Die Auskunftspflicht bei Videoüberwachung in öffentlich zugänglichen Räumen

  1. Auskunftsrecht

Das Auskunftsrecht steht jedem Betroffenen zu, d.h. jeder bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs.1 BDSG) . Dies gilt unabhängig vom Wohnsitz der Person und unabhängig von deren Nationalität.

 

  1. Die Voraussetzungen des Auskunftsanspruchs

Gemäß § 34 Abs.1 BDSG gilt, dass die „verantwortliche Stelle“ dem Betroffenen auf Verlangen Auskunft zu erteilen hat über

  • die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
  • den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und
  • den Zweck der Speicherung.

 

„Verantwortliche Stelle“ ist dabei gemäß § 3 Abs. 7 BDSG jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Hinweis: Ausnahmen vom Auskunftsanspruch bestehen nur in wenigen Fällen (z.B. gemäß § 34 Abs.7 BDSG) .

  1. Wie der Auskunftsanspruch geltend gemacht werden kann

Eine bestimmte Form für das Auskunftsverlangen ist nicht vorgeschrieben. Es ist daher möglich mündlich Auskunft zu verlangen, aber z.B. auch per Brief, Telefax oder E-Mail.

Der Adressat des Auskunftsverlangens muss allerdings in der Lage sein, den Betroffenen zweifelsfrei zu identifizieren, um zu verhindern, dass die Auskunft an unberechtigte Dritte gelangt. Insofern kann eine mündliche Anfrage problematisch sein. Zum Zwecke der Identifizierung können der vollständige Name, die Anschrift und ggf. das Geburtsdatum angegeben werden.

Eine Kopie des Personalausweises oder Reisepasses muss nicht beigelegt werden – allenfalls, wenn dies für die Identifizierung erforderlich wäre und sonstige Angaben nicht ausreichen. Nicht zur Identifizierung erforderliche Angaben auf dem Ausweis wie Augenfarbe oder Größe können geschwärzt werden. Nach der Identifizierung durch die verantwortliche Stelle anhand eines Ausweises, ist die erhaltene Ausweiskopie grundsätzlich zu vernichten.

Es ist sinnvoll, die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher zu bezeichnen (vgl. § 34 Abs.1 S.2 BDSG) , verpflichtend ist dies jedoch nicht.

Hinweis: Die Daten, die der Betroffene zum Zwecke der Auskunftserteilung übermittelt, dürfen vom Adressaten ausschließlich für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verwendet werden (§ 34 Abs.5 BDSG) . Für andere Zwecke sind sie zu sperren.

 

  1. Inhalt und Form der Auskunft

Die Auskunft umfasst gemäß § 34 Abs.1 BDSG die personenbezogenen Daten des Anspruchstellers (Bilder) und deren Herkunft. Anzugeben sind auch die Empfänger oder so genannte Kategorien von Empfängern (z.B. Branchenangabe), an die Daten herausgegeben wurden, sowie der Zweck der Speicherung.

Hinweis:

  • Sondervorschriften zu den Herkunfts- und Empfängerangaben gelten für geschäftsmäßige Datenverarbeiter im Sinne des 29 BDSG (z.B. Adresshändler, Auskunfteien oder Werbeunternehmen), beispielsweise gemäß § 34 Abs.1 S.3 BDSG, wonach sich der Datenverarbeiter nicht darauf berufen kann, es sei ihm die Auskunft über die Herkunft und die Empfänger mangels Speicherung dieser Angaben nicht möglich.
  • Beim so genannten Scoring kann daneben gemäß 34 Abs.2 BDSG ein weiterer Auskunftsanspruch geltend gemacht werden, was im Auskunftsverlangen klargestellt werden sollte. Inhaltlich umfasst eine solche Auskunft die Wahrscheinlichkeitswerte und die zu deren Berechnung genutzten Datenarten. Dabei sind das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen, nachvollziehbar und verständlich darzustellen, so dass der Betroffene weiß, ob der berechnete Wahrscheinlichkeitswert als gut, mittelmäßig oder schlecht einzustufen ist.

 

Gemäß § 34 Abs.6 BDSG ist die Auskunft grundsätzlich in Textform zu erteilen (z.B. per E-Mail). Verlangt der Betroffene dies nicht explizit, kann die Auskunft unter anderem schriftlich per Brief oder mündlich erteilt werden.

 

Hinweis:

  • Die Auskunft ist unentgeltlich zu erteilen, bei geschäftsmäßigen Daten-verarbeitern jedoch in der Regel nur einmal pro Kalenderjahr ( 34 Abs.8 BDSG) .
  • Auskünfte sind in innerhalb eines angemessenem Zeitraums zu erteilen. Antwortet ein Unternehmen nicht, kann sich der Betroffene an die zuständige Datenschutz-Aufsichtsbehörde wenden. Zuständig ist die Behörde des Bundeslandes, in dem das Unternehmen seinen Sitz hat.
  • Kommt ein Unternehmen seiner Auskunftspflicht nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nach, kann ein Bußgeld anfallen ( 43 BDSG) .

