Videoüberwachung-Wie lange darf abgespeichert werden?

Die Frage, die häufig gestellt wird: „Ist die Festplatte des Rekorders groß genug?“

Diese Frage zeigt ganz deutlich, dass der Anwender noch nicht Bescheid weiß, was das BDSG zum Thema #Bildspeicherung sagt.

Die erforderliche Größe einer Festplatte eines DVR ergibt sich aus dem Zweck der Videoüberwachung und der Begründung für jede einzelne Kamera.

Bevor Sie anfangen zu projektieren, fragen Sie, was die Aufgabenstellung ist  oder das Problem, das gelöst werden soll und wie viel Kosten dieses Problem  derzeit  verursacht. Dann wissen Sie auch recht schnell wie viel Geld für eine Problembeseitigung investiert werden kann. Wenn keine konkrete Aufgabenstellung oder kein Problem (Zweck*) vorliegt, so besteht in aller Regel auch keinen Bedarf an einer Videoanlage und laut Datenschutz, darf dann auch gem. § 6b BDSG und §4 BDSGneu keine Videoüberwachung  installiert werden. (* Der Zweck der Videoanlage und jeder einzelnen Kamera muss laut BDSG in einer Datenschutzdokumentation schriftlich festgehalten werden.) Vor der Installation muss der Betreiber zudem eine Vorabkontrolle durchgeführt haben. (AB 25.5.2018  zusätzlich eine Datenschutzfolgenabschätzung)  Ein „Zertifizierte Installateur“ stellt dem Betreiber alle für BDSG und DSGVO erforderliche Unterlagen bereits mit der Auftragsbestätigung zur Verfügung. Es ist zwingend vorgeschrieben, dass die Mitarbeiter über Art und Umfang der Videoüberwachung informiert worden sind und deren Erklärung und Einverständnis auch schriftlich vorliegt. Achtung:  Hinweis an den Installateur: Eine Videoüberwachungsanlage darf nicht an den Betreiber übergeben werden, wenn kein Datenschutzbeauftragter bestellt wurde. Für Kameras deren Platzierung nicht datenschutzkonform ist haftet der Planer oder der Installateur ebenso wie der Betreiber der Videoanlage.

Orientierungshilfe Düsseldorfer Kreis

2.3. Durchführung einer zulässigen Videoüberwachung

2.3.1. Speicherdauer

Gemäß § 6b Absatz 5 BDSG sind die Daten der Videoüberwachung unverzüglich zu
löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder
schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.

Das ist der Fall, wenn eine Gefahr nicht weiter abgewendet werden muss oder
eine Beweissicherung nicht notwendig ist. Ist es beispielsweise an einer Tankstelle zu
keinem Überfall oder Diebstahl gekommen, werden Videoaufzeichnungen für Beweiszwecke
nicht mehr benötigt und sind daher zu löschen.
Ob eine Sicherung des Materials notwendig ist, dürfte grundsätzlich innerhalb von ein bis zwei Tagen geklärt werden können.

Das bedeutet, dass Videoaufzeichnungen grundsätzlich nach 48 Stunden zu löschen sind. In begründeten Einzelfällen kann eine längere Speicherfrist angenommen werden, etwa wenn an Wochenenden und Feiertagen kein Geschäftsbetrieb erfolgt.
Da sich die gesetzliche Speicherdauer am Aufzeichnungszweck orientiert, kann der
Zeitpunkt der Löschpflicht je nach Einzelfall variieren. Dem Löschungsgebot wird am wirksamsten durch eine automatisierte periodische Löschung, z.B. durch Selbstüberschreiben zurückliegender Aufnahmen, entsprochen.

 

Noch ein Hinweis der Behörden

LDI NRW Achtung Kamera! Videoüberwachung durch private Stellen Stand: 07/09

Unter welchen Voraussetzungen und wie lange dürfen die Videobilder aufgezeichnet werden?

Da die Videoaufzeichnung gegenüber der bloßen Beobachtung den schwerwiegenderen Eingriff darstellt, ist eine Aufzeichnung  nur rechtmäßig, wenn der mit der Videoüberwachung verfolgte Zweck eine Aufzeichnung erfordert.

Wenn aufgezeichnet wird, ist das Videomaterial nach der Verwirklichung des Aufzeichnungszwecks ohne schuldhaftes Verzögern (unverzüglich) zu löschen.
Am sinnvollsten erscheint es, das Videomaterial automatisiert, etwa durch
Selbstüberschreiben zurückliegender Aufnahmen, unkenntlich zu machen.

Da sich die vom Gesetz gestattete Speicherdauer am Aufzeichnungszweck
orientiert, ist die mögliche Speicherdauer von Videoaufzeichnungen in verschiedenen Anwendungsbereichen sehr unterschiedlich. So muss etwa eine Videoaufzeichnung am
Geldautomaten erst nach mehreren Wochen gelöscht werden, wenn feststeht, dass gegen die Kontobelastung durch die Geldabhebung kein Widerspruch mehr eingelegt werden kann. Videoaufzeichnungen zum Beweis von Ladendiebstählen werden nicht mehr benötigt, wenn kein Ladendiebstahl festgestellt wurde.
Die zur allgemeinen Kriminalitätsbekämpfung gefertigten Aufzeichnungen eines Geschäftstages sollten möglichst am  nächsten Tag überprüft und überspielt
werden, spätestens aber nach Ablauf von zwei Arbeitstagen.

