Image
kraiss_datenschutz_aufmacher.jpeg
Foto: MK-Photo - stock.adobe.com
Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) sind umfangreiche Vorgaben für den Umgang mit personenbezogenen Daten und deren Schutz gemacht worden.

Videosicherheit

Datenschutz-Folgenabschätzung – mal eben so?

Der Einklang mit der DSGVO ist eine Grundvoraussetzung für den rechtskonformen Betrieb von Videoanlagen. Die Datenschutz-Folgenabschätzung hilft dabei. 

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) beziehungsweise des Bundesdatenschutzgesetzes BDSG sind umfangreiche Vorgaben für den Umgang mit personenbezogenen Daten und deren Schutz gemacht worden. Ein Instrument hierzu ist die Datenschutz-Folgenabschätzung (DSFA), die das Ziel verfolgt, wesentliche Risiken für die Rechte und Freiheiten einer natürlichen Person, die aus einem Datenverarbeitungsvorgang hervorgehen können, zu identifizieren, zu bewerten und einzudämmen. Dazu enthält die Datenschutz-Grundverordnung (DSGVO) umfangreiche Vorgaben. Ein Instrument zur Sicherstellung des Schutzes personenbezogener Daten ist dabei die Datenschutz-Folgenabschätzung (DSFA). Damit wird das Ziel verfolgt, wesentliche Risiken für die Rechte und Freiheiten einer natürlichen Person, die aus einem Datenverarbeitungsvorgang hervorgehen können, zu identifizieren, zu bewerten und einzudämmen.

Im Art. 35 Abs. 1 DSGVO wird explizit festgelegt, dass eine DSFA dann zu erstellen ist, wenn „eine Form der Verarbeitung […] aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat.

Fünf Tipps zur Umsetzung der DSGVO-Vorgaben

Trotz steigender Bußgelder setzt erst jedes fünfte Unternehmen die Richtlinien der Datenschutzgrundverordnung (DSGVO) vollständig um. Retarus gibt hilfreiche Tipps.
Artikel lesen

Unwissen bei der DSGVO schützt nicht vor Konsequenzen

Eine DSFA für Videoüberwachungsanlagen ist nicht nur im öffentlichen Raum erforderlich. Da der Schutz personenbezogener Daten im Einklang mit der DSGVO verpflichtend nachgewiesen werden muss(Rechenschaftspflicht), besteht auch bei sonstigen privat oder geschäftlich betriebenen Videoüberwachungsanlagen grundsätzlich Rechenschaftspflicht in Form der Erstellung einer Datenschutz-Folgenabschätzung. Verantwortliche für den Betrieb von Videoüberwachungsanlagen sind sich dieser Verpflichtung häufig nicht bewusst oder können nicht einschätzen, unter welchen Umständen aus einer Videoüberwachung ein potenziell hohes Risiko für den Schutz personenbezogener Daten hervorgeht. Selbst wenn das Bewusstsein für die Erstellung einer DSFA vorhanden ist, bleibt oft unklar, wie diese aufzubauen und mit Leben zu füllen ist. Betrachtet man die Grafik „Komplexität der Datenschutz-Folgenabschätzung, wird deutlich, wie umfassend die Erstellung einer DFSA sein kann.

Strukturierte Vorgehensweise beim Datenschutz führt zum Ziel

Auf den ersten Blick ist der Umfang der zu berücksichtigenden Faktoren abschreckend und vor dem geistigen Auge entsteht schnell der drohende Begriff „Bürokratiemonster“. Nähert man sich dem Thema allerdings strukturiert, wird deutlich, dass die Bearbeitung und Erstellung einer DSFA zwar auf der einen Seite mit viel Aufwand verbunden ist, aber auf der anderen Seite ein hilfreiches Instrument insbesondere dann sein kann, wenn von betroffenen Personen oder Interessensvertreter betroffener Personen der Nachweis des rechtskonformen Betriebs der Videoüberwachungsanlage verlangt wird.

