Die Auskunftspflicht bei Videoüberwachung in öffentlich zugänglichen Räumen

  1. Auskunftsrecht

Das Auskunftsrecht steht jedem Betroffenen zu, d.h. jeder bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs.1 BDSG) . Dies gilt unabhängig vom Wohnsitz der Person und unabhängig von deren Nationalität.

 

  1. Die Voraussetzungen des Auskunftsanspruchs

Gemäß § 34 Abs.1 BDSG gilt, dass die „verantwortliche Stelle“ dem Betroffenen auf Verlangen Auskunft zu erteilen hat über

  • die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
  • den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und
  • den Zweck der Speicherung.

 

„Verantwortliche Stelle“ ist dabei gemäß § 3 Abs. 7 BDSG jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Hinweis: Ausnahmen vom Auskunftsanspruch bestehen nur in wenigen Fällen (z.B. gemäß § 34 Abs.7 BDSG) .

  1. Wie der Auskunftsanspruch geltend gemacht werden kann

Eine bestimmte Form für das Auskunftsverlangen ist nicht vorgeschrieben. Es ist daher möglich mündlich Auskunft zu verlangen, aber z.B. auch per Brief, Telefax oder E-Mail.

Der Adressat des Auskunftsverlangens muss allerdings in der Lage sein, den Betroffenen zweifelsfrei zu identifizieren, um zu verhindern, dass die Auskunft an unberechtigte Dritte gelangt. Insofern kann eine mündliche Anfrage problematisch sein. Zum Zwecke der Identifizierung können der vollständige Name, die Anschrift und ggf. das Geburtsdatum angegeben werden.

Eine Kopie des Personalausweises oder Reisepasses muss nicht beigelegt werden – allenfalls, wenn dies für die Identifizierung erforderlich wäre und sonstige Angaben nicht ausreichen. Nicht zur Identifizierung erforderliche Angaben auf dem Ausweis wie Augenfarbe oder Größe können geschwärzt werden. Nach der Identifizierung durch die verantwortliche Stelle anhand eines Ausweises, ist die erhaltene Ausweiskopie grundsätzlich zu vernichten.

Es ist sinnvoll, die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher zu bezeichnen (vgl. § 34 Abs.1 S.2 BDSG) , verpflichtend ist dies jedoch nicht.

Hinweis: Die Daten, die der Betroffene zum Zwecke der Auskunftserteilung übermittelt, dürfen vom Adressaten ausschließlich für diesen Zweck sowie für Zwecke der Datenschutzkontrolle verwendet werden (§ 34 Abs.5 BDSG) . Für andere Zwecke sind sie zu sperren.

 

  1. Inhalt und Form der Auskunft

Die Auskunft umfasst gemäß § 34 Abs.1 BDSG die personenbezogenen Daten des Anspruchstellers (Bilder) und deren Herkunft. Anzugeben sind auch die Empfänger oder so genannte Kategorien von Empfängern (z.B. Branchenangabe), an die Daten herausgegeben wurden, sowie der Zweck der Speicherung.

Hinweis:

  • Sondervorschriften zu den Herkunfts- und Empfängerangaben gelten für geschäftsmäßige Datenverarbeiter im Sinne des 29 BDSG (z.B. Adresshändler, Auskunfteien oder Werbeunternehmen), beispielsweise gemäß § 34 Abs.1 S.3 BDSG, wonach sich der Datenverarbeiter nicht darauf berufen kann, es sei ihm die Auskunft über die Herkunft und die Empfänger mangels Speicherung dieser Angaben nicht möglich.
  • Beim so genannten Scoring kann daneben gemäß 34 Abs.2 BDSG ein weiterer Auskunftsanspruch geltend gemacht werden, was im Auskunftsverlangen klargestellt werden sollte. Inhaltlich umfasst eine solche Auskunft die Wahrscheinlichkeitswerte und die zu deren Berechnung genutzten Datenarten. Dabei sind das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen, nachvollziehbar und verständlich darzustellen, so dass der Betroffene weiß, ob der berechnete Wahrscheinlichkeitswert als gut, mittelmäßig oder schlecht einzustufen ist.

 

Gemäß § 34 Abs.6 BDSG ist die Auskunft grundsätzlich in Textform zu erteilen (z.B. per E-Mail). Verlangt der Betroffene dies nicht explizit, kann die Auskunft unter anderem schriftlich per Brief oder mündlich erteilt werden.

