Datenschutz für KMU: Videoüberwachung auf dem Firmengelände

Der Einsatz einer Kamera oder eines Videoüberwachungssystems wird zunehmend einfacher und kostengünstiger. Mit der steigenden Verfügbarkeit simpler technischer Lösungen laufen Unternehmen jedoch auch zunehmend Gefahr, die datenschutzrechtlich zulässigen Wege für eine Videoüberwachung auf dem Firmengelände oder in den eigenen Geschäftsräumen zu verlassen.

Wann ist eine Videoüberwachung zulässig?

Rechtskonform ist eine Videoüberwachung nur dann, wenn sie eindeutig zur Wahrung berechtigter Interessen des Kamerabetreibers oder eines Dritten erforderlich ist UND dabei die Interessen der von der Videoüberwachung betroffenen Personen nicht überwiegen (Interessenabwägung gemäß Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO). Dies ist z.B. beim Objektschutz einer Lagerhalle oder zum Diebstahlschutz in einem Supermarkt der Fall.

Nach der aktuellen Einschätzung der Datenschutzbehörden muss das berechtigte Interesse tatsächlich und gegenwärtig vorliegen. Daher hat der Verantwortliche konkrete Tatsachen zu beschreiben, aus denen sich eine konkrete Gefahrenlage ergibt, die über das allgemeine Lebensrisiko hinausgeht, sowie bereits vorgefallene Beschädigungen oder andere Ereignisse nachzuweisen und nebst bereits gestellten Strafanzeigen zu dokumentieren. Bevor eine Videokamera aktiviert wird, ist für jede Verarbeitung eindeutig zu bestimmen und festzulegen, welcher Zweck mit der Videoüberwachung erreicht werden soll.

Die Videoüberwachung darf nicht einfach unter Berufung auf nicht näher genannte „Sicherheitsgründe“ installiert werden!

Was bedeutet Interessenabwägung?

Ob die Interessen der von der Videoüberwachung betroffenen Personen im Einzelfall überwiegen, muss anhand der Intensität des Eingriffs bewertet werden. Dabei sind vor allem der betroffene Personenkreis, Art und Umfang der erfassten Daten sowie Art und Weise der Datenverarbeitung zu berücksichtigen.

In jedem Fall sind geeignete technische und organisatorische Maßnahmen zur Minimierung des Eingriffs in die persönlichen Rechte und Freiheiten der betroffenen Personen zu treffen, z.B. indem die aufgezeichneten Videobilder bereits nach sehr kurzer Zeit automatisch gelöscht werden. Durch die Deaktivierung bestimmter Funktionen kann die Intensität weiter abgemildert werden, hilfreich sind hierbei z.B. ein eng gefasstes Zugriffs- und Löschkonzept und Anonymisierungsverfahren wie Verpixeln.

Achtung beim Beschäftigtendatenschutz

In §26 BDSG ist der Datenschutz für Beschäftigtendaten generell geregelt. Soll eine Videoüberwachung im Betrieb durchgeführt werden, ist diese gemäß §26 Abs. 1 S. 2 BDSG ausschließlich zur Aufdeckung von Straftaten zulässig, nicht jedoch zu deren Prävention.

Bei der Videoüberwachung von Beschäftigten sind daher grundsätzlich noch engere Maßstäbe anzulegen, als sie z.B. in Firmenbereichen gelten, die hauptsächlich von Kunden oder Lieferanten betreten werden. Sie darf nur auf einen konkreten Anlass bezogen zum Einsatz kommen, wobei aber zunächst die Erforderlichkeit geprüft und dokumentiert werden muss.

Kann ich nicht eine Einwilligung einholen?

Beim Einsatz einer Videoüberwachung kann der Verantwortliche die Bedingungen für die Einwilligung (Art. 7 DSGVO) in der Regel nicht erfüllen. Grund dafür ist, dass installierte Kameras regelmäßig auch im Sinne der Rechtsprechung öffentlich zugängliche Räume und damit eine unbestimmte Zahl von Personen überwachen.

