Datenschutz Mitarbeiterfotos und Videoüberwachung

Was Unternehmen bei der Videoüberwachung beachten sollten

Unternehmen, Vereine, Vermieter aber auch Einzelhandel und Schulen in NRW nutzen schon seit längerem und immer häufiger Überwachungskameras. Durch die steigenden technischen Möglichkeiten in der IT, nutzen auch immer mehr Unternehmen die Kameras aus der Entfernung und über diverse Apps.

Ein aktueller Vorfall zeigt aber erneut, dass nicht ausreichender Schutz, schnell zu einem Stolperstein im Datenschutz werden kann. Was passiert ist und worauf Unternehmen bei der Nutzung von Überwachungskameras achten sollten, lesen Sie in unserem aktuellen Datenschutz-Blog.

Daten von Videoüberwachungen waren frei zugänglich im Netz

Ein Elektroinstallationsbetrieb hatte mehr als ein Dutzend Überwachungskameras mit IP- Übertragung auf einem Klinikgelände angebracht. Durch frei zugängliche URLs eines Intranets, waren die Daten im Netz für jeden frei abrufbar.

Besonders heikel war dies, da unter anderem auch Daten aus der Notaufnahme und anderen Bereichen der Klinik zu sehen waren. Aber wie konnte es dazu kommen?

Damit die Aufnahmen über das Internet abrufbar waren, nutzte der Anbieter einen sogenannten DynDNS-Dienst mit einer Portfreigabe. Die IP-Adressen und die notwendigen Zugangsdaten waren allerdings auf einem Webserver des zuständigen Elektroinstallationsbetrieb gespeichert und somit frei zugänglich.

Da das Unternehmen weitere Überwachungskameras betreute, waren auch Bilder von anderen Unternehmen sichtbar und zugänglich – darunter ein Autohaus, eine Baufirma, eine Wohnanlage und Baustellen. Eine Recherche der Login-Daten war, dank der Verlinkung der Zugänge, nicht notwendig. Wer wollte, konnte sich live in die Übertragung der Daten einloggen.

Bilder sind personenbezogene Daten

Natürlich ist es besonders erschreckend, dass durch eine solche Sicherheitslücke in der IT jeder mehr oder weniger bis ins eigene Wohnzimmer blicken kann, in eine Notaufnahme schaut oder ganz einfach Kennzeichen herausfinden kann. Aber nicht nur solche fahrlässigen Beispiele bilden einen Verstoß gegen die Datenschutzgrundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG). Oft wird vergessen, dass auch Bilder personenbezogene Daten darstellen, und zwar dann, wenn sie Rückschlüsse auf die Person zulassen, die dort zu sehen ist, oder deren Daten.

Eine Kameraüberwachung stellt daher in punkto Datenschutz eine nicht zu unterschätzende Herausforderung – und eben auch manchmal eine Schwachstelle dar.

Wann darf eine Überwachungskamera DS-GVO-konform in NRW eingesetzt werden?

Anders als bei der Erfassung von personenbezogenen Daten bei Verträgen, Cookies oder ähnlichem, wo der Betroffene entweder seine Einwilligung zur Datenerhebung geben muss, oder ein gesetzlicher Grund für diese vorliegt (siehe auch Verbot mit Erlaubnisvorbehalt), kann dies bei der Überwachung von einem Gelände in der Regel nicht ermöglicht werden.

Grundsätzlich gilt, dass es ein berechtigtes Interesse geben muss, wenn eine Videokamera zur Überwachung eingesetzt werden soll. Dazu kann natürlich die Sicherheit der Mitarbeiter zählen, Schutz vor Einbruch, Schutz des Eigentums oder vor Vandalismus. Es sollte also grundsätzlich gut durchdacht sein, ob eine Videokamera angebracht wird und welche Folgen dies für den Datenschutz hat.

Wie muss die Videoüberwachung gekennzeichnet werden?

Wer sich dazu entschließt eine Videoüberwachung einzuführen sollte dies mit dem (externen) Datenschutzbeauftragten besprechen und sich an die gesetzlichen Vorgaben der DS-GVO halten.

In diesem Zusammenhang muss zwingend ein gut sichtbares Schild vor dem kameraüberwachten Bereich angebracht werden, das auf die Überwachung des Bereichs hinweist. Dieses muss mindestens folgende Punkte enthalten:

  • Es muss deutlich sein, dass und in welchem Bereich die Videoüberwachung erfolgt (mit Piktogramm)
  • Der Verantwortliche für das Unternehmen muss mit Kontaktdaten angegeben sein (dies ist nicht der (externe) Datenschutzbeauftragte)
  • Falls vorhanden bzw. durch die Vorgaben der DS-GVO vorgeschrieben, muss der (externe) Datenschutzbeauftragte zwingend mit Kontaktdaten angegeben werden
  • Zu welchem Zweck wird die Aufnahme durchgeführt
  • Wie lange werden die Daten gespeichert (gesetzliche Vorgaben beachten)
  • Es muss ein Hinweis angegeben sein, wo der Betroffene weitere Informationen zum Datenschutz erhalten kann (z.B. Aushang, Rezeption aber auch Link oder QR-Code)

Verzeichnis von Verarbeitungstätigkeiten und Informationspflichten bei Videoüberwachung

Wie wir oben schon angedeutet haben, gehört das Aufnehmen von Bildern in jeglicher Art zur Verarbeitung von personenbezogenen Daten. Daher müssen auch hierbei verschiedene Pflichten im Datenschutz eingehalten werden.

Wie jede Erfassung von personenbezogenen Daten, so muss auch für die Kameraüberwachung ein Verzeichnis von Verarbeitungstätigkeiten (VVT) geführt werden. Hierbei geht es darum, Verantwortlichen, (externen) Datenschutzbeauftragten (falls gesetzlich vorgeschrieben), Zweck, Löschfristen und die Weitergabe an Dritte zu dokumentieren.

