Dieses Blog durchsuchen

Montag, 17. Februar 2020

Video –Jetzt schärfer! Europäische Leitlinie zur Videoüberwachung



Video – Jetzt schärfer!
Pressemitteilung TLfDI Erfurt, 30.01.2020



Europäische Leitlinie zur Videoüberwachung

Die Leitlinie betont den Grundsatz der Verhältnismäßigkeit. Da jede Videoüberwachung mit
einem Eingriff in die Persönlichkeitsrechte verbunden ist, muss ihr stets ein berechtigtes Interesse
des Kamerabetreibers zugrunde liegen. Dieses Interesse muss objektiv vorliegen, das heißt, bei
einer Videoüberwachung aus Sicherheitsgründen müssen stets auch tatsächliche Anhaltspunkte
für eine Gefahr für Leib, Leben oder Sachgüter vorliegen. Die Leitlinie stellt klar, dass ein rein
subjektives Sicherheitsgefühl nicht genügt, um eine Videoüberwachung zu rechtfertigen.

Über EDPB

Wer wir sind
Das European Data Protection Board (EDPB)
Der Europäische Datenschutzausschuss (EDSA) ist eine unabhängige europäische Einrichtung, die zur einheitlichen Anwendung der Datenschutzbestimmungen in der gesamten Europäischen Union beiträgt und die Zusammenarbeit zwischen den Datenschutzbehörden der EU fördert. 

Das EDPB setzt sich aus Vertretern der nationalen Datenschutzbehörden und des Europäischen Datenschutzbeauftragten (EDSB) zusammen. Die Aufsichtsbehörden der EFTA-EWR-Staaten sind auch Mitglieder in Fragen der DSGVO und ohne Stimmrecht und werden als Vorsitzende oder stellvertretende Vorsitzende gewählt. Das EDPB wird durch die Allgemeine Datenschutzverordnung (DSGVO) eingerichtet und hat seinen Sitz in Brüssel. Die Europäische Kommission und - in Bezug auf die DSGVO - die EFTA-Überwachungsbehörde haben das Recht, an den Aktivitäten und Sitzungen des Verwaltungsrats ohne Stimmrecht teilzunehmen.
https://edpb.europa.eu/about-edpb/about-edpb_de

Version 2.0 Verabschiedet am 29. Januar 2020

Richtlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte


               
Übersetzung 22.2.2020
 1.Entwurf, Deutsche Datenschutzhilfe e.V.

Die Europäische Datenschutzbehörde

Unter Berücksichtigung von Artikel 70 Absatz 1e der Verordnung 2016/679 / EU des Europäischen Parlaments und des Rates vom 27. April 2016 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr dieser Daten und Aufhebung der Richtlinie 95/46 / EG (im Folgenden „DSGVO“),

In Anbetracht des EWR-Übereinkommens und insbesondere des Anhangs XI und seines Protokolls 37 in der durch den Beschluss des Gemischten EWR-Ausschusses Nr. 154/2018 vom 6. Juli 20181 geänderten Fassung

Unter Berücksichtigung von Artikel 12 und Artikel 22 seiner Geschäftsordnung
1. Die intensive Nutzung von Videogeräten wirkt sich auf das Verhalten der Bürger aus. Eine signifikante Implementierung solcher Tools in vielen Lebensbereichen des Einzelnen wird einen zusätzlichen Druck auf den Einzelnen ausüben, um zu verhindern, dass erkannt wird, was als Anomalien wahrgenommen werden könnte. De facto können diese Technologien die Möglichkeiten der anonymen Bewegung und anonymen Nutzung von Diensten einschränken und generell die Möglichkeit einschränken, unbemerkt zu bleiben. Die Auswirkungen auf den Datenschutz sind enorm.
2. Während Einzelpersonen beispielsweise mit der Einrichtung einer Videoüberwachung für einen bestimmten Sicherheitszweck vertraut sein können, müssen Garantien getroffen werden, um einen Missbrauch für völlig andere und - für die betroffene Person - unerwartete Zwecke (z. B. Marketingzwecke, Überwachung der Mitarbeiterleistung usw.) zu vermeiden. ). Darüber hinaus wurden zahlreiche Tools implementiert, um die aufgenommenen Bilder zu nutzen und herkömmliche Kameras in intelligente Kameras umzuwandeln. Die durch das Video generierte Datenmenge in Kombination mit diesen Tools und Techniken erhöht das Risiko einer sekundären Verwendung (unabhängig davon, ob sie mit dem ursprünglich dem System zugewiesenen Zweck zusammenhängt oder nicht) oder sogar das Risiko eines Missbrauchs. Die allgemeinen Grundsätze der DSGVO (Artikel 5) sollten beim Umgang mit der Videoüberwachung immer sorgfältig beachtet werden.
3. Videoüberwachungssysteme verändern sich  in vielerlei Hinsicht im öffentlichen Sektor und privaten Bereich, um die Sicherheit zu erhöhen, Publikumsanalysen zu erhalten, personalisierte Werbung bereitzustellen usw. Die Videoüberwachung ist durch die zunehmende Implementierung intelligenter Videoanalysen leistungsfähiger geworden. Diese Techniken können aufdringliche (z. B. komplexe biometrische Technologien) oder weniger aufdringlich (z. B. einfache Zählalgorithmen) sein. Anonym zu bleiben und die Privatsphäre zu wahren, wird generell immer schwieriger. Die in den einzelnen Situationen aufgeworfenen Datenschutzfragen können unterschiedlich sein, ebenso die rechtliche Analyse bei der Verwendung der einen oder anderen dieser Technologien.
4. Zusätzlich zu Datenschutzproblemen bestehen auch Risiken im Zusammenhang mit möglichen Fehlfunktionen dieser Geräte und den von ihnen verursachten Verzerrungen. Forscher berichten, dass Software zur Gesichtserkennung,  oder -Analyse je nach Alter, Geschlecht und ethnischer Zugehörigkeit der identifizierten Person unterschiedliche Leistungen erbringt. Algorithmen würden auf der Grundlage unterschiedlicher demografischer Merkmale funktionieren, sodass eine Verzerrung der Gesichtserkennung die Vorurteile der Gesellschaft zu verstärken droht. Aus diesem Grund müssen die für die Datenverarbeitung Verantwortlichen auch sicherstellen, dass die biometrische Datenverarbeitung, die sich aus der Videoüberwachung ergibt, regelmäßig auf ihre Relevanz und ausreichende Garantien überprüft wird.
5. Videoüberwachung ist nicht standardmäßig erforderlich, wenn andere Mittel zur Erreichung des zugrunde liegenden Zwecks vorhanden sind. Andernfalls riskieren wir eine Änderung der kulturellen Normen, die dazu führt, dass mangelnde Privatsphäre als allgemeiner Anfang akzeptiert wird