 

  1. Muster für Auskunftsverlangen

Beispielsweise auf den Internetseiten des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

Datenschutzinformationen für den Einzelhandel , , , , , , , ,

EFDAT Europa Zentrale

 

Auch dem letzte Geschäftsinhaber sollte deshalb klar sein, dass eine nicht datenschutzkonforme Videoüberwachung nicht nur die Gefahr eines Bußgeldes birgt, sondern auch völlig wertlos ist, Diebstähle oder Veruntreuungen von Mitarbeiter zu verhindern.

 

  • Das allgemeine Persönlichkeitsrecht schützt die persönliche Lebenssphäre und gewährt damit jedem Einzelnen, sich individuell zurückzuziehen, abzuschirmen oder für sich zu bleiben. (Im Supermarkt nicht von Unbefugten beobachtet werden)
  • Das Recht auf informationelle Selbstbestimmung gewährt jedem Einzelnen die Entscheidung wann und innerhalb welcher Grenzen er persönliche Lebenssachverhalte offenbart oder eben verheimlicht (was er beispielsweise in einem Supermarkt einkauft)
  • Das allgemeine Persönlichkeitsrecht gewährt jedem Einzelnen das Recht am eigenen Bild, das Recht, die Darstellung der eigenen Person anderen gegenüber selbst zu bestimmen.

 

 

DSGVO , , , , , , ,

Recht auf informationelle Selbstbestimmung

Eine Videoüberwachungskamera greift regelmäßig in das allgemeine Persönlichkeitsrecht der Betroffenen in seiner Ausprägung als Recht auf informationelle Selbstbestimmung ein (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG).

 

Die Videoüberwachung öffentlicher Räume kann in der Regel nicht auf eine Einwilligung des Betroffenen gestützt werden. Die Einwilligung in die Erhebung und Verwendung personenbezogener Daten muss die Voraussetzungen des § 4a BDSG erfüllen. Danach ist eine ausdrückliche Erklärung des Betroffenen erforderlich, für die grundsätzlich die Schriftform vorgesehen ist. Zwar lässt das Gesetz auch Ausnahmen von der Schriftform zu, doch eine Erklärung durch schlüssiges Handeln, etwa durch Betreten einer als videoüberwacht gekennzeichneten Fläche, genügt für eine wirksame Einwilligung nicht. Zu diesem Ergebnis kommt auch das Bundesverfassungsgericht in einer Entscheidung zur Videoüberwachung auf öffentlichen Plätzen.

[6] Darin führt das Bundesverfassungsgericht aus: „Von einer einen Eingriff ausschließenden Einwilligung in die Informationserhebung kann selbst dann nicht generell ausgegangen werden, wenn die Betroffenen auf Grund einer entsprechenden Beschilderung wissen, dass sie im räumlichen Bereich der Begegnungsstätte gefilmt werden. Das Unterlassen eines ausdrücklichen Protests kann nicht stets mit einer Einverständniserklärung gleichgesetzt werden (vgl. VGH Mannheim, NVwZ 2004, 498 [500]; SächsVerfGH, Urt. v. 10. 7. 2003 – Vf. 43-II-00, S. 86 des Umdrucks).“

Vor Einrichtung einer Videoüberwachung muss eine Abwägung mit den Interessen der Betroffenen vorgenommen werden. Dabei gibt es Interessen der Betroffenen, die absolut, d.h. unabhängig von dem Gewicht des für die Überwachung sprechenden Interesses, vorrangig sind. Werden solche Interessen durch die Überwachungsmaßnahme berührt, ist diese unzulässig. Dies ist stets der Fall, wenn sich die Überwachung auf höchstpersönliche Lebensbereiche der Betroffenen erstreckt. Die Anfertigung von Aufnahmen aus diesen Bereichen ist nicht nur datenschutzrechtlich unzulässig, sondern verwirklicht auch den Straftatbestand des § 201a Strafgesetzbuch.

 

Bußgeld wegen Videoüberwachung , ,

Der Monitor im Eingangsbereich des Supermarktes oder der Tankstelle

Immer wieder werden wir  gefragt, wie der Hinweis auf die Videoüberwachung in öffentlich zugänglichen Räumen auszusehen hat.

Nach § 4 BDSG ist bei einer Videoüberwachung öffentlich zugänglicher Räume der Umstand der Beobachtung und der Name und die Kontaktdaten des Verantwortlichen sind durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen.