 

Hinweis:

  • Die Auskunft ist unentgeltlich zu erteilen, bei geschäftsmäßigen Daten-verarbeitern jedoch in der Regel nur einmal pro Kalenderjahr ( 34 Abs.8 BDSG) .
  • Auskünfte sind in innerhalb eines angemessenem Zeitraums zu erteilen. Antwortet ein Unternehmen nicht, kann sich der Betroffene an die zuständige Datenschutz-Aufsichtsbehörde wenden. Zuständig ist die Behörde des Bundeslandes, in dem das Unternehmen seinen Sitz hat.
  • Kommt ein Unternehmen seiner Auskunftspflicht nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nach, kann ein Bußgeld anfallen ( 43 BDSG) .

 

  1. Muster für Auskunftsverlangen

Beispielsweise auf den Internetseiten des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

Datenschutzbeauftragter jetzt öfter Pflicht

Datenschutzbeauftragter jetzt öfter Pflicht

Nach dem  § 38 BDSG-neu haben Unternehmen wie nach bisherigem Recht einen Datenschutzbeauftragten zu bestellen, wenn mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt sind. Darüber hinaus ist aber unabhängig von der Personenzahl ein Datenschutzbeauftragter zu bestellen, wenn eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vorgenommen werden muss. Dies ist der Fall bei  Videoüberwachung oder der Verarbeitung von Gesundheitsdaten.

 

§ 38 BDSG-neu  Datenschutzbeauftragte nichtöffentlicher Stellen

 

  1. Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
  2. § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

Art. 35 DSGVO   Datenschutz-Folgenabschätzung

 

  1. Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
  2. Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.
  3. Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
    1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
    2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
    3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;
  4. Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
  5. Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.
  6. Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.
  7. Die Folgenabschätzung enthält zumindest Folgendes:
    1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
    2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
    3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
    4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
  8. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.
  9. Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
  10. Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.
  11. Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

Das EFDAT Datenschutzpaket

Achtung Einzelhändler, Tankstellenpächter, Gastronomen, Apotheker, Supermarktbesitzer, Kiosbetreiber, Juweliere, die EU-DSGVO und das neue BDSG tritt am 25.Mai 2018 in Kraft.

Wenn Sie wegen Ihrer Videoüberwachung nicht hohe Bußgelder riskieren wollen, dann sollten Sie jetzt schleunigst handeln. Warten Sie nicht, bis Ultimo

Wenn Sie nicht absolut sicher ist, ob Ihre Videoüberwachung rechtssicher ist, sollte ganz schleunigst diesen Test machen

 Schnelltest: Ist meine Videoüberwachung datenschutzkonform?

 

 

Billiger als Abmahnungen von Mitbewerbern  oder Bußgeld einer Datenschutzbehörde ist auf jeden Fall  unser komplett Datenschutzpaket mit Datenschutzmanagement und Zertifikat, damit Ihre Videoüberwachung datenschutzkonform gemacht werden kann.

Sie riskieren  50.000 € – 500.00 € Bußgeld

 

 

Preis komplettes Datenschutzpaket:  1580,00 €

Wir machen bei Ihnen vor Ort ein erstes kostenloses Erstgespräch!

Wer jetzt noch zögert ist selber Schuld.

Mit diesem Datenschutzpaket sind Sie bestens gerüstet für die neue EU-DSGVO und Ihre Videoüberwachung ist ab sofort „datenschutzkonform“ und entspricht allen Richtlinien des BDSG

 

Unsere Dienstleistungen

Unser Angebot für den KMU zur Beseitigung von Datenschutzmängeln

Hinweisschild DIN A5 „Videoüberwachung“ gem. DatenschutzgesetzHinweis- und

Checkliste zur Erstellung einer Datenschutzdokumentation für Videoanlagen in öffentlich zugänglichen Verkaufsräumen. Mit fertigen Mustern für die wichtigsten Dokumente der Datenschutzgrundverordnung bei. Wer sich bis jetzt also nicht um das Thema DSGVO gekümmert hat, bekommt mit der Checkliste eine verständliche Anleitung. Mit dem  Grundwissen, das Sie sich mit der Checkliste aneignen, können Sie sich als Unternehmer entscheiden, ob sie eine professionelle Beratung benötigen oder den Datenschutz in eigene Hände nehmen wollen. Preis 290€

 

 

AGB vor Bestellung hier klicken