In dieser Stellungnahme enthaltene Verweise auf „Mitgliedstaaten“ sind als Verweise auf „EEA-Mitgliedstaaten“ zu verstehen
6. Diese Richtlinien sollen Hinweise zur Anwendung der DSGVO in Bezug auf die Verarbeitung personenbezogener Daten über Videogeräte geben. Die Beispiele erheben keinen Anspruch auf Vollständigkeit, die allgemeine Begründung kann auf alle möglichen Anwendungsbereiche angewendet werden


2 ANWENDUNGSUMFANG
7. Die systematische automatisierte Überwachung eines bestimmten Raums durch optische oder audiovisuelle Mittel, hauptsächlich zum Schutz von Eigentum oder zum Schutz des Lebens und der Gesundheit des Einzelnen, ist zu einem bedeutenden Phänomen unserer Tage geworden. Diese Aktivität bewirkt die Erfassung und Speicherung von bildlichen oder audiovisuellen Informationen aller Personen, die den überwachten Raum betreten und anhand ihres Aussehens oder anderer spezifischer Elemente identifizierbar sind. Die Identität dieser Personen kann aufgrund dieser Angaben festgestellt werden. Es ermöglicht auch die weitere Verarbeitung personenbezogener Daten in Bezug auf die Anwesenheit und das Verhalten von Personen in dem gegebenen Raum. Das potenzielle Risiko eines Missbrauchs dieser Daten wächst in Bezug auf die Größe des überwachten Raums sowie auf die Anzahl der Personen, die den Raum besuchen. Dies spiegelt sich in der Allgemeinen Datenschutzverordnung in Artikel 35 Absatz 3 Buchstabe c wider, der die Durchführung einer Folgenabschätzung zum Datenschutz im Falle einer systematischen Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang vorschreibt Gemäß Artikel 37 Absatz 1 Buchstabe b müssen die Verarbeiter einen Datenschutzbeauftragten benennen, wenn die Verarbeitung ihrer Natur nach eine regelmäßige und systematische Überwachung der betroffenen Personen erfordert.

8. Die Verordnung gilt jedoch nicht für die Verarbeitung von Daten, die keinen Personenbezug haben, z. wenn eine Person weder direkt noch indirekt identifiziert werden kann.

9. Beispiel: Die DSGVO gilt nicht für Kamera-Attrappen (d. H. Kameras, die nicht als Kamera fungieren und dabei keine personenbezogenen Daten verarbeiten). In einigen Mitgliedstaaten kann es jedoch anderen Rechtsvorschriften unterliegen.
Beispiel: Aufzeichnungen aus großer Höhe fallen nur dann in den Geltungsbereich der DSGVO, wenn sich die verarbeiteten Daten unter den gegebenen Umständen auf eine bestimmte Person beziehen können.
Beispiel: Eine Videokamera ist in ein Auto integriert, um Einparkhilfe zu bieten. Wenn die Kamera so konstruiert oder eingestellt ist, dass sie keine Informationen über eine natürliche Person sammelt (wie Kennzeichen oder Informationen, die Passanten identifizieren könnten), findet die DSGVO keine Anwendung.
2.2 Anwendung der Strafverfolgungsrichtlinie, LED (EU2016 / 680)

10. Insbesondere die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Vollstreckung strafrechtlicher Sanktionen, einschließlich des Schutzes vor und der Verhütung von Bedrohungen der öffentlichen Sicherheit, fällt unter die Richtlinie EU2016 / 680.



2.3 Ausnahmeregelung Privathaushalt
11. Gemäß Artikel 2 Absatz 2 Buchstabe c fällt die Verarbeitung personenbezogener Daten durch eine natürliche Person im Rahmen einer rein persönlichen oder haushaltsbezogenen Tätigkeit, zu der auch Online-Tätigkeiten gehören können, nicht in den Geltungsbereich der DSGVO

12. Diese Bestimmung - die sogenannte Haushaltsfreistellung - ist im Zusammenhang mit der Videoüberwachung eng auszulegen. Nach Auffassung des Europäischen Gerichtshofs ist die sogenannte „Haushalt Ausnahmeregelung“  so zu verstehen, dass sie sich nur auf Tätigkeiten bezieht, die im Verlauf des Privat- oder Familienlebens von Personen ausgeführt werden, was bei der Verarbeitung personenbezogener Daten, die in der Veröffentlichung im Internet bestehen, offensichtlich nicht der Fall ist, so dass diese Daten gemacht werden für eine unbegrenzte Anzahl von Personen zugänglich.4  Wenn es sich bei einem Videoüberwachungssystem um ein System zur ständigen Erfassung und Speicherung personenbezogener Daten handelt,„ ist es sogar teilweise ein öffentlicher Raum und wird dementsprechend vom privaten Umfeld nach außen gerichtet von der Person, die die Daten auf diese Weise verarbeitet, kann sie nicht als rein personenbezogene oder haushaltsbezogene Tätigkeit im Sinne von Artikel 3 Absatz 2 zweiter Gedankenstrich der Richtlinie 95/46 angesehen werden. “5

2 The EDPB notes that where the GDPR so allows, specific requirements in national legislation might apply.
2 Das EDPB stellt fest, dass, wo die DSGVO dies zulässt, möglicherweise spezifische Anforderungen in den nationalen 
    Rechtsvorschriften gelten
3 See also Recital 18,    3 Siehe auch Erwägungsgrund 18
4 European Court of Justice, Judgment in Case C-101/01, Bodil Lindqvist case, 6th November 2003, para 47.
5 European Court of Justice, Judgment in Case C-212/13, František Ryneš v Úřad pro ochranu osobních údajů, 11
   December 2014, para. 33.

13. Was Videogeräte betrifft, die in den Räumlichkeiten einer Privatperson betrieben werden, kann dies unter die Haushaltsfreistellung fallen. Es wird von mehreren Faktoren abhängen, die alle berücksichtigt werden müssen, um zu einer Schlussfolgerung zu gelangen. Neben den oben genannten Elementen, die in EuGH-Urteilen genannt werden, muss der Benutzer der Videoüberwachung zu Hause prüfen, ob er eine persönliche Beziehung zur betroffenen Person hat, ob der Umfang oder die Häufigkeit der Überwachung auf eine berufliche Tätigkeit hindeutet und die potenziellen nachteiligen Auswirkungen der Überwachung auf die betroffenen Personen. Das Vorhandensein eines einzelnen der oben genannten Elemente lässt nicht unbedingt darauf schließen, dass die Verarbeitung außerhalb des Geltungsbereichs der Haushaltsfreistellung liegt. Für diese Feststellung ist eine Gesamtbewertung erforderlich.

14.   Beispiel: Ein Tourist zeichnet Videos sowohl über sein Mobiltelefon als auch über einen Camcorder auf, um seine Ferien zu dokumentieren. Er zeigt das Filmmaterial Freunden und der Familie, macht es jedoch nicht für eine unbegrenzte Anzahl von Personen zugänglich. Dies würde unter die Haushaltsfreistellung fallen.

Beispiel: Eine Downhill-Mountainbikerin möchte ihre Abfahrt mit einer Actioncam aufzeichnen. Sie fährt in einer abgelegenen Gegend und plant nur, die Aufnahmen für ihre persönliche Unterhaltung zu Hause zu verwenden. Dies fällt auch dann unter die Haushaltsfreistellung, wenn teilweise personenbezogene Daten verarbeitet werden.

Beispiel: Jemand überwacht und zeichnet seinen eigenen Garten auf. Das Grundstück ist eingezäunt und nur der Controller selbst und seine Familie betreten regelmäßig den Garten. Dies würde unter die Haushaltsfreistellung fallen, vorausgesetzt, die Videoüberwachung erstreckt sich nicht einmal teilweise auf einen öffentlichen Raum oder ein benachbartes Grundstück.


3 RECHTMÄSSIGE VERARBEITUNG
15. Vor der Verwendung sind die Zwecke der Verarbeitung genau anzugeben (Artikel 5 Absatz 1 Buchstabe b). Die Videoüberwachung kann vielen Zwecken dienen, z. Unterstützung des Schutzes von Eigentum und anderen Vermögenswerten, Unterstützung des Schutzes des Lebens und der körperlichen Unversehrtheit von Personen, Erhebung von Beweismitteln für zivilrechtliche Ansprüche.6 Diese Überwachungszwecke sollten schriftlich dokumentiert werden (Artikel 5 Absatz 2) und müssen für jede Überwachungskamera angegeben werden, die in Gebrauch ist. Kameras, die von einem Verantwortlichen für den gleichen Zweck verwendet werden, können gemeinsam dokumentiert werden. Darüber hinaus müssen die betroffenen Personen über den Zweck (die Zwecke) der Verarbeitung gemäß Artikel 13 informiert werden (siehe Abschnitt 7, Transparenz- und Informationspflichten). Die Videoüberwachung auf der Grundlage des bloßen Zwecks „Sicherheit“ oder „zu Ihrer Sicherheit“ ist nicht spezifisch genug (Artikel 5 Absatz 1 Buchstabe b). Es verstößt außerdem gegen den Grundsatz, dass personenbezogene Daten in Bezug auf die betroffene Person rechtmäßig, fair und transparent verarbeitet werden (siehe Artikel 5 Absatz 1 Buchstabe a).
16. Grundsätzlich kann jeder Rechtsgrund nach Artikel 6 Absatz 1 eine Rechtsgrundlage für die Verarbeitung von Videoüberwachungsdaten bilden. Beispielsweise findet Artikel 6 Absatz 1 Buchstabe c Anwendung, wenn das nationale Recht eine Verpflichtung zur Durchführung der Videoüberwachung vorsieht.7 In der Praxis sind jedoch die Bestimmungen am wahrscheinlichsten
Artikel 6 Absatz 1 f (berechtigtes Interesse),
Artikel 6 Absatz 1 Buchstabe e (Notwendigkeit, eine im öffentlichen Interesse oder bei der Ausübung öffentlicher Gewalt ausgeübte Aufgabe zu erfüllen)
In Ausnahmefällen kann der für die Verarbeitung Verantwortliche Artikel 6 Absatz 1 Buchstabe a (Zustimmung) als Rechtsgrundlage verwenden

17. Die rechtliche Würdigung von Artikel 6 Absatz 1 Buchstabe f sollte auf den folgenden Kriterien des Erwägungsgrund 47 beruhen.

3.1.1. Bestehen berechtigter Interessen

18. Die Videoüberwachung ist rechtmäßig, wenn sie zur Erfüllung des Von einem für die Verarbeitung Verantwortlichen oder einem Dritten verfolgten berechtigten Interesses erforderlich ist, es sei denn, diese Interessen werden durch die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person außer Kraft gesetzt (Art. 6 Abs. 1 Buchstabe f). Berechtigte Interessen, die von einem für die Verarbeitung Verantwortlichen oder einem Dritten verfolgt werden, können rechtliche 8, wirtschaftliche oder immaterielle Interessen sein.9 Der für die Verarbeitung Verantwortliche sollte jedoch berücksichtigen, dass, wenn die betroffene Person der Überwachung gemäß Artikel 21 widerspricht, die Videoüberwachung dieser betroffenen Person nur dann erfolgen kann, wenn es sich um ein zwingendes berechtigtes Interesse handelt, das die Interessen, Rechte und Freiheiten der betroffenen Person übersteigt und , oder zur  Ausübung oder Verteidigung von Rechtsansprüchen überwiegen

19. In einer realen und gefährlichen Situation kann der Zweck des Schutzes von Eigentum vor Einbruch, Diebstahl oder Vandalismus ein berechtigtes Interesse für die Videoüberwachung darstellen.

6 Rules on collecting evidence for civil claims varies in Member States.
6 Die Vorschriften für die Erhebung von Beweismitteln für zivilrechtliche Ansprüche sind in den Mitgliedstaaten unterschiedlich
7 These guidelines do not analyse or go into details of national law that might differ between Member States.
7 Diese Leitlinien analysieren oder gehen nicht auf Einzelheiten des nationalen Rechts ein, die von Mitgliedstaat zu Mitgliedstaat unterschiedlich sein können
8 European Court of Justice, Judgment in Case C-13/16, Rīgas satiksme case, 4 may 2017
8Europäischer Gerichtshof, Urteil in der Rechtssache C-13/16, Rechtssache Rīgas satiksme, 4. Mai 2017
https://dejure.org/dienste/vernetzung/rechtsprechung?Text=C-13/16
9 see WP217, Article 29 Working Party
9siehe WP217, Artikel 29 Arbeitsgruppe https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/wp29_de.pdf

20. Das berechtigte Interesse muss real sein und ein aktuelles Thema sein, (d. h. es darf weder fiktiv noch spekulativ sein) 10. Vor Beginn der Überwachung muss eine Notsituation im wirklichen Leben vorliegen, z. B. Schäden oder schwerwiegende Vorfälle in der Vergangenheit. In Anbetracht des Grundsatzes der Rechenschaftspflicht wäre es den für die Verarbeitung Verantwortlichen ratsam, relevante Vorfälle (Datum, Art und Weise, finanzieller Verlust) und damit verbundene strafrechtliche Anklagen zu dokumentieren. Diese dokumentierten Vorfälle können ein starker Beweis für das Bestehen eines berechtigten Interesses sein. Das Bestehen eines berechtigten Interesses sowie die Notwendigkeit der Überwachung sollten in regelmäßigen Abständen (z. B. einmal jährlich, je nach den Umständen) überprüft werden.