Damit sollen die Betroffenen auf die Tatsache der Beobachtung hingewiesen werden.
Die Kameras gelb lackieren oder gar verdeckte Überwachung ist als Hinweis nicht geeignet und auch nach dem Beschäftigtendatenschutz unzulässig. Der Umstand der Video-überwachung ist erkennbar, wenn darauf durch ein deutlich sichtbares Schild hingewiesen wird.

Eine mögliche Form des Hinweises könnte darin bestehen, auf einem Bildschirm den erfassten Bereich (Eingang) erkennbar zu machen. Der Kunde sieht sich dann im Monitor beim Betreten. Dies wird häufig in Tankstellen so gemacht. Nicht nur nach meiner Meinung ist dies aber nicht als Hinweisschild zulässig, weil der entscheidende Hinweis auf den Verantwortlichen fehlt, es sei denn dieser wäre sichtbar im Videobild eingeblendet und zudem hängt der Monitor zumeist nicht in Augenhöhe sondern unter der Decke.

Ein Hinweisschild muss so angebracht sein, dass man es nicht suchen muss, sondern automatisch auffällt.
Entscheidend ist jedoch auch, dass für die Betroffenen/Kunden problemlos feststellbar ist, an wen sie sich bezüglich der Wahrung ihrer Rechte ggf. wenden können.
Daher ist die verantwortliche Stelle grundsätzlich mit ihren Kontaktdaten (im Regelfall Name/Telefon und Anschrift/E-Mail) explizit auf dem Hinweisschild zu nennen.

Immer richtig ist ein Hinweis-Schild nach DIN33450 , das in Augenhöhe angebracht werden soll: Größe DIN A5

Mit Hinweis auf den Verantwortlichen

 

Der Monitor im Eingangsbereich des Supermarktes

Immer mehr Supermärkte und auch Tankstellen haben in ihrem Eingangsbereich einen beeindruckend großen Monitor an die Decke montiert auf dem meistens die eintretenden Kunden, aber vereinzelt auch die verschiedenen Bereiche der Verkaufsfläche und die darin befindliche Kunden gezeigt werden.

Was soll der  Zweck dieser Maßnahme sein?

Ein Hinweis an den Kunden: Achtung wir haben eine Videoüberwachung ? Wird erwartet, dass jeder Kunde an die Decke schaut. Oder soll der Kunde doch noch informiert werden, weil er die meistens zu kleinen und in Kniehöhe angebrachten Hinweisschildchen übersehen hat.

Als  Hinweis zu Videoüberwachung datenschutzrechtlich unzulässig!

– Denn entscheidend ist, was auf dem Monitor zu sehen ist

– Kunden vor der Fleischtheke  oder vor der Kasse

– Personen in der Wein-Abteilung,  der Nachbar als Säufer enttarnt 

– Die Frau vom Steuerberater in der Kosmetikabteilung

– Mein Lieblingsgastronom, der im Supermarkt billig einkauft

 

Derartige Darstellungen von Personen sind unzulässig.

 Der LFDI Niedersachsen  schreibt hierzu expizit in seinem 21. Tätigkeitsbericht auf Seite 72:

Im Zusammenhang mit einer Eingabe stellte sich die Frage, ob Monitore im Eingangsbereich, auf denen die Kunden sich selbst beim Betreten eines Geschäfts

oder andere Kunden in überwachten Bereichen mit möglicherweise wechselnden

Einstellungen sehen können, datenschutzrechtlich zulässig sind. Diese Monitore dienen nicht der eigentlichen Videoüberwachung durch das Unternehmen, sondern sind als Hinweis an die Kunden gerichtet, die – sollten sie Hinweisschilder nicht sehen – erkennen können, dass und gegebenenfalls welche Bereiche videoüberwacht werden. Die Monitore sollen daher auch eine abschreckende Wirkung haben. Als einziger Hinweis auf die Videoüberwachung reichen derartige Monitore allerdings nicht aus, sondern es sind zusätzlich Hinweisschilder nach § 6b Abs. 2 Bundesdatenschutzgesetz (BDSG) anzubringen, welche die betroffenen Kunden vor Eintritt in den Erfassungsbereich der Kameras auf die Videoüberwachung hinweisen.

 

Zudem war der hier begutachtete Monitor aufgrund seiner Darstellung aktueller Aufnahmen aus den videoüberwachten Bereichen datenschutzrechtlich unzulässig, da schutzwürdige Interessen der Kunden entgegenstanden. Denn aufgrund der Anbringung des Monitors am Geschäftseingang sind bereits beim Verweilen vor dem Ladenlokal und erst recht nach Betreten des Geschäfts die Kunden auf dem Monitor sichtbar. Dadurch ist es möglich, laufend andere Kunden und Bedienvorgänge des Ladenpersonals zu beobachten, ohne dass diese bemerken, wer sie ansieht. Dies stellt einen unzulässigen Eingriff in das Persönlichkeitsrecht dar. Zudem mangelt es hier bereits an einem berechtigten Interesse der verantwortlichen Stelle im Sinne des § 6b Abs. 1 Nr. 3 BDSG und an der Erforderlichkeit der Maßnahme.

