Videoüberwachung bedeutet, dass mithilfe optisch-elektronischer Einrichtungen personenbezogene Daten (Bild- und/oder Audiodaten) verarbeitet werden. Hierunter fallen auch Webcams, Smartphones, Dashcams, Drohnen oder Tür- und Klingelkameras. Nicht entscheidend ist, ob die Kamera fest montiert, veränderbar (sprich mit Schwenk-, Neig- oder Zoomfunktion) oder mobil einsetzbar ist, sondern nur der Überwachungszweck.

Eine Verarbeitung im Sinne des Datenschutzrechts liegt auch dann vor, wenn „nur“ Livebilder (Monitoring bzw. Echtzeitüberwachungen) erfasst werden. Weitere Verarbeitungstätigkeiten sind das Speichern (Videoaufzeichnung) und die Verwendung in Form der Sichtung, Ausdruck oder Weitergabe an Dritte.

Das Schwärzen und Verpixeln von Bildmaterial reicht nicht als Anonymisierung aus, wenn das Unkenntlichmachen im Nachhinein wieder aufgehoben werden kann. Eine Verarbeitung liegt auch dann vor, wenn die Aufnahmen ungesehen gelöscht werden oder nur im Bedarfs- bzw. Alarmfall aufgezeichnet wird.

Bei der Verwendung von Kameraatrappen oder Kameras, die nicht in Betrieb genommen werden, sind die Datenschutzvorschriften nicht anzuwenden. Laut Aufsichtsbehörde Sachsen sind nicht die technischen Möglichkeiten ausschlaggebend, sondern nur, ob eine Videokamera tatsächlich in Betrieb ist oder nicht. Zivilrechtlich können allerdings dennoch Ansprüche auf sie zukommen.

Als Rechtsgrundlage kommt regelmäßig Art. 6 Abs. 1 lit f. DSGVO in Betracht. Videoüberwachungen lassen sich regelmäßig nicht auf Einwilligungen stützen, da die gesetzlichen Anforderungen an eine Einwilligung zu diesem Zweck praktisch nicht erfüllt werden können. Demzufolge muss der Betreiber der Videokamera ein berechtigtes Interesse an den einzelnen Verarbeitungen vorweisen. Die Videoüberwachung muss für die Zweckerreichung erforderlich sein und die Interessen der betroffenen Personen (Grundrecht auf informationelle Selbstbestimmung) nicht überwiegen. In jedem Fall sind wirksame Alternativen zu prüfen, wie herkömmliche Alarmanlagen oder der Einbau von einbruchssicheren Fenstern und wie der Eingriff in die Persönlichkeitsrechte Betroffener möglichst wenig intensiv erfolgen kann.

Grundsätzlich kann gesagt werden, dass Bereiche in denen Menschen kommunizieren, essen, trinken und sich erholen keine Videoüberwachung erfolgen darf. Ebenso wenig in Räumen, wo Beobachtungen die Intimsphäre berühren würden. Auch Aufzeichnungen zum Zweck einer Verhaltens- oder Leistungskontrolle von Beschäftigten ist grundsätzlich unzulässig.

Betroffene können in zwei Schritten informiert werden. Im ersten Schritt mit den wichtigsten Informationen mit einem auf Augenhöhe angebrachten Hinweisschild und im zweiten Schritt mit allen Informationen an geeigneter, gut zugänglicher Stelle. Die Speicherdauer beträgt maximal 72 Stunden.

Zur Aufdeckung von Straftaten dürfen Aufzeichnungen von Beschäftigten nur nach der Maßgabe des § 26 Abs. 1 Satz 2 BDSG oder einer datenschutzkonformen Betriebsvereinbarung verarbeitet werden. Ausgeschlossen ist eine dauerhafte permanente Videoüberwachung.

Private Aufzeichnungen von privatem Grundstück oder der selbstbewohnten Miet- oder Eigentumswohnung fällt nur dann nicht unter die Datenschutzgrundverordnung, wenn die ausschließlich selbstgenutzt ist. Kommt beispielsweise ein bestellter Pflegedienst oder der Handwerker, hat eine Videoüberwachung schon zu unterbleiben.

Bei Videoüberwachungskameras mit Audiofunktion macht man sich regelmäßig sogar strafbar. Verfügt eine Videoüberwachungskamera über eine Audiofunktion, muss diese deaktiviert werden.