Verzögert sich das Erreichen des Aufnahmezwecks durch Verschulden der verantwortlichen Stelle, etwa weil eine Aufnahme ohne Grund nicht ausgewertet wurde, kann wegen schutzwürdiger Interessen der Betroffenen ebenfalls eine Verpflichtung bestehen,
das Videomaterial zu löschen.

Videoüberwachung – Wer haftet bei Datenschutz-Verstoß?

 Datenschutzverstöße bei einer Videoüberwachung – Wer haftet?

 

In erster Linie ist natürlich grundsätzlich der für die Verarbeitung Verantwortliche der Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzgesetze zuständig.

Bei der Installation einer Videoüberwachung gibt es jedoch theoretisch zwei Verantwortliche, die gemeinsam  den Umfang der Videoüberwachungsanlage festlegen. Der Endkunde kann dies schon mangels Fachkenntnis im technischen Bereich nicht allein projektieren und planen. Somit legen zwei oder mehrere Verantwortliche Art und Umfang einer Videoüberwachung gleichberechtigt und gemeinsam fest (Art. 26 EU-DSGVO). In diesem Fall kann der Betroffene seine Rechte gegenüber jedem für die Verarbeitung Verantwortlichen geltend machen.

Wer haftet bei Datenschutzverstößen?

Die Haftung für Datenschutzverstöße nach Art. 82 DSGVO ändert sich im Vergleich zu unserem bekannten Schadensersatzrecht schon gewaltig. Im Gegensatz zum BDSG, das die Haftung des Einzelhändlers/Auftraggebers vorsieht, finden sich in Artikel 82 DSGVO wesentlich gravierende Haftungsregeln:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder moralischer Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“

Deshalb haftet auch der Errichter/Installateur direkt gegenüber dem Geschädigten.

Um dem Geschädigten die Durchsetzung seiner Forderung zu erleichtern, führt die DSGVO darüber hinaus auch noch die gesamtschuldnerische Haftung des Auftraggebers und des Auftragnehmers ein. Der für die Installation der Videoüberwachung Verantwortliche (Auftraggeber/Einzelhändler/Gewerbetreibende) und der Auftragsverarbeiter (Errichter/Installateur) haften gegenüber dem betroffenen Verbraucher gemeinsam.

Das bedeutet, sowohl der Errichter, wie auch der Endkunde haften  im Außenverhältnis auf den gesamten Schaden. Allerdings beschränkt sich die Haftung des Errichters auf Verstöße gegen speziell den Auftragsverarbeitern auferlegten Pflichten. Kann er aber nicht nachweisen, dass er seine Pflichten (Verarbeitungsdokumentation, Unterrichtung und Information des Endkunden, etc.) nicht erfüllt hat, dann haftet der Errichter ebenso wie der Endkunde.

Möglichkeiten zur Schuldbefreiung

Beiden, Endkunden und Errichter steht die Möglichkeit der „Schuldbefreiung“ zur Verfügung. Dazu müssen sie allerdings nachweisen, dass sie nicht für den Umstand, durch den ein  Schaden aufgetreten ist, verantwortlich sind. Das bedeutet für den Errichter, er muss lückenlos über seine Tätigkeiten Buch führen. Dazu ist natürlich erforderlich, dass er erst mal weiß was er zu tun hat.

Was er zu tun hat steht im „DSGVO-Errichter-Video-Praxisleitfaden“, den er über die Deutsche Datenschutzhilfe beziehen kann, sofern er dort Fördermitglied ist.

 

Welche besonderen Pflichten hat der Errichter/Installateur?

Der Errichter unterliegt nach der DSGVO mehreren Dokumentationspflichten, um nachzuweisen, dass die von ihm vorgenommene Installation der Videoüberwachung den Vorschriften der Datenschutzgrundverordnung entspricht. Laut Artikel 30 Abs. 2 DSGVO müssen Auftragsverarbeiter ein Verzeichnis (Abs. 2 die Zwecke der Verarbeitung)   über ihre Verarbeitungstätigkeiten führen.

Das Verzeichnis, bzw. die  aus dem BDSG bekannten Datenschutzdokumentation, war bisher nur für Endkunden/Betreiber einer Videoüberwachung  verpflichtend.

 

Welche Sanktionen und Bußgelder drohen Unternehmen mit Videoüberwachung?