 

Zulässig wäre ein Monitor im Eingangsbereich, bei dem keine wechselnde Einstellungen von Kunden in den verschiedenen überwachten Bereichen erscheinen, sondern statisch der Eingangsbereich abgebildet würde, ohne Speicherung der Bilddaten. Einer solchen Lösung ständen schutzwürdige Interessen der Kunden an einer Überwachung nicht entgegen, der beabsichtigte Warneffekt bestünde aber weiterhin.

Im Klartext heißt das, ein Monitor, der nur den Eingang zeigt, ist zwar erlaubt, reicht aber als Hinweis für die Videoüberwachung  nicht aus. ( Es sei denn der Monitor wäre in Kopfhöhe angebracht und der Name des Verantwortlichen würde darauf stehen)

Datenschutzinformationen für den Einzelhandel , , , , , , ,

Kurzpapiere der DSK zur EU-DSGVO

EU-Datenschutz-Grundverordnung

Die Datenschutzkonferenz (DSK) veröffentlicht seit Juli 2017 Auslegungshilfen zur Datenschutz-Grundverordnung (DS-GVO). In diesen Kurzpapieren werden unter den deutschen Aufsichtsbehörden abgestimmte einheitliche Sichtweisen zu verschiedenen Kernthemen der DS-GVO wiedergegeben. Die in den Papieren enthaltenen Auffassungen stehen unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung durch den Euroäpischen Datenschutzausschuss.

Die Kurzpapiere des BayLDA, die bereits seit Juni 2016 in regelmäßigen Abständen erschienen sind, können ebenso heruntergeladen werden.

Link zu den Kurzpapieren

https://www.lda.bayern.de/de/datenschutz_eu.html

Kurzpapier Nr. 6
Auskunftsrecht der betroffenen Person, Art. 15 DS-GVO
Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz –DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses.

 

 

 

DSK_KPNr_15_Videoüberwachung

 

DSK_KPNr_5_Datenschutz-Folgenabschtzung

DSGVO, DSK, Neuigkeiten zur DSGVO , , , , , , , , ,

Welche Rechte haben Sie als Betroffener

Beispiel Bayern

Verwenden bayerische öffentliche Stellen (insbesondere bayerische Behörden) personenbezogene Daten, die Sie betreffen, können Sie regelmäßig folgende Rechte geltend machen:

  1. Anspruch auf Auskunftserteilung
  2. Anspruch auf Berichtigung unrichtiger Daten
  3. Anspruch auf Löschung oder auf Sperrung Ihrer Daten
  4. Anspruch auf Schadensersatz
  5. Recht zur Anrufung des Bayerischen Landesbeauftragten für den Datenschutz – dazu mehr unter „Eingabe beim Bayerischen Landesbeauftragten für den Datenschutz – wie funktioniert das?“

Die genannten Ansprüche unter Ziffer 1 mit 4 können sich -je nach Behörde- aus unterschiedlichen Gesetzen ergeben, die im Detail auch unterschiedliche Regelungen enthalten. In der Folge finden Sie wesentliche Grundsätze:

1. Ihr Recht auf Auskunft (Art. 10 BayDSG, § 83 SGB X, § 67a Abs. 5 SGB X)

Sie wollen wissen, was eine bayerische öffentliche Stelle über Sie weiß?

Dann können Sie bei ihr einen Antrag auf Auskunftserteilung stellen.

Im Regelfall muss die öffentliche Stelle Ihnen dann mitteilen, welche Daten über Sie gespeichert sind, zu welchem Zweck sie die Daten speichert und auf welche Rechtsgrundlage sie die Speicherung stützt. Hierbei genügt es nicht, pauschal mitzuteilen, dass ein bestimmtes Datum wie z. B. die Bankverbindung gespeichert ist, vielmehr sind grundsätzlich die gespeicherten Daten detailliert mitzuteilen, z. B. also Kontonummer, Bank(-leitzahl) um Ihnen eine Überprüfung deren Richtigkeit zu ermöglichen.

Falls Sie dies wünschen, können Sie auch erfahren, von wem die Stelle die Daten erhalten und an wen sie diese Daten weitergegeben hat (dies steht allerdings unter dem Vorbehalt, dass diese Informationen gespeichert sind). Dann muss Ihnen die öffentliche Stelle auch mitteilen, an wen sie Ihre Daten regelmäßig übermittelt. Entsprechendes gilt für Fälle, in denen die öffentliche Stelle Aufträge für bestimmte Datenverarbeitungsvorgänge an andere Stellen vergibt.

