil des DSGVO-Video-Leitfaden sind auch Musterformulare für das komplette Datenschutzmanagement inklusive der eigenen Verabeitungstätigkeit, damit der Errichter auch  den Nachweis hat, dass er sich Datenschutzkonform  bei der Installation verhalten hat und seiner Informationspflicht hinsichtlich BDSG und DSGVO ausführlich nachgekommen ist.

Die Deutsche Datenschutzhilfe e.V. (D-DSH) berät Errichter und Planer zum  Thema „Installation einer Videoüberwachung“ und veranstaltet auch Schulungen.

Alle Gewerbetreibende, die in Ihren Betriebsräumen bereits eine Videoüberwachung installiert haben, können sich auch an das EFDAT-Institut wenden und erhalten den dezidierten „DSGVO-Video-Praxisleitfaden „.

Als Ansprechpartner für Fragen rund um die Videoüberwachung steht Ihnen der externe Datenschutzbeauftragte Walter C. Dieterich zur Verfügung.

Orientierungs-Hilfe Videoüberwachung

Eine Orientierungshilfe zum Thema Videoüberwachung vom DSK                                                                      ACHTUNG Laut Beschluss des DSK   ist bei Videoüberwachung immer ein betrieblicher Datenschutzbeauftragter erforderlich.

 

 

Orientierungshilfe Videoüberwachung Der Landesbeauftragte für den Datenschutz Baden-Württemberg

 

Machen Sie den Schnelltest und stellen Sie fest, ob Ihre Videoüberwachung datenschutzkonfrom ist.

 

Hier noch mehr Informationen zur Videoüberwachung

Kurzpapier  DSK

DSK_KPNr_15_Videoüberwachung

Videoüberwachung in der EU-DSGVO von Dr. Brink Landesdatenschutz Stuttgart Vortrag 5.5.2017

Wenn Sie das nicht alles allein machen wollen, dann schreiben Sie uns office @ efdat.de

Wenn Sie keinen Mitarbeiter als Datenschutzbeauftragten ausbilden lassen haben, dann können wir für Sie als externer Datenschutzbeauftragter tätig werden.

Was ist bei Kamera – Attrappen zu beachten

Wie sind Kamera-Attrappen zu beurteilen?

Da mit einer Attrappe keine Beobachtung mit  elektronischen Geräten durchgeführt werden kann, ist § 6b BDSG nicht unmittelbar anwendbar. Dennoch können sich Passanten durch die vermeintliche Beobachtung zu Verhaltensänderungen veranlasst sehen und in ihrem Persönlichkeitsrecht beeinträchtigt sein. Unter diesem Gesichtspunkt sind Attrappen durchaus kritisch zu beurteilen. In diesem Fall sind unter Umständen zivilrechtliche Schritte nach §§ 823, 1004 BGB möglich

 

§ 823
Schadensersatzpflicht

(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.

(2) 1Die gleiche Verpflichtung trifft denjenigen, welcher gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt. 2Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Ersatzpflicht nur im Falle des Verschuldens ein.

.

§ 1004
Beseitigungs- und Unterlassungsanspruch

(1) 1Wird das Eigentum in anderer Weise als durch Entziehung oder Vorenthaltung des Besitzes beeinträchtigt, so kann der Eigentümer von dem Störer die Beseitigung der Beeinträchtigung verlangen. 2Sind weitere Beeinträchtigungen zu besorgen, so kann der Eigentümer auf Unterlassung klagen.
(2) Der Anspruch ist ausgeschlossen, wenn der Eigentümer zur Duldung verpflichtet ist.

Die Auskunftspflicht bei Videoüberwachung in öffentlich zugänglichen Räumen

  1. Auskunftsrecht

Das Auskunftsrecht steht jedem Betroffenen zu, d.h. jeder bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs.1 BDSG) . Dies gilt unabhängig vom Wohnsitz der Person und unabhängig von deren Nationalität.

