Anhang: Datenschutz-Folgenabschätzung

Nach Paragraph 35 der DSGVO ist eine Datenschutz-Folgenabschätzung erforderlich, wenn die Überwachung

mit großer Wahrscheinlichkeit ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben kann. In diesem Fall nimmt der für die Verarbeitung Verantwortliche vor der Datenverarbeitung eine Abschätzung der Folgen der geplanten Verarbeitungsvorgänge für den Schutz der personenbezogenen Daten vor.

Der für die Verarbeitung Verantwortliche muss vor der Verarbeitung die Aufsichtsbehörde konsultieren, wenn eine Datenschutz-Folgenabschätzung nach Paragraph 35 darauf hinweist, dass die Verarbeitung zu einem hohen Risiko führen würde, wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Risikominderung ergreift (Vorherige Konsultation, Paragraph 36 DSGVO).

Erstellen und pflegen Sie eine Datenschutz-Folgenabschätzung, eine Mitteilung an betroffene Personen. Dieses Dokument:

  • Beschreibt den Zweck der Überwachung
  • Wird von dem für die Verarbeitung Verantwortlichen oder vom Datenverarbeiter aufbewahrt
  • Legt die Aufbewahrungsrichtlinie fest

Eine Datenschutz-Folgenabschätzung ist vor der Installation und Implementierung von Videoüberwachungssystemen immer dann vorzunehmen, wenn dies einen Mehrwert für die Bemühungen der Organisation zur Einhaltung der gesetzlichen Vorschriften darstellt. Der Zweck der Datenschutz-Folgenabschätzung besteht darin, die Auswirkungen des geplanten Systems für die Privatsphäre von Einzelpersonen sowie auf sonstige Grundrechte zu ermitteln und Möglichkeiten zur Minderung oder Vermeidung negativer Auswirkungen zu suchen.

Nach Paragraph 35 (7) DSGVO muss die Bewertung mindestens enthalten:

  • Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich des vom für die Verarbeitung Verantwortlichen verfolgten berechtigten Interesses

  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Hinblick auf deren Zweck

  • Eine Bewertung der Risiken für die Rechte und Freiheiten der in Paragraph 35 (1) DSGVO genannten betroffenen Personen:

    Kann eine Verarbeitungsweise, insbesondere mit neuen Technologien und unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, so nimmt der Verantwortliche vor der Verarbeitung eine Abschätzung der Folgen der geplanten Verarbeitungsvorgänge für den Schutz personenbezogener Daten vor. Eine Einzelbewertung kann eine Reihe ähnlicher Verarbeitungsvorgänge betreffen, die ähnliche Risiken mit sich bringen.

  • Die geplanten Maßnahmen zum Umgang mit den Risiken, einschließlich der Maßnahmen zum Schutz und zur Sicherheit und der Mechanismen, die den Schutz personenbezogener Daten gewährleisten und die Einhaltung der DSGVO unter Berücksichtigung der Rechte und berechtigten Interessen der betroffenen und sonstiger Personen nachweisen sollen

Welcher Aufwand für eine Datenschutz-Folgenabschätzung angemessen ist, hängt von den Umständen ab. Ein Videoüberwachungssystem mit großen inhärenten Risiken oder eines, das komplexe oder neuartige Fragen aufwirft, rechtfertigt einen wesentlich größeren Aufwand als eines mit vergleichsweise geringen Auswirkungen auf die Privatsphäre und sonstige Grundrechte, wie z. B. ein herkömmliches statisches CCTV-System, das zu typischen Sicherheitszwecken betrieben wird.

In jedem Fall müssen Organisationen, sei es in einer förmlichen Datenschutz-Folgenabschätzung oder in anderer Weise, bewerten und begründen, ob sie auf Videoüberwachung zurückgreifen, wie sie ihre Systeme aufstellen, auswählen und konfigurieren und wie sie den Datenschutz umsetzen will.

Darüber hinaus kann es Fälle geben, in denen eine Organisation ein nicht-standardmäßiges System plant. In diesem Fall sollte die Organisation die geplanten Abweichungen von der Praxis und den Empfehlungen sorgfältig bewerten, diese mit ihrem Datenschutzbeauftragten und mit sonstigen Anspruchsgruppen besprechen und ihre Bewertung schriftlich dokumentieren, sei es in einer förmlichen Datenschutz-Folgenabschätzung oder in sonstiger Weise. Die Prüfung des Systems durch die Organisation sollte sich auch auf die Gesetzlichkeit der Anpassungen des Systems erstrecken.