Bei Sicherheitsbehörden wie z.B. Polizei und Verfassungsschutz können Sie nur Auskunft über die gespeicherten Daten und den Zweck der Speicherung verlangen. Woher und von wem die Daten stammen, müssen die Sicherheitsbehörden Ihnen nicht mitteilen.

Auch der Auskunftsanspruch gegenüber Sozialbehörden enthält Besonderheiten. So umfasst dieser beispielsweise nicht die Auskunft über die Rechtsgrundlage einer Speicherung.

Kostet der Antrag auf Auskunft Sie etwas?

Die Auskunft ist für Sie grundsätzlich gebührenfrei. Eine Gebühr darf nur ausnahmsweise erhoben werden, wenn die öffentliche Stelle einen ungewöhnlich hohen Arbeitsaufwand hat, um Ihnen die Auskunft zu erteilen.

Die Auskunft von Sozialbehörden ist immer unentgeltlich.

Wie stellen Sie den Antrag auf Auskunft?

Im Regelfall ist der Antrag formfrei. Das bedeutet: Theoretisch könnten Sie Ihren Auskunftsanspruch auch mündlich und ohne jede Begründung geltend machen. In der Regel empfiehlt es sich aber, einen schriftlichen Antrag zu stellen und diesen Antrag auch kurz zu begründen. Das erleichtert der öffentlichen Stelle die Beantwortung.

Nach dem Bayerischen Datenschutzgesetz sollen Sie in Ihrem Antrag „die Art der personenbezogenen Datennäher bezeichnen, über die Auskunft erteilt werden soll. Auch dies dient dazu, der öffentlichen Stelle die Suche nach den Daten zu erleichtern, die Sie erfahren wollen. Die Auskunft darf nicht allein deshalb verweigert werden, weil Ihr Antrag nicht diesen Erfordernissen entspricht.

Einige Sicherheitsbehörden (Polizei, Verfassungsschutz) machen die Erteilung von Auskünften sensibler Daten davon abhängig, dass Sie Ihre Identität nachweisen. In der Regel akzeptieren sie die Vorlage eines Passes oder die Übersendung einer Passkopie.

Manche Gesetze (zum Beispiel das Polizeiaufgabengesetz) sehen überdies vor, dass Sie den Grund Ihres Auskunftsanspruchs näher bezeichnen sollen.

Gilt der Auskunftsanspruch auch für Daten, die nicht in Computern erfasst sind?

Falls Sie wissen wollen, ob und welche Ihrer Daten außerhalb von automatisierten Dateien gespeichert sind, müssen Sie die öffentliche Stelle mit Angaben unterstützen, die es ihr ermöglichen, die Sie betreffenden Daten zu finden. Die öffentliche Stelle kann eine Auskunft verweigern, wenn „der für die Erteilung der Auskunft erforderliche Aufwand außer Verhältnis zu dem vom Betroffenen geltend gemachten Informationsinteresse steht.“

Wie muss die öffentliche Stelle Ihnen Auskunft erteilen?

Die öffentliche Stelle hat ein Ermessen, wie sie Ihnen Auskunft erteilt. Dabei hat sie Ihre Interessen zumindest auch zu berücksichtigen. An Ihre Wünsche ist sie allerdings nicht gebunden. Zumeist wird die öffentliche Stelle Ihnen die Auskunft schriftlich oder mündlich geben.

Darf eine öffentliche Stelle Ihnen auch die Auskunft verweigern?

In aller Regel müssen öffentliche Stellen Ihnen mitteilen, ob und welche Daten sie über Sie gespeichert haben. Das Bayerische Datenschutzgesetz und einige besondere Fachgesetze sehen allerdings Ausnahmen von diesem Grundsatz vor. Als Faustformel gilt dazu: Die Auskunft unterbleibt, wenn sie Sicherheitsbelange berühren würde oder wenn sonstige Geheimhaltungsgründe der Auskunft entgegenstehen.

Sicherheitsbehörden müssen in diesen Fällen das Vorliegen eines Verweigerungsgrundes prüfen, sie können also Ihr Auskunftsersuchen nicht willkürlich ablehnen. Aber sie müssen ihre Entscheidung Ihnen gegenüber nicht begründen. Wenn die öffentliche Stelle eine Auskunft ablehnt, muss sie Sie darüber informieren, dass Sie sich an den Bayerischen Landesbeauftragten für den Datenschutz wenden können. Er prüft dann auf Ihre Eingabe hin, ob die Auskunft rechtmäßig verweigert worden ist.

Für Gerichte und den Obersten Rechnungshof sowie für Justizbehörden gelten besondere Regeln, die Ihren Auskunftsanspruch außerhalb von Gerichtsverfahren einschränken. Für Gerichtsverfahren gelten wiederum die Prozessregeln, die Ihnen sehr weitgehende Akteneinsichtsrechte geben.

