X
Digital
Allgemein Compliance Datenschutz Digital Law

Neue Leitlinien des EDSA zur Videoüberwachung

Der Europäische Datenschutzausschuss hat im Juli neue Leitlinien für die Verarbeitung personenbezogener Daten durch Videoeinrichtungen (vorerst zur öffentlichen Konsultation) verabschiedet. Die Leitlinien bestätigen durchwegs die österreichischen Regelungen zu dieser Thematik, geben aber auch Hilfestellung zu Themen wie der Verarbeitung biometrischer Daten oder der richtigen Kennzeichnung.

[lindepaywall tokens=“dsaktuell-media“]

Die neuen Leitlinien (Guidelines 3/2019 on processing of personal data through video devices – Version for public consultation – Adopted on 10 July 2019) ersetzen die Stellungnahme 4/2004 der Artikel 29‑Datenschutzgruppe betreffend die Verarbeitung von personenbezogenen Daten mittels Videoüberwachung (WP 89). Dazu sah sich der Europäische Datenschutzausschuss (EDSA) offenbar veranlasst, da nach seiner Ansicht die mittlerweile verfügbare (Video-)Technologie bereits so weit vorangeschritten ist, dass dadurch eine anonyme Bewegung, das anonyme Nutzen von Dienstleistungen sowie die generelle Möglichkeit unbemerkt zu bleiben, beschränkt werden könnte. Dies führe zu massiven datenschutzrechtlichen Implikationen. In der Folge müssen daher entsprechende Garantien gewährleistet werden, um Missbrauch zu verhindern und Betroffene umfassend aufzuklären.

In Österreich bereits umfassende Regelungen zur Videoüberwachung

In Österreich hat man bereits im DSG 2000 und auch nunmehr im DSG die besondere Verarbeitungstätigkeit der „Bildverarbeitung“ umfassend geregelt. Diese aktuellen Regelungen in den §§ 12 und 13 DSG entsprechen auch im Wesentlichen den Vorgaben der neuen Leitlinien; insbesondere hinsichtlich der Zulässigkeit der Bildaufnahme, der Ergreifung geeigneter technischer und organisatorischer Maßnahmen sowie hinsichtlich Speicherdauer und Kennzeichnung.

Ausnahmen vom Anwendungsbereich der DSGVO

Wenig überraschend hält der EDSA fest, dass eine Videoüberwachung als Verarbeitung personenbezogener Daten zu qualifizieren ist, wenn natürliche Personen davon erfasst werden. Dabei handelt es sich um optische oder audiovisuelle Informationen von Personen, die den überwachten Bereich betreten und die aufgrund ihres Aussehens oder anderer spezieller Elemente identifizierbar werden. Ausgenommen vom Anwendungsbereich der DSGVO (und des DSG) sind etwa Bildaufnahmen bei denen Personen nicht identifizierbar sind (z.B. aus großer Höhe) oder die unter die in der Praxis sehr relevante sog. „Household Exemtion“ gemäß Art. 2 Abs 2 lit c DSGVO fallen. Letztere, wonach die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten findet, ist nach Ansicht des EDSA aber sehr einschränkend auszulegen. Sie ist etwa nicht anzuwenden, wenn Bildaufnahmen, die zwar im privaten bzw. familiären Kreis aufgenommen wurden, nachträglich im Internet publiziert und einem unbegrenzten Personenkreis zugänglich gemacht werden (z.B. über YouTube). Weiters fällt eine Videoüberwachung nicht unter diese Ausnahme, wenn auch ein „nur zum Teil öffentlicher Bereich“ von der Aufnahme umfasst ist. Fraglich ist in diesem Zusammenhang, ob dies auch für die nach dem DSG und seinen Verordnungen durchwegs zugestandene „unvermeidbare Einbeziehung öffentlicher Verkehrsflächen“ gilt. Insgesamt müsste die Anwendbarkeit aber immer in einer Gesamtbetrachtung evaluiert werden.