 

  1. Die Voraussetzungen des Auskunftsanspruchs

Gemäß § 34 Abs.1 BDSG gilt, dass die „verantwortliche Stelle“ dem Betroffenen auf Verlangen Auskunft zu erteilen hat über

  • die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
  • den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und
  • den Zweck der Speicherung.

 

„Verantwortliche Stelle“ ist dabei gemäß § 3 Abs. 7 BDSG jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Hinweis: Ausnahmen vom Auskunftsanspruch bestehen nur in wenigen Fällen (z.B. gemäß § 34 Abs.7 BDSG) .

  1. Wie der Auskunftsanspruch geltend gemacht werden kann

Eine bestimmte Form für das Auskunftsverlangen ist nicht vorgeschrieben. Es ist daher möglich mündlich Auskunft zu verlangen, aber z.B. auch per Brief, Telefax oder E-Mail.

Der Adressat des Auskunftsverlangens muss allerdings in der Lage sein, den Betroffenen zweifelsfrei zu identifizieren, um zu verhindern, dass die Auskunft an unberechtigte Dritte gelangt. Insofern kann eine mündliche Anfrage problematisch sein. Zum Zwecke der Identifizierung können der vollständige Name, die Anschrift und ggf. das Geburtsdatum angegeben werden.

Eine Kopie des Personalausweises oder Reisepasses muss nicht beigelegt werden – allenfalls, wenn dies für die Identifizierung erforderlich wäre und sonstige Angaben nicht ausreichen. Nicht zur Identifizierung erforderliche Angaben auf dem Ausweis wie Augenfarbe oder Größe können geschwärzt werden. Nach der Identifizierung durch die verantwortliche Stelle anhand eines Ausweises, ist die erhaltene Ausweiskopie grundsätzlich zu vernichten.

Es ist sinnvoll, die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher zu bezeichnen (vgl. § 34 Abs.1 S.2 BDSG) , verpflichtend ist dies jedoch nicht.

Hinweis: Die Daten, die der Betroffene zum Zwecke der Auskunftserteilung übermittelt, dürfen vom Adressaten ausschließlich für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verwendet werden (§ 34 Abs.5 BDSG) . Für andere Zwecke sind sie zu sperren.

 

  1. Inhalt und Form der Auskunft

Die Auskunft umfasst gemäß § 34 Abs.1 BDSG die personenbezogenen Daten des Anspruchstellers (Bilder) und deren Herkunft. Anzugeben sind auch die Empfänger oder so genannte Kategorien von Empfängern (z.B. Branchenangabe), an die Daten herausgegeben wurden, sowie der Zweck der Speicherung.

Hinweis:

  • Sondervorschriften zu den Herkunfts- und Empfängerangaben gelten für geschäftsmäßige Datenverarbeiter im Sinne des 29 BDSG (z.B. Adresshändler, Auskunfteien oder Werbeunternehmen), beispielsweise gemäß § 34 Abs.1 S.3 BDSG, wonach sich der Datenverarbeiter nicht darauf berufen kann, es sei ihm die Auskunft über die Herkunft und die Empfänger mangels Speicherung dieser Angaben nicht möglich.
  • Beim so genannten Scoring kann daneben gemäß 34 Abs.2 BDSG ein weiterer Auskunftsanspruch geltend gemacht werden, was im Auskunftsverlangen klargestellt werden sollte. Inhaltlich umfasst eine solche Auskunft die Wahrscheinlichkeitswerte und die zu deren Berechnung genutzten Datenarten. Dabei sind das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen, nachvollziehbar und verständlich darzustellen, so dass der Betroffene weiß, ob der berechnete Wahrscheinlichkeitswert als gut, mittelmäßig oder schlecht einzustufen ist.

 

Gemäß § 34 Abs.6 BDSG ist die Auskunft grundsätzlich in Textform zu erteilen (z.B. per E-Mail). Verlangt der Betroffene dies nicht explizit, kann die Auskunft unter anderem schriftlich per Brief oder mündlich erteilt werden.