Auch bei der Kameraüberwachung greifen die Betroffenenrechte, die u.a. sind:

Die Informationspflicht entsteht bei der Datenerhebung. Ihr sollte auf dem Hinweisschild entsprochen werden. Dabei ist ein Link, ein QR-Code oder auch ein Aushang ausreichend.

TOMs und Datenschutzfolgenabschätzung bei Videoüberwachung in Unternehmen in NRW

Wie bei jeder Erfassung von personenbezogenen Daten, müssen auch bei der Videoüberwachung die sogenannten technisch-organisatorischen Maßnahmen (TOMs) festgelegt und dokumentiert werden. Wie wird also sichergestellt, dass die Daten nach DS-GVO vor Zugriffen geschützt werden?

Zwingend notwendig ist, wegen der Sensibilität der Daten, die bei der Überwachung durch eine Kamera erfasst werden, eine Datenschutzfolgenabschätzung. Diese beurteilt unter anderem das Risiko, dass für den Betroffenen und seine personenbezogenen Daten durch die Überwachung entstehen kann aber auch, wie Risiken im Unternehmen minimiert werden. Außerdem dokumentiert der Verantwortliche in diesem Rahmen auch das Vorgehen bei einer möglichen Datenpanne.

IT- Sicherheit, Mitarbeiterinformationen und Löschung der Daten

Was passieren kann, wenn Aufnahmen nicht ausreichend gesichert sind, sehen wir am oben genannten Beispiel sehr deutlich. Daher sollten bei der Einrichtung einer Überwachungskamera und der entsprechenden Software (externer) Datenschutzbeauftragter und IT-Fachmann zusammenarbeiten.

Auch die Mitarbeiter sollten früh genug und nach den Richtlinien der Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz über die Verwendung von Kameras in Ihrem Arbeits- oder Aufenthaltsbereich informiert werden. Hier greift ebenfalls die Informationspflicht nach DS-GVO in NRW.

Bei den Löschfristen gilt: Orientieren Sie sich an den gesetzlichen Vorgaben und den Aufbewahrungspflichten. Die aktuelle Vorgabe im Datenschutz besagt, dass die Videoaufnahmen unverzüglich gelöscht werden müssen, wenn sie für die Zweckerfüllung nicht mehr notwendig sind.

Bitte beachten Sie auch: Wenn Sie Apps oder andere Möglichkeiten zur Datenübertragung nutzen, die durch einen Anbieter betreut werden, dann muss geprüft werden, ob ein Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag) erstellt werden muss.

Nicht eindeutige Rechtslage – Beurteilung im Einzelfall nötig

Die Nutzung von Überwachungskameras stellt eine der schwierigsten Kapitel im Datenschutz dar. In vielen Bereichen ist es nicht immer eindeutig, wie die Rechtslage auszulegen ist. Den privaten Bereich der Nutzung von Kameras haben wir hierbei bewusst ausgeklammert, da dieser im Zweifelsfall noch schwieriger zu bewerten ist.

Auch haben wir in diesem Beitrag die Videoüberwachung nur aus der Sicht des Datenschutzes betrachtet. Um eine Videoüberwachung einzuführen, müssen zusätzlich noch andere rechtliche Hürden genommen werden. Diese bedürfen einer gesonderten und individuellen Beurteilungen durch einen Fachmann. Gerne bieten wir Ihnen im Rahmen unserer Betreuung auch die Zusammenarbeit mit Partner-Anwälten an, die Sie bei der rechtlichen Umsetzung unterstützen.

Gerade kleine Unternehmen, Schulen, Vereine und Vermieter in NRW, die weniger Ressourcen für den Umsatz von Datenschutz haben, sollten sich bei der Nutzung von Kameras und der entsprechenden Software von ihrem (externen) Datenschutzbeauftragten oder (falls dieser gesetzlich nicht vorgeschrieben ist) durch einen Datenschutzberater helfen lassen. Eine nicht DS-GVO-konforme Nutzung von Überwachungskameras und Software kann zu einem schwerwiegenden Problem im Datenschutz führen.

Benötigen Sie Beratung bei der Nutzung von Überwachungskameras, die dem Datenschutz in NRW entsprechen? Nehmen Sie gerne Kontakt zu uns auf. Das Team von Datenschutzberater.NRW unterstützt Sie auch gerne in den folgenden Aufgabenbereichen:

  • Wir stellen einen externen Datenschutzbeauftragten (TÜV) für kleine und mittelständische Unternehmen in NRW
  • Wir bieten GoBD-Beratung (Verfahrensdokumentationen) für Unternehmen in Köln, Düsseldorf, Bonn, Siegen und ganz NRW
  • Wir unterstützen Sie mit einer Datenschutz-Erstberatung und mit einem Datenschutz-Audit nach den aktuellen Vorgaben der DS-GVO
  • Sie benötigen Beratung bei IT-Sicherheit oder IT-Audit? Unser Team erstellt Ihnen gerne ein passendes Konzept
  • Datenschutzberater.NRW bietet Ihnen auch projektbezogene Betreuung, laufende Betreuung oder Mitarbeiterschulungen (online oder vor Ort)

Kontaktieren Sie uns und wir erstellen Ihnen ein praxisorientiertes und individuelles Angebot für Ihr Unternehmen.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Benötigen Sie Hilfe bei der Umsetzung der DS-GVO? Senden Sie uns eine unverbindliche Anfrage – wir beraten Sie gerne über unsere Leistungen im Datenschutz.

Überwachungskameras und der Datenschutz in NRW