Der Schutz personenbezogener Daten beim Betrieb von Videoüberwachung im Einklang mit der DSGVO muss verpflichtend nachgewiesen werden (Rechenschaftspflicht)
Was ist eine Datenschutz-Folgenabschätzung?
Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) sind umfangreiche Vorgaben für den Umgang mit personenbezogenen Daten und zu deren Schutz gemacht worden. Ein Instrument hierzu ist die Datenschutz-Folgenabschätzung (DSFA), die das Ziel verfolgt, wesentliche Risiken für die Rechte und Freiheiten einer natürlichen Person, die aus einem Datenverarbeitungsvorgang hervorgehen können, zu identifizieren, zu bewerten und einzudämmen.
Der Art. 35 DSGVO legt fest, unter welchen Voraussetzungen eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden muss. BetreiberInnen von Videoüberwachungsanlagen ist oft nicht bewusst, dass sie verpflichtet sind, eine DSFA durchzuführen. Selbst wenn dieses Bewusstsein vorhanden ist, besteht meist Unklarheit darüber, wie die DSFA aufzubauen und mit Leben zu füllen ist.
Brauche ich für meine Videoanlage eine Datenschutz-Folgenabschätzung?
Vor der Erstellung einer DSFA steht zunächst die Frage, ob diese tatsächlich erforderlich ist. Meist wird irrtümlich davon ausgegangen, dass die DSFA nur benötigt wird, wenn die Videoanlage öffentlich zugängliche Bereiche erfasst. Das ist allerdings nur die berühmte „halbe Wahrheit“.
Eine DSFA für Videoanlagen ist vielmehr zu erstellen, wenn:
- die Form der Verarbeitung aufgrund der Art und des Umfangs voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat oder
- öffentlich zugängliche Bereiche systematisch umfangreich überwacht werden.
Ob öffentlich zugängliche Bereiche betroffen sind, ist i.d.R. leicht zu beantworten und von einer systematischen Überwachung ist bei Videoanlagen grundsätzlich auszugehen. Ab welcher Größenordnung die Überwachung „umfangreich“ ist, wird schon schwieriger zu beantworten.
Spätestens die Frage, ob von der Videoüberwachung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, kann von Laien meist nicht mehr beantwortet werden.
Wie ist eine Datenschutz-Folgenabschätzung aufzubauen und mit Leben zu füllen?
Der Art. 35 Abs. 7 DSGVO legt fest, dass die DSFA mindestens umfassen muss. Die vier Mindestanforderungen sind:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich der vom Verantwortlichen verfolgten berechtigten Interessen;
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen […];
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass [die DSGVO] eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird“.
Eine verbindliche Vorgabe für den strukturellen oder formalen Aufbau der DSFA macht die DSGVO jedoch nicht. Die mögliche inhaltliche Komplexität der DSFA ist nachfolgend, ohne Anspruch auf Vollständigkeit, schematisch dargestellt.
Eine Datenschutz-Folgenabschätzung ist komplex und berücksichtigt viele Faktoren
Die Erstellung einer validen DSFA ist folglich auch mit der Unterstützung und Zuarbeit des/der Datenschutzbeauftragten eine umfassende, zeit- und aufwandsintensive Aufgabe, die darüber hinaus ein Verständnis für die rechtlichen Hintergründe verlangt.
Wollen Sie wissen, ob Sie eine DSFA benötigen?
Fordern Sie den kostenlosen Fragebogen zu Ihrer Videoüberwachungsanlage an und senden ihn an kontakt@kraiss-consult.de
Das Ergebnis der Erforderlichkeitsprüfung erhalten Sie innerhalb von 5 Werktagen.