Vorabkontrolle
Vorabkontrolle der Videoüberwachung zur Prüfung des Zweckes
2.2.1. Verfahrensverzeichnis, Vorabkontrolle, Sicherungspflichten
Vor Beginn der Videoüberwachung ist seitens der verantwortlichen Stelle der konkrete
Zweck der Überwachungsmaßnahme (vgl. Nr. 2.1.3.1.) schriftlich festzulegen. Zudem
sind technische und organisatorische Maßnahmen zu treffen (§ 9 BDSG), um die Sicherheit
der Daten zu gewährleisten. Vor der Inbetriebnahme einer Videoüberwachung ist eine Vorabkontrolle nach § 4d Absatz 5 BDSG erforderlich, wenn bei dem Einsatz der Videotechnik von besonderen Risiken für die Rechte und Freiheiten der Betroffenen auszugehen ist. Nach der Gesetzesbegründung bestehen besondere Risiken, wenn Überwachungskameras „in größerer Zahl und zentral kontrolliert eingesetzt werden“ (BT-Drs. 14/5793, S. 62). Der betriebliche Datenschutzbeauftragte hat gemäß § 4d Absatz 6 BDSG die Vorabkontrolle durchzuführen und das Ergebnis sowie die Begründung schriftlich
zu dokumentieren.
Unabhängig von der Durchführung einer Vorabkontrolle ergibt sich das Erfordernis der
vorherigen Zweckbestimmung aus § 6b Absatz 1 Nr. 3 BDSG, wenn die Videoüberwachung zur Wahrnehmung berechtigter Interessen erfolgt. Darüber hinaus ist für Verfahren,
die automatisiert Daten verarbeiten, eine Verfahrensübersicht zu erstellen (vgl. § 4g Absatz 2 und 2a BDSG). Eine Videoüberwachung ist jedenfalls dann, wenn sie mittels digitaler Technik erfolgt, als automatisierte Verarbeitung zu qualifizieren. Welche Angaben in diese Übersicht aufgenommen werden müssen, zählt § 4e Satz 1 BDSG verbindlich und abschließend auf. Der dort geforderten allgemeinen Beschreibung der technisch-organisatorischen Maßnahmen zum Schutz der Daten kommt bei der Videoüberwachung besondere Bedeutung zu. Die Videobilddaten unterliegen wegen der sich aus einer unsachgemäßen Handhabung möglicherweise für den Betroffenen ergebenen Beeinträchtigungen entsprechend hohen Schutzkontrollen sowohl hinsichtlich des Zutritts, Zugangs und Zugriffs.
Maßnahme Bäckerei Kassen-Videoüberwachung | ja | nein |
Ist eine Verfahrensdokumentation vorgelegt worden, die den Zweck des Verfahrens klar erläutert? | x | |
Liegt ein Datenmodell oder eine Betriebsvereinbarung vor? | x | |
Stehen die Art der Daten, die verarbeitet werden, die Zweckbestimmung, die erfassten Personengruppen und die Empfänger der Daten im Einklang mit dem BDSG? | x | |
Welche Dialog-Transaktionen mit personenbezogenen Daten sollen ausgeführt werden? | Bildübertragung per CMS-
Software zu den berechtigten Personen |
|
Welche Reportingfunktionen sind vorgesehen? | Suche nach Storno | |
Wer sind die Anwender des Verfahrens? | Herr A und Frau B | |
Sollen Auftragsdatenverarbeiter (§ 11 BDSG), also insbesondere Dienstleister, eingeschaltet werden? | x | |
Liegen die erforderlichen Verträge vor? | x | |
Ist nach der Verfahrensdokumentation sichergestellt, dass der Betroffene über das Verfahren informiert wird bzw. ihm auf Nachfrage die erforderlichen Auskünfte gegeben werden können und Berichtigungen, Sperrungen und Löschungen möglich sind? | x | |
Sind die Spezialvorschriften für automatisierte Einzelentscheidungen (§ 6a BDSG), für den Videoeinsatz in öffentlich zugänglichen Räumen (§ 6b BDSG) und für Chipkarten (§ 6c BDSG) beachtet? | x | |
Ist eine Datenübermittlung in Drittstaaten geplant? | x | |
Wenn ja, ist diese zulässig? | ||
Welche Folgen hat eine missbräuchliche Verwendung der sensiblen Daten? | Nicht möglich, Daten zugangsgesichert | |
Liegt ein Datensicherheitskonzept vor, das entsprechend der Sensibilität der Daten Risiken für die Vertraulichkeit, Integrität, Verfügbarkeit und Revisionsfestigkeit hinreichend sicher verhindert? | x | |
Sind insbesondere die erforderlichen Maßnahmen für die Sicherung des Zugangs, die Sicherung und Protokollierung des Zugriffs und für die Verschlüsselung getroffen? | x | |
Liegt ein Berechtigungskonzept vor? | x | |
Gibt es Schnittstellen zu anderen Systemen (Uploads/Downloads)? |
x | |
Welche Software wird eingesetzt? | Cash-Plus | |
Standard-/Individualsoftware? | x | |
Ist die Funktionalität des Verfahrens erprobt worden? | x | |
Werden alle Anwender, die mit dem System arbeiten, datenschutzrechtlich geschult? | x | |
Ist die geplante Datenverarbeitung also insgesamt nach §§ 4, 28 BDSG zulässig und sind die ergriffenen Sicherheitsmaßnahmen im Hinblick auf die vorhandenen Risiken geeignet, erforderlich und angemessen? | x |