Für Unternehmen liegen die Vorteile von Videoaufzeichnungen auf der Hand. Sie eignen sich sowohl als präventive Maßnahme zur Abschreckung etwa gegen Delikte wie Diebstähle oder Vandalismus als auch zur nachträglichen Aufklärung von kriminellen Handlungen. Zudem ist die Überwachung mit Kameras längst unkompliziert und selbst in großer Anzahl verhältnismäßig kostengünstig geworden. Damit einher geht allerdings ein erhöhtes Risiko von Eingriffen in das Persönlichkeitsrecht der gefilmten Personen. In diesem sensiblen Bereich ist es für Unternehmen deshalb ganz entscheidend, einen angemessenen Ausgleich zu finden und Videoüberwachung rechtskonform auszugestalten. Neben möglichen Imageschäden drohen schnell erhebliche Rechtsverstöße. So erhielt im Januar die notebooksbilliger.de AG ein Bußgeld über 10,4 Mio. Euro wegen datenschutzrechtlicher Verstöße bei der Videoüberwachung. Wir zeigen Ihnen in diesem Beitrag, wie Sie Bußgelder vermeiden und worauf es bei der Videoüberwachung ankommt.
Einführung: Was ist Videoüberwachung und wo liegen die Gefahren?
Zum Begriff der Videoüberwachung
Datenschutzrechtlich liegt eine Videoüberwachung immer vor, sobald mit Kameras personenbezogene Daten verarbeitet werden. Damit sind zum einen nicht nur herkömmliche Überwachungskameras, sondern auch alle anderen Kameras wie Handykameras, Webcams oder Drohnen erfasst. Zum anderen muss mit der Kamera nicht einmal ein Überwachungszweck verfolgt werden, sondern es kommt vielmehr darauf an, ob tatsächlich gefilmt wird. Bloße Kameraattrappen nehmen hingegen keine personenbezogenen Daten auf und sind zumindest datenschutzrechtlich nicht zu berücksichtigen. Die Aufnahmen müssen schließlich auch nicht aufgezeichnet werden, denn die Live-Übertragung, die auf Bildschirmen verfolgt und nicht gespeichert wird, stellt genauso eine Videoüberwachung dar. Es kommt daher allein auf die Aufnahme an sich an, sodass die Aufnahmen nicht einmal von jemandem angesehen werden müssen, bevor sie gelöscht werden. Der Eingriff in das Recht auf informationelle Selbstbestimmung, welches das Datenschutzrecht schützt, liegt bereits mit der Aufnahme vor.
Datenschutzrecht ist deshalb einschlägig, da Videoaufnahmen von Personen die Erfassung personenbezogener Daten bedeuten, sobald auf ihnen Personen eindeutig erkennbar oder auch nur Hinweise auf ihre Identität enthalten sind. Bereits die über die Kamera sichtbare Information, dass sich eine bestimmte Person zu einer bestimmten Zeit an einem bestimmten Ort aufgehalten hat, kann ein personenbezogenes Datum darstellen.
Rechtliche Herausforderungen
Der Umstand, gefilmt zu werden, greift fast immer in sensible Persönlichkeitsbereiche ein. Der freie und unbeobachtete Aufenthalt im öffentlichen Raum ist daher ein Recht, in das nicht uneingeschränkt eingegriffen werden kann. Die Vielzahl von Überwachungskameras, ihre teils geringe Größe oder ihre Positionierung können sogar dazu führen, dass die gefilmten Personen sich der Überwachung gar nicht erst bewusst werden. Zudem ermöglichen neue, innovative, technische Lösungen Bilder von extrem hoher Auflösung, Personen können durch schwenkbare Kameras genau verfolgt oder mittels Gesichtserkennungssoftware identifiziert werden. Inzwischen ist es bereits möglich, dass eine Software die Identifikation einer Person am Gang vornehmen können. Darüber hinaus stellt es technisch längst kein Problem mehr dar, große Mengen an Videomaterial über sehr lange Zeiträume zu speichern. Damit geht ein höheres Risiko immer stärkerer Eingriffe in Grundrechte einher, seien es zum Beispiel die von Mitarbeitern eines Unternehmens, von Gästen oder anderer Personen. Es müssen daher eine Reihe gesetzlicher Vorgaben beachtet werden. Diese variieren auch abhängig vom jeweiligen Kontext, in dem die Videoüberwachung eingesetzt wird. Während es unterschiedliche rechtliche Voraussetzungen für die Überwachung öffentlicher und nichtöffentlicher Räume gibt, gilt die DSGVO für Videoaufnahmen im rein privaten Bereich gar nicht. Die private Videoüberwachung öffentlicher Räume kann allerdings unter einen Straftatbestand fallen, etwa die Verletzung des höchstpersönlichen Lebensbereichs und von Persönlichkeitsrechten durch Bildaufnahmen nach § 201a Strafgesetzbuch (StGB).
Zwecke und Rechtsgrundlage festlegen
Wie bei jeder Verarbeitung personenbezogener Daten ist eine Rechtsgrundlage für ihre Rechtmäßigkeit notwendig. An sich kommen alle gesetzlichen Rechtsgrundlagen des Art. 6 DSGVO in Betracht, für die Videoüberwachung am gängigsten dürften jedoch die berechtigten Interessen sein. Allerdings kann es sein, dass im Beschäftigungsverhältnis oder bei der Erfassung von Gesundheitsdaten höhere Anforderungen und andere Rechtsgrundlagen einschlägig sein können (siehe IV.).
