Videoüberwachung bedeutet, dass mithilfe optisch-elektronischer Einrichtungen personenbezogene Daten (Bild- und/oder Audiodaten) verarbeitet werden. Hierunter fallen auch Webcams, Smartphones, Dashcams, Drohnen oder Tür- und Klingelkameras. Nicht entscheidend ist, ob die Kamera fest montiert, veränderbar (sprich mit Schwenk-, Neig- oder Zoomfunktion) oder mobil einsetzbar ist, sondern nur der Überwachungszweck.
Eine Verarbeitung im Sinne des Datenschutzrechts liegt auch dann vor, wenn „nur“ Livebilder (Monitoring bzw. Echtzeitüberwachungen) erfasst werden. Weitere Verarbeitungstätigkeiten sind das Speichern (Videoaufzeichnung) und die Verwendung in Form der Sichtung, Ausdruck oder Weitergabe an Dritte.
Das Schwärzen und Verpixeln von Bildmaterial reicht nicht als Anonymisierung aus, wenn das Unkenntlichmachen im Nachhinein wieder aufgehoben werden kann. Eine Verarbeitung liegt auch dann vor, wenn die Aufnahmen ungesehen gelöscht werden oder nur im Bedarfs- bzw. Alarmfall aufgezeichnet wird.
Bei der Verwendung von Kameraatrappen oder Kameras, die nicht in Betrieb genommen werden, sind die Datenschutzvorschriften nicht anzuwenden. Laut Aufsichtsbehörde Sachsen sind nicht die technischen Möglichkeiten ausschlaggebend, sondern nur, ob eine Videokamera tatsächlich in Betrieb ist oder nicht. Zivilrechtlich können allerdings dennoch Ansprüche auf sie zukommen.
Als Rechtsgrundlage kommt regelmäßig Art. 6 Abs. 1 lit f. DSGVO in Betracht. Videoüberwachungen lassen sich regelmäßig nicht auf Einwilligungen stützen, da die gesetzlichen Anforderungen an eine Einwilligung zu diesem Zweck praktisch nicht erfüllt werden können. Demzufolge muss der Betreiber der Videokamera ein berechtigtes Interesse an den einzelnen Verarbeitungen vorweisen. Die Videoüberwachung muss für die Zweckerreichung erforderlich sein und die Interessen der betroffenen Personen (Grundrecht auf informationelle Selbstbestimmung) nicht überwiegen. In jedem Fall sind wirksame Alternativen zu prüfen, wie herkömmliche Alarmanlagen oder der Einbau von einbruchssicheren Fenstern und wie der Eingriff in die Persönlichkeitsrechte Betroffener möglichst wenig intensiv erfolgen kann.
Grundsätzlich kann gesagt werden, dass Bereiche in denen Menschen kommunizieren, essen, trinken und sich erholen keine Videoüberwachung erfolgen darf. Ebenso wenig in Räumen, wo Beobachtungen die Intimsphäre berühren würden. Auch Aufzeichnungen zum Zweck einer Verhaltens- oder Leistungskontrolle von Beschäftigten ist grundsätzlich unzulässig.
Betroffene können in zwei Schritten informiert werden. Im ersten Schritt mit den wichtigsten Informationen mit einem auf Augenhöhe angebrachten Hinweisschild und im zweiten Schritt mit allen Informationen an geeigneter, gut zugänglicher Stelle. Die Speicherdauer beträgt maximal 72 Stunden.
Zur Aufdeckung von Straftaten dürfen Aufzeichnungen von Beschäftigten nur nach der Maßgabe des § 26 Abs. 1 Satz 2 BDSG oder einer datenschutzkonformen Betriebsvereinbarung verarbeitet werden. Ausgeschlossen ist eine dauerhafte permanente Videoüberwachung.
Private Aufzeichnungen von privatem Grundstück oder der selbstbewohnten Miet- oder Eigentumswohnung fällt nur dann nicht unter die Datenschutzgrundverordnung, wenn die ausschließlich selbstgenutzt ist. Kommt beispielsweise ein bestellter Pflegedienst oder der Handwerker, hat eine Videoüberwachung schon zu unterbleiben.
