Zuletzt ging es um Kennzeichnungs- und Informationspflichten bei Videoüberwachung (CCTV).
Heute gehen wir hinsichtlich Kameraaufnahmen der Frage nach: Verlangt unsere Personendatenverarbeitung etwa eine Datenschutz-Folgenabschätzung?
Die Datenschutz-Folgenabschätzung ist zunächst in Artikel 35 DSGVO geregelt. Führt eine Personendatenverarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ herbei so entsteht eine Pflicht zur Datenschutz-Folgenabschätzung – und zwar im Vorhinein.
Dabei finden Art, Umfang, Umstände und Zwecke der Verarbeitung Berücksichtigung und - insbesondere – die allfällige Verwendung neuer Technologien. Von den „Verordnungsermächtigungen“ der Absätze 4 und 5 hat die österreichische Datenschutzbehörde wie folgt Gebrauch gemacht:
- Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV)
- Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V)
Zuständig für die Datenschutz-Folgenabschätzung ist der Verantwortliche, welcher den Datenschutzbeauftragten konsultiert (Art 35 Abs 2 DSGVO). Als Datenschutzbeauftragter bzw Datenschutzkoordinator prüft man in einem ersten Schritt, ob eine Ausnahme gemäß DSFA-AV in Frage kommt. Folgende Positionen würden sich im Zusammenhang mit Videoüberwachung anbieten:
- DSFA-A09 Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)
- DSFA-A10 Bild- und Akustikdatenverarbeitung in Echtzeit
- DSFA-A11 Bild- und Akustikverarbeitungen zu Dokumentationszwecke
Als Beispiel dient uns DSFA-A10, Bild- und Akustikdatenverarbeitung in Echtzeit. Die Norm gilt an Orten, über welche der Verantwortliche verfügungsberechtigt ist. Mit „Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen im Ausmaß von bis zu einem halben Meter“ darf die Bildverarbeitung nicht über diese „privaten“ Örtlichkeiten hinausreichen.
Der höchstpersönliche Lebensbereich von Personen – gemeint sind etwa Sanitär- und Umkleideräume – darf freilich nicht erfasst werden. Es handelt sich hier um „Bild- und Akustikübertragungen ohne Aufzeichnung“ und wer diese Ausnahme nutzen möchte hat geeignete Kennzeichnungen (unter Nennung des Verantwortlichen) anzubringen.
Findet sich kein passender Ausnahme-Tatbestand so wäre eine Prüfung der DSFA-V geboten. Voraussetzung ist – wenig überraschend – dass die „Verarbeitung rechtmäßig im Sinne der Art. 6, Art. 9 und 10 DSGVO erfolgt“ (§ 2 Abs 1 DSFA-V). Laut § 2 Abs 2 DSFA-V könnten zum Beispiel folgende Kriterien eine Pflicht zur Datenschutz-Folgenabschätzung begründen:
Die Personendatenverarbeitung hat die „Beobachtung, Überwachung oder Kontrolle von betroffenen Personen insbesondere mittels Bild- und damit verbundenen Akustikdatenverarbeitungen“ zum Ziel und werden „Straßen mit öffentlichem Verkehr, die gemäß § 1 Straßenverkehrsordnung 1960 (StVO 1960), BGBl. Nr. 159/1960, von jedermann unter den gleichen Bedingungen benützt werden können“ erfasst (§ 2 Abs 2 Z3 lit c DSFA-V).
An dieser Stelle gehört angemerkt, dass die DSFA-AV ebenso wie die DSFA-V beispielhafte Aufzählungen vornehmen und Analogien mit Hinblick auf vergleichbares Risiko zulässig sind. Letztlich zählt immer, ob – im Sinne des Artikel 35 DSGVO – hohes Risiko für natürliche Personen droht. In allen Fällen sollte die Risikobewertung begründet und dokumentiert werden.
Wie Sie anhand der Beispiele zu öffentlichen Verkehrsflächen erkennen entscheiden oft Details wie die genaue Ausrichtung des Kamerabildes über die Notwendigkeit einer Datenschutz-Folgenabschätzung.
Als externer Datenschutzbeauftragter auditieren wir Ihre Videoüberwachung bis ins Detail und Sie erhalten eine Dokumentation von der Rechtmäßigkeits-Prüfung bis zur Maßnahmen-Checkliste.
Ein kostenloses Erstgespräch gibt Aufschluss über die Risikolage und die nötigen Schritte zur Compliance Ihrer Videoüberwachung – am besten noch vor der Inbetriebnahme.