vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbot

Die Vorabkontrolle bei der Videoüberwachnung unter dem BDSG

/von

Bestimmte Verarbeitungen unterliegen gemäß dem Bundesdatenschutzgesetz (BDSG) der sogenannten Vorabkontrolle. Geregelt ist dies in § 4d Abs. 5. Demnach ist eine Vorabkontrolle immer dann durchzuführen, „soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen“. Ob eine Videoüberwachung zu diesen Verarbeitungen gehört, wird im Gesetzestext nicht ausgeführt. Allerdings haben sich die Aufsichtsbehörden hierzu klar positioniert und sehen die Pflicht zur Vorabkontrolle bei einer Videoüberwachung zumindest dann als erforderlich an, sofern die „Überwachungskameras nicht punktuell, sondern durch die verantwortliche Stelle in größerer Zahl und zentral kontrolliert eingesetzt werden“.

Wer ist zuständig für die Vorabkontrolle?

In § 4d Abs. 6 ist festgelegt, dass der Datenschutzbeauftragte der verantwortlichen Stelle die Vorabkontrolle durchzuführen hat. Hieraus ergibt sich für die verantwortliche Stelle zunächst einmal die Pflicht, einen Datenschutzbeauftragten zu bestellen und zwar auch dann, wenn ansonsten gar keine Pflicht zur Bestellung eines Datenschutzbeauftragten vorliegt (nicht mehr als 9 Mitarbeiter, die regelmäßig personenbezogene Daten verarbeiten, etc. / mehr zur Bestellpflicht s. hier).

Inhalte der Vorabkontrolle

Damit der Datenschutzbeauftragte die Vorabkontrolle durchführen kann, sind ihm zunächst von der verantwortlichen Stelle die notwendigen Informationen zu der geplanten Videoüberwachung zur Verfügung zu stellen. Was zu diesen Informationen gehört ist in § 4e BDSG festgelegt. Zusammengefasst kann festgehalten werden, dass alle diejenigen Informationen dazu gehören, die notwendig sind, damit der Datenschutzbeauftragte bewerten kann, ob die geplante Videoüberwachung gesetzeskonform ausgestaltet ist. Insbesondere gehören die folgenden Informationen dazu:

  • der Zweck der Videoüberwachung (beispielsweise Wahrung des Hausrechts, Aufdeckung von Diebstahl),
  • die von der Videoüberwachung betroffenen Personen,
  • Empfänger, an die Daten mitgeteilt werden können,
  • Löschfristen,
  • die Beschreibung der technischen und organisatorischen Maßnahmen, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

Anhand dieser Informationen kann der Datenschutzbeauftragte dann die eigentliche Vorabkontrolle durchführen. Hierbei hat sich folgende Vorgehensweise bewährt, die von der Aufsichtsbehörde Niedersachsen beispielweise mit dieser Orientierungshilfe empfohlen wird:

  1. Erstellung einer detaillierten Systembeschreibung,
  2. Definition der Rechtsgrundlage der Videoüberwachung (in der Regel eine oder mehrere der Rechtsgrundlagen der §§ 6b, 28, 32 BDSG,
  3. Gefahrenanalyse, bei der die möglichen Schäden (beispielsweise bei Verlust der Vertraulichkeit der Daten) quantifiziert bzw. qualifiziert werden,
  4. Risikoanalyse auf Basis der Wahrscheinlichkeit eines Schadeneintritts und des Ausmaßes des jeweiligen Schadens
  5. Entwicklung des notwendigen Datensicherungskonzepts zur Beherrschung der Gefahren.

Ausblick auf die europäische Datenschutz-Grundverordnung (DSGVO)

Den Begriff der Vorabkontrolle kennt die DS-GVO nicht. Allerdings ist gemäß Artikel 35 der Grundverordnung eine sogenannte Datenschutz-Folgeabschätzung (DSFA) immer dann durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge“ hat. Als Beispiel wird die Überwachung öffentlich zugänglicher Bereich im Gesetzestext sogar explizit genannt. Zu der genauen Vorgehensweise bei der Erstellung einer DSFA bleibt die DS-GVO wie das bisherige BDSG weitere Informationen schuldig. Erste Stellungnahmen der Behörden sowie die Formulierungen der Vorgaben legen jedoch den Schluss nahe, dass die geforderten Inhalte einer DSFA ähnliche derer einer Vorabkontrolle sein werden.

Planen Sie den Einsatz einer Videoüberwachung oder haben eine solche bereits im Einsatz? Sprechen Sie uns an! Gerne bewerten wir die Datenverarbeitung anhand der Vorabkontrolle auf Konformität zu den datenschutzrechtlichen Vorgaben.

Das könnte Sie auch interessieren
betriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung dsgvo fachkunde fortbildungFachkunde und Weiterbildung des Datenschutzbeauftragten
datenpanne meldepflicht passwörter bsi tom fidoDer richtige Umgang mit Datenpannen – Meldepflicht oder nicht?
mail verschlüsselung einwilligungIst eine Einwilligung für unverschlüsselten Versand von E-Mails überhaupt möglich?
privacy shield safe harbor usa übermittlung ausland drittländer drittstaat binding corporate rules bcr angemessenheitsbeschluss japanDatenübermittlungen in Drittstaaten und die DSGVO
hacker pentest penetrationstest abmahnung abmahnfähigSind Verstöße gegen die DSGVO abmahnfähig? – Bislang keine Abmahnwelle
home office telearbeit mobiles arbeiten videokonferenz datenschutzhinweise webseite verstorbene PersonenVideokonferenzsysteme – sind die Vorgaben des Datenschutzes erfüllt?
Privacy Shield – Abkommen zur Datenübermittlung in Kraft getretenprivacy shield safe harbor usa übermittlung ausland drittländer drittstaat binding corporate rules bcr angemessenheitsbeschluss japaneinwilligung kinder jugendliche werteEinwilligungserklärung von Kindern und Jugendlichen