Bei Videoüberwachungskameras mit Audiofunktion macht man sich regelmäßig sogar strafbar. Verfügt eine Videoüberwachungskamera über eine Audiofunktion, muss diese deaktiviert werden.
Aufgrund zahlreicher Hinweise und Beschwerden von Betroffenen und Medienvertretern aus ganz Deutschland hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) die Parkraumüberwachung eines entsprechenden Überwachungsnternehmens (Verantwortlicher) überprüft. Dazu musste der Verantwortliche alle Fragen der Behörde zum Verständnis relevanter technischer und tatsächlicher Prozesse beantworten. Der Verantwortliche beantwortete die gestellten Fragen jedoch nicht zufriedenstellend, weshalb eine Prüfung aufgrund mangelnder Nachvollziehbarkeit der Funktionsweise des Parkraumüberwachungssystems vorerst nicht möglich war. Das Unternehmen wurde deshalb zunächst wegen Verstoßes gegen die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) zu einer beabsichtigten Untersagung er Überwachung aufgrund fehlender Überprüfbarkeit angehört, sowie hinsichtlich der unterbliebenen angemessenen Mitwirkung gemäß Art. 31 DSGVO bis zur vollständigen Offenlegung der Funktionsweise des Systems ein Ordnungswidrigkeitsverfahren eingeleitet.
Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) wird umbenannt. Hintergrund ist die sprachliche Anpassung des Wortes „Telemedien“. Diese heißen nun „digitale Dienste“. Dementsprechend wird das Gesetz in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz umbenannt, kurz TDDDG. Das Gesetz regelt den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten.
Darüber hinaus wird das Telemediengesetz (TMG) durch das Digitale-Dienste-Gesetz (DDG) ersetzt. Das DDG gilt für alle Online-Diensteanbieter und betrifft somit fast jeden Webseitenbetreiber.
Sofern die Gesetze in der Datenschutzerklärung und im Impressum angegeben sind, ist die Bezeichnung zu ändern. Es besteht jedoch keine gesetzliche Pflicht zur Angabe des Paragraphen. Inhaltlich hat sich nichts geändert.
Beim mobilen Arbeiten, wie im Homeoffice sind die datenschutzrechtlichen Vorgaben des Arbeitgebers einzuhalten. Da die Arbeitnehmer im Rahmen Ihrer Arbeitstätigkeit auch im Homeoffice auf Weisung des Arbeitgebers handeln, bleibt der Arbeitgeber datenschutzrechtlich verantwortlich. Daher muss dieser auch für die mobile Arbeit technische und organisatorische Maßnahmen, wie beispielsweise „Mobile Working Vereinbarungen“, treffen, um die Einhaltung datenschutzrechtlicher Vorgaben zu gewährleisten.
Grundsätzlich sollte darauf verzichtet werden, physische Dokumente oder Datenträger mit personenbezogenen Daten mit nach Hause oder andernorts mitzunehmen oder dort anzufertigen. Sofern dies unbedingt nötig sein sollte, ist darauf zu achten, dass Dritte, auch Familienmitglieder oder Mitbewohner, keinen Zugang zu den Daten haben und die Daten nicht einsehbar sind. Zumindest muss die Verwahrung in einem verschließbaren Schrank gewährleistet werden. Eine Entsorgung der personenbezogenen Daten im Hausmüll oder öffentlichen Müllbehältern ist untersagt. Die Dokumente und Dateien müssen datenschutzkonform vernichtet werden, z.B. durch professionelle Aktenvernichtung oder durch Entsorgung über die dafür vorgesehenen Wege im Büro. Der Laptop ist mindestens mit einem Kennwortschutz zu schützen – besser: durch Zwei-Faktor-Authentifizierung. Auch bei kurzer Inaktivität am Laptop sollte die Bildschirmsperre aktiviert werden.