Gibt es Fälle, in denen eine öffentliche Stelle verpflichtet ist, Ihnen auch ohne entsprechenden Antrag mitzuteilen, dass sie Daten über Sie gespeichert hat?

Ja – eine solche Benachrichtigungspflicht gibt es manchmal. Die öffentliche Stelle ist hierzu regelmäßig verpflichtet, wenn sie sich Daten über Sie beschafft, ohne dass Sie mitgewirkt haben oder anderweitig hiervon Kenntnis haben. Für eine Sozialbehörde gilt dies nicht, soweit sie die Daten bei einer anderen Sozialbehörde erhoben hat.

Im Fall einer Benachrichtigungspflicht hat die öffentliche Stelle Sie darüber zu informieren, dass sie Daten über Sie gespeichert hat. Zu benachrichtigen sind Sie auch über die Art der Daten, die Zweckbestimmung und die Rechtsgrundlage der Speicherung. Auch zur Benachrichtigung gibt es eine Vielzahl von Sonderregeln in Fachgesetzen (vor allem für Sicherheitsbehörden und Sozialbehörden).

 

 

 

 

Datenschutzinformationen für den Einzelhandel ,

Länder-Datenschutzbehörden Deutschland

Datenschutzinstitutionen in Deutschland

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Husarenstraße 30
53117 Bonn
 Tel.: 0228/997799-0
Fax: 0228/997799-550
poststelle@bfdi.bund.de
http://www.bfdi.bund.de (externer Link)

Landesbeauftragte für den Datenschutz

Baden-Württemberg

Der Landesbeauftragte für den Datenschutz Baden-Württemberg
Königstraße 10a
70173 Stuttgart
Postfach 10 29 32
70025 Stuttgart
Tel.: 0711/615541-0
Fax: 0711/615541-15
poststelle@lfd.bwl.de
http://www.baden-wuerttemberg.datenschutz.de (externer Link)

Berlin

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219
10969 Berlin
Besuchereingang:
Puttkamerstr. 16 – 18, 5. Etage
Tel.: 030/13889-0
Fax: 030/21550-50
mailbox@datenschutz-berlin.de
https://www.datenschutz-berlin.de (externer Link)

Brandenburg

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow
Tel.: 033203/356-0
Fax: 033203/356-49
poststelle@lda.brandenburg.de
http://www.lda.brandenburg.de (externer Link)

Bremen

Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen
Arndtstraße 1
27570 Bremerhaven
Postfach 10 03 80
27503 Bremerhaven
Tel.: 0421/361-2010
Fax: 0421/496-18495
office@datenschutz.bremen.de
http://www.datenschutz-bremen.de (externer Link)

Hamburg

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Klosterwall 6 Block C
20095 Hamburg
Tel.: 040/42854-4040
Fax: 040/427 911 811
mailbox@datenschutz.hamburg.de
http://www.datenschutz-hamburg.de (externer Link)

Hessen

Der Hessische Datenschutzbeauftragte
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Postfach 31 63
65021 Wiesbaden
Tel.: 0611/1408-0
Fax: 0611/1408-900
poststelle@datenschutz.hessen.de
http://www.datenschutz.hessen.de (externer Link)

Mecklenburg-Vorpommern

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Werderstraße 74a
19053 Schwerin
Lennéstraße 1, Schloss Schwerin
19053 Schwerin
Tel.: 0385/59494-0
Fax: 0385/59494-58
info@datenschutz-mv.de
https://www.datenschutz-mv.de (externer Link)

Niedersachsen

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstr. 5
30159 Hannover
Tel.: 0511/120-4500
Fax: 0511/120-4599
poststelle@lfd.niedersachsen.de
http://www.lfd.niedersachsen.de (externer Link)

Nordrhein-Westfalen

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestraße 2-4
40213 Düsseldorf
Postfach 20 04 44
40102 Düsseldorf
Tel.: 0211/38424-0
Fax: 0211/38424-10
poststelle@ldi.nrw.de
https://www.ldi.nrw.de (externer Link)

Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34
55116 Mainz
Postfach 30 40
55020 Mainz
Tel.: 06131/208-2449
Fax: 06131/208-2497
poststelle@datenschutz.rlp.de
http://www.datenschutz.rlp.de (externer Link)

Saarland

Unabhängiges Datenschutzzentrum Saarland
Fritz-Dobisch-Straße 12
66111 Saarbrücken
Tel.: 0681/94781-0
Fax: 06 81/94 781-29
poststelle@datenschutz.saarland.de
http://www.datenschutz.saarland.de (externer Link)