 

Hinweis:

  • Die Auskunft ist unentgeltlich zu erteilen, bei geschäftsmäßigen Daten-verarbeitern jedoch in der Regel nur einmal pro Kalenderjahr ( 34 Abs.8 BDSG) .
  • Auskünfte sind in innerhalb eines angemessenem Zeitraums zu erteilen. Antwortet ein Unternehmen nicht, kann sich der Betroffene an die zuständige Datenschutz-Aufsichtsbehörde wenden. Zuständig ist die Behörde des Bundeslandes, in dem das Unternehmen seinen Sitz hat.
  • Kommt ein Unternehmen seiner Auskunftspflicht nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nach, kann ein Bußgeld anfallen ( 43 BDSG) .

 

  1. Muster für Auskunftsverlangen

Beispielsweise auf den Internetseiten des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

https://www.datenschutzzentrum.de/selbstdatenschutz/checkheft/index.htm

Der Monitor im Eingangsbereich des Supermarktes oder der Tankstelle

Immer wieder werden wir  gefragt, wie der Hinweis auf die Videoüberwachung in öffentlich zugänglichen Räumen auszusehen hat.

Nach § 6b Abs. 2 BDSG ist bei einer Videoüberwachung öffentlich zugänglicher Räume der Umstand der Beobachtung und die verantwortliche Stelle durch geeignete Maßnahmen erkennbar zu machen.

Damit sollen die Betroffenen auf die Tatsache der Beobachtung hingewiesen werden.
Die Kameras gelb lackieren oder gar verdeckte Überwachung ist als Hinweis nicht geeignet und auch nach dem Beschäftigtendatenschutz unzulässig. Der Umstand der Video-überwachung ist erkennbar, wenn darauf durch ein deutlich sichtbares Schild hingewiesen wird.

Eine mögliche Form des Hinweises könnte darin bestehen, auf einem Bildschirm den erfassten Bereich (Eingang) erkennbar zu machen. Der Kunde sieht sich dann im Monitor beim Betreten. Dies wird häufig in Tankstellen so gemacht. Nicht nur nach meiner Meinung ist dies aber nicht als Hinweisschild zulässig, weil der entscheidende Hinweis auf den Verantwortlichen fehlt, es sei denn dieser wäre sichtbar im Videobild eingeblendet und zudem hängt der Monitor zumeist nicht in Augenhöhe sondern unter der Decke.

Ein Hinweisschild muss so angebracht sein, dass man es nicht suchen muss, sondern automatisch auffällt.
Entscheidend ist jedoch auch, dass für die Betroffenen/Kunden problemlos feststellbar ist, an wen sie sich bezüglich der Wahrung ihrer Rechte ggf. wenden können.
Daher ist die verantwortliche Stelle grundsätzlich mit ihren Kontaktdaten (im Regelfall Name/Telefon und Anschrift/E-Mail) explizit auf dem Hinweisschild zu nennen.

Immer richtig ist ein Hinweis-Schild nach DIN33450 , das in Augenhöhe angebracht werden soll:

 Größe DIN A5

Mit Hinweis auf den Verantwortlichen

 

 

Ein Hinweis- und Sanktionsschild

 

 

http://dsgvo.news/din-33450-hinweisschild-videoueberwachung

 

Der Monitor im Eingangsbereich des Supermarktes

Immer mehr Supermärkte und auch Tankstellen haben in ihrem Eingangsbereich einen beeindruckend großen Monitor an die Decke montiert auf dem meistens die eintretenden Kunden, aber vereinzelt auch die verschiedenen Bereiche der Verkaufsfläche und die darin befindliche Kunden gezeigt werden.

Was soll der  Zweck dieser Maßnahme sein?

Ein Hinweis an den Kunden: Achtung wir haben eine Videoüberwachung ? Wird erwartet, dass jeder Kunde an die Decke schaut. Oder soll der Kunde doch noch informiert werden, weil er die meistens zu kleinen und in Kniehöhe angebrachten Hinweisschildchen übersehen hat.

Als alleiniger Hinweis zu Videoüberwachung datenschutzrechtlich unzulässig!

Denn entscheidend ist, was auf dem Monitor zu sehen ist

  • Kunden vor der Fleischtheke  oder vor der Kasse
  • Personen in der Wein-Abteilung, da kann evtl. der Nachbar als Säufer enttarnt werden
  • Die Frau vom Steuerberater in der Kosmetikabteilung
  • Mein Lieblingsgastronom, der im Supermarkt billig einkauft

 

Derartige Darstellungen von Personen sind unzulässig.

 

 Der LFDI Niedersachsen  schreibt hierzu expizit in seinem 21. Tätigkeitsbericht auf Seite 72:

Im Zusammenhang mit einer Eingabe stellte sich die Frage, ob Monitore im Eingangsbereich, auf denen die Kunden sich selbst beim Betreten eines Geschäfts

oder andere Kunden in überwachten Bereichen mit möglicherweise wechselnden

Einstellungen sehen können, datenschutzrechtlich zulässig sind. Diese Monitore dienen nicht der eigentlichen Videoüberwachung durch das Unternehmen, sondern sind als Hinweis an die Kunden gerichtet, die – sollten sie Hinweisschilder nicht sehen – erkennen können, dass und gegebenenfalls welche Bereiche videoüberwacht werden. Die Monitore sollen daher auch eine abschreckende Wirkung haben. Als einziger Hinweis auf die Videoüberwachung reichen derartige Monitore allerdings nicht aus, sondern es sind zusätzlich Hinweisschilder nach § 6b Abs. 2 Bundesdatenschutzgesetz (BDSG) anzubringen, welche die betroffenen Kunden vor Eintritt in den Erfassungsbereich der Kameras auf die Videoüberwachung hinweisen.

 

Zudem war der hier begutachtete Monitor aufgrund seiner Darstellung aktueller Aufnahmen aus den videoüberwachten Bereichen datenschutzrechtlich unzulässig, da schutzwürdige Interessen der Kunden entgegenstanden. Denn aufgrund der Anbringung des Monitors am Geschäftseingang sind bereits beim Verweilen vor dem Ladenlokal und erst recht nach Betreten des Geschäfts die Kunden auf dem Monitor sichtbar. Dadurch ist es möglich, laufend andere Kunden und Bedienvorgänge des Ladenpersonals zu beobachten, ohne dass diese bemerken, wer sie ansieht. Dies stellt einen unzulässigen Eingriff in das Persönlichkeitsrecht dar. Zudem mangelt es hier bereits an einem berechtigten Interesse der verantwortlichen Stelle im Sinne des § 6b Abs. 1 Nr. 3 BDSG und an der Erforderlichkeit der Maßnahme.

 

Zulässig wäre ein Monitor im Eingangsbereich, bei dem keine wechselnde Einstellungen von Kunden in den verschiedenen überwachten Bereichen erscheinen, sondern statisch der Eingangsbereich abgebildet würde, ohne Speicherung der Bilddaten. Einer solchen Lösung ständen schutzwürdige Interessen der Kunden an einer Überwachung nicht entgegen, der beabsichtigte Warneffekt bestünde aber weiterhin.

 

Im Klartext heißt das, ein Monitor, der nur den Eingang zeigt, ist zwar erlaubt, reicht aber als Hinweis nicht aus.