Beispiel: Ein Ladenbesitzer möchte einen neuen Laden eröffnen und ein Videoüberwachungssystem installieren, um Vandalismus zu verhindern. Er kann anhand von Statistiken nachweisen, dass in der näheren Umgebung hohe Erwartungen an Vandalismus bestehen. Auch Erfahrungen aus benachbarten Geschäften sind hilfreich. Es ist nicht erforderlich, dass eine Beschädigung des betreffenden Controllers aufgetreten ist. Solange Schäden in der Nachbarschaft auf eine Gefahr oder ähnliches hindeuten und somit ein Hinweis auf ein berechtigtes Interesse sein können. Es reicht jedoch nicht aus, eine nationale oder allgemeine Kriminalitätsstatistik vorzulegen, ohne das betreffende Gebiet oder die Gefahren für dieses Geschäft zu analysieren

22. Unmittelbar bevorstehende Gefahrensituationen können ein berechtigtes Interesse darstellen, beispielsweise Banken oder Geschäfte, die kostbare Güter verkaufen (z. B. Juweliere), oder Bereiche, die als typische Tatorte für Eigentumsdelikte bekannt sind (z. B. Tankstellen).

23. Die DSGVO stellt außerdem klar, dass sich die Behörden nicht auf ihre Verarbeitung aus Gründen des berechtigten Interesses berufen können, solange sie ihre Aufgaben erfüllen, 
Artikel 6 Absatz 1 Satz 2

24. Personenbezogene Daten sollten angemessen, relevant und auf das beschränkt sein, was für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Datenminimierung“), siehe Artikel 5 Absatz 1 Buchstabe c. Vor der Installation eines Videoüberwachungssystems sollte der Controller immer kritisch prüfen, ob diese Maßnahme zum einen geeignet ist, um das gewünschte Ziel zu erreichen, und zum anderen angemessen und für seine Zwecke notwendig ist. Videoüberwachungsmaßnahmen sollten nur dann gewählt werden, wenn der Zweck der Verarbeitung mit anderen Mitteln, die die Grundrechte und -freiheiten der betroffenen Person weniger beeinträchtigen, nicht angemessen erfüllt werden kann.

25. In Anbetracht der Situation, dass ein für die Verarbeitung Verantwortlicher Straftaten im Zusammenhang mit Eigentum verhindern möchte, könnte der für die Verarbeitung Verantwortliche anstelle der Installation eines Videoüberwachungssystems auch alternative Sicherheitsmaßnahmen ergreifen, z. B. Installieren von Sicherheitsschlössern, manipulationssicheren Fenstern und Türen oder Auftragen von Anti-Graffiti-Beschichtungen oder -Folien auf Wänden. Diese Maßnahmen können genauso wirksam sein wie Videoüberwachungssysteme gegen Einbruch, Diebstahl und Vandalismus. Der für die Verarbeitung Verantwortliche muss von Fall zu Fall beurteilen, ob solche Maßnahmen eine vernünftige Lösung darstellen können.

26. Vor dem Betrieb eines Kamerasystems muss der Verantwortliche beurteilen, wo und wann Videoüberwachungsmaßnahmen unbedingt erforderlich sind. In der Regel erfüllt ein Überwachungssystem, das nachts sowie außerhalb der regulären Arbeitszeiten arbeitet, die Anforderungen des Controllers, um Gefahren für sein Eigentum zu vermeiden.

10siehe WP217, Artikel 29, Arbeitsgruppe, S. 24 seq. Siehe auch EuGH-Rechtssache C-708/18, S. 44
https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/wp217_de.pdf
https://betriebs-berater.ruw.de/wirtschaftsrecht/urteile/Verarbeitung-personenbezogener-Daten-mittels-Videoueberwachungssystem--39946


EuGH: Verarbeitung personenbezogener Daten mittels Videoüberwachungssystem
EuGH, Urteil vom 11.12.2019 – C-708/18, TK gegen Asociaţia de Proprietari bloc M5A-ScaraA ECLI:EU:C:2019:1064
Eine Überwachung mittels einer Videoaufzeichnung von Personen auf einer kontinuierlichen Speichervorrichtung, der Festplatte, stellt eine automatisierte Verarbeitung personenbezogener Daten gemäß Art. 3 Abs. 1 der Richtlinie 95/46 dar (Urteil vom 11. Dezember 2014, Ryneš, C 212/13, EU:C:2014:2428, Rn. 25).

Somit ist ein kamerabasiertes Videoüberwachungssystem als automatisierte Verarbeitung personenbezogener Daten im Sinne dieser Bestimmung einzustufen, wenn sich durch die installierte Vorrichtung personenbezogene Daten wie etwa Bilder, anhand derer natürliche Personen identifiziert werden können, aufzeichnen und speichern lassen. Es ist Sache des vorlegenden Gerichts, zu prüfen, ob das im Ausgangsverfahren in Rede stehende System diese Merkmale aufweist.
Außerdem muss jede Verarbeitung personenbezogener Daten zum einen den in Art. 6 der Richtlinie 95/46 aufgestellten Grundsätzen in Bezug auf die Qualität der Daten und zum anderen einem der in Art. 7 der Richtlinie aufgeführten Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten genügen (Urteil vom 13. Mai 2014, Google Spain und Google, C 131/12, EU:C:2014:317, Rn. 71 und die dort angeführte Rechtsprechung).


https://betriebs-berater.ruw.de/wirtschaftsrecht/urteile/Verarbeitung-personenbezogener-Daten-mittels-Videoueberwachungssystem--39946




Freitag, 13. Dezember 2019

Planungshilfe und DSGVO-Praxisleitfaden für Video-Errichter




Inhaltsübersicht Video-Praxis-Leitfaden

1.0  Die rechtlichen Grundlagen für die Videoüberwachung 
1.1. BDSG  §4  Videoüberwachung öffentlich zugänglicher Räume
1.2. Benennung eines Datenschutzbeauftragten Art. 37 DSGVO
1.3. Was sagt die DSGVO zur Videoüberwachung?
1.4. Positivlisten zur Datenschutz-Folgenabschätzung
2.0. Leitfaden zur Planung einer Videoüberwachung
2.1. DSK Hinweise, Muster, Kurzpapiere, Auskunftsrecht, bfdi.bund.de
3.0. Vorabkontrolle/Datenschutzfolgenabschätzung
3.1. Systembeschreibung, technisch organisatorische Maßnahmen
3.2. Auftragsverarbeitung
3.3. Gefahrenanalyse
3.4. Risikoanalyse
3.5. Datensicherungskonzept
3.6. Was ist eine Datenschutzfolgenabschätzung
3.7. Datenschutzfolgenabschätzung Checkliste
4.0. White-Paper Videoüberwachung
4.1. Datenschutzdokumentation Beispiel Tankstelle
5.0. Muster zur Bestellung des Datenschutzbeauftragte
5.1. Mindestanforderungen an Fachkunde eines betrieblichen DSB
6.0. Videoüberwachung öffentlich zugänglicher Räume §4BDSG
7.0. Der Beschäftigtendatenschutz
7.1. Rechte der betroffenen Mitarbeiter
8.0. Datenschutzmanagement
8.1. Datenschutz-Dokumentation Beispiel Gaststätte
8.2. Datenschutz-Dokumentation Beispiel Blumenladen
9.0. Vorschriften zum Hinweisschild für Videoüberwachung
10.0. Hinweise auf Rechte der Betroffenen nach. Art.13DSGVO
11.0. Checkliste Prüfung Verarbeitung
12.0. Ist Ihre Videoüberwachung  datenschutzkonform?