Beim mobilen Arbeiten, wie im Homeoffice sind die datenschutzrechtlichen Vorgaben des Arbeitgebers einzuhalten. Da die Arbeitnehmer im Rahmen Ihrer Arbeitstätigkeit auch im Homeoffice auf Weisung des Arbeitgebers handeln, bleibt der Arbeitgeber datenschutzrechtlich verantwortlich. Daher muss dieser auch für die mobile Arbeit technische und organisatorische Maßnahmen, wie beispielsweise „Mobile Working Vereinbarungen“, treffen, um die Einhaltung datenschutzrechtlicher Vorgaben zu gewährleisten.

Grundsätzlich sollte darauf verzichtet werden, physische Dokumente oder Datenträger mit personenbezogenen Daten mit nach Hause oder andernorts mitzunehmen oder dort anzufertigen. Sofern dies unbedingt nötig sein sollte, ist darauf zu achten, dass Dritte, auch Familienmitglieder oder Mitbewohner, keinen Zugang zu den Daten haben und die Daten nicht einsehbar sind. Zumindest muss die Verwahrung in einem verschließbaren Schrank gewährleistet werden. Eine Entsorgung der personenbezogenen Daten im Hausmüll oder öffentlichen Müllbehältern ist untersagt. Die Dokumente und Dateien müssen datenschutzkonform vernichtet werden, z.B. durch professionelle Aktenvernichtung oder durch Entsorgung über die dafür vorgesehenen Wege im Büro. Der Laptop ist mindestens mit einem Kennwortschutz zu schützen – besser: durch Zwei-Faktor-Authentifizierung. Auch bei kurzer Inaktivität am Laptop sollte die Bildschirmsperre aktiviert werden.

Wird für die Arbeit der Zugriff auf das Firmennetzwerk benötigt, sollten Arbeitgeber dies mittels VPN-Verbindung ermöglichen. Zudem sollte keine lokale Speicherung von vertraulichen Daten auf dem Laptop selbst erfolgen, sondern nur auf den Servern des Firmennetzwerks. Auch effiziente Firewalls und Antivirensoftwares sollten arbeitgeberseitig zur Verfügung gestellt werden. Updates sind gegebenenfalls selbst vorzunehmen.

Neben europäischen Ländern erlassen auch immer mehr andere Länder Regelungen bezüglich des internationalen Datentransfers. Seit Dezember 2023 sind beispielsweise Unternehmen, die unter das chinesische Datenschutzrecht fallen, verpflichtet die chinesischen Standardvertragsklauseln (SCC) zu nutzen. Werden Daten aus China an einen Datenempfänger außerhalb Chinas transferiert, so müssen die chinesischen SCC vorliegen, sofern kein anderer Transfermechanismus (Zertifizierung oder Sicherheitsbewertung) vorliegt. Die chinesischen SCC gelten grundsätzlich für jeden Transfer personenbezogener Daten aus China in andere Länder, unabhängig von der Rolle des Empfängers (Verantwortlicher oder Auftragsverarbeiter) und unabhängig davon, ob es sich um ein Konzernunternehmen oder einen Dritten handelt. Die SCC können jedoch weiterhin nur unter bestimmten Voraussetzungen zum Einsatz kommen.

Der Europäische Datenschutzausschuss (EDSA) hat eine europaweite Aktion „Coordinated Enforcement Framework“ (CEF) gestartet. Im Rahmen dieser Aktion wird die Umsetzung des Auskunftsrechts untersucht. Insgesamt 30 Datenschutzbehörden im gesamten europäischen Wirtschaftraum nehmen an der Aktion teil. Hierzulande nehmen der LfD Niedersachsen sowie die Aufsichtsbehörden aus Bayern, Brandenburg, Mecklenburg-Vorpommern, Rheinland-Pfalz, dem Saarland und Schleswig-Holstein sowie des Bundes teil.

Ziel der Aktion ist es, zu beurteilen, wie Organisationen das Auskunftsrecht aus Art. 15 DSGVO in der Praxis umsetzen und inwiefern Hilfestellungen des EDSA oder der Datenschutzbehörden verbessert werden könnten. 

Zur Kontrolle werden Fragebögen an Organisationen in den teilnehmenden Mitgliedsstaaten verschickt. Im Anschluss können Untersuchungen bei vermuteten Missständen eingeleitet werden.

Zur datenschutzkonformen Bearbeitung von Auskunftsanfragen gibt der EDSA wichtige Informationen in seinen Guidelines (EDSA). Diese finden Sie unter https://edpb.europa.eu/system/files/2023-04/edpb_guidelines_202201_data_subject_rights_access_v2_en.pdf.

KI-Anwendungen wie Chatbots haben Einzug in Unternehmen gehalten. Der datenschutzrechtliche Umgang mit der KI war bislang ungeklärt. Nun hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) eine Orientierungshilfe zum Thema „Künstliche Intelligenz und Datenschutz“ herausgegeben.