Welche Rechte haben Sie als Betroffener

Beispiel Bayern

Verwenden bayerische öffentliche Stellen (insbesondere bayerische Behörden) personenbezogene Daten, die Sie betreffen, können Sie regelmäßig folgende Rechte geltend machen:

  1. Anspruch auf Auskunftserteilung
  2. Anspruch auf Berichtigung unrichtiger Daten
  3. Anspruch auf Löschung oder auf Sperrung Ihrer Daten
  4. Anspruch auf Schadensersatz
  5. Recht zur Anrufung des Bayerischen Landesbeauftragten für den Datenschutz – dazu mehr unter „Eingabe beim Bayerischen Landesbeauftragten für den Datenschutz – wie funktioniert das?“

Die genannten Ansprüche unter Ziffer 1 mit 4 können sich -je nach Behörde- aus unterschiedlichen Gesetzen ergeben, die im Detail auch unterschiedliche Regelungen enthalten. In der Folge finden Sie wesentliche Grundsätze:

1. Ihr Recht auf Auskunft (Art. 10 BayDSG, § 83 SGB X, § 67a Abs. 5 SGB X)

Sie wollen wissen, was eine bayerische öffentliche Stelle über Sie weiß?

Dann können Sie bei ihr einen Antrag auf Auskunftserteilung stellen.

Im Regelfall muss die öffentliche Stelle Ihnen dann mitteilen, welche Daten über Sie gespeichert sind, zu welchem Zweck sie die Daten speichert und auf welche Rechtsgrundlage sie die Speicherung stützt. Hierbei genügt es nicht, pauschal mitzuteilen, dass ein bestimmtes Datum wie z. B. die Bankverbindung gespeichert ist, vielmehr sind grundsätzlich die gespeicherten Daten detailliert mitzuteilen, z. B. also Kontonummer, Bank(-leitzahl) um Ihnen eine Überprüfung deren Richtigkeit zu ermöglichen.

Falls Sie dies wünschen, können Sie auch erfahren, von wem die Stelle die Daten erhalten und an wen sie diese Daten weitergegeben hat (dies steht allerdings unter dem Vorbehalt, dass diese Informationen gespeichert sind). Dann muss Ihnen die öffentliche Stelle auch mitteilen, an wen sie Ihre Daten regelmäßig übermittelt. Entsprechendes gilt für Fälle, in denen die öffentliche Stelle Aufträge für bestimmte Datenverarbeitungsvorgänge an andere Stellen vergibt.

Bei Sicherheitsbehörden wie z.B. Polizei und Verfassungsschutz können Sie nur Auskunft über die gespeicherten Daten und den Zweck der Speicherung verlangen. Woher und von wem die Daten stammen, müssen die Sicherheitsbehörden Ihnen nicht mitteilen.

Auch der Auskunftsanspruch gegenüber Sozialbehörden enthält Besonderheiten. So umfasst dieser beispielsweise nicht die Auskunft über die Rechtsgrundlage einer Speicherung.

Kostet der Antrag auf Auskunft Sie etwas?

Die Auskunft ist für Sie grundsätzlich gebührenfrei. Eine Gebühr darf nur ausnahmsweise erhoben werden, wenn die öffentliche Stelle einen ungewöhnlich hohen Arbeitsaufwand hat, um Ihnen die Auskunft zu erteilen.

Die Auskunft von Sozialbehörden ist immer unentgeltlich.

Wie stellen Sie den Antrag auf Auskunft?

Im Regelfall ist der Antrag formfrei. Das bedeutet: Theoretisch könnten Sie Ihren Auskunftsanspruch auch mündlich und ohne jede Begründung geltend machen. In der Regel empfiehlt es sich aber, einen schriftlichen Antrag zu stellen und diesen Antrag auch kurz zu begründen. Das erleichtert der öffentlichen Stelle die Beantwortung.

Nach dem Bayerischen Datenschutzgesetz sollen Sie in Ihrem Antrag „die Art der personenbezogenen Datennäher bezeichnen, über die Auskunft erteilt werden soll. Auch dies dient dazu, der öffentlichen Stelle die Suche nach den Daten zu erleichtern, die Sie erfahren wollen. Die Auskunft darf nicht allein deshalb verweigert werden, weil Ihr Antrag nicht diesen Erfordernissen entspricht.

Einige Sicherheitsbehörden (Polizei, Verfassungsschutz) machen die Erteilung von Auskünften sensibler Daten davon abhängig, dass Sie Ihre Identität nachweisen. In der Regel akzeptieren sie die Vorlage eines Passes oder die Übersendung einer Passkopie.