Mit der DSGVO erhöhen sich die Bußgelder eklatant. Der Hamburger Landesbeauftragte für Datenschutz Johanes Caspar spricht von einem  Faktor 67.  Der Gastwirt, der vor kurzem noch 1.000€ Bußgeld wegen einer falsch platzierten Kamera bezahlt hat, wird in Zukunft 67.000 € Bußgeld bezahlen. Bei Verstößen gegen die Verpflichtungen der Art. 28 ff. DSGVO drohen den für die Verarbeitung Verantwortlichen, also dem Anwender/Endkunden  und den Auftragsverarbeitern, den Errichtern/Installateuren nach Art. 83 EU-DSGVO Geldbußen von bis zu 10 Millionen Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist. Insbesondere Errichter sollten deshalb ein  besonderes Augenmerk auf eine rechtskonforme Videoüberwachung  legen.

 

Was sollten Errichter beachten?

In der Übergangsphase sollten bestehende Installationen und Verträge zur Videoüber-wachung überprüft werden. Neu abzuschließende Verträge sind so abzufassen, dass sie die Rechtslage nach der DSGVO berücksichtigen. Deshalb sind Grundkenntnisse über Datenschutz für jeden Errichter eklatant wichtig. Im Klartext heißt das, der Installateur oder Errichter sollte den  „DSGVO-Video-Praxisleitfaden“ vom EFDAT-Institut erwerben, denn er darf nicht mehr nach Belieben irgendwo eine Kamera installieren, wo der Kunde dies gerne haben will.

Der DSGVO-Video-Praxisleitfaden beinhaltet unter anderem eine Checkliste für den Installateur/Errichter,  damit dieser weiß, was er beim Endkunden abfragen muss, bevor er mit der Installation der Video – Geräte beginnen darf.

Bestandteil des DSGVO-Video-Leitfaden sind auch Musterformulare für das komplette Datenschutzmanagement inklusive der eigenen Verabeitungstätigkeit, damit der Errichter auch  den Nachweis hat, dass er sich Datenschutzkonform  bei der Installation verhalten hat und seiner Informationspflicht hinsichtlich BDSG und DSGVO ausführlich nachgekommen ist.

Die Deutsche Datenschutzhilfe e.V. (D-DSH) berät Errichter und Planer zum  Thema „Installation einer Videoüberwachung“ und veranstaltet auch Schulungen.

Alle Gewerbetreibende, die in Ihren Betriebsräumen bereits eine Videoüberwachung installiert haben, können sich auch an das EFDAT-Institut wenden und erhalten den dezidierten „DSGVO-Video-Praxisleitfaden „.

Als Ansprechpartner für Fragen rund um die Videoüberwachung steht Ihnen der externe Datenschutzbeauftragte Walter C. Dieterich zur Verfügung.

Orientierungs-Hilfe Videoüberwachung

Eine Orientierungshilfe zum Thema Videoüberwachung vom DSK                                                                      ACHTUNG Laut Beschluss des DSK   ist bei Videoüberwachung immer ein betrieblicher Datenschutzbeauftragter erforderlich.

 

 

Orientierungshilfe Videoüberwachung Der Landesbeauftragte für den Datenschutz Baden-Württemberg

 

Machen Sie den Schnelltest und stellen Sie fest, ob Ihre Videoüberwachung datenschutzkonfrom ist.

 

Hier noch mehr Informationen zur Videoüberwachung

Kurzpapier  DSK

DSK_KPNr_15_Videoüberwachung

Videoüberwachung in der EU-DSGVO von Dr. Brink Landesdatenschutz Stuttgart Vortrag 5.5.2017

Wenn Sie das nicht alles allein machen wollen, dann schreiben Sie uns office @ efdat.de

Wenn Sie keinen Mitarbeiter als Datenschutzbeauftragten ausbilden lassen haben, dann können wir für Sie als externer Datenschutzbeauftragter tätig werden.

Was ist bei Kamera – Attrappen zu beachten

Wie sind Kamera-Attrappen zu beurteilen?

Da mit einer Attrappe keine Beobachtung mit  elektronischen Geräten durchgeführt werden kann, ist § 6b BDSG nicht unmittelbar anwendbar. Dennoch können sich Passanten durch die vermeintliche Beobachtung zu Verhaltensänderungen veranlasst sehen und in ihrem Persönlichkeitsrecht beeinträchtigt sein. Unter diesem Gesichtspunkt sind Attrappen durchaus kritisch zu beurteilen. In diesem Fall sind unter Umständen zivilrechtliche Schritte nach §§ 823, 1004 BGB möglich

 

§ 823
Schadensersatzpflicht

(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.

(2) 1Die gleiche Verpflichtung trifft denjenigen, welcher gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt. 2Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Ersatzpflicht nur im Falle des Verschuldens ein.

.

§ 1004
Beseitigungs- und Unterlassungsanspruch

(1) 1Wird das Eigentum in anderer Weise als durch Entziehung oder Vorenthaltung des Besitzes beeinträchtigt, so kann der Eigentümer von dem Störer die Beseitigung der Beeinträchtigung verlangen. 2Sind weitere Beeinträchtigungen zu besorgen, so kann der Eigentümer auf Unterlassung klagen.
(2) Der Anspruch ist ausgeschlossen, wenn der Eigentümer zur Duldung verpflichtet ist.

Die Auskunftspflicht bei Videoüberwachung in öffentlich zugänglichen Räumen

  1. Auskunftsrecht

Das Auskunftsrecht steht jedem Betroffenen zu, d.h. jeder bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs.1 BDSG) . Dies gilt unabhängig vom Wohnsitz der Person und unabhängig von deren Nationalität.

 

  1. Die Voraussetzungen des Auskunftsanspruchs

Gemäß § 34 Abs.1 BDSG gilt, dass die „verantwortliche Stelle“ dem Betroffenen auf Verlangen Auskunft zu erteilen hat über

  • die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
  • den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und
  • den Zweck der Speicherung.

 

„Verantwortliche Stelle“ ist dabei gemäß § 3 Abs. 7 BDSG jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Hinweis: Ausnahmen vom Auskunftsanspruch bestehen nur in wenigen Fällen (z.B. gemäß § 34 Abs.7 BDSG) .

  1. Wie der Auskunftsanspruch geltend gemacht werden kann

Eine bestimmte Form für das Auskunftsverlangen ist nicht vorgeschrieben. Es ist daher möglich mündlich Auskunft zu verlangen, aber z.B. auch per Brief, Telefax oder E-Mail.

Der Adressat des Auskunftsverlangens muss allerdings in der Lage sein, den Betroffenen zweifelsfrei zu identifizieren, um zu verhindern, dass die Auskunft an unberechtigte Dritte gelangt. Insofern kann eine mündliche Anfrage problematisch sein. Zum Zwecke der Identifizierung können der vollständige Name, die Anschrift und ggf. das Geburtsdatum angegeben werden.

Eine Kopie des Personalausweises oder Reisepasses muss nicht beigelegt werden – allenfalls, wenn dies für die Identifizierung erforderlich wäre und sonstige Angaben nicht ausreichen. Nicht zur Identifizierung erforderliche Angaben auf dem Ausweis wie Augenfarbe oder Größe können geschwärzt werden. Nach der Identifizierung durch die verantwortliche Stelle anhand eines Ausweises, ist die erhaltene Ausweiskopie grundsätzlich zu vernichten.

Es ist sinnvoll, die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher zu bezeichnen (vgl. § 34 Abs.1 S.2 BDSG) , verpflichtend ist dies jedoch nicht.

Hinweis: Die Daten, die der Betroffene zum Zwecke der Auskunftserteilung übermittelt, dürfen vom Adressaten ausschließlich für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verwendet werden (§ 34 Abs.5 BDSG) . Für andere Zwecke sind sie zu sperren.

 

  1. Inhalt und Form der Auskunft

Die Auskunft umfasst gemäß § 34 Abs.1 BDSG die personenbezogenen Daten des Anspruchstellers (Bilder) und deren Herkunft. Anzugeben sind auch die Empfänger oder so genannte Kategorien von Empfängern (z.B. Branchenangabe), an die Daten herausgegeben wurden, sowie der Zweck der Speicherung.

Hinweis:

  • Sondervorschriften zu den Herkunfts- und Empfängerangaben gelten für geschäftsmäßige Datenverarbeiter im Sinne des 29 BDSG (z.B. Adresshändler, Auskunfteien oder Werbeunternehmen), beispielsweise gemäß § 34 Abs.1 S.3 BDSG, wonach sich der Datenverarbeiter nicht darauf berufen kann, es sei ihm die Auskunft über die Herkunft und die Empfänger mangels Speicherung dieser Angaben nicht möglich.
  • Beim so genannten Scoring kann daneben gemäß 34 Abs.2 BDSG ein weiterer Auskunftsanspruch geltend gemacht werden, was im Auskunftsverlangen klargestellt werden sollte. Inhaltlich umfasst eine solche Auskunft die Wahrscheinlichkeitswerte und die zu deren Berechnung genutzten Datenarten. Dabei sind das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen, nachvollziehbar und verständlich darzustellen, so dass der Betroffene weiß, ob der berechnete Wahrscheinlichkeitswert als gut, mittelmäßig oder schlecht einzustufen ist.

 

Gemäß § 34 Abs.6 BDSG ist die Auskunft grundsätzlich in Textform zu erteilen (z.B. per E-Mail). Verlangt der Betroffene dies nicht explizit, kann die Auskunft unter anderem schriftlich per Brief oder mündlich erteilt werden.

 

Hinweis:

  • Die Auskunft ist unentgeltlich zu erteilen, bei geschäftsmäßigen Daten-verarbeitern jedoch in der Regel nur einmal pro Kalenderjahr ( 34 Abs.8 BDSG) .
  • Auskünfte sind in innerhalb eines angemessenem Zeitraums zu erteilen. Antwortet ein Unternehmen nicht, kann sich der Betroffene an die zuständige Datenschutz-Aufsichtsbehörde wenden. Zuständig ist die Behörde des Bundeslandes, in dem das Unternehmen seinen Sitz hat.
  • Kommt ein Unternehmen seiner Auskunftspflicht nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nach, kann ein Bußgeld anfallen ( 43 BDSG) .