Zulässigkeit der Videoüberwachung

Die Ansicht des EDSA, dass grundsätzlich alle Rechtsgrundlagen nach Art 6 Abs 1 DSGVO für die Videoüberwachung herangezogen werden können, wird in Österreich in § 12 Abs 2 DSG auf vier mögliche Rechtsgrundlagen eingeschränkt. Wichtigste Rechtsgrundlage wird aber ohnedies das überwiegende Interesse des Verantwortlichen oder eines Dritten sein. Diesbezüglich stellt der EDSA klar: Die rechtlichen oder wirtschaftlichen Interessen müssen tatsächlich vorliegen und nicht nur spekulativ sein (z.B. tatsächliche Gefahr von Einbrüchen oder Vandalismus). Eine Videoüberwachung sollte zudem immer ultima ratio sein, wenn ihr Zweck nicht durch gelindere Mittel, wie bspw. einen Wachdienst oder physischen Sicherheitsvorkehrungen, erreicht werden kann. Auch die Ausgestaltung sollte – den allgemeinen Grundsätzen der DSGVO entsprechend – möglichst wenig eingriffsintensiv sein.

Soll eine Bildverarbeitung auf die Rechtsgrundlage der Einwilligung gemäß Art 6 Abs 1 lit a DSGVO iVm § 12 Abs 2 Z 2 DSG gestützt werden, so ist auch hier eine klar bestätigende Handlung oder Erklärung notwendig; das bloße Betreten eines gekennzeichneten überwachten Bereiches ist nicht ausreichend.

Biometrische Daten

Die Leitlinien bestätigen auch die mittlerweile herrschende Ansicht, dass eine Videoüberwachung grundsätzlich nicht per se als Verarbeitung besonderer Kategorien personenbezogener Daten zu beurteilen ist. Anders, wenn das Videoüberwachungssystem gezielt dazu verwendet wird, besondere Kategorien personenbezogener Daten zu identifizieren bzw. zu verarbeiten oder wenn es Zweck der Verarbeitung ist, Personen aufgrund von Merkmalen iSd Art 9 Abs 1 DSGVO zu kategorisieren. Eine solche Verarbeitung ist nur zulässig, wenn sie aufgrund einer Rechtsgrundlage gemäß Art 9 DSGVO vorgenommen wird. Auch liegt nicht schlichtweg bei jeder Bildverarbeitung eine Verarbeitung von biometrischen Daten vor, sondern erst, wenn das Bildmaterial speziell verarbeitet wird, um Daten zu persönlichen Merkmalen zu gewinnen und so die Identifikation einer Person zu ermöglichen (Art 4 Z 14 DSGVO). In den meisten Fällen wird die Verarbeitung von biometrischen Daten nur aufgrund einer ausdrücklichen Einwilligung gemäß Art 9 Abs 2 lit a) DSGVO möglich sein, in diesen Fällen muss der Verantwortliche aber auch alternative Lösungen ohne die Verarbeitung biometrischer Daten anbieten.

Betroffenenrechte

Auch auf Besonderheiten hinsichtlich der Rechte Betroffener im Zusammenhang mit Videoüberwachungstätigkeiten geht der EDSA ein. So hat ein Verantwortlicher sicherzustellen, dass Auskunftsbegehren effektiv erfüllt werden können. Davon gibt es nur wenige und restriktiv handzuhabende Ausnahmen. Zum Beispiel, wenn Rechte anderer Personen verletzt werden würden, was jedoch nicht als Universalausrede zur Beschränkung des Rechts auf Auskunft genutzt werden darf. Vielmehr müssten entsprechende Maßnahmen getroffen werden, um die Rechte anderer Personen zu schützen (beispielsweise durch Verpixelungen oder Schwärzungen). Eine andere Ausnahme wäre, dass der Verantwortliche den Betroffenen gar nicht identifizieren kann, beispielsweise bei der Bildverarbeitung einer Vielzahl von Betroffenen, ohne dass der Antragsteller den Zeitraum, in dem er den Aufnahmebereich betreten hat, (zumindest auf etwa zwei Stunden) beschränken kann. Hinsichtlich des Rechts auf Löschung hält der EDSA fest, dass – analog zur Anonymisierung bei sonstigen Daten – auch hinsichtlich der Bildverarbeitung eine (unumkehrbare) Undeutlichmachung von Personen eine Löschung iSd DSGVO bewirkt.