Selbst wenn bei den Verantwortlichen grundsätzlich das Bewusstsein vorhanden ist, das unangenehme Thema aufzugreifen, besteht meist Unklarheit darüber, ob überhaupt eine Datenschutz-Folgenabschätzung benötigt und wenn ja, wie die DSFA aufzubauen und mit Leben zu füllen ist. Meist wird irrtümlich davon ausgegangen, dass die DSFA nur dann erforderlich ist, wenn die Videoanlage öffentlich zugängliche Bereiche erfasst. Das ist allerdings nur die berühmte „halbe Wahrheit“. Zur Beantwortung der Frage, ob eine DSFA benötigt wird, bietet der Artikel 35 der DSGVO Hilfestellung. Darin wird eindeutig beschrieben, unter welchen Voraussetzungen eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden muss.

Eine DSFA für Videoanlagen ist vielmehr dann zu erstellen, wenn:

  • die Form der Verarbeitung aufgrund der Art und des Umfangs voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat oder
  • öffentlich zugängliche Bereiche systematisch umfangreich überwacht werden

Ob öffentlich zugängliche Bereiche betroffen sind, ist in der Regel leicht zu beantworten, gleichzeitig aber sehr oft der Fall. Von einer systematischen Überwachung ist bei Videoanlagen ebenfalls grundsätzlich auszugehen. Zu beantworten, ab welcher Größenordnung die Überwachung „umfangreich“ ist, wird schon schwieriger. Spätestens die Frage, ob von der Videoüberwachung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen ausgeht, kann von Laien meist nicht mehr beantwortet werden.

Für die strukturierte Herangehensweise und Umsetzung des Projektes „Erstellung einer Datenschutz-Folgenabschätzung“ bietet die Grafik „Ablauf / Prozess einer Datenschutz-Folgenabschätzung“ Hilfestellung.

Was bedeutet Privacy by Design für Software-Entwicklung?

VNC benennt die fünf Kernpunkte, was Privacy by Design nun genau für die Software-Entwicklung  auch im Rahmen der DSGVO bedeutet.
Artikel lesen

Wie ist Datenschutz-Folgenabschätzung aufzubauen und mit Leben zu füllen?

Eine Datenschutz-Folgenabschätzung ist komplex und berücksichtigt viele Faktoren. Der Art. 35 Abs. 7 DSGVO legt fest, dass die DSFA mindestens nachfolgende vier Themenbereiche zu bearbeiten sind:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfall einschließlich der vom Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen [...];
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass [die DSGVO] eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird“.

Eine verbindliche Vorgabe für den strukturellen oder formalen Aufbau der DSFA macht die DSGVO nicht. Die mögliche inhaltliche Komplexität der DSFA ist der Grafik „Ablauf / Prozess einer Datenschutz-Folgenabschätzung“ ohne Anspruch auf Vollständigkeit zu entnehmen. Der Teufel steckt bekanntermaßen im Detail. Um das Dokument also formal, inhaltlich und fachlich so zu erstellen, dass möglichst wenig oder sogar keine Einsprüche durch den zuständigen Datenschutzbeauftragten erhoben werden, braucht es Erfahrung und das notwendige Fingerspitzengefühl. Empfehlenswert ist es, bereits in der Konzeptphase oder spätestens in der Planungsphase einen Entwurf der DSFA zu erstellen und mit dem zuständigen Datenschutzbeauftragten abzustimmen. Erst wenn eine positive Bewertung der Videoüberwachungsmaßnahmen vorliegt, sollte eine Videoüberwachungsanlage beauftragt beziehungsweise errichtet werden.

Ein aktuelles Beispiel veranschaulicht die Problematik in Verbindung mit der DSGVO

Anhand eines aktuellen Beispiels lässt sich die anschaulich darstellen: Die Fassade eines kommunalen Gebäudes mit sehr hohem Schutzbedarf grenzt direkt an den öffentlichen Raum in Form des Bürgersteigs. Eine permanente Videoüberwachung des Fassadenverlaufes ist nicht vorgesehen, da unsinnig, ohne wesentlichen Schutzwert und sowieso gegen den Datenschutz verstoßen würde. Allerdings sollten an der Fassade abgestellte Gegenstände mittels Analysesoftware erkannt werden und auf das Ereignis „Abgestellter Gegenstand erkannt“ sowohl eine Alarmierung als auch eine ereignisgesteuerte Bildaufschaltung in Kombination mit einer Bildspeicherung generieren.