Sachsen

Der Sächsische Datenschutzbeauftragte
Kontor am Landtag
Devrientstraße 1
01067 Dresden
Bernhard-von-Lindenau-Platz 1
01067 Dresden
Tel.: 0351/493-5401
Fax: 0351/493-5490
saechsdsb@slt.sachsen.de
http://www.datenschutz.sachsen.de (externer Link)

Sachsen-Anhalt

Landesbeauftragter für den Datenschutz Sachsen-Anhalt
Leiterstraße 9
39104 Magdeburg
Postfach 19 47
39009 Magdeburg
Tel.: 0391/81803-0
Fax: 0391/81803-33
poststelle@lfd.sachsen-anhalt.de
http://www.datenschutz.sachsen-anhalt.de (externer Link)

Schleswig-Holstein

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstraße 98
24103 Kiel
Postfach 7116
24171 Kiel
Tel.: 0431/988-12 00
Fax: 0431/988-12 23
mail@datenschutzzentrum.de
https://www.datenschutzzentrum.de (externer Link)

Thüringen

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit
Häßlerstr. 8
99096 Erfurt
Postfach 900455
99107 Erfurt
Tel.: 0361/37719-00
Fax: 0361/37719-04
poststelle@datenschutz.thueringen.de
http://www.thueringen.de/datenschutz/ (externer Link)
Datenschutzinformationen für den Einzelhandel ,

Datenschutzbeauftragter jetzt öfter Pflicht

Datenschutzbeauftragter jetzt öfter Pflicht

Nach dem  § 38 BDSG-neu haben Unternehmen wie nach bisherigem Recht einen Datenschutzbeauftragten zu bestellen, wenn mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt sind. Darüber hinaus ist aber unabhängig von der Personenzahl ein Datenschutzbeauftragter zu bestellen, wenn eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vorgenommen werden muss. Dies ist der Fall bei  Videoüberwachung oder der Verarbeitung von Gesundheitsdaten.

 

§ 38 BDSG-neu  Datenschutzbeauftragte nichtöffentlicher Stellen

 

  1. Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
  2. § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

Art. 35 DSGVO   Datenschutz-Folgenabschätzung

 

  1. Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
  2. Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.
  3. Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
    1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
    2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
    3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;
  4. Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
  5. Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.
  6. Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.
  7. Die Folgenabschätzung enthält zumindest Folgendes:
    1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
    2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
    3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
    4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
  8. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.
  9. Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
  10. Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.
  11. Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

Passende Erwägungsgründe

(84) Risikoevaluierung und Folgenabschätzung (89) Entfall der generellen Meldepflicht (90) Datenschutz-Folgenabschätzung (91) Erforderlichkeit einer Datenschutz-Folgenabschätzung (92) Thematische Datenschutz-Folgenabschätzung (93) Datenschutz-Folgenabschätzung bei Behörden

Datenschutzbeauftragter, Datenschutzinformationen für den Einzelhandel , , , , ,

Videoüberwachung und das Datenschutzgesetz

Sie betreiben ein Gewerbe und in Ihrem Geschäft oder auf Ihrem Firmengelände ist eine Video-Überwachungsanlage installiert.

 
Was Sie derzeit vielleicht noch gar nicht wissen.
Ihre Videoanlage ist  in einem sogenannten  „öffentlich zugänglichen Raum“ installiert.
Was Sie hätten tun müssen, bevor Ihre Videoüberwachungsanlage überhaupt in Betrieb hätte gehen dürfen, das schreibt das Bundesdatenschutzgesetz (BDSG) ganz genau vor.
Beispielsweise vor der Installation eine Vorabkontrolle durchführen und in dieser Vorabkontrolle dokumentieren, zu welchem Zweck die Videoüberwachung installiert werden soll und  welche Gründe dazu geführt haben, dass Sie diese Videoüberwachung überhaupt installieren durften.
Wenn Sie mit Ihrer Videoüberwachung gegen das BDSG  und gegen die DSGVO verstoßen, dann kann die Datenschutzbehörde Bußgelder  festsetzen(z.B. Mr. Wash 64 000 € Bußgeld )

Vermeiden Sie Bußgeld 

Machen Sie deshalb schnell den Video-Datenschutztest

Stellen Sie in 2 Minuten fest, ob Ihre Videoüberwachung „datenschutzkonform“ ist oder ob Sie bereits Bußgeld und Abmahnungen riskieren. Mit dem Video-Datenschutz-Schnelltest können Sie soviel Geld sparen, wie noch nie in Ihrem Leben.
Wenn Sie kein Bußgeld riskieren wollen, dann zögern Sie nicht länger
Noch haben Sie die Chance, extrem kostengünstig zu einer rechtssicheren Videoüberwachung  zu kommen.