 

  1. Muster für Auskunftsverlangen

Beispielsweise auf den Internetseiten des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

Der Monitor im Eingangsbereich des Supermarktes oder der Tankstelle

Immer wieder werden wir  gefragt, wie der Hinweis auf die Videoüberwachung in öffentlich zugänglichen Räumen auszusehen hat.

Nach § 4 BDSG ist bei einer Videoüberwachung öffentlich zugänglicher Räume der Umstand der Beobachtung und der Name und die Kontaktdaten des Verantwortlichen sind durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen.

Damit sollen die Betroffenen auf die Tatsache der Beobachtung hingewiesen werden.
Die Kameras gelb lackieren oder gar verdeckte Überwachung ist als Hinweis nicht geeignet und auch nach dem Beschäftigtendatenschutz unzulässig. Der Umstand der Video-überwachung ist erkennbar, wenn darauf durch ein deutlich sichtbares Schild hingewiesen wird.

Eine mögliche Form des Hinweises könnte darin bestehen, auf einem Bildschirm den erfassten Bereich (Eingang) erkennbar zu machen. Der Kunde sieht sich dann im Monitor beim Betreten. Dies wird häufig in Tankstellen so gemacht. Nicht nur nach meiner Meinung ist dies aber nicht als Hinweisschild zulässig, weil der entscheidende Hinweis auf den Verantwortlichen fehlt, es sei denn dieser wäre sichtbar im Videobild eingeblendet und zudem hängt der Monitor zumeist nicht in Augenhöhe sondern unter der Decke.

Ein Hinweisschild muss so angebracht sein, dass man es nicht suchen muss, sondern automatisch auffällt.
Entscheidend ist jedoch auch, dass für die Betroffenen/Kunden problemlos feststellbar ist, an wen sie sich bezüglich der Wahrung ihrer Rechte ggf. wenden können.
Daher ist die verantwortliche Stelle grundsätzlich mit ihren Kontaktdaten (im Regelfall Name/Telefon und Anschrift/E-Mail) explizit auf dem Hinweisschild zu nennen.

Immer richtig ist ein Hinweis-Schild nach DIN33450 , das in Augenhöhe angebracht werden soll: Größe DIN A5

Mit Hinweis auf den Verantwortlichen

 

Der Monitor im Eingangsbereich des Supermarktes

Immer mehr Supermärkte und auch Tankstellen haben in ihrem Eingangsbereich einen beeindruckend großen Monitor an die Decke montiert auf dem meistens die eintretenden Kunden, aber vereinzelt auch die verschiedenen Bereiche der Verkaufsfläche und die darin befindliche Kunden gezeigt werden.

Was soll der  Zweck dieser Maßnahme sein?

Ein Hinweis an den Kunden: Achtung wir haben eine Videoüberwachung ? Wird erwartet, dass jeder Kunde an die Decke schaut. Oder soll der Kunde doch noch informiert werden, weil er die meistens zu kleinen und in Kniehöhe angebrachten Hinweisschildchen übersehen hat.

Als  Hinweis zu Videoüberwachung datenschutzrechtlich unzulässig!

– Denn entscheidend ist, was auf dem Monitor zu sehen ist

– Kunden vor der Fleischtheke  oder vor der Kasse

– Personen in der Wein-Abteilung,  der Nachbar als Säufer enttarnt 

– Die Frau vom Steuerberater in der Kosmetikabteilung

– Mein Lieblingsgastronom, der im Supermarkt billig einkauft

 

Derartige Darstellungen von Personen sind unzulässig.

 Der LFDI Niedersachsen  schreibt hierzu expizit in seinem 21. Tätigkeitsbericht auf Seite 72:

Im Zusammenhang mit einer Eingabe stellte sich die Frage, ob Monitore im Eingangsbereich, auf denen die Kunden sich selbst beim Betreten eines Geschäfts

oder andere Kunden in überwachten Bereichen mit möglicherweise wechselnden

Einstellungen sehen können, datenschutzrechtlich zulässig sind. Diese Monitore dienen nicht der eigentlichen Videoüberwachung durch das Unternehmen, sondern sind als Hinweis an die Kunden gerichtet, die – sollten sie Hinweisschilder nicht sehen – erkennen können, dass und gegebenenfalls welche Bereiche videoüberwacht werden. Die Monitore sollen daher auch eine abschreckende Wirkung haben. Als einziger Hinweis auf die Videoüberwachung reichen derartige Monitore allerdings nicht aus, sondern es sind zusätzlich Hinweisschilder nach § 6b Abs. 2 Bundesdatenschutzgesetz (BDSG) anzubringen, welche die betroffenen Kunden vor Eintritt in den Erfassungsbereich der Kameras auf die Videoüberwachung hinweisen.