Diese Maßnahme wurde durch den Datenschutzbeauftragten der Stadt beziehungsweise des Landes abgelehnt (Auszug aus der Stellungnahme: Eine Videoüberwachung des Gehweges [...] ist rechtswidrig. Zwar ist die Maßnahme mit ihrer risikomindernden Wirkung (als Abschreckung) gegen Übergriffe geeignet, jedoch nicht erforderlich. Ferner überwiegt das Recht auf informationelle Selbstbestimmung im öffentlichen Raum von Videoüberwachungen verschont zu bleiben, das Interesse des Nutzers an der Videoüberwachung des Gehweges). Trotz detaillierter Beschreibung des Zwecks, des Interesses (Aufrechterhaltung der nahezu 100-prozentigen Verfügbarkeit), der Notwendigkeit (Risikominimierung) sowie der Verhältnismäßigkeit der Sicherheitsmaßnahme, fand die Videoüberwachung im öffentlichen Raum keine Gnade vor der Meinung des Datenschutzbeauftragten beziehungsweise des Datenschutzgesetzes des betreffenden Bundeslandes. Insbesondere muss dem Datenschutzbeauftragten vertiefend erläutert werden, dass die Maßnahmen nicht dem Schutzziel „Abschreckung“ (risikomindernden Wirkung als Abschreckung gegen Übergriffe) diente, sondern dem Schutzziel „Erkennen eines Gegenstandes“.

Glücklicherweise befindet sich das Projekt momentan noch in der Planungsphase. Es liegt nunmehr am Betreiber/der zuständigen Behörde und seines Beraters, das berechtigte Interesse so nachzuweisen, dass durch die Maßnahme auf der einen Seite Daten nur im Ereignisfall und für eine kurze Zeit erhoben werden und auf der anderen Seite eine erhebliche Reduzierung der Gefahr für Leib und Leben durch das Erkennen und umgehenden Reagieren bzw. Intervenieren erfolgen könnte. Alles Weitere liegt dann in der Hand des Datenschutzbeauftragten.

kraiss_datenschutz_komplexitaet.jpeg
Die Komplexität einer Datenschutz-Folgenabschätzung sollte man nicht unterschätzen. 
kraiss_datenschutz_ablauf.jpeg
Der Ablauf einer Datenschutz-Folgenabschätzung in der Übersicht.

Datenschutzerklärung

Sicherheit.info ist ein Internetdienst von Schlütersche Verlagsgesellschaft mbH & Co. KG. Der Schutz Ihrer personenbezogenen Daten bei der Erhebung, Verarbeitung und Nutzung anlässlich Ihres Besuchs auf Sicherheit.info ist uns ein wichtiges Anliegen. Ihre Daten werden im Rahmen der gesetzlichen Vorschriften geschützt. Nachfolgend finden Sie Informationen, welche Daten während Ihres Besuchs erfasst und wie diese genutzt werden.

Foto: Archiv

Rückblicke/Ausblicke

Waren- und Datenschutz

Heute stöbern wir im Rahmen unserer Archiv-Rubrik in der Dezember-Ausgabe des Jahres 1997, in der unterschiedliche Methoden der Warensicherung im Einzelhandel vorgestellt wurden.

Foto: Reisswolf

Reisswolf

Aktenschutz ist Datenschutz

Wenn es um den Datenschutz geht, vertrauen die Deutschen laut einer Forsa-Umfrage den Krankenkassen, Banken, Ärzten und Krankenhäusern am meisten. Doch wie sieht das bei kleinen und mittelständischen Unternehmen aus, die immer mehr persönliche Daten von Kunden erheben, speichern und verarbeiten?

Foto: Kraiss Security Consult

Die Quadratur des Kraiss

Moment mal

Jedem Sachkundigen war und ist klar, was mit „Schließanlage“ und „Zutrittskontrollsystem“ gemeint ist. Doch mit Einzug der Elektronik wird die Begriffsvielfalt groß und sorgt für Unsicherheit.