Mit der Orientierungshilfe legt die DSK datenschutzrechtliche Kriterien für die Auswahl und den datenschutzkonformen Einsatz von KI-Anwendungen vor.

Die Orientierungshilfe richtet sich an den datenschutzrechtlich Verantwortlichen und mittelbar auch an Entwickler, Hersteller und Anbieter von KI-Systemen. Sie gibt nun die Erwartungshaltung der Aufsichtsbehörden an den Einsatz von KI im Unternehmen vor.

Die Orientierungshilfe finden Sie unter https://www.datenschutzkonferenz-online.de/orientierungshilfen.html.

EuGH Urteil vom 05.12.2023

Um beurteilen zu können, ob die juristische Person „Deutsche Wohnen SE“ ein Bußgeld in Höhe von 14 Mio. EUR zahlen muss, hat sich das Kammergericht Berlin im Rahmen eines Vorabentscheidungsersuchens mit zwei Fragen an den EuGH gewandt. Die Deutsche Wohnen SE hatte trotz mehrfacher Aufforderung einer Aufsichtsbehörde die entsprechenden Mieterdaten nicht gelöscht. Gemäß Art. 83 Abs. 2 lit. b DSGVO soll bei der Verhängung von Bußgeldern unter anderem der Aspekt des Vorsatzes bzw. der Fahrlässigkeit berücksichtigt werden. Fraglich war zum einen, ob ein Bußgeld auch verhängt werden darf, wenn trotz des Fehlens von Vorsatz/Fahrlässigkeit andere Voraussetzungen des Art. 83 Abs. 2 DSGVO vorliegen, was der EuGH mit dem Urteil vom 05.12.2023 (C-807/21) verneinte. Es muss ein schuldhafter Verstoß vorliegen, damit eine Geldbuße von der Aufsichtsbehörde verhängt werden darf.           
Zum anderen war fraglich, ob für die Sanktionierung einer juristischen Person der Umweg über das Gesetz über Ordnungswidrigkeiten (OWig) gegangen werden muss oder ob diese auch direkt über die DSGVO sanktioniert werden können. Gemäß Art. 4 Nr. 7 DSGVO können sowohl natürliche als auch juristische Personen Verantwortliche im datenschutzrechtlichen Sinne sein. Entsprechend sind in Bezug auf Art. 83 Abs. 3 DSGVO bei „Verstößen von Verantwortlichen“ auch die Verstöße von juristischen Personen mitinbegriffen. Der Verantwortliche, der eine juristische Personen sein kann, kann demnach nicht nur für Verstöße von Unternehmensvertretern, Leitungspersonal, Geschäftsführern und Auftragsverarbeitern sondern auch direkt für Verstöße von jedem Mitarbeiter sanktioniert werden. Es kommt bei der Verhängung von Bußgeldern nicht darauf an, dass Leitungspersonal von entsprechenden Verstößen Kenntnis hatte.

Aktuelle Bußgelder aus Deutschland

Bußgeld wegen unzulässiger Änderung des Verwendungszwecks der personenbezogen Daten

Ein Kreditinstitut hatte die personenbezogenen Daten Ihrer Kunden genutzt, um Profile zu Ihnen zu erstellen und diese daraufhin gezielt zu Werbezwecken zu kontaktieren. Laut Landesbeauftragtem für den Datenschutz Niedersachsen stellte dies eine Zweckänderung dar, die der Kunde nicht erwarten konnte. Das Bußgeld betrug 220.000 €.

Bußgeld wegen Speicherung von Personalausweiskopien

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit erließ ein Bußgeld i.H.v. 16.000 € gegen ein Hotel, weil dieses Personalausweiskopien ohne eine rechtliche Grundlage gespeichert hatte.

Bußgeld wegen nicht ordnungsgemäßer Löschung

Ein Bußgeld in Höhe von 32.000€ erging gegen ein Logistikunternehmen, wegen falscher Entsorgung von Zustellerlisten.

Bußgeld wegen verspäteter Meldung einer Datenschutzverletzung

Der Online-Händler hat ein Bußgeld in Höhe von 6.000 € erhalten, da es die zuständige Datenschutzaufsichtsbehörde nicht fristgemäß über die Datenschutzverletzung informiert hat.

Aktuelle Bußgelder aus den Nachbarländern

Die französische Aufsichtsbehörde (CNIL) verhängte ein Bußgeld in Höhe von 250.000 € wegen verschiedener Verstöße, insbesondere wegen Verstoß gegen den Grundsatz der Datenminimierung und Speicherbegrenzung sowie wegen nicht datenschutzkonformer Einwilligungserklärungen zur Erhebung sensibler Daten und systematische Aufzeichnung von Telefongesprächen.

