Weshalb bei jeder Videoüberwachung ein Datenschutzbeauftragter erforderlich ist.


Bereits bei der 59. Konferenz der Datenschutzbeauftragten der Länder wurde am 14./15. 3. 2000 festgestellt:

Risiken-und-Grenzen-der-VideoüberwachungImmer häufiger werden Videokameras eingesetzt, die für Zwecke der Überwachung genutzt werden können. Ob auf Flughäfen, Bahnhöfen, in Ladenpassagen, Kaufhäusern oder Schalterhallen von Banken oder anderen der Öffentlichkeit zugänglichen Einrichtungen, überall müssen Bürgerinnen und Bürger damit rechnen, dass sie auf Schritt und Tritt offen oder heimlich von einer Videokamera aufgenommen werden. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder sieht darin die Gefahr, dass diese Entwicklung zur einer Überwachungsinfrastruktur führt.
Mit der Videoüberwachung sind besondere Risiken für das Recht auf informationelle Selbstbestimmung verbunden.
Weil eine Videokamera alle Personen erfasst, die in ihren Bereich kommen, werden von der Videoüberwachung unvermeidbar völlig unverdächtige Menschen mit ihren individuellen Verhaltensweisen betroffen. Erfassung, Aufzeichnung und Übertragung von Bildern sind für die Einzelnen in aller Regel nicht durchschaubar. Schon gar nicht können sie die durch die fortschreitende Technik geschaffenen Bearbeitungs- und Verwendungs-möglichkeiten abschätzen und überblicken.
Die daraus resultierende Ungewissheit, ob und von wem sie beobachtet werden und zu welchen Zwecken dies geschieht, erzeugt einen latenten Anpassungsdruck. Dies beeinträchtigt nicht nur die grundrechtlich garantierten individuellen Entfaltungsmöglichkeiten, sondern auch das gesellschaftliche Klima in unserem freiheitlichen und demokratischen Gemeinwesen insgesamt. Alle Menschen haben das Grundrecht, sich in der Öffentlichkeit zu bewegen, ohne dass ihr Verhalten durch Kameras aufgezeichnet wird.
Daher müssen

  • eine strenge Zweckbindung,
  • eine differenzierte Abstufung zwischen Übersichtsaufnahmen, dem gezielten Beobachten einzelner Personen, dem Aufzeichnen von Bilddaten und dem Zuordnen dieser Daten zu bestimmten Personen,
  • die deutliche Erkennbarkeit der Videoüberwachung für die betroffenen Personen,
  • die Unterrichtung identifizierter Personen über die Verarbeitung ihrer Daten
  • sowie die Löschung der Daten binnen kurzer Fristen
strikt sichergestellt werden.
Jede Einrichtung einer Videoüberwachung sollte der datenschutzrechtlichen Vorabkontrolle unterzogen werden. Das heimliche Beobachten und Aufzeichnen, die gezielte Überwachung bestimmter Personen sowie die Suche nach Personen mit bestimmten Verhaltensmustern müssen grundsätzlich verboten sein. Ausnahmen müssen im Strafprozessrecht und im Polizeirecht präzise geregelt werden. Videoüberwachung darf nicht großflächig oder flächendeckend installiert werden, selbst wenn jeder Einsatz für sich gesehen gerechtfertigt wäre. Auch ein zeitlich unbegrenzter Einsatz ohne regelmäßige Erforderlichkeitsprüfung ist abzulehnen. Der Schutz der Freiheitsrechte erfordert überdies, dass heimliches Aufzeichnen und unbefugte Weitergabe oder Verbreitung von Aufnahmen ebenso strafbewehrt sein müssen wie der Missbrauch video-technisch gewonnener – insbesondere biometrischer – Daten und deren Abgleiche.
Dies bedeutet:
1. Bei einer gesetzlichen Regelung der Videoüberwachung durch öffentliche Stellen dürfen Einschränkungen nur aufgrund einer klaren Rechtsgrundlage erfolgen, die dem Grundsatz der Verhältnismäßigkeit Rechnung trägt.

Die Voraussetzungen einer Videoüberwachung und der mit ihr verfolgte Zweck müssen eindeutig bestimmt werden. (Anmerkung: Die kursiv gedruckte Passage wurde bei Stimmenthaltung der Datenschutzbeauftragten der Länder Brandenburg, Bremen, Mecklenburg-Vorpommern und Nordrhein-Westfalen angenommen) Dafür kommen – soweit nicht überwiegende schutzwürdige Belange von Betroffenen entgegenstehen – unter Anderem in Betracht:
die Beobachtung einzelner öffentlicher Straßen und Plätze oder anderer öffentlich zugänglicher Orte, auf denen wiederholt Straftaten begangen worden sind, solange tatsächliche Anhaltspunkte dafür bestehen, dass dort weitere Straftaten begangen werden (Kriminalitätsschwerpunkte) und mit der Beobachtung neben der Sicherung von Beweisen eine Präventionswirkung erreicht werden kann; der Grundsatz der Verhältnismäßigkeit ist dabei strikt zu beachten. Ungezielte Verlagerungsprozesse sollten vermieden werden.
  • für die Verkehrslenkung nur Übersichtsaufnahmen,
  • der Schutz öffentlicher Einrichtungen im Rahmen der ordnungsbehördlichen Gefahrenabwehr, solange eine besondere Gefahrenlage besteht.
  • Maßnahmen im Rahmen des Hausrechts dürfen den grundsätzlich unbeobachteten Besuch öffentlicher Gebäude nicht unverhältnismäßig einschränken.
  • Die Videoüberwachung ist für die Betroffenen durch entsprechende Hinweise erkennbar zu machen.
  • Bildaufzeichnungen sind nur zulässig, wenn und solange sie zum Erreichen des verfolgten Zweckes unverzichtbar sind. Die Anlässe, aus denen eine Bildaufzeichnung ausnahmsweise zulässig sein soll, sind im Einzelnen zu bezeichnen. Die Aufzeichnungen sind unverzüglich zu löschen, wenn sie hierzu nicht mehr erforderlich sind oder überwiegende schutzwürdige Belange von Betroffenen entgegenstehen.
Werden die Aufnahmen einer bestimmten Person zugeordnet, ist diese zu benachrichtigen, sobald der Zweck der Speicherung dadurch nicht gefährdet wird.
Zur Prüfung der Normeffizienz ist festzulegen, dass das jeweils zuständige Parlament jährlich über die angeordneten Maßnahmen, soweit sie mit einer Speicherung der erhobenen Daten verbunden sind, und die mit ihnen erreichten Ergebnisse unterrichtet wird.

Bei der Videoüberwachung muss in besonderer Weise den Grundsätzen der Datensparsamkeit und Datenvermeidung Rechnung getragen werden. Die Chancen, die die modernen Technologien für die Umsetzung dieser Grundsätze, insbesondere für die Reduzierung auf tatsächlich erforderliche Daten bieten, sind zu nutzen.

2. Der Gesetzgeber ist auch aufgefordert, für die Videoüberwachung durch Private Regelungen zu schaffen, die den für die optisch-elektronische Beobachtung durch öffentliche Stellen geltenden Grundsätzen entsprechen. Dabei muss sichergestellt werden, dass optisch-elektronische Systeme, die die Identifizierung einzelner Personen ermöglichen, nur zur Abwehr von Gefahren für Personen und zum Schutz gewichtiger privater Rechte eingesetzt werden dürfen. Die privatrechtlichen Regelungen zum Schutz des eigenen Bildes durch das Vertragsrecht, das Deliktsrecht, das Besitz- und Eigentumsrecht, das Kunst-urheberrecht und die dazu ergangene Rechtsprechung reichen nicht aus.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder erwartet, dass die Gesetzgeber bei der Novellierung der Datenschutzgesetze und anderer Gesetze diese Grundsätze berücksichtigen.( Das war der Stand im Jahre 2000)

Das dies so richtig ist, hat der damalige stellvertretende Leiter der Datenschutzbehörde Schleswig-Holstein auch in einem Artikel im Jahre 2001 veröffentlicht
Private Videoüberwachung und Datenschutzrecht Dr. Thilo Weichert 
DetektivKurier-2001-04-Weichert-VideoDatenschutz
In Art. 20 EU-DSRL (Anmerkung: Vorläufer der DSGVO) wird gefordert, dass bei Systemen, von denen spezifische Risiken für die Rechte und Freiheiten der Personen ausgehen, eine Vorabkontrolle durchgeführt werden muss. Es spricht vieles dafür, dass diese Voraussetzungen bei Videoüberwachungsmaßnahmen vorliegen. Nach Art. 21 EU-DSRL muss die verantwortliche Stelle (auf Anfrage) gegenüber jeder und jedem folgende Informationen zur Verfügung stellen:
  • der für die Verarbeitung Verantwortliche
  • der Zweck
  • eine Beschreibung der Kategorien der betroffenen Personen
  • die Datenempfänger und
  • eine allgemeine Beschreibung der zum Zweck der Datensicherheit ergriffenen Maßnahmen.
Dies erfolgt i. d. R. dadurch, dass ein betrieblicher Datenschutzbeauftragter (§§ 4f f. BDSG) ein Verzeichnis bereithält, in das Interessierte nach § 4g Abs. 2 Satz 2 BDSG Einsicht nehmen können.

Notwendigkeit einer Vorabkontrolle nach altem BDSG
Zur Zeit unterliegt eine automatisierte Verarbeitung personenbezogener Daten gemäß § 4d Abs. 5 BDSG vor Beginn der Verarbeitung einer Prüfungspflicht (Vorabkontrolle), soweit diese besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist. Eine Vorabkontrolle ist insbesondere durchzuführen, wenn besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG), zu denen auch Angaben über die Gesundheit gehören, verarbeitet werden (§ 4d Abs. 5 Satz 2 Nr. 1 BDSG). Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz (§ 4d Abs. 6 Satz 1 BDSG).

Stand heute 2019

https://www.datenschutz.bremen.de/datenschutztipps/beruf_und_alltag/ueberwachung_mit_videokameras-3744
Die Landesdatenschutzbehörde in  Bremen hält sich an die seit dem Jahr 2000 vom DSK gefassten Beschlüsse und schreibt folgendes:
Bestellung einer oder eines betrieblichen Datenschutzbeauftragten
Weil die Videoüberwachung regelmäßig besondere Risiken für die Rechte und Freiheiten der überwachten Personen aufweist, muss die verantwortliche Stelle vor dem geplanten Einsatz regelmäßig eine betriebliche Datenschutzbeauftragte oder einen betrieblichen Datenschutzbeauftragten bestellen. Diesen ist die für die Videoüberwachung erstellte Verfahrensbeschreibung nach § 4 e BDSG einschließlich der geplanten technischen und organisatorischen Maßnahmen nach § 9 BDSG zuzuleiten, damit diese im Rahmen einer Vorabkontrolle prüfen können, ob die erfolgte Rechtsgüterabwägung im Rahmen der vorgenannten materiellrechtlichen Voraussetzungen sowie die technischen und organisatorischen Maßnahmen angemessen sind.

Welche Maßnahmen sind vor der Videoüberwachung zu treffen?
Die zu treffenden Maßnahmen hängen auch vom Ergebnis der Vorabkontrolle durch die betrieblichen Datenschutzbeauftragten ab und sind im Einzelnen festzulegen.

Welche besonderen Maßnahmen sind bei Videoaufzeichnungen zu beachten?
Die Videoaufzeichnung ist gegenüber der bloßen Beobachtung ein schwerwiegenderer Eingriff. Daher muss vorab geprüft werden, ob eine Aufzeichnung für die festgelegten Zwecke tatsächlich erforderlich ist.

Siehe auch:

91. Erwägungsgrund (Erforderlichkeit einer Datenschutz-Folgenabschätzung)

Dies sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und – beispielsweise aufgrund ihrer Sensibilität – wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend dem jeweils aktuellen Stand der Technik in großem Umfang eine neue Technologie eingesetzt wird, sowie für andere Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere dann, wenn diese Verarbeitungsvorgänge den betroffenen Personen die Ausübung ihrer Rechte erschweren.
Eine Datenschutz-Folgenabschätzung sollte auch durchgeführt werden, wenn die personenbezogenen Daten für das Treffen von Entscheidungen in Bezug auf bestimmte natürliche Personen im Anschluss an eine systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlage eines Profilings dieser Daten oder im Anschluss an die Verarbeitung besonderer Kategorien von personenbezogenen Daten, biometrischen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten sowie damit zusammenhängende Sicherungsmaßregeln verarbeitet werden.
3. Gleichermaßen erforderlich ist eine Datenschutz-Folgenabschätzung für die weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen, oder für alle anderen Vorgänge, bei denen nach Auffassung der zuständigen Aufsichtsbehörde die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, insbesondere weil sie die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindern oder weil sie systematisch in großem Umfang erfolgen.

Siehe auch:
Artikel 37 DSGVO – Benennung eines Datenschutzbeauftragten
(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen
Datenschutzbeauftragten, wenn […]
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. […]

In der nachstehenden Veröffentlichung:
Benennungspflicht eines Datenschutzbeauftragten bei Kleinstbetrieben mit sensitiver Datenverarbeitung. schreibt  Thilo Weichert vom Netzwerk-Datenschutzexpertise am 6.7.2018 unter anderem: 
Auftragsverarbeitung wird beispielsweise angenommen bei klassischem IT-Outsourcing, der Auslagerung der Videoüberwachung * oder der unselbständigen Durchführung von Marketing-Maßnahmen. Auch die Wartung von IT, die Reparatur und die unterstützende Beratung fallen nach richtigem Verständnis unter den Begriff der Auftragsverarbeitung.
Die DSGVO und das BDSG benennen einige spezifische Risiken, welche die Notwendigkeit eines Datenschutzbeauftragten begründen: Systematische und regelmäßige Überwachung erfolgt schon bei einer Dauerüberwachung im öffentlichen Raum.
* (eine klassische aber für Videodaten gefährliche Auslagerung ist die Cloud) 
Siehe: https://www.netzwerk-datenschutzexpertise.de/sites/default/files/gut_2018_bdsbkleinunternehmen_final.pdf

***Achtung Hinweis

Die Datenschutzbehörden streiten sich offensichtlich laut einem Bericht der DAZ Deutsche Apothekerzeitung noch darüber, ab wann eine Videoüberwachung als "systematisch" und ab wann sie als "umfangreich"  . Davon ist die Frage abhängig ob dann eine Datenschutz-Folgenabschätzung gemacht werden muss oder nicht. Davon wiederum ist abhängig ob ein Datenschutzbeauftragter bestellt werden muss oder nicht.
Es gibt mittlerweile Landesddatenschutzbehörden, die schreiben, dann, wenn die Videoüberwachung nicht weiträumig wäre, dann wäre kein Datenschutzbeauftragter erforderlich. Dieses Thema klärt die Deutsche Datenschutzhilfe e.V. mit den Behörden. (Stand Febr. 2019)


Was sind personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar.

Personenbezogene Daten, die anonymisiert, verschlüsselt oder pseudonymisiert wurden, aber zur erneuten Identifizierung einer Person genutzt werden können, bleiben personenbezogene Daten und fallen in den Anwendungsbereich der Datenschutz-Grundverordnung.

Personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann, gelten nicht mehr als personenbezogene Daten. Damit die Daten wirklich anonymisiert sind, muss die Anonymisierung unumkehrbar sein.

Die Datenschutz-Grundverordnung schützt personenbezogene Daten unabhängig von der zur Datenverarbeitung verwendeten Technik – sie ist technologieneutral und gilt für die automatisierte wie die manuelle Verarbeitung, sofern die Daten nach vorherbestimmten Kriterien (z. B. alphabetische Reihenfolge) geordnet sind. Es ist ebenfalls nicht entscheidend, wie die Daten gespeichert werden – in einem IT-System, mittels Videoüberwachung oder auf Papier. In all diesen Fällen fallen die personenbezogenen Daten unter die in der Datenschutz-Grundverordnung dargelegten Datenschutzklauseln.

Beispiele für personenbezogene Daten:

  • Name und Vorname;
  • eine Privatanschrift;
  • eine E-Mail-Adresse wie vorname.nachname@unternehmen.com;
  • eine Ausweisnummer;
  • Standortdaten (z. B. die Standortfunktion bei Mobiltelefonen)*;
  • eine IP-Adresse;
  • eine Cookie-Kennung*;
  • die Werbekennung Ihres Telefons;
  • Daten, die in einem Krankenhaus oder bei einem Arzt vorliegen, die zur eindeutigen Identifizierung einer natürlichen Person führen könnten.

*Beachten Sie, dass in einigen Fällen eine besondere sektorale Rechtsvorschrift z. B. die Nutzung von Standortdaten oder die Verwendung von Cookies regelt – die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 (ABl. L 201 vom 31.7.2002, S. 37) und die Verordnung (EG) Nr. 2006/2004 des Europäischen Parlaments und des Rates vom 27. Oktober 2004 (ABl. L 364 vom 9.12.2004, S. 1).

Beispiele für nicht personenbezogene Daten:


Referenzen