Schließlich wird aufgrund ihrer Komplexität, Neuartigkeit, Spezifität oder der inhärenten Risiken dringend empfohlen, eine Datenschutz-Folgenabschätzung vorzunehmen, und zwar in den folgenden Fällen:

  • Videoüberwachung zu anderen als zu Sicherheitszwecken (einschließlich zu Ermittlungszwecken)
  • Videoüberwachung in der Öffentlichkeit
  • Mitarbeiterüberwachung
  • Überwachung im Hoheitsgebiet von Mitgliedstaaten sowie in Drittländern
  • Besondere Datenkategorien
  • Bereiche mit erhöhten Erwartungen an die Privatsphäre
  • High-Tech und/oder intelligente Videoüberwachung
  • Untereinander verbundene Systeme
  • Audioaufzeichnungen

Die Datenschutz-Folgenabschätzung kann intern oder durch einen unabhängigen Auftragnehmer erfolgen. Die Bewertung sollte in einer frühen Phase des Projekts erfolgen. Je nachdem, wie die Ergebnisse der Datenschutz-Folgenabschätzung ausfallen, kann sich die Organisation dazu entscheiden:

  • Die geplante Überwachung zu unterlassen oder sie zu modifizieren und/oder
  • Zusätzliche Sicherungen umzusetzen

Inhärente Risiken bei der Verwendung von VMS

Bei der Pflege der Datenschutz-Folgenabschätzung sollten Sie sich der Risiken bewusst sein, die mit dem Einsatz eines VMS einhergehen.

Die Datenschutz-Folgenabschätzung ist angemessen zu dokumentieren. Grundsätzlich sollte ein Bericht zur Datenschutz-Folgenabschätzung die von der Organisation ermittelten Risiken für die Privatsphäre bzw. sonstige Grundrechte klar benennen, sowie auch zusätzliche Schutzmaßnahmen, die sie vorschlägt. Seien Sie sich der folgenden Risiken der Verletzung von Persönlichkeitsrechten bewusst:

  • Unternehmen/Arbeitgeber, unter Verwendung der Video-Feeds, Alarme oder Auditprotokolle, um:
    • Die Arbeitszeiten der Mitarbeiter am untersuchten Standort zu überwachen - z. B. die Zeiten von Dienstbeginn Dienstschluss
    • Die Arbeitsleistung der Mitarbeiter zu überwachen, indem überwacht wird, wo diese ihre Zeit verbringen, wie viel Zeit sie an der Kaffeemaschine verbringen, wie viel Zeit sie auf der Toilette verbringen, solange sie effektiv an ihrer jeweiligen Aufgabe arbeiten
    • Zu überwachen, was der jeweilige Mitarbeiter auf seinem Computerbildschirm ansieht
    • Zu überwachen, ob die Mitarbeiter die Arbeits- oder Sicherheitsanforderungen einhalten - z. A. auf Baustellen
    • Videoaufnahmen von Mitarbeitern anderen Mitarbeitern oder ihren Vorgesetzten zeigen, um Mitarbeiter zu schikanieren oder anderen Mitarbeitern damit zu drohen, dies zu tun
    • Zu prüfen, ob das Sicherheitspersonal/Bedienpersonal seine Aufgaben wirksam ausführt - z. B. ob es die Clients aktiv benutzt, Kameras auswählt, Aufzeichnungen abspielt usw.
  • Unternehmen/Eigentümer/Betreiber/Sicherheitspersonal, die die Videoübertragungen dafür verwenden:
    • Videoaufnahmen von Personen (Mitarbeiter des Unternehmens oder Personen in der Öffentlichkeit) in peinlichen oder heiklen Situationen auf sozialen Medien zu veröffentlichen
    • PTZ-Kameras dazu zu verwenden, Personen heranzuzoomen, um ohne ihr Wissen intime/unangemessene Nahaufnahmen von ihnen zu erhalten
  • Unternehmen/Eigentümer/Betreiber/Sicherheitspersonal
    • Auf Nachfrage Videoaufzeichnungen zu exportieren oder unkritisch den Zugang dazu zu gewähren

Weitere Quellen zur Erkennung möglicher Risiken sind:

  • Der Milestone Hardening Guide, der das Cyber Risk Management Framework vorgibt, in dem die empfohlenen sechs Schritte der Kategorisierung, Auswahl, Umsetzung, Beurteilung, Autorisierung und Überwachung von Risiken angegeben werden. Im Milestone Hardening Guide werden eine Reihe technischer Risiken angegeben und Implementierungen empfohlen, mit denen sich diese Risiken abmildern lassen. Hierzu gehören u. a. der Schutz der Privatsphäre im VMS im Hinblick auf eine Reihe von Datenschutzverletzungen und Risiken des unbefugten Zugriffs aufgrund einer mangelhaften technischen Konfiguration, Konstruktion und Wartung. Weitere Informationen dazu, wie Sie Ihre XProtect-VMS-Installationen vor Cyber-Angriffen schützen, finden Sie im Absicherungsleitfaden.
  • Die Milestone Anleitung zum Schutz der Privatsphäre (diese) gibt Empfehlungen zum Umgang mit den nicht-technischen Betriebsrisiken, einschließlich des Umgangs mit den Rechten und Anfragen der betroffenen Personen, der Rollen und Verantwortlichkeiten eines VMS, Vorlagen für Sofortmeldungen, Videoüberwachungsrichtlinienund Vereinbarungen mit den für die Verarbeitung Verantwortlichen.
  • Das Milestone E-Learning zum Datenschutz für Endbenutzer soll beim VMS-Betreiber und Vorgesetzte ein Bewusstsein dafür bilden, wie im Tagesbetrieb mit VMS-bezogenen Datenschutzrisiken umgegangen werden sollte. Weitere Informationen finden Sie auf der Milestone Website zur Bereitschaft für die DSGVO.