Bußgeld in Höhe von 800.000 € gegen einen Anbieter von Management-Software für Arztpraxen

Anbieter und Nutzer der Software hatten personenbezogene Daten ohne datenschutzrechtliche Rechtsgrundlage für Studien genutzt. Der Anbieter hatte die Daten zudem nicht anonymisiert, sondern lediglich pseudonymisiert an seine Kunden weitergeleitet. Betroffene konnten so wieder identifiziert werden.

Aktuelles Bußgeld aus den Vereinigten Staaten von Amerika

Eine Bank aus New Jersey bekam ein Bußgeld in Höhe von sagenhaften 25.138.096 €, weil diese jahrelang Konsumentendaten an Wirtschaftsauskunfteien weitergegeben hatte, die falsche Informationen enthielten. Selbst nachdem die Falschmeldungen der Bank bekannt waren, hatte diese nach Ansicht der Verbraucherzentrale wenige bis keine Maßnahmen ergriffen, um dagegen vorzugehen.

Nach dem Schrems-II-Urteil dürfen Verantwortliche und Auftragsverarbeiter personenbezogene Daten nur dann an Drittländer oder internationale Organisationen übermitteln, wenn der Verantwortliche oder der Auftragsverarbeiter angemessene Garantien bieten und unter der Voraussetzung, dass durchsetzbare Rechte der betroffenen Personen und wirksame Rechtsbehelfe für die betroffenen Personen verfügbar sind.

Dabei liegt es in der Verantwortung der Datenexporteure und der Datenempfänger zu prüfen, ob die Rechtsvorschriften im Empfängerland der Einhaltung dieser angemessenen Garantien entgegenstehen könnten.

Der Europäische Datenschutzausschuss hat neben einem Rechtsgutachten für China, Russland und Indien nun für die Türkei, Mexiko und Brasilien ein weiteres Gutachten über den Zugang der Regierungen dieser Länder zu personenbezogenen Daten, die von Wirtschaftsakteuren verarbeitet werden, herausgegeben.

In dem neuen Rechtsgutachten des EDSA werden eingehende Analysen der Rechtsvorschriften und der Praxis des staatlichen Zugriffs auf personenbezogenen Daten in den untersuchten Ländern vorgenommen. Das Gutachten enthält Informationen über die allgemeine Situation in den beobachteten Ländern und gibt dabei einen Überblick über die Menschenrechte, insb. dem Recht auf Privatsphäre, die Rechtsstaatlichkeit und Grundfreiheiten sowie die konkrete Anwendung der verfassungsrechtlichen Bestimmungen in der nationalen Rechtsprechung. Im Anschluss enthalten die Länderberichte einen Unterabschnitt, in dem die Zwecke, Bedingungen und Kontrollmechanismen des staatlichen Zugriffs auf personenbezogene Daten in den Ländern beleuchtet werden. In jedem Länderabschnitt ist ein Unterabschnitt zu den Rechten der betroffenen Personen, den Bedingungen für ihre Anwendbarkeit und den zu ihrer Durchsetzung verfügbaren Rechtsbehelfsmechanismen.

Test

123

  1. Sasdasd

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna

23.10.2023

Das weitverbreitete Betriebssystem Windows sendet in den Grundeinstellungen diverse Daten über die Benutzer und die genutzten Geräte an den Hersteller Microsoft.

Bei der Übermittlung von Telemetriedaten handelt es sich um eine eigene Verarbeitung personenbezogener Daten, für die eine Rechtsgrundlage erforderlich ist und bei der die Grundsätze des Datenschutzes („privacy-by-design“, „privacy-by-default“, Informationspflichten etc.) einzuhalten sind. Das Abstellen der Übermittlung und der damit einhergehenden Vereinfachungen hinsichtlich des Datenschutzes kann daher von großem Interesse sein. Zumal die Erfüllung der Rechenschaftspflicht recht anspruchsvoll werden kann.

Um die Übermittlung von Telemetriedaten durch geeignete Einstellungen größtmöglich zu unterbinden, hat der Bayerische Landesbeauftragte für den Datenschutz eine mit Screenshots angereicherte Handreichung herausgegeben:

https://www.datenschutz-bayern.de/datenschutzreform2018/aki50.pdf

Wir empfehlen, möglichst weitgehende Einschränkungen bezüglich der Telemetriedaten umzusetzen und die Handreichung als sinnvolle Hilfe zu nutzen.

magnifiercrossmenu