Zwecke festlegen
Zunächst sollten die Zwecke festgelegt werden, die mit der Videoüberwachung verfolgt werden. Hier ist wichtig, dass nicht die Zwecke für die Videoüberwachung insgesamt, sondern für jede einzelne Kamera gesondert benannt werden müssen. Zudem sollten die Zwecke möglichst konkret beschrieben werden und Beschreibungen wie „als Schutzmaßnahme“ oder „aus Gründen der Sicherheit“ nicht allein stehengelassen werden. Mögliche Zwecke sind etwa der bereits angesprochene Eigentumsschutz oder der Schutz vor körperlichen Angriffen.
Berechtigte Interessen
Die Videoüberwachung kann nach Art. 6 Abs. 1 lit. f DSGVO rechtmäßig sein, wenn das Unternehmen mit ihr ein berechtigtes Interesse verfolgt. Das Interesse kann dabei rechtlicher, wirtschaftlicher, aber auch ideeller Natur sein. Die Vorbeugung von Straftaten bzw. Angriffen gegen das Eigentum oder Personen gehören genauso dazu wie die Beweissicherung durch den Inhaber des Hausrechts. Hierzu ist es grundsätzlich erforderlich, dass eine konkrete Gefahrenlage vorliegt, die sich auf konkrete Hinweise und objektive Tatsachen gründet, etwa wenn es auf dem Grundstück bereits in der Vergangenheit Vorfälle gegeben hat. Es ist aber auch möglich zu argumentieren, dass die Umstände im konkreten Fall typischerweise eine Gefahrensituation anzeigen, wie es zum Beispiel in einer Bankfiliale oder einem Lager mit besonders wertvollen Waren der Fall sein kann.
Zu den Voraussetzungen dieser Rechtsgrundlage gehören die Geeignetheit und Erforderlichkeit der Videoüberwachung für den geeigneten Zweck. Dass die Videoüberwachung für die Zwecke geeignet ist, kann in aller Regel bejaht werden. Damit die Videoüberwachung erforderlich ist, darf es kein Mittel geben, das gleich geeignet und dabei weniger in die Rechte der betroffenen Personen eingreift. Hier sollte vor allem geprüft werden, dass der Zweck genau zur jeweiligen Maßnahme passt und nicht zum Beispiel Livekameras ohne Aufzeichnung zur Beweissicherung eingesetzt oder (nur) die Bereiche, in denen Vorkommnisse erwartet werden, im Blickfeld der Kamera liegen. Als alternative Maßnahmen können unter anderem der Einsatz von Sicherheitspersonal, einbruchsicherer Türen und Fenster oder Alarmanlagen geprüft werden.
Schließlich müssen die Rechte, Freiheiten und Interessen der betroffenen Personen mit den Interessen des Verantwortlichen abgewogen werden. Am besten wird die Eingriffsintensität der Videoüberwachung so weit beschränkt, wie es im Einklang mit dem verfolgten Zweck möglich ist. Auch ein strenges Löschkonzept wirkt sich auf die Abwägung positiv aus. Für die Abwägung können zudem folgende Umstände relevant sein: Kinder, die aufgenommen werden, sind in der Regel besonders schutzbedürftig. Bereiche wie Kantinen oder Sporträumlichkeiten sind sensibler einzustufen, und die Intimsphäre berührende Umgebungen wie Umkleiden und Toiletten dürfen grundsätzlich gar nicht gefilmt werden. Maßgeblich ist auch, welche Rechtsgüter geschützt werden: Am Schutz von Leib und Leben oder wertvollem Eigentum besteht ein höheres Interesse als geringwertiger Gegenstände. Weiterhin ist wichtig, welche Informationen erfasst werden, ob ein Ton aufgenommen wird und Gespräche erfasst werden, wie groß der Aufnahmebereich ist und ob Personen den Kameras ausweichen können. Hier sind alle Umstände des Einzelfalls zu berücksichtigen und alle relevanten Punkte sauber zu dokumentieren.
Einwilligung und Vertrag
Die Einwilligung nach der DSGVO ist die vorherige Zustimmung durch eine freiwillige und informiert getroffene Erklärung. Für die Videoüberwachung ist die Einholung einer Einwilligung der Gefilmten jedoch meist nicht möglich, da sie von unbeteiligten, im Vorfeld unbekannten Personen, die sich in den gefilmten Bereich begeben, praktisch nicht vorher eingeholt werden kann. Für die Erklärung der Einwilligung vor dem Betreten des gefilmten Geländes kann zudem die Freiwilligkeit fraglich sein. Auch das jederzeitige Recht auf Widerruf der Einwilligung wird häufig nicht umsetzbar sein, weshalb die Einwilligung als Rechtsgrundlage einer Videoüberwachung eher ungeeignet ist. Dies gilt zumeist auch für die Videoüberwachung auf der Grundlage eines Vertrags nach Art. 6 Abs. 1 lit. b DSGVO, da eine Videoüberwachung unbeteiligter Personen in der Regel nicht zur Erfüllung eines Vertrags mit diesen erforderlich sein wird.
Was ist vorab zu beachten?
Die Festlegung der Zwecke und der Rechtsgrundlage reichen für sich genommen nicht aus, um mit der Videoüberwachung zu beginnen. Auf Grundlage der konkreten Ausgestaltung der geplanten Videoüberwachung gilt es, einige weitere Vorgaben zu beachten und umzusetzen.
Muss eine Datenschutz-Folgenabschätzung durchgeführt werden?
Es sollte geprüft werden, ob nicht eine Datenschutz-Folgenabschätzung („DSFA“) durchgeführt werden muss. Die DSFA ist nach Art. 35 Abs. 1 DSGVO allgemein dann verpflichtend, wenn eine bestimmte Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, insbesondere bei der Verwendung neuer Technologien. Zentral bