Videoüberwachung unter Geltung der Datenschutz-Grundverordnung

05 August, 2020

Von Dr. Jan-Peter Ohrtmann und Dr. Alexander Golland. Durch Smartphones, Dashcams oder Videoüberwachung zur Zutrittskontrolle finden Kameras zunehmend in unserem Alltag Verwendung. Vor allem die Videoüberwachung durch private Unternehmen – zum Beispiel zur Verhinderung und Aufklärung von Straftaten – ist ein viel diskutiertes Thema im Datenschutzrecht. Am 29. Januar 2020 hat das European Data Protection Board (EDPB),

das Abstimmungsgremium der europäischen Datenschutzaufsichtsbehörden, eine überarbeitete Version ihrer Guidelines zur Datenverarbeitung über Videogeräte unter Geltung der Datenschutz-Grundverordnung (DSGVO) veröffentlicht. Wenige Wochen zuvor hatte noch der Europäische Gerichtshof (EuGH) zu einem Fall der Überwachung öffentlicher Räume geurteilt. Wir erklären Ihnen, was Sie jetzt zum Thema Videoüberwachung wissen müssen.

Aufsichtsbehörden zur Zulässigkeit der Videoüberwachung

In ihren Guidelines 3/2019 on processing of personal data through video devices führen die europäischen Aufsichtsbehörden aus, dass nicht alle Arten von Videoaufzeichnungen auch eine Verarbeitung personenbezogener Daten beinhalteten. Demnach ist die DSGVO beispielsweise nicht auf Parkassistenzkameras in Pkws anzuwenden, wenn diese so konstruiert oder angepasst sind, dass keine Informationen über natürliche Personen gesammelt werden.

Sofern personenbezogene Daten verarbeitet werden, sind laut den Guidelines in der Praxis am ehesten die berechtigten Interessen des Verantwortlichen (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) und die – vor allem für Behörden relevante – Wahrnehmung von Aufgaben im öffentlichen Interesse (Artikel 6 Abs. 1 Satz 1 lit. e DSGVO) als Rechtsgrundlagen denkbar. Ein berechtigtes Interesse zur Nutzung einer Videoüberwachung könne insbesondere vorliegen, wenn mit der Nutzung bezweckt wird, Eigentum vor Einbruch, Diebstahl oder Vandalismus zu schützen. Das EDPB führt aus, dass diese Gefahren tatsächlich existieren und gegenwärtig sein müssten. Zudem sei die Videoüberwachung räumlich und zeitlich auf das Erforderliche zu beschränken.

EuGH mit Urteil zur privaten Videoüberwachung

Die Ansichten des EDPB decken sich mit der Rechtsprechung des Europäischen Gerichtshofs (EuGH): So hatte sich das Gericht kürzlich in einem Vorabentscheidungsverfahren mit den datenschutzrechtlichen Anforderungen der privaten Videoüberwachung beschäftigt (Urteil vom 11. Dezember 2019 – Rs. C-708/18). In dem Urteil präzisierte der EuGH die Rechtfertigung der Verarbeitung personenbezogener Daten mittels eines Videoüberwachungssystems auf Grundlage der berechtigten Interessen des Verantwortlichen. Gegenstand des konkreten Verfahrens war die Überwachung privater Räume (Aufzug und Foyer) sowie der Außenfassade eines Wohngebäudes durch einen Mann, dessen Familie wiederholt von Unbekannten angegriffen worden war.

Der EuGH entschied, dass die Datenverarbeitung durch die Wahrnehmung berechtigter Interessen des Verantwortlichen gerechtfertigt werden könne, sofern im konkreten Einzelfall ein berechtigtes Interesse an der Videoüberwachung besteht, diese Verarbeitung erforderlich ist und entgegenstehende Interessen der Betroffenen nicht überwiegen.

Videoüberwachung zur Verfolgung und Prävention von Straftaten

Das „berechtigte Interesse“, zum Beispiel am Schutz des Eigentums oder der Gesundheit, muss nach Auffassung des EuGH zum Zeitpunkt der Verarbeitung bereits entstanden und vorhanden sein. Es dürfe nicht nur hypothetisch bestehen. Allerdings sei es keine zwingende Voraussetzung, dass die Sicherheit des Eigentums oder der Person(en) bereits zuvor tatsächlich beeinträchtigt worden sei.

Die Datenverarbeitung muss sich nach Ansicht des Gerichts außerdem auf das „absolut Notwendige“ beschränken. Sofern dem Verantwortlichen anderweitige Maßnahmen zur Verfügung stehen, könne die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen dann als erforderlich angesehen werden, wenn der Verantwortliche ursprünglich anderweitige Maßnahmen ergriffen hatte, diese sich jedoch als unzureichend erwiesen haben. Das Gericht verlangt insbesondere eine Prüfung, ob eine Videoüberwachung nur in der Nacht bzw.  außerhalb der normalen Arbeitszeiten ausreichend ist oder ob Aufnahmen bestimmter Bereiche blockiert oder unscharf gestellt werden müssen. Die räumliche Begrenzung spielt auch für natürliche Personen eine besondere Rolle: Exakt fünf Jahre zuvor entschied der EuGH, dass eine Videoüberwachung durch Privatpersonen ausschließlich auf ihr eigenes Grundstück beschränkt sein müsse. Andernfalls finde das Datenschutzrecht vollumfänglich Anwendung (Urteil vom 11. Dezember 2014 – Rs. C-212/13).

Die berechtigten Interessen des Verantwortlichen müssen im konkreten Einzelfall mit den Interessen und Rechten der betroffenen Personen abgewogen werden. In die Abwägung ist insbesondere einzubeziehen, ob die betreffenden Daten öffentlich zugänglich sind. Zudem müssen die Art der personenbezogenen Daten sowie die berechtigten Erwartungen der betroffenen Personen mit der Bedeutung des berechtigten Interesses des Verantwortlichen abgewogen werden. Aufseiten des Betroffenen sollen dabei insbesondere die Sensibilität der Daten sowie die Zahl der Personen, die Zugang zu den Videodaten erhalten, berücksichtigt werden.

Sensible Daten und Informationspflichten

Eine weitere, in der Rechtsprechung des EuGH bislang nicht thematisierte Herausforderung liegt bei der Verarbeitung besonderer Kategorien von Daten im Sinne des Art. 9 Abs. 1 DSGVO, welche erhöhte Risiken für Betroffene mit sich bringt. So erfüllt eine Videoüberwachung zur Beobachtung eines Kranken im Rahmen einer entsprechenden Einrichtung regelmäßig den Tatbestand der Verarbeitung von Gesundheitsdaten. Gesichtserkennung wird typischerweise als Verarbeitung biometrischer Daten zu qualifizieren sein. Die Verarbeitung solcher Daten ist nur unter den zusätzlichen Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig. Dagegen führt die bloß zufällige Aufnahme eines Brillenträgers oder Rollstuhlfahrers nicht zu der von der DSGVO besonders regulierten Verarbeitung personenbezogener Daten. Nach Ansicht des EDPB sind aber auch „andere sensible Daten“, die nicht unter Art. 9 Abs. 1 DSGVO fallen, besonders zu schützen, weshalb die mit der Videoüberwachung einhergehenden Risiken für die Betroffenen zu minimieren sind.

Eine Thematik, die losgelöst von der Frage der Zulässigkeit in der Praxis ein häufiges Defizit darstellt, betrifft die Erfüllung der Informationspflichten nach Art. 13 DSGVO. Oftmals wird ausschließlich über Piktogramme über die Videoüberwachung informiert. Die weiteren Informationspflichten nach Art. 13 DSGVO – zum Beispiel über Speicherdauer, Rechtsgrundlage und etwaige Empfänger – dürfen aber nicht vernachlässigt werden. Das EDPB schlägt hierfür eine mehrstufige Erfüllung der Informationspflichten (einen sogenannten layered approach) vor: Hier wird zunächst prominent durch ein entsprechendes Symbol auf die Videoüberwachung aufmerksam gemacht und die zentralen Informationen werden dargestellt; alle weiteren gesetzlich erforderlichen Informationen werden auf anderem Wege zur Verfügung gestellt.

Auswirkungen auf die Praxis

Das Urteil des EuGH erging zwar noch zur Datenschutzrichtlinie (RL 95/46/EG), dürfte aber vollständig auf die DSGVO übertragbar sein. Es steht im Übrigen auch im Einklang mit der deutschen Rechtsprechung zum Thema „private Videoüberwachung“: Zuletzt erklärte das Bundesverwaltungsgericht die deutsche Sonderregelung, § 4 des Bundesdatenschutzgesetzes, in Bezug auf nicht-öffentliche Stellen für europarechtswidrig und damit für unanwendbar. Zentraler Maßstab für die Videoüberwachung ist und bleibt daher die Berufung auf berechtigte Interessen im Sinne des Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Unternehmen müssen ihre Interessen an der Videoüberwachung darlegen, die Überwachung räumlich und zeitlich soweit wie möglich begrenzen sowie entgegenstehende Interessen berücksichtigen. Diese Abwägung sollte, nicht zuletzt vor dem Hintergrund einer etwaigen Prüfung durch Datenschutzaufsichtsbehörden, sorgfältig dokumentiert werden.

Auch nach dem Urteil und den EDPB-Leitlinien bleiben jedoch einige Fragen in Bezug auf die Zulässigkeit der Verarbeitung sowie die Information der Betroffenen offen. Insbesondere bei komplexen Anwendungsszenarien wie Connected Car oder Technologien wie Real-time Audience Targeting und Augmented Reality bedarf es einer dezidierten datenschutzrechtlichen Würdigung. Auch die Informationspflichten stellen in diesen Szenarien eine besondere Herausforderung dar: Hier bietet es sich womöglich an, einen layered approach einzuschlagen und die Informationen sukzessive unter Medienbruch zu erfüllen.

IT Security & Data Protection News

Dieser Artikel ist Teil des quartalsweise erscheinenden Newsletters IT Security & Data Protection. Die IT Security & Data Protection News informieren regelmäßig über aktuelle Änderungen und Entwicklungen im Bereich IT-Sicherheit und Datenschutz.

Weitere Inhalte und Artikel

Contact us

Dr. Jan-Peter Ohrtmann

Dr. Jan-Peter Ohrtmann

Partner, PwC Germany

Tel.: +49 211 981-2572

Dr. Alexander Golland

Dr. Alexander Golland

Manager, PwC Germany

Tel.: +49 211 981-2007

Follow us