 

Zudem war der hier begutachtete Monitor aufgrund seiner Darstellung aktueller Aufnahmen aus den videoüberwachten Bereichen datenschutzrechtlich unzulässig, da schutzwürdige Interessen der Kunden entgegenstanden. Denn aufgrund der Anbringung des Monitors am Geschäftseingang sind bereits beim Verweilen vor dem Ladenlokal und erst recht nach Betreten des Geschäfts die Kunden auf dem Monitor sichtbar. Dadurch ist es möglich, laufend andere Kunden und Bedienvorgänge des Ladenpersonals zu beobachten, ohne dass diese bemerken, wer sie ansieht. Dies stellt einen unzulässigen Eingriff in das Persönlichkeitsrecht dar. Zudem mangelt es hier bereits an einem berechtigten Interesse der verantwortlichen Stelle im Sinne des § 6b Abs. 1 Nr. 3 BDSG und an der Erforderlichkeit der Maßnahme.

 

Zulässig wäre ein Monitor im Eingangsbereich, bei dem keine wechselnde Einstellungen von Kunden in den verschiedenen überwachten Bereichen erscheinen, sondern statisch der Eingangsbereich abgebildet würde, ohne Speicherung der Bilddaten. Einer solchen Lösung ständen schutzwürdige Interessen der Kunden an einer Überwachung nicht entgegen, der beabsichtigte Warneffekt bestünde aber weiterhin.

Im Klartext heißt das, ein Monitor, der nur den Eingang zeigt, ist zwar erlaubt, reicht aber als Hinweis für die Videoüberwachung  nicht aus. ( Es sei denn der Monitor wäre in Kopfhöhe angebracht und der Name des Verantwortlichen würde darauf stehen)

Kurzpapiere der DSK zur EU-DSGVO

EU-Datenschutz-Grundverordnung

Die Datenschutzkonferenz (DSK) veröffentlicht seit Juli 2017 Auslegungshilfen zur Datenschutz-Grundverordnung (DS-GVO). In diesen Kurzpapieren werden unter den deutschen Aufsichtsbehörden abgestimmte einheitliche Sichtweisen zu verschiedenen Kernthemen der DS-GVO wiedergegeben. Die in den Papieren enthaltenen Auffassungen stehen unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung durch den Euroäpischen Datenschutzausschuss.

Die Kurzpapiere des BayLDA, die bereits seit Juni 2016 in regelmäßigen Abständen erschienen sind, können ebenso heruntergeladen werden.

Link zu den Kurzpapieren

https://www.lda.bayern.de/de/datenschutz_eu.html

Kurzpapier Nr. 6
Auskunftsrecht der betroffenen Person, Art. 15 DS-GVO
Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz –DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses.

 

 

 

DSK_KPNr_15_Videoüberwachung

 

DSK_KPNr_5_Datenschutz-Folgenabschtzung

Welche Rechte haben Sie als Betroffener

Beispiel Bayern

Verwenden bayerische öffentliche Stellen (insbesondere bayerische Behörden) personenbezogene Daten, die Sie betreffen, können Sie regelmäßig folgende Rechte geltend machen:

  1. Anspruch auf Auskunftserteilung
  2. Anspruch auf Berichtigung unrichtiger Daten
  3. Anspruch auf Löschung oder auf Sperrung Ihrer Daten
  4. Anspruch auf Schadensersatz
  5. Recht zur Anrufung des Bayerischen Landesbeauftragten für den Datenschutz – dazu mehr unter „Eingabe beim Bayerischen Landesbeauftragten für den Datenschutz – wie funktioniert das?“

Die genannten Ansprüche unter Ziffer 1 mit 4 können sich -je nach Behörde- aus unterschiedlichen Gesetzen ergeben, die im Detail auch unterschiedliche Regelungen enthalten. In der Folge finden Sie wesentliche Grundsätze:

1. Ihr Recht auf Auskunft (Art. 10 BayDSG, § 83 SGB X, § 67a Abs. 5 SGB X)

Sie wollen wissen, was eine bayerische öffentliche Stelle über Sie weiß?

Dann können Sie bei ihr einen Antrag auf Auskunftserteilung stellen.

Im Regelfall muss die öffentliche Stelle Ihnen dann mitteilen, welche Daten über Sie gespeichert sind, zu welchem Zweck sie die Daten speichert und auf welche Rechtsgrundlage sie die Speicherung stützt. Hierbei genügt es nicht, pauschal mitzuteilen, dass ein bestimmtes Datum wie z. B. die Bankverbindung gespeichert ist, vielmehr sind grundsätzlich die gespeicherten Daten detailliert mitzuteilen, z. B. also Kontonummer, Bank(-leitzahl) um Ihnen eine Überprüfung deren Richtigkeit zu ermöglichen.

Falls Sie dies wünschen, können Sie auch erfahren, von wem die Stelle die Daten erhalten und an wen sie diese Daten weitergegeben hat (dies steht allerdings unter dem Vorbehalt, dass diese Informationen gespeichert sind). Dann muss Ihnen die öffentliche Stelle auch mitteilen, an wen sie Ihre Daten regelmäßig übermittelt. Entsprechendes gilt für Fälle, in denen die öffentliche Stelle Aufträge für bestimmte Datenverarbeitungsvorgänge an andere Stellen vergibt.

