DS-GVO bei Videoüberwachung und Dokumentationen einhalten
Videoüberwachung ist schon seit vielen Jahren ein wichtiger Bestandteil für die Sicherheit von Gebäuden, Geländen, Büros, Praxen, Schulen usw. Der Einsatz hat sich in den vergangenen Jahren eher weiter erhöht. Neu ist seit einiger Zeit auch der Einsatz von kameragesteuerten Geräten zum Beispiel zur Frequenzzählung und anderer Auswertungen.
In der Regel werden bei der Verwendung von Kameras immer personenbezogene Daten verarbeitet. Das bedeutet, dass beim Einsatz von Kameras der Datenschutz immer auch verpflichtend umgesetzt werden muss.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Warum muss der Datenschutz bei der Videoüberwachung eingehalten werden?
Werden Videokameras eingesetzt, werden in der Regel immer personenbezogene Daten verarbeitet, weshalb diese Verwendung den Datenschutz notwendig macht. Bei der Videoüberwachung müssen alle datenschutzrechtlichen Bestimmungen eingehalten werden. Personenbezogene Daten dürfen nur in dem Umfang erhoben werden, der für die jeweilige Überwachung erforderlich ist. Zudem besteht bei der Verarbeitung eine Zweckbindung. Die erhobenen Daten dürfen also nur für den Zweck verwendet werden, für den Sie erhoben wurden.
Die Videoüberwachung muss dabei transparent gestaltet sein und die Betroffenen müssen über die Überwachung informiert werden. Bei der Verarbeitung von personenbezogenen Daten besteht eine Informationspflicht. Der Hinweis darauf kann zum Beispiel durch eine Tafel mit einem entsprechenden Link oder QR-Kode erfolgen.
Bei der Videoüberwachung müssen alle Betroffenenrechte eingehalten werden. Die Verarbeitung der Daten muss im Verzeichnis von Verarbeitungstätigkeiten erfasst werden. Aufgrund des hohen Risikos für die betroffene Person, muss eine Risikoanalyse und darüber hinaus eine Datenschutzfolgenabschätzung zumindest geprüft werden.
BLOG-TIPP: BETROFFENENRECHTE IM DATENSCHUTZ FÜR NRW
Wie können personenbezogene Daten bei der Videoüberwachung geschützt werden?
Bei der Verarbeitung von personenbezogenen Daten, müssen diese ausreichend durch entsprechende technische und organisatorische Maßnahmen (TOM) geschützt werden. Diese können im Fall der Videoüberwachung zum Beispiel darin bestehen, dass die Kameras, sofern die Daten direkt im Gerät verarbeitet und gespeichert werden, nicht durch Unbefugte entwendet und ausgelesen werden können. Auch die Datenübermittlung muss entsprechend gesichert werden usw.
BLOG-TIPP: TOM NACH DS-GVO FÜR UNTERNEHMEN IN KÖLN, BONN, GUMMERSBACH UND UMGEBUNG
Wie lange dürfen personenbezogene Daten bei der Videoüberwachung gespeichert werden?
Wie bei allen Verarbeitungen von personenbezogenen Daten, dürfen nur so viele Daten im Prozess verarbeitet werden, wie für den Zweck gebraucht werden. Die personenbezogenen Daten dürfen nur so lange aufbewahrt werden, wie sie für den Zweck benötigt werden. Danach müssen sie DS-GVO-konform gelöscht oder vernichtet werden.
Wichtig bei den Löschfristen im Datenschutz: es gelten die Aufbewahrungspflichten aus anderen gesetzlichen Vorgaben.
BLOG-TIPP: DATENSCHUTZ: LÖSCHFRISTEN UND AUFBEWAHRUNGSPFLICHTEN FÜR UNTERNEHMEN IN NRW
Werden Daten durch einen Anbieter verarbeitet zum Beispiel auch durch eine Software oder auch bei der Löschung, muss ein Vertrag für die Auftragsverarbeitung (AV-Vertrag) abgeschlossen werden.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – AV-VERTRÄGE
Achtung bei Frequenzzählungen – Datenschutz prüfen
Immer öfter werden neuerdings auch sogenannte Frequenzzählungen mit unterschiedlichen Systemen durchgeführt. Die Systeme erfassen dabei zum Beispiel die Besucherfrequenz in Kaufhäusern, Nutzung von Parkplätzen usw. Je nachdem wie die Frequenzzählung durchgeführt wird, werden unterschiedliche Daten verarbeitet.
Manche Anbieter und Verwender geben dabei an, dass keine personenbezogenen Daten bei der Erfassung verarbeitet, d.h. vor allem gespeichert werden. Ein Trugschluss kann dabei sein, dass vermeintlich dann keine Datenschutzerklärung oder auch keine Informationspflicht notwendig wäre.
Dabei sollte die Verarbeitung der Daten allerdings sehr genau geprüft werden. Die Verarbeitung der Daten liegt auch immer dann vor, wenn sie zum Beispiel nur im Gerät stattfindet und auch, wenn diese sofort nach der Verarbeitung gelöscht werden. Ab dem Moment, wo eine Verarbeitung der personenbezogenen Daten in irgendeiner Form erfolgt (selbst bei Löschung), muss der Datenschutz in allen seinen Facetten geprüft und umgesetzt werden. Die Beurteilung des genutzten Systems, sollte auf jeden Fall durch den (externen) Datenschutzbeauftragten erfolgen.
BLOG-TIPP: UMSETZUNG DER DS-GVO: BESTELLPFLICHT FÜR DEN (EXTERNEN) DATENSCHUTZBEAUFTRAGTEN
Datenschutzbeauftragter auf jeden Fall Pflicht bei Videoüberwachung
Bei einer Videoüberwachung entstehen regelmäßig besondere Risiken für den Betroffenen, also jenen, der gefilmt (oder erfasst) wird. Daher schreibt der Datenschutz vor, dass der Verantwortliche immer einen (externen) Datenschutzbeauftragten bestellen muss.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.