Datenschutz-Folgenabschätzung – mal eben so?

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) beziehungsweise des Bundesdatenschutzgesetzes BDSG sind umfangreiche Vorgaben für den Umgang mit personenbezogenen Daten und deren Schutz gemacht worden. Ein Instrument hierzu ist die Datenschutz-Folgenabschätzung (DSFA), die das Ziel verfolgt, wesentliche Risiken für die Rechte und Freiheiten einer natürlichen Person, die aus einem Datenverarbeitungsvorgang hervorgehen können, zu identifizieren, zu bewerten und einzudämmen. Dazu enthält die Datenschutz-Grundverordnung (DSGVO) umfangreiche Vorgaben. Ein Instrument zur Sicherstellung des Schutzes personenbezogener Daten ist dabei die Datenschutz-Folgenabschätzung (DSFA). Damit wird das Ziel verfolgt, wesentliche Risiken für die Rechte und Freiheiten einer natürlichen Person, die aus einem Datenverarbeitungsvorgang hervorgehen können, zu identifizieren, zu bewerten und einzudämmen.

Im Art. 35 Abs. 1 DSGVO wird explizit festgelegt, dass eine DSFA dann zu erstellen ist, wenn „eine Form der Verarbeitung […] aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat.

Eine DSFA für Videoüberwachungsanlagen ist nicht nur im öffentlichen Raum erforderlich. Da der Schutz personenbezogener Daten im Einklang mit der DSGVO verpflichtend nachgewiesen werden muss(Rechenschaftspflicht), besteht auch bei sonstigen privat oder geschäftlich betriebenen Videoüberwachungsanlagen grundsätzlich Rechenschaftspflicht in Form der Erstellung einer Datenschutz-Folgenabschätzung. Verantwortliche für den Betrieb von Videoüberwachungsanlagen sind sich dieser Verpflichtung häufig nicht bewusst oder können nicht einschätzen, unter welchen Umständen aus einer Videoüberwachung ein potenziell hohes Risiko für den Schutz personenbezogener Daten hervorgeht. Selbst wenn das Bewusstsein für die Erstellung einer DSFA vorhanden ist, bleibt oft unklar, wie diese aufzubauen und mit Leben zu füllen ist. Betrachtet man die Grafik „Komplexität der Datenschutz-Folgenabschätzung, wird deutlich, wie umfassend die Erstellung einer DFSA sein kann.

Auf den ersten Blick ist der Umfang der zu berücksichtigenden Faktoren abschreckend und vor dem geistigen Auge entsteht schnell der drohende Begriff „Bürokratiemonster“. Nähert man sich dem Thema allerdings strukturiert, wird deutlich, dass die Bearbeitung und Erstellung einer DSFA zwar auf der einen Seite mit viel Aufwand verbunden ist, aber auf der anderen Seite ein hilfreiches Instrument insbesondere dann sein kann, wenn von betroffenen Personen oder Interessensvertreter betroffener Personen der Nachweis des rechtskonformen Betriebs der Videoüberwachungsanlage verlangt wird.

Selbst wenn bei den Verantwortlichen grundsätzlich das Bewusstsein vorhanden ist, das unangenehme Thema aufzugreifen, besteht meist Unklarheit darüber, ob überhaupt eine Datenschutz-Folgenabschätzung benötigt und wenn ja, wie die DSFA aufzubauen und mit Leben zu füllen ist. Meist wird irrtümlich davon ausgegangen, dass die DSFA nur dann erforderlich ist, wenn die Videoanlage öffentlich zugängliche Bereiche erfasst. Das ist allerdings nur die berühmte „halbe Wahrheit“. Zur Beantwortung der Frage, ob eine DSFA benötigt wird, bietet der Artikel 35 der DSGVO Hilfestellung. Darin wird eindeutig beschrieben, unter welchen Voraussetzungen eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden muss.

Ob öffentlich zugängliche Bereiche betroffen sind, ist in der Regel leicht zu beantworten, gleichzeitig aber sehr oft der Fall. Von einer systematischen Überwachung ist bei Videoanlagen ebenfalls grundsätzlich auszugehen. Zu beantworten, ab welcher Größenordnung die Überwachung „umfangreich“ ist, wird schon schwieriger. Spätestens die Frage, ob von der Videoüberwachung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen ausgeht, kann von Laien meist nicht mehr beantwortet werden.