Manche Gesetze (zum Beispiel das Polizeiaufgabengesetz) sehen überdies vor, dass Sie den Grund Ihres Auskunftsanspruchs näher bezeichnen sollen.

Gilt der Auskunftsanspruch auch für Daten, die nicht in Computern erfasst sind?

Falls Sie wissen wollen, ob und welche Ihrer Daten außerhalb von automatisierten Dateien gespeichert sind, müssen Sie die öffentliche Stelle mit Angaben unterstützen, die es ihr ermöglichen, die Sie betreffenden Daten zu finden. Die öffentliche Stelle kann eine Auskunft verweigern, wenn „der für die Erteilung der Auskunft erforderliche Aufwand außer Verhältnis zu dem vom Betroffenen geltend gemachten Informationsinteresse steht.“

Wie muss die öffentliche Stelle Ihnen Auskunft erteilen?

Die öffentliche Stelle hat ein Ermessen, wie sie Ihnen Auskunft erteilt. Dabei hat sie Ihre Interessen zumindest auch zu berücksichtigen. An Ihre Wünsche ist sie allerdings nicht gebunden. Zumeist wird die öffentliche Stelle Ihnen die Auskunft schriftlich oder mündlich geben.

Darf eine öffentliche Stelle Ihnen auch die Auskunft verweigern?

In aller Regel müssen öffentliche Stellen Ihnen mitteilen, ob und welche Daten sie über Sie gespeichert haben. Das Bayerische Datenschutzgesetz und einige besondere Fachgesetze sehen allerdings Ausnahmen von diesem Grundsatz vor. Als Faustformel gilt dazu: Die Auskunft unterbleibt, wenn sie Sicherheitsbelange berühren würde oder wenn sonstige Geheimhaltungsgründe der Auskunft entgegenstehen.

Sicherheitsbehörden müssen in diesen Fällen das Vorliegen eines Verweigerungsgrundes prüfen, sie können also Ihr Auskunftsersuchen nicht willkürlich ablehnen. Aber sie müssen ihre Entscheidung Ihnen gegenüber nicht begründen. Wenn die öffentliche Stelle eine Auskunft ablehnt, muss sie Sie darüber informieren, dass Sie sich an den Bayerischen Landesbeauftragten für den Datenschutz wenden können. Er prüft dann auf Ihre Eingabe hin, ob die Auskunft rechtmäßig verweigert worden ist.

Für Gerichte und den Obersten Rechnungshof sowie für Justizbehörden gelten besondere Regeln, die Ihren Auskunftsanspruch außerhalb von Gerichtsverfahren einschränken. Für Gerichtsverfahren gelten wiederum die Prozessregeln, die Ihnen sehr weitgehende Akteneinsichtsrechte geben.

Gibt es Fälle, in denen eine öffentliche Stelle verpflichtet ist, Ihnen auch ohne entsprechenden Antrag mitzuteilen, dass sie Daten über Sie gespeichert hat?

Ja – eine solche Benachrichtigungspflicht gibt es manchmal. Die öffentliche Stelle ist hierzu regelmäßig verpflichtet, wenn sie sich Daten über Sie beschafft, ohne dass Sie mitgewirkt haben oder anderweitig hiervon Kenntnis haben. Für eine Sozialbehörde gilt dies nicht, soweit sie die Daten bei einer anderen Sozialbehörde erhoben hat.

Im Fall einer Benachrichtigungspflicht hat die öffentliche Stelle Sie darüber zu informieren, dass sie Daten über Sie gespeichert hat. Zu benachrichtigen sind Sie auch über die Art der Daten, die Zweckbestimmung und die Rechtsgrundlage der Speicherung. Auch zur Benachrichtigung gibt es eine Vielzahl von Sonderregeln in Fachgesetzen (vor allem für Sicherheitsbehörden und Sozialbehörden).

 

 

 

 

1 2 3