Wird für die Arbeit der Zugriff auf das Firmennetzwerk benötigt, sollten Arbeitgeber dies mittels VPN-Verbindung ermöglichen. Zudem sollte keine lokale Speicherung von vertraulichen Daten auf dem Laptop selbst erfolgen, sondern nur auf den Servern des Firmennetzwerks. Auch effiziente Firewalls und Antivirensoftwares sollten arbeitgeberseitig zur Verfügung gestellt werden. Updates sind gegebenenfalls selbst vorzunehmen.
Der Artificial Intelligence Act, die sogenannte KI-Verordnung, ist da. Das Gesetz über künstliche Intelligenz (KI) soll für die Sicherheit und die Achtung der Grundrechte bei der Nutzung von KI innerhalb der EU sorgen und Innovationen fördern. Dabei legt die Verordnung Verpflichtungen für KI-Systeme fest und verbietet bestimmte KI-Anwendungen, wie beispielsweise Emotionserkennungssysteme am Arbeitsplatz. Wer KI im Unternehmen einsetzen möchte hat die Pflichten diese Verordnung, die mit hohem Aufwand einhergehen, zu beachten.
Der AIA wurde im EU-Amtsblatt veröffentlicht und wird am 1. August in Kraft treten. Das Gesetz wird 24 Monate nach seinem Inkrafttreten in vollem Umfang anwendbar sein, einige Teile davon jedoch schon früher.
Verstöße gegen diese Verordnung sind wie in der Datenschutzgrundverordnung mit hohen Bußgeldern belegt. Bei Zuwiderhandlung kann die EU-Kommission Geldbußen von bis zu 7 % des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr oder 35 Mio. € verhängen..
Neben europäischen Ländern erlassen auch immer mehr andere Länder Regelungen bezüglich des internationalen Datentransfers. Seit Dezember 2023 sind beispielsweise Unternehmen, die unter das chinesische Datenschutzrecht fallen, verpflichtet die chinesischen Standardvertragsklauseln (SCC) zu nutzen. Werden Daten aus China an einen Datenempfänger außerhalb Chinas transferiert, so müssen die chinesischen SCC vorliegen, sofern kein anderer Transfermechanismus (Zertifizierung oder Sicherheitsbewertung) vorliegt. Die chinesischen SCC gelten grundsätzlich für jeden Transfer personenbezogener Daten aus China in andere Länder, unabhängig von der Rolle des Empfängers (Verantwortlicher oder Auftragsverarbeiter) und unabhängig davon, ob es sich um ein Konzernunternehmen oder einen Dritten handelt. Die SCC können jedoch weiterhin nur unter bestimmten Voraussetzungen zum Einsatz kommen.
Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden eine Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft („DPA“) für den Einsatz von „Microsoft 365“ erarbeitet.
Die vorgegebene Auftragsverarbeitungsvereinbarung von Microsoft entspricht in Ihrer derzeitigen Form nicht den Anforderungen des Art. 28 Abs. 3 DSGVO. Die von den Aufsichtsbehörden erarbeitete Handreichung soll den datenschutzechtlich Verantwortlichen helfen, die Problemfelder zu erkennen und auf vertragliche Änderungen hinzuwirken.
Die Handreichung kann hier abgerufen werden: https://www.lfd.niedersachsen.de/download/199434
Der Europäische Datenschutzausschuss (EDSA) hat eine europaweite Aktion „Coordinated Enforcement Framework“ (CEF) gestartet. Im Rahmen dieser Aktion wird die Umsetzung des Auskunftsrechts untersucht. Insgesamt 30 Datenschutzbehörden im gesamten europäischen Wirtschaftraum nehmen an der Aktion teil. Hierzulande nehmen der LfD Niedersachsen sowie die Aufsichtsbehörden aus Bayern, Brandenburg, Mecklenburg-Vorpommern, Rheinland-Pfalz, dem Saarland und Schleswig-Holstein sowie des Bundes teil.