Entsprechend kann die Verarbeitung nicht auf Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO gestützt werden, da die Einholung der Einwilligungen aller erfassten Personen kaum zureichend erfolgen kann. Außerdem müsste der Verantwortliche sicherstellen, dass nach einem Widerruf der Einwilligung keine weitere Datenverarbeitung mehr erfolgt und die betreffenden personenbezogenen Daten unverzüglich gelöscht werden. Dies ist jedoch in der Praxis meist nur unzureichend umsetzbar.

Auf eine stillschweigend erteilte Einwilligung des Betroffenen bei der Nutzung des überwachten Bereichs kann sich der Verantwortliche nicht berufen, denn: Das bloße Betreten eines speziell gekennzeichneten Bereichs stellt noch keine Einwilligung in die Videoüberwachung dar!

Welche rechtlichen Pflichten muss ich beachten?

Gemäß Art. 13 DSGVO hat der Verantwortliche durch in Art und Umfang geeignete Hinweise auf die Videoüberwachung aufmerksam zu machen und über diese zu informieren. Neben einem geeigneten vorgelagerten Hinweisschild sind darüber hinaus gesonderte Informationen sowie die Rechte der Betroffenen per Aushang sichtbar und zugänglich zu machen.

Um die Nachweispflichten zu erfüllen, müssen die festgelegten Zwecke für die Videoüberwachung für jede einzelne Kamera schriftlich dokumentiert und ins Verzeichnis von Verarbeitungstätigkeiten (VVT) aufgenommen werden (Art. 30 DSGVO). Eine weitere Dokumentationspflicht im Vorfeld kann auch der Abschluss eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO) darstellen, z.B. wenn ein weiteres Unternehmen mit dem Betrieb und der Wartung der Videoanlage beauftragt wird. In jedem Fall ist vorab die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO zu empfehlen, damit das Risiko entsprechend analysiert und geeignete technische und organisatorische Maßnahmen ausgewählt werden können.

Da Verstöße gegen diese Pflichten mit empfindlichen Bußgeldern sowie Schadensersatzforderungen geahndet bzw. belegt werden können, raten wir mindestens zur Einhaltung folgender Punkte unserer Checkliste:

Checkliste Videoüberwachung

  • Gegenstand der Datenerhebung, -verarbeitung oder -nutzung eindeutig definiert und beschrieben
  • Zweckbindung eindeutig eingehalten
  • Datenminimierung eingehalten
  • Art und Umfang der erhobenen, verarbeiteten oder genutzten Daten eindeutig definiert dokumentiert
  • Empfänger der Daten definiert und dokumentiert
  • Rechte der Betroffenen können eingehalten werden (z.B. Recht auf Löschung)
  • Verarbeitung ist im VVT umfassend dokumentiert
  • Datenschutz-Folgenabschätzung (DSFA) durchgeführt und dokumentiert
  • Umsetzung geeigneter TOMs: Berechtigungs- und Zugriffskonzept, regelmäßige Updates, Deaktivierung nicht benötigter Funktionen (z.B. WLAN-Anbindung)
  • geeignete Löschfristen und Löschkonzept umgesetzt
  • Hinweis-/Informationspflicht nachgekommen

 

Quellen:

Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen. Stand: 17. Juli 2020. Redaktion: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, zuletzt am 19.09.2022 abgerufen unter: https://www.lda.bayern.de/media/20201009-OH-Videoueberwachung.pdf.

Datenschutzrecht. Ein Kommentar für Studium und Praxis. Hrsg. v. Annika Selzer. Stuttgart 2022.

Haben Sie noch Fragen zur Videoüberwachung oder benötigen Sie Hilfe bei der Datenschutz-Folgenabschätzung? Sprechen Sie uns an!

Kontakt

Kontakt

+49 (0) 89 90 422 70 60

mail [at] schmalzer.me

Rechtliche Informationen

Impressum

Datenschutzerklärung

Webpräsenz der Allianz für Cyber- Sicherheit
BvD Mitglied

© 2022 – 2024 Schmalzer mind+engineering GbR