Bei Sicherheitsbehörden wie z.B. Polizei und Verfassungsschutz können Sie nur Auskunft über die gespeicherten Daten und den Zweck der Speicherung verlangen. Woher und von wem die Daten stammen, müssen die Sicherheitsbehörden Ihnen nicht mitteilen.

Auch der Auskunftsanspruch gegenüber Sozialbehörden enthält Besonderheiten. So umfasst dieser beispielsweise nicht die Auskunft über die Rechtsgrundlage einer Speicherung.

Kostet der Antrag auf Auskunft Sie etwas?

Die Auskunft ist für Sie grundsätzlich gebührenfrei. Eine Gebühr darf nur ausnahmsweise erhoben werden, wenn die öffentliche Stelle einen ungewöhnlich hohen Arbeitsaufwand hat, um Ihnen die Auskunft zu erteilen.

Die Auskunft von Sozialbehörden ist immer unentgeltlich.

Wie stellen Sie den Antrag auf Auskunft?

Im Regelfall ist der Antrag formfrei. Das bedeutet: Theoretisch könnten Sie Ihren Auskunftsanspruch auch mündlich und ohne jede Begründung geltend machen. In der Regel empfiehlt es sich aber, einen schriftlichen Antrag zu stellen und diesen Antrag auch kurz zu begründen. Das erleichtert der öffentlichen Stelle die Beantwortung.

Nach dem Bayerischen Datenschutzgesetz sollen Sie in Ihrem Antrag „die Art der personenbezogenen Datennäher bezeichnen, über die Auskunft erteilt werden soll. Auch dies dient dazu, der öffentlichen Stelle die Suche nach den Daten zu erleichtern, die Sie erfahren wollen. Die Auskunft darf nicht allein deshalb verweigert werden, weil Ihr Antrag nicht diesen Erfordernissen entspricht.

Einige Sicherheitsbehörden (Polizei, Verfassungsschutz) machen die Erteilung von Auskünften sensibler Daten davon abhängig, dass Sie Ihre Identität nachweisen. In der Regel akzeptieren sie die Vorlage eines Passes oder die Übersendung einer Passkopie.

Manche Gesetze (zum Beispiel das Polizeiaufgabengesetz) sehen überdies vor, dass Sie den Grund Ihres Auskunftsanspruchs näher bezeichnen sollen.

Gilt der Auskunftsanspruch auch für Daten, die nicht in Computern erfasst sind?

Falls Sie wissen wollen, ob und welche Ihrer Daten außerhalb von automatisierten Dateien gespeichert sind, müssen Sie die öffentliche Stelle mit Angaben unterstützen, die es ihr ermöglichen, die Sie betreffenden Daten zu finden. Die öffentliche Stelle kann eine Auskunft verweigern, wenn „der für die Erteilung der Auskunft erforderliche Aufwand außer Verhältnis zu dem vom Betroffenen geltend gemachten Informationsinteresse steht.“

Wie muss die öffentliche Stelle Ihnen Auskunft erteilen?

Die öffentliche Stelle hat ein Ermessen, wie sie Ihnen Auskunft erteilt. Dabei hat sie Ihre Interessen zumindest auch zu berücksichtigen. An Ihre Wünsche ist sie allerdings nicht gebunden. Zumeist wird die öffentliche Stelle Ihnen die Auskunft schriftlich oder mündlich geben.

Darf eine öffentliche Stelle Ihnen auch die Auskunft verweigern?

In aller Regel müssen öffentliche Stellen Ihnen mitteilen, ob und welche Daten sie über Sie gespeichert haben. Das Bayerische Datenschutzgesetz und einige besondere Fachgesetze sehen allerdings Ausnahmen von diesem Grundsatz vor. Als Faustformel gilt dazu: Die Auskunft unterbleibt, wenn sie Sicherheitsbelange berühren würde oder wenn sonstige Geheimhaltungsgründe der Auskunft entgegenstehen.

Sicherheitsbehörden müssen in diesen Fällen das Vorliegen eines Verweigerungsgrundes prüfen, sie können also Ihr Auskunftsersuchen nicht willkürlich ablehnen. Aber sie müssen ihre Entscheidung Ihnen gegenüber nicht begründen. Wenn die öffentliche Stelle eine Auskunft ablehnt, muss sie Sie darüber informieren, dass Sie sich an den Bayerischen Landesbeauftragten für den Datenschutz wenden können. Er prüft dann auf Ihre Eingabe hin, ob die Auskunft rechtmäßig verweigert worden ist.

Für Gerichte und den Obersten Rechnungshof sowie für Justizbehörden gelten besondere Regeln, die Ihren Auskunftsanspruch außerhalb von Gerichtsverfahren einschränken. Für Gerichtsverfahren gelten wiederum die Prozessregeln, die Ihnen sehr weitgehende Akteneinsichtsrechte geben.

Gibt es Fälle, in denen eine öffentliche Stelle verpflichtet ist, Ihnen auch ohne entsprechenden Antrag mitzuteilen, dass sie Daten über Sie gespeichert hat?