Link zum Videoüberwachung-Datenschutz-Schnelltest

Sie fragen sich, weshalb Sie ausgerechnet heute  den Video-Datenschutztest machen sollten. Es ist doch seither alles „gut“ gewesen, niemand hat gefragt, niemand hat sich beklagt, keiner wollte etwas wissen – wo kein Kläger, da kein Richter.
Am 25.Mai 2018 ist die DSGVO in Kraft getreten, wenn jetzt Ihre Videoüberwachung nicht datenschutzkonform ist, dann kann Sie jeder Besucher aus dem europäischen Ausland verklagen,  und jeder europäische Mitbewerber abmahnen und die Datenschutzbehörden verhängen zusätzlich ein Bußgeld in einer Höhe, dass Ihnen Tränen in die Augen kommen
Wenn Ihnen die „Vorabkontrolle“  nicht bekannt ist, dann werden Sie spätestens  ab 25. Mai 2018 mit der EU-DSGVO – Datenschutz-Folgenabschätzung,  Art. 35  Probleme bekommen. Wenn Sie noch keinen betrieblichen Datenschutzbeauftragten bestellt haben, dann sollten Sie schon mal 20.000 € für das Bußgeld auf die „hohe Kante“ legen.

Sagen Sie nicht – wir hätten Sie nicht gewarnt.

 
Datenschutzinformationen für den Einzelhandel , , , ,

Das neue Datenschutzgesetz BDSG ab 2018

 

Hier können  Sie seit dem 25.5.2018 gültige Bundesdatenschutzgesetz downloaden

BDSG-neu

 

Wichtige Paragraphen

Der wichtigste § für die Videoüberwachung ist der der § 4BDSG.Nach einem Urteil richtet isch die Videoüberwachung seit 2019 allerdings vollständig nach der DSGVO

 

 

§ 34  Auskunftsrecht der betroffenen Person
(1) Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht ergänzend zu den in § 27 Absatz 2, § 28 Absatz 2 und § 29 Absatz 1 Satz 2 genannten Ausnahmen nicht, wenn
1. die betroffene Person nach § 33 Absatz 1 und 3 nicht zu informieren ist oder
2. die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsgemäßer oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen, die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.

(2) Die Gründe der Auskunftsverweigerung sind zu dokumentieren. Die Ablehnung der Auskunftserteilung ist gegenüber der betroffenen Person zu begründen, soweit nicht durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. Die zum Zweck der Auskunftserteilung an die betroffene Person und zu deren Vorbereitung gespeicherten Daten dürfen nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verarbeitet werden; für andere Zwecke ist die Verarbeitung nach Maßgabe des Artikels 18 der Verordnung (EU) 2016/679 einzuschränken.

(3) Wird der betroffenen Person durch eine öffentliche Stelle des Bundes keine Auskunft erteilt, so ist sie auf ihr Verlangen der oder dem Bundesbeauftragten zu erteilen, soweit nicht die jeweils zuständige oberste Bundesbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. Die Mitteilung der oder des Bundesbeauftragten an die betroffene Person über das Ergebnis der datenschutzrechtlichen Prüfung darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen, sofern dieser nicht einer weitergehenden Auskunft zustimmt.
(4) Das Recht der betroffenen Person auf Auskunft über personenbezogene Daten, die durch eine öffentliche Stelle weder automatisiert verarbeitet noch nicht automatisiert verarbeitet und in einem Dateisystem gespeichert werden, besteht nur, soweit die betroffene Person Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht.

 

§ 35 Recht auf Löschung
(1) Ist eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig
hohem Aufwand möglich, besteht das Recht der betroffenen Person auf und die Pflicht des Verantwortlichen zur Löschung personenbezogener Daten gemäß Artikel 17 Absatz 1 der Verordnung (EU) 2016/679 ergänzend zu den in Artikel 17 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht. In diesem Fall tritt an die Stelle einer Löschung die Einschränkung der Verarbeitung gemäß Artikel 18 der Verordnung (EU) 2016/679. Die Sätze 1 und 2 finden keine Anwendung, wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden.

(2) Ergänzend zu Artikel 18 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 gilt Absatz 1
Satz 1 und 2 entsprechend im Fall des Artikels 17 Absatz 1 Buchstabe a und d der Verordnung (EU) 2016/679, solange und soweit der Verantwortliche Grund zu der Annahme hat, dass durch eine Löschung schutzwürdigeI nteressen der betroffenen Person beeinträchtigt würden. Der Verantwortliche unterrichtet die betroffene Person über die Einschränkung der Verarbeitung, sofern sich die Unterrichtung nicht als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.

(3) Ergänzend zu Artikel 17 Absatz 3 Buchstabe b der Verordnung (EU) 2016/679 gilt Absatz 1 entsprechend im Fall des Artikels 17 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679, wenn einer Löschung satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen.

 

BDSG, Datenschutzinformationen für den Einzelhandel , , , , , , ,
1 3 4 5 6