Für die strukturierte Herangehensweise und Umsetzung des Projektes „Erstellung einer Datenschutz-Folgenabschätzung“ bietet die Grafik „Ablauf / Prozess einer Datenschutz-Folgenabschätzung“ Hilfestellung.

Eine Datenschutz-Folgenabschätzung ist komplex und berücksichtigt viele Faktoren. Der Art. 35 Abs. 7 DSGVO legt fest, dass die DSFA mindestens nachfolgende vier Themenbereiche zu bearbeiten sind:

Eine verbindliche Vorgabe für den strukturellen oder formalen Aufbau der DSFA macht die DSGVO nicht. Die mögliche inhaltliche Komplexität der DSFA ist der Grafik „Ablauf / Prozess einer Datenschutz-Folgenabschätzung“ ohne Anspruch auf Vollständigkeit zu entnehmen. Der Teufel steckt bekanntermaßen im Detail. Um das Dokument also formal, inhaltlich und fachlich so zu erstellen, dass möglichst wenig oder sogar keine Einsprüche durch den zuständigen Datenschutzbeauftragten erhoben werden, braucht es Erfahrung und das notwendige Fingerspitzengefühl. Empfehlenswert ist es, bereits in der Konzeptphase oder spätestens in der Planungsphase einen Entwurf der DSFA zu erstellen und mit dem zuständigen Datenschutzbeauftragten abzustimmen. Erst wenn eine positive Bewertung der Videoüberwachungsmaßnahmen vorliegt, sollte eine Videoüberwachungsanlage beauftragt beziehungsweise errichtet werden.

Anhand eines aktuellen Beispiels lässt sich die anschaulich darstellen: Die Fassade eines kommunalen Gebäudes mit sehr hohem Schutzbedarf grenzt direkt an den öffentlichen Raum in Form des Bürgersteigs. Eine permanente Videoüberwachung des Fassadenverlaufes ist nicht vorgesehen, da unsinnig, ohne wesentlichen Schutzwert und sowieso gegen den Datenschutz verstoßen würde. Allerdings sollten an der Fassade abgestellte Gegenstände mittels Analysesoftware erkannt werden und auf das Ereignis „Abgestellter Gegenstand erkannt“ sowohl eine Alarmierung als auch eine ereignisgesteuerte Bildaufschaltung in Kombination mit einer Bildspeicherung generieren.

Diese Maßnahme wurde durch den Datenschutzbeauftragten der Stadt beziehungsweise des Landes abgelehnt (Auszug aus der Stellungnahme: Eine Videoüberwachung des Gehweges [...] ist rechtswidrig. Zwar ist die Maßnahme mit ihrer risikomindernden Wirkung (als Abschreckung) gegen Übergriffe geeignet, jedoch nicht erforderlich. Ferner überwiegt das Recht auf informationelle Selbstbestimmung im öffentlichen Raum von Videoüberwachungen verschont zu bleiben, das Interesse des Nutzers an der Videoüberwachung des Gehweges). Trotz detaillierter Beschreibung des Zwecks, des Interesses (Aufrechterhaltung der nahezu 100-prozentigen Verfügbarkeit), der Notwendigkeit (Risikominimierung) sowie der Verhältnismäßigkeit der Sicherheitsmaßnahme, fand die Videoüberwachung im öffentlichen Raum keine Gnade vor der Meinung des Datenschutzbeauftragten beziehungsweise des Datenschutzgesetzes des betreffenden Bundeslandes. Insbesondere muss dem Datenschutzbeauftragten vertiefend erläutert werden, dass die Maßnahmen nicht dem Schutzziel „Abschreckung“ (risikomindernden Wirkung als Abschreckung gegen Übergriffe) diente, sondern dem Schutzziel „Erkennen eines Gegenstandes“.

Glücklicherweise befindet sich das Projekt momentan noch in der Planungsphase. Es liegt nunmehr am Betreiber/der zuständigen Behörde und seines Beraters, das berechtigte Interesse so nachzuweisen, dass durch die Maßnahme auf der einen Seite Daten nur im Ereignisfall und für eine kurze Zeit erhoben werden und auf der anderen Seite eine erhebliche Reduzierung der Gefahr für Leib und Leben durch das Erkennen und umgehenden Reagieren bzw. Intervenieren erfolgen könnte. Alles Weitere liegt dann in der Hand des Datenschutzbeauftragten.