Ja – eine solche Benachrichtigungspflicht gibt es manchmal. Die öffentliche Stelle ist hierzu regelmäßig verpflichtet, wenn sie sich Daten über Sie beschafft, ohne dass Sie mitgewirkt haben oder anderweitig hiervon Kenntnis haben. Für eine Sozialbehörde gilt dies nicht, soweit sie die Daten bei einer anderen Sozialbehörde erhoben hat.

Im Fall einer Benachrichtigungspflicht hat die öffentliche Stelle Sie darüber zu informieren, dass sie Daten über Sie gespeichert hat. Zu benachrichtigen sind Sie auch über die Art der Daten, die Zweckbestimmung und die Rechtsgrundlage der Speicherung. Auch zur Benachrichtigung gibt es eine Vielzahl von Sonderregeln in Fachgesetzen (vor allem für Sicherheitsbehörden und Sozialbehörden).

 

 

 

 

Länder-Datenschutzbehörden Deutschland

Datenschutzinstitutionen in Deutschland

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Husarenstraße 30
53117 Bonn
 Tel.: 0228/997799-0
Fax: 0228/997799-550

Landesbeauftragte für den Datenschutz

Baden-Württemberg

Der Landesbeauftragte für den Datenschutz Baden-Württemberg
Königstraße 10a
70173 Stuttgart
Postfach 10 29 32
70025 Stuttgart
Tel.: 0711/615541-0
Fax: 0711/615541-15

Berlin

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
Besuchereingang:
Puttkamerstr. 16 – 18, 5. Etage
Tel.: 030/13889-0
Fax: 030/21550-50

Brandenburg

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow
Tel.: 033203/356-0
Fax: 033203/356-49

Bremen

Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen
Arndtstraße 1
27570 Bremerhaven
Postfach 10 03 80
27503 Bremerhaven
Tel.: 0421/361-2010
Fax: 0421/496-18495

Hamburg

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Klosterwall 6 Block C
20095 Hamburg
Tel.: 040/42854-4040
Fax: 040/427 911 811

Hessen

Der Hessische Datenschutzbeauftragte
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Postfach 31 63
65021 Wiesbaden
Tel.: 0611/1408-0
Fax: 0611/1408-900

Mecklenburg-Vorpommern

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Werderstraße 74a
19053 Schwerin
Lennéstraße 1, Schloss Schwerin
19053 Schwerin
Tel.: 0385/59494-0
Fax: 0385/59494-58

Niedersachsen

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstr. 5
30159 Hannover
Tel.: 0511/120-4500
Fax: 0511/120-4599

Nordrhein-Westfalen

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf
Postfach 20 04 44
40102 Düsseldorf
Tel.: 0211/38424-0
Fax: 0211/38424-10

Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34
55116 Mainz
Postfach 30 40
55020 Mainz
Tel.: 06131/208-2449
Fax: 06131/208-2497

Saarland

Unabhängiges Datenschutzzentrum Saarland
Fritz-Dobisch-Straße 12
66111 Saarbrücken
Tel.: 0681/94781-0
Fax: 06 81/94 781-29

Sachsen

Der Sächsische Datenschutzbeauftragte
Kontor am Landtag
Devrientstraße 1
01067 Dresden
Bernhard-von-Lindenau-Platz 1
01067 Dresden
Tel.: 0351/493-5401
Fax: 0351/493-5490

Sachsen-Anhalt

Landesbeauftragter für den Datenschutz Sachsen-Anhalt
Leiterstraße 9
39104 Magdeburg
Postfach 19 47
39009 Magdeburg
Tel.: 0391/81803-0
Fax: 0391/81803-33

Schleswig-Holstein

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstraße 98
24103 Kiel
Postfach 7116
24171 Kiel
Tel.: 0431/988-12 00
Fax: 0431/988-12 23

Thüringen

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit
Häßlerstr. 8
99096 Erfurt
Postfach 900455
99107 Erfurt
Tel.: 0361/37719-00
Fax: 0361/37719-04

Datenschutzbeauftragter jetzt öfter Pflicht

Datenschutzbeauftragter jetzt öfter Pflicht

Nach dem  § 38 BDSG-neu haben Unternehmen wie nach bisherigem Recht einen Datenschutzbeauftragten zu bestellen, wenn mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt sind. Darüber hinaus ist aber unabhängig von der Personenzahl ein Datenschutzbeauftragter zu bestellen, wenn eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vorgenommen werden muss. Dies ist der Fall bei  Videoüberwachung oder der Verarbeitung von Gesundheitsdaten.

 

§ 38 BDSG-neu  Datenschutzbeauftragte nichtöffentlicher Stellen

 

  1. Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
  2. § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

Art. 35 DSGVO   Datenschutz-Folgenabschätzung

 

  1. Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
  2. Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.
  3. Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
    1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
    2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
    3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;
  4. Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
  5. Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.
  6. Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.
  7. Die Folgenabschätzung enthält zumindest Folgendes:
    1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
    2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
    3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
    4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
  8. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.
  9. Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
  10. Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.
  11. Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.
1 2 3 4 5