Planer und Installateure haften, wenn die Videoüberwachung nicht datenschutzkonform übergeben wird.

Ein Installateur, der  Videoüberwachung mit einem DSGVO Datenschutz-Zertifikat anbieten kann, hat  eindeutig einen Wettbewerbsvorteil vor jedem Mitanbieter, der den Datenschutz-Service nicht leisten kann.
Installateure können ab DSGVO in Regress genommenen werden, wenn Sie eine Videoüberwachung an einen Kunden übergeben, die nicht datenschutzkonform ist.
Der sorgsame Umgang mit den Bild-Daten der Kunden sollte auch das oberste Ziel des Gewerbetreibenden sein. Die Verbraucher haben durch DSGVO seit dem 25.Mai 2018 eine Bestärkung ihrer Rechte bekommen und können jederzeit auf Schadenersatz klagen, wenn Sie einen Datenschutzverstoß  in einem Gewerbebetrieb entdecken.
Siehe Beitrag :
Datenschutzverstöße bei der Videoüberwachung - Wer haftet?

Das Angebot der Deutschen Datenschutzhilfe an alle Installateure:
Wir helfen Ihnen zur einer  Videoüberwachung mit Datenschutz-Zertifikat.


Freitag, 29. November 2019

Der Todesstoß für die IP -Videoüberwachung?


Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz schreibt in seiner Broschüre Videoüberwachung des Gewerbebetriebs unter der Rubrik
Speicherung und Datensicherheit
Die Verwendung veralteter netzwerktauglicher Kameras, die dem aktuellen Stand der IT-Sicherheit nicht mehr genügen und keine Sicherheitsupdates mehr erhalten, verstößt ebenfalls gegen die Datenschutz-Grundverordnung (Art. 5 Abs. 1 lit. f, Art. 32 DS-GVO)
Link

Ist dies der Todesstoß für die IP- Video-Überwachung?
Jede Video-Kamera, so auch die IP-Kamera ist spätestens nach einem Jahr völlig veraltet. Sicherheitsupdates gibt es dann in aller Regel  nicht mehr, weil alle Hersteller weltweit 3-4x jährlich einen Modellwechsel machen. Somit muss die Datenübertragung aufwändig verschlüsselt werden, wenn es keine Updates mehr gibt, dann muss die IP-Kamera nach 2 Jahren ausgewechselt werden oder aber die Kameras können gehacked werden, siehe: www.insecam.org
Enorme Folgekosten kommen damit in Zukunft auf die auf die Betreiber von Netzwerk-Videoüberwachung  zu.

Siehe auch:
Warum Netzwerk-Kameras bei Videoüberwachung oftmals die falsche Wahl sind

Montag, 18. November 2019

Sicherheitsrisiko durch IP/Netzwerkkameras


Sicherheitsrisiko durch IP/Netzwerkkameras

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz schreibt in seiner Broschüre „Videoüberwachung des Gewerbebetriebs“ unter der Rubrik

Speicherung und Datensicherheit
Die Verwendung veralteter netzwerktauglicher Kameras, die dem aktuellen Stand der IT-Sicherheit nicht mehr genügen und keine Sicherheitsupdates mehr erhalten, verstößt ebenfalls gegen die Datenschutz-Grundverordnung (Art. 5 Abs. 1 lit. f, Art. 32 DSGVO)

Ist dies der Todesstoß für die IP- Video-Überwachung?
Alle Video-Kameras, so auch die IP-Kameras sind spätestens nach einem Jahr völlig veraltet. Sicherheitsupdates gibt es dann in aller Regel  nicht mehr, weil die Kamera- Hersteller weltweit 3-4x jährlich einen Modellwechsel machen. Die Technik entwickelt sich immer schneller weiter und die Videosysteme werden immer intelligenter. Somit muss die Datenübertragung immer wieder aufwändig verschlüsselt werden und wenn es keine Updates mehr gibt, dann muss die IP-Kamera nach 2-3 Jahren ausgewechselt werden oder aber die Kameras können gehacked werden, siehe: www.insecam.org 

In Zukunft müssen die  Betreiber von Netzwerk-Videoüberwachung  damit rechnen, dass immense Folgekosten auf sie zukommen. Das ist ähnlich wie jetzt bei Windows 7, für das es ab 2020 keine Sicherheits-Updates mehr gibt und die ganze Welt muss jetzt zwangsläufig auf Windows 10 umsteigen, weil die Gefahr gehacked zu werden immer größer wird.

Siehe auch:
Warum Netzwerk-Kameras bei Videoüberwachung oftmals die falsche Wahl sind

Dienstag, 15. Oktober 2019

WLAN-Kameras unbedingt vermeiden

Einbrecherbanden haben IT-Spezialisten

Bei der steigenden Zahl von Haus und Wohnungseinbrüchen wollen immer mehr Menschen ihr Eigentum mit Kameras schützen. viele Haus- und Wohnungsbesitzer gehen allerdings den ganz falschen Weg. Anstatt zu einem Profi zugehen und nach vernünftiger und vor allem zuverlässiger Kamera-Technik zu schauen, die sich nicht "hacken" lässt und auch nicht wegen Netzwerkausfall abstürzt, denken viele Menschen, sie seien selbst Profi, weil Sie "Google" bedienen können.

Das Internet ist voll mit Bildern über WLAN-Kameras und Billigstprodukten, die im Ernstfall zumeist aber nie richtig funktionieren oder auf denen nur "Ruckelbilder" zu sehen sind, auf denen wiederum nichts zu erkennen ist.

Was der normale Bundesbürger nicht weiß, die Einbrecherbanden haben perfekte IT-Abteilungen, die im Vorfeld ausloten, wer welche Technik im Haus hat.
Alles was über Funk oder WLAN - übertragen wird  ist nach "Außen" sichtbar und für einen Einbruch-IT-Profi geradezu eine Einladung, sich umzuschauen und diese Systeme lahmzulegen. Das gilt natürlich auch für diverse Bluetooth-Steuerungen. Wenn Sie sich eine Verkabelung nicht leisten wollen, dann ist es sie Sache auch nicht wert.