Ziel der Aktion ist es, zu beurteilen, wie Organisationen das Auskunftsrecht aus Art. 15 DSGVO in der Praxis umsetzen und inwiefern Hilfestellungen des EDSA oder der Datenschutzbehörden verbessert werden könnten.
Zur Kontrolle werden Fragebögen an Organisationen in den teilnehmenden Mitgliedsstaaten verschickt. Im Anschluss können Untersuchungen bei vermuteten Missständen eingeleitet werden.
Zur datenschutzkonformen Bearbeitung von Auskunftsanfragen gibt der EDSA wichtige Informationen in seinen Guidelines (EDSA). Diese finden Sie unter https://edpb.europa.eu/system/files/2023-04/edpb_guidelines_202201_data_subject_rights_access_v2_en.pdf.
KI-Anwendungen wie Chatbots haben Einzug in Unternehmen gehalten. Der datenschutzrechtliche Umgang mit der KI war bislang ungeklärt. Nun hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) eine Orientierungshilfe zum Thema „Künstliche Intelligenz und Datenschutz“ herausgegeben.
Mit der Orientierungshilfe legt die DSK datenschutzrechtliche Kriterien für die Auswahl und den datenschutzkonformen Einsatz von KI-Anwendungen vor.
Die Orientierungshilfe richtet sich an den datenschutzrechtlich Verantwortlichen und mittelbar auch an Entwickler, Hersteller und Anbieter von KI-Systemen. Sie gibt nun die Erwartungshaltung der Aufsichtsbehörden an den Einsatz von KI im Unternehmen vor.
Die Orientierungshilfe finden Sie unter https://www.datenschutzkonferenz-online.de/orientierungshilfen.html.
EuGH Urteil vom 05.12.2023
Um beurteilen zu können, ob die juristische Person „Deutsche Wohnen SE“ ein Bußgeld in Höhe von 14 Mio. EUR zahlen muss, hat sich das Kammergericht Berlin im Rahmen eines Vorabentscheidungsersuchens mit zwei Fragen an den EuGH gewandt. Die Deutsche Wohnen SE hatte trotz mehrfacher Aufforderung einer Aufsichtsbehörde die entsprechenden Mieterdaten nicht gelöscht. Gemäß Art. 83 Abs. 2 lit. b DSGVO soll bei der Verhängung von Bußgeldern unter anderem der Aspekt des Vorsatzes bzw. der Fahrlässigkeit berücksichtigt werden. Fraglich war zum einen, ob ein Bußgeld auch verhängt werden darf, wenn trotz des Fehlens von Vorsatz/Fahrlässigkeit andere Voraussetzungen des Art. 83 Abs. 2 DSGVO vorliegen, was der EuGH mit dem Urteil vom 05.12.2023 (C-807/21) verneinte. Es muss ein schuldhafter Verstoß vorliegen, damit eine Geldbuße von der Aufsichtsbehörde verhängt werden darf.
Zum anderen war fraglich, ob für die Sanktionierung einer juristischen Person der Umweg über das Gesetz über Ordnungswidrigkeiten (OWig) gegangen werden muss oder ob diese auch direkt über die DSGVO sanktioniert werden können. Gemäß Art. 4 Nr. 7 DSGVO können sowohl natürliche als auch juristische Personen Verantwortliche im datenschutzrechtlichen Sinne sein. Entsprechend sind in Bezug auf Art. 83 Abs. 3 DSGVO bei „Verstößen von Verantwortlichen“ auch die Verstöße von juristischen Personen mitinbegriffen. Der Verantwortliche, der eine juristische Personen sein kann, kann demnach nicht nur für Verstöße von Unternehmensvertretern, Leitungspersonal, Geschäftsführern und Auftragsverarbeitern sondern auch direkt für Verstöße von jedem Mitarbeiter sanktioniert werden. Es kommt bei der Verhängung von Bußgeldern nicht darauf an, dass Leitungspersonal von entsprechenden Verstößen Kenntnis hatte.