Information und Kennzeichnung

Die für die Praxis womöglich wichtigste Handlungsanleitung dieser Leitlinien betrifft die Transparenz- und Informationspflichten. So ist zwar in § 13 Abs 5 DSG festgeschrieben, dass der Verantwortliche einer Bildaufnahme diese geeignet zu kennzeichnen hat und aus dieser Kennzeichnung zumindest der Verantwortliche eindeutig hervorzugehen hat. Wie diese Kennzeichnung aber im Detail gesetzmäßig ausgestaltet sein sollte und wie im Spezialfall der Videoüberwachung die Informationen nach Art 13 DSGVO „zum Zeitpunkt der Erhebung“ erteilt werden sollten, war bislang unklar. Nach Ansicht des EDSA (unter Verweis auf die vom EDSA bestätigten Leitlinien der Art-29-Datenschutzruppe zur Transparenz (WP 260)) kann den Informationspflichten am besten mittels eines mehrstufigen Verfahrens entsprochen werden: In einer ersten Stufe ist ein Warnhinweis (bevorzugt auf Augenhöhe und möglichst vor Betreten des Überwachungsbereiches) anzubringen. Dieser Hinweis hat die wichtigsten Informationen zu enthalten; insbesondere Angaben zum Verantwortlichen, Zweck und Rechtsgrundlage der Videoüberwachung sowie die Belehrung über die Rechte der Betroffenen. Weiters sollte ein Verweis auf die zweite Stufe enthalten sein, wo die anderen verpflichteten Informationen nach Art 13 DSGVO abrufbar sind. Verwiesen werden sollte im Idealfall zu einer digitalen Quelle (beispielsweise über einen QR‑Code oder eine Webadresse), wobei die Information jedenfalls auch in analoger Form einfach zugänglich verfügbar sein sollte (beispielsweise an der Rezeption oder Kassa). Als Beispiel für einen Warnhinweises der ersten Stufe enthalten die Leitlinien diese Abbildung:

Speicherdauer, TOMs und DSFA

Die Speicherdauer empfiehlt der EDSA naturgemäß im Hinblick auf den Zweck möglichst zu beschränken. Im Normallfall sollte eine Speicherdauer von 72 Stunden ausreichend sein. Davon geht auch der österreichische Gesetzgeber in § 13 Abs 3 DSG aus: Eine längere Aufbewahrungsdauer muss jedenfalls verhältnismäßig sein, wäre gesondert zu protokollieren und ist auch zu begründen.

Selbstverständlich sollten auch, soweit möglich, die Grundsätze von „Privacy by Design“ und „Privacy by Default“ berücksichtig werden (z.B. automatische Ausblendung öffentlicher Flächen) und selbstverständlich entsprechende organisatorische Maßnahmen getroffen werden.

Unter Verweis auf die Leitlinien der Artikel-29-Datenschutzgruppe zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ statuieren die Leitlinien zusammenfassend, dass wahrscheinlich viele Videoüberwachungen die Notwendigkeit einer DSFA begründen. In Österreich ist das bereits klar geregelt. Gemäß § 2 Abs 2 Z 3 der Verordnung über Verarbeitungsvorgänge, für die eine Datenschutz‑Folgenabschätzung durchzuführen ist (DSFA‑V), ist für bestimmte Bildverarbeitungen, insbesondere solche, denen man kaum entkommt, eine DSFA durchzuführen. Dies steht im Einklang mit der korrespondierenden Verordnung über die Ausnahmen von der Datenschutz‑Folgenabschätzung (DSFA-AV): Neben der Echtzeitverarbeitung sind auch Bildverarbeitungen hinsichtlich Einfamilienhäusern samt Grundstück und Wohnungen sowie Bildverarbeitungen hinsichtlich allgemein zugänglicher Örtlichkeiten, die dem Hausrecht des Verantwortlichen unterliegen, grundsätzlich von einer DSFA ausgenommen; genauso wie Videoüberwachungen, die nach dem DSG 2000 der Vorabkontrolle unterlagen, genehmigt waren und seither nicht verändert wurden.

Zusammenfassung

Die Leitlinien bieten eine umfangreiche Anleitung zur gesetzmäßigen Durchführung von Videoüberwachungen. Für Österreich sind sie jedoch nur eingeschränkt hilfreich, da viele der Empfehlungen ohnedies gesetzlich festgeschrieben sind und in diesen Bereichen weniger Auslegungsbedarf besteht. Schwierigkeiten werden daher eher in anderen Bereichen als dem Objektschutz auftreten, insbesondere bei Bilddatenverarbeitungen zu Marketingzwecken, wie Kundenstromsteuerung oder der Angebotspersonalisierung.

[/lindepaywall]