Eine WLAN-Kamera ist kein Schutz, sondern eine Einladung an den Einbrecher.
Die IT-Spezialisten der Einbrecher (oft aus Osteuropa) sind auch exzellente Hacker, die eine WLAN-Verbindung  dazu benutzen, um sich genauestens in der Wohnung umzuschauen, bevor sie einbrechen.
Hast Du WLAN in deinem Keller - geht der Einbruch umso schneller
Jeder Einbrecher hat heutzutage zudem einen sogenannten 'Jammer' dabei, mit dem er dann beim Einbruch WLAN-Kameras und sonstige Funkverbindungen ausschalten oder abfangen kann. (Autoschlüssel)

Deshalb ist die Installation einer WLAN-Kamera so ziemlich das Nutzloseste und Dümmste, was man zum Schutze einer Wohnung, eines Hauses oder eines Ladens installieren kann.  WLAN/IP-Kameras sind bei Amazon und Co. natürlich sehr günstig, um nicht zu sagen billig, locken aber die Einbrecher, wie nun bekannt wurde, geradezu magisch an. ( Funksignal)

Schade um die 50 € -150 €, die Sie für ein WLAN/IP - Kamera ausgeben, dann ist es billiger ein Schild „ Achtung Videoüberwachung“ für 6 EUR aufzuhängen, das im Ernstfall natürlich auch kein Schutz ist.


Aktuelle Nachricht vom 17.10.2017

Kritische Schwachstellen in WLAN-Verschlüsselung – BSI rät zur Vorsicht

Die WPA2-Schwachstellen ermöglichen Angreifern das Mitlesen und Manipulieren von Datenpaketen, die über ein WLAN-Netzwerk gesendet oder empfangen werden. Sie betreffen insbesondere Geräte mit Android und Linux-Betriebssystemen. Windows- und Apple-Betriebssysteme sind eingeschränkt betroffen, hier können die Schwachstellen derzeit nicht in vollem Umfang erfolgreich ausgenutzt werden

Weshalb bei jeder Videoüberwachung ein Datenschutzbeauftragter erforderlich ist.

Bereits bei der 59. Konferenz der Datenschutzbeauftragten der Länder wurde am 14./15. 3. 2000 festgestellt:

Risiken-und-Grenzen-der-VideoüberwachungImmer häufiger werden Videokameras eingesetzt, die für Zwecke der Überwachung genutzt werden können. Ob auf Flughäfen, Bahnhöfen, in Ladenpassagen, Kaufhäusern oder Schalterhallen von Banken oder anderen der Öffentlichkeit zugänglichen Einrichtungen, überall müssen Bürgerinnen und Bürger damit rechnen, dass sie auf Schritt und Tritt offen oder heimlich von einer Videokamera aufgenommen werden. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder sieht darin die Gefahr, dass diese Entwicklung zur einer Überwachungsinfrastruktur führt.
Mit der Videoüberwachung sind besondere Risiken für das Recht auf informationelle Selbstbestimmung verbunden.
Weil eine Videokamera alle Personen erfasst, die in ihren Bereich kommen, werden von der Videoüberwachung unvermeidbar völlig unverdächtige Menschen mit ihren individuellen Verhaltensweisen betroffen. Erfassung, Aufzeichnung und Übertragung von Bildern sind für die Einzelnen in aller Regel nicht durchschaubar. Schon gar nicht können sie die durch die fortschreitende Technik geschaffenen Bearbeitungs- und Verwendungs-möglichkeiten abschätzen und überblicken.
Die daraus resultierende Ungewissheit, ob und von wem sie beobachtet werden und zu welchen Zwecken dies geschieht, erzeugt einen latenten Anpassungsdruck. Dies beeinträchtigt nicht nur die grundrechtlich garantierten individuellen Entfaltungsmöglichkeiten, sondern auch das gesellschaftliche Klima in unserem freiheitlichen und demokratischen Gemeinwesen insgesamt. Alle Menschen haben das Grundrecht, sich in der Öffentlichkeit zu bewegen, ohne dass ihr Verhalten durch Kameras aufgezeichnet wird.
Daher müssen
  • eine strenge Zweckbindung,
  • eine differenzierte Abstufung zwischen Übersichtsaufnahmen, dem gezielten Beobachten einzelner Personen,              dem Aufzeichnen von Bilddaten und dem Zuordnen dieser Daten zu bestimmten Personen,
  • die deutliche Erkennbarkeit der Videoüberwachung für die betroffenen Personen,
  • die Unterrichtung identifizierter Personen über die Verarbeitung ihrer Daten
  • sowie die Löschung der Daten binnen kurzer Fristen
strikt sichergestellt werden.
Jede Einrichtung einer Videoüberwachung sollte der datenschutzrechtlichen Vorabkontrolle unterzogen werden. Das heimliche Beobachten und Aufzeichnen, die gezielte Überwachung bestimmter Personen sowie die Suche nach Personen mit bestimmten Verhaltensmustern müssen grundsätzlich verboten sein. Ausnahmen müssen im Strafprozessrecht und im Polizeirecht präzise geregelt werden. Videoüberwachung darf nicht großflächig oder flächendeckend installiert werden, selbst wenn jeder Einsatz für sich gesehen gerechtfertigt wäre. Auch ein zeitlich unbegrenzter Einsatz ohne regelmäßige Erforderlichkeitsprüfung ist abzulehnen. Der Schutz der Freiheitsrechte erfordert überdies, dass heimliches Aufzeichnen und unbefugte Weitergabe oder Verbreitung von Aufnahmen ebenso strafbewehrt sein müssen wie der Missbrauch video-technisch gewonnener – insbesondere biometrischer – Daten und deren Abgleiche.
Dies bedeutet:
1. Bei einer gesetzlichen Regelung der Videoüberwachung durch öffentliche Stellen dürfen Einschränkungen nur aufgrund einer klaren Rechtsgrundlage erfolgen, die dem Grundsatz der Verhältnismäßigkeit Rechnung trägt.
Die Voraussetzungen einer Videoüberwachung und der mit ihr verfolgte Zweck müssen eindeutig bestimmt werden. (Anmerkung: Die kursiv gedruckte Passage wurde bei Stimmenthaltung der Datenschutzbeauftragten der Länder Brandenburg, Bremen, Mecklenburg-Vorpommern und Nordrhein-Westfalen angenommen) Dafür kommen – soweit nicht überwiegende schutzwürdige Belange von Betroffenen entgegenstehen – unter Anderem in Betracht:
die Beobachtung einzelner öffentlicher Straßen und Plätze oder anderer öffentlich zugänglicher Orte, auf denen wiederholt Straftaten begangen worden sind, solange tatsächliche Anhaltspunkte dafür bestehen, dass dort weitere Straftaten begangen werden (Kriminalitätsschwerpunkte) und mit der Beobachtung neben der Sicherung von Beweisen eine Präventionswirkung erreicht werden kann; der Grundsatz der Verhältnismäßigkeit ist dabei strikt zu beachten. Ungezielte Verlagerungsprozesse sollten vermieden werden.
  • für die Verkehrslenkung nur Übersichtsaufnahmen,
  • der Schutz öffentlicher Einrichtungen im Rahmen der ordnungsbehördlichen Gefahrenabwehr, solange eine besondere Gefahrenlage besteht.
  • Maßnahmen im Rahmen des Hausrechts dürfen den grundsätzlich unbeobachteten Besuch öffentlicher Gebäude nicht unverhältnismäßig einschränken.
  • Die Videoüberwachung ist für die Betroffenen durch entsprechende Hinweise erkennbar zu machen.
  • Bildaufzeichnungen sind nur zulässig, wenn und solange sie zum Erreichen des verfolgten Zweckes unverzichtbar sind. Die Anlässe, aus denen eine Bildaufzeichnung ausnahmsweise zulässig sein soll, sind im Einzelnen zu bezeichnen. Die Aufzeichnungen sind unverzüglich zu löschen, wenn sie hierzu nicht mehr erforderlich sind oder überwiegende schutzwürdige Belange von Betroffenen entgegenstehen.
Werden die Aufnahmen einer bestimmten Person zugeordnet, ist diese zu benachrichtigen, sobald der Zweck der Speicherung dadurch nicht gefährdet wird.
Zur Prüfung der Normeffizienz ist festzulegen, dass das jeweils zuständige Parlament jährlich über die angeordneten Maßnahmen, soweit sie mit einer Speicherung der erhobenen Daten verbunden sind, und die mit ihnen erreichten Ergebnisse unterrichtet wird.
Bei der Videoüberwachung muss in besonderer Weise den Grundsätzen der Datensparsamkeit und Datenvermeidung Rechnung getragen werden. Die Chancen, die die modernen Technologien für die Umsetzung dieser Grundsätze, insbesondere für die Reduzierung auf tatsächlich erforderliche Daten bieten, sind zu nutzen.
2. Der Gesetzgeber ist auch aufgefordert, für die Videoüberwachung durch  Private Regelungen zu schaffen, die den für die optisch-elektronische Beobachtung durch öffentliche Stellen geltenden Grundsätzen entsprechen. Dabei muss sichergestellt werden, dass optisch-elektronische Systeme, die die Identifizierung einzelner Personen ermöglichen, nur zur Abwehr von Gefahren für Personen und zum Schutz gewichtiger privater Rechte eingesetzt werden dürfen. Die privatrechtlichen Regelungen zum Schutz des eigenen Bildes durch das Vertragsrecht, das Deliktsrecht, das Besitz- und Eigentumsrecht, das Kunsturheberrecht und die dazu ergangene Rechtsprechung reichen nicht aus.
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder erwartet, dass die Gesetzgeber bei der Novellierung der Datenschutzgesetze und anderer Gesetze diese Grundsätze berücksichtigen.
( Das war der Stand im Jahre 2000)

Das dies so richtig ist, hat der damalige stellvertretende Leiter der Datenschutzbehörde Schleswig-Holstein auch in einem Artikel im Jahre 2001 veröffentlicht
Private Videoüberwachung und Datenschutzrecht Dr. Thilo Weichert 
DetektivKurier-2001-04-Weichert-VideoDatenschutz
In Art. 20 EU-DSRL (Anmerkung: Vorläufer der DSGVO) wird gefordert, dass bei Systemen, von denen spezifische Risiken für die Rechte und Freiheiten der Personen ausgehen, eine Vorabkontrolle durchgeführt werden muss. Es spricht vieles dafür, dass diese Voraussetzungen bei Videoüberwachungsmaßnahmen vorliegen. Nach Art. 21 EU-DSRL muss die verantwortliche Stelle (auf Anfrage) gegenüber jeder und jedem folgende Informationen zur Verfügung stellen:
  • der für die Verarbeitung Verantwortliche
  • der Zweck
  • eine Beschreibung der Kategorien der betroffenen Personen
  • die Datenempfänger und
  • eine allgemeine Beschreibung der zum Zweck der Datensicherheit ergriffenen Maßnahmen.
Dies erfolgt i. d. R. dadurch, dass ein betrieblicher Datenschutzbeauftragter (§§ 4f f. BDSG) ein Verzeichnis bereithält, in das Interessierte nach § 4g Abs. 2 Satz 2 BDSG Einsicht nehmen können.
Notwendigkeit einer Vorabkontrolle nach altem BDSG
Zur Zeit unterliegt eine automatisierte Verarbeitung personenbezogener Daten gemäß § 4d Abs. 5 BDSG vor Beginn der Verarbeitung einer Prüfungspflicht (Vorabkontrolle), soweit diese besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist. Eine Vorabkontrolle ist insbesondere durchzuführen, wenn besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG), zu denen auch Angaben über die Gesundheit gehören, verarbeitet werden (§ 4d Abs. 5 Satz 2 Nr. 1 BDSG). Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz (§ 4d Abs. 6 Satz 1 BDSG).

Stand heute 2019

https://www.datenschutz.bremen.de/datenschutztipps/beruf_und_alltag/ueberwachung_mit_videokameras-3744
Die Landesdatenschutzbehörde in  Bremen hält sich an die seit dem Jahr 2000 vom DSK gefassten Beschlüsse und schreibt folgendes:
Bestellung einer oder eines betrieblichen Datenschutzbeauftragten
Weil die Videoüberwachung regelmäßig besondere Risiken für die Rechte und Freiheiten der überwachten Personen aufweist, muss die verantwortliche Stelle vor dem geplanten Einsatz regelmäßig eine betriebliche Datenschutzbeauftragte oder einen betrieblichen Datenschutzbeauftragten bestellen. Diesen ist die für die Videoüberwachung erstellte Verfahrensbeschreibung nach § 4 e BDSG einschließlich der geplanten technischen und organisatorischen Maßnahmen nach § 9 BDSG zuzuleiten, damit diese im Rahmen einer Vorabkontrolle prüfen können, ob die erfolgte Rechtsgüterabwägung im Rahmen der vorgenannten materiellrechtlichen Voraussetzungen sowie die technischen und organisatorischen Maßnahmen angemessen sind.
Welche Maßnahmen sind vor der Videoüberwachung zu treffen?
Die zu treffenden Maßnahmen hängen auch vom Ergebnis der Vorabkontrolle durch die betrieblichen Datenschutzbeauftragten ab und sind im Einzelnen festzulegen.

Welche besonderen Maßnahmen sind bei Videoaufzeichnungen zu beachten?
Die Videoaufzeichnung ist gegenüber der bloßen Beobachtung ein schwerwiegenderer Eingriff. Daher muss vorab geprüft werden, ob eine Aufzeichnung für die festgelegten Zwecke tatsächlich erforderlich ist.

Siehe auch:

91. Erwägungsgrund (Erforderlichkeit einer Datenschutz-Folgenabschätzung)

Dies sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und – beispielsweise aufgrund ihrer Sensibilität – wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend dem jeweils aktuellen Stand der Technik in großem Umfang eine neue Technologie eingesetzt wird, sowie für andere Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere dann, wenn diese Verarbeitungsvorgänge den betroffenen Personen die Ausübung ihrer Rechte erschweren.
Eine Datenschutz-Folgenabschätzung sollte auch durchgeführt werden, wenn die personenbezogenen Daten für das Treffen von Entscheidungen in Bezug auf bestimmte natürliche Personen im Anschluss an eine systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlage eines Profilings dieser Daten oder im Anschluss an die Verarbeitung besonderer Kategorien von personenbezogenen Daten, biometrischen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten sowie damit zusammenhängende Sicherungsmaßregeln verarbeitet werden.
3. Gleichermaßen erforderlich ist eine Datenschutz-Folgenabschätzung für die weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen, oder für alle anderen Vorgänge, bei denen nach Auffassung der zuständigen Aufsichtsbehörde die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, insbesondere weil sie die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindern oder weil sie systematisch in großem Umfang erfolgen.

Siehe auch:
Artikel 37 DSGVO – Benennung eines Datenschutzbeauftragten
(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen
Datenschutzbeauftragten, wenn […]
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. […]

In der nachstehenden Veröffentlichung:
Benennungspflicht eines Datenschutzbeauftragten bei Kleinstbetrieben mit sensitiver Datenverarbeitung. schreibt  Thilo Weichert vom Netzwerk-Datenschutzexpertise am 6.7.2018 unter anderem: 
Auftragsverarbeitung wird beispielsweise angenommen bei klassischem IT-Outsourcing, der Auslagerung der Videoüberwachung * oder der unselbständigen Durchführung von Marketing-Maßnahmen. Auch die Wartung von IT, die Reparatur und die unterstützende Beratung fallen nach richtigem Verständnis unter den Begriff der Auftragsverarbeitung.
Die DSGVO und das BDSG benennen einige spezifische Risiken, welche die Notwendigkeit eines Datenschutzbeauftragten begründen: Systematische und regelmäßige Überwachung erfolgt schon bei einer Dauerüberwachung im öffentlichen Raum.
* (eine klassische aber für Videodaten gefährliche Auslagerung ist die Cloud) 
Siehe: https://www.netzwerk-datenschutzexpertise.de/sites/default/files/gut_2018_bdsbkleinunternehmen_final.pdf

***Achtung Hinweis

Die Datenschutzbehörden streiten sich offensichtlich laut einem Bericht der DAZ Deutsche Apothekerzeitung noch darüber, ab wann eine Videoüberwachung als "systematisch" und ab wann sie als "umfangreich"  . Davon ist die Frage abhängig ob dann eine Datenschutz-Folgenabschätzung gemacht werden muss oder nicht. Davon wiederum ist abhängig ob ein Datenschutzbeauftragter bestellt werden muss oder nicht.
Es gibt mittlerweile Landesddatenschutzbehörden, die schreiben, dann, wenn die Videoüberwachung nicht weiträumig wäre, dann wäre kein Datenschutzbeauftragter erforderlich. Dieses Thema klärt die Deutsche Datenschutzhilfe e.V. mit den Behörden. (Stand Febr. 2019)

Dienstag, 2. Juli 2019

Der Datenschutz-Irrweg der Groko


Der Datenschutz-Irrweg der Groko
Die Änderung des BDSG am 27. 6. zu nächtlicher Stunde.

Nun wissen wir, was zu nächtlicher Stunde im Bundestag beschlossen wurde – unter anderem wurde der Datenschutz mal wieder verschlechtert.
Bereits seit 2006 , lange vor Erscheinen der DSGVO war im  BDSG festgeschrieben, dass ab 10 Mitarbeitern, die ständig mit personenbezogenen Daten in Betrieben zu tun haben, ein Datenschutzbeauftragter zu benennen ist.
Alle Gewerbetreibenden die es betrifft, hätten demnach schon 13 Jahre lang Zeit gehabt einen Datenschutzbeauftragten zu benennen.
Unter dem Vorwand, die DSGVO zu entschärfen betreibt die Bundesregierung nun eine Besänftigungsmaßnahme für die Unternehmer, die sich nicht um den Datenschutz kümmern wollen.
Damit soll vermutlich verhindert werden, dass die derzeitigen  Umfrageergebnisse der GroKo noch schlechter werden.

Das Problem für den Einzelhändler, der eine EC-Zahlung  an den Kassen ermöglicht und 15 Kassiererinnen hat,  wird dadurch nicht weniger, sondern vermutlich noch größer.
Nun braucht er zwar keinen Datenschutzbeauftragten mehr, muss aber dennoch datenschutzkonform arbeiten. Wie soll das funktionieren?
Das Ergebnis, dieser Gesetzesänderung wird sein, Sie ahnen es bereits, die Einzelhändler bestellen keinen Datenschutzbeauftragten, arbeiten nicht datenschutzkonform und bezahlen am Ende
riesengroße Bußgelder, sobald sich ein Kunde bei einer Datenschutzbehörde beschwert.

Nicht nur der Bundesbeauftragte für den Datenschutz Ulrich Kelber hat vor einer Aufweichung
der Vorschriften in kleinen und mittleren Unternehmen gewarnt.

Auch Dr. Brink aus Stuttgart twittert:
Die Koalition kann den #Datenschutz nicht entschärfen – denn das europäische Recht setzt sich durch.
Sie kann die nationalen Regeln zur Bestellung von #Datenschutzbeauftragten entschärfen – genau deren Sachverstand ist wichtiger denn je.

Die Vorgehensweise dieser nächtlichen Gesetzesänderung mit gerade mal 100 Bundestagsabgeordneten erinnert etwas an das jahrelang versprochene Arbeitnehmerdatenschutzgesetz, das im Jahr 2010 groß von der CDU angekündigt wurde
und dann im Jahre 2013 klammheimlich eingestampft wurde: https://video-systeme.blogspot.com/p/der-seit-2010-geplante-neue-entwurf-zum.html

Eine Koalition, die den  Datenschutz dermaßen verschlechtert,  hat offensichtlich die Digitalisierung und die Möglichkeiten der IT-Technik verschlafen und ist völlig ahnungslos,
was auf die Verbraucher zukommt.

Video –Jetzt schärfer! Europäische Leitlinie zur Videoüberwachung

Vi d eo –  J e tzt sch ä rfe r ! Pr e s semittei l u n g TLfDI   E r f u r t , 3 0. 0 1 . 2 0 20 Europäische Leitlinie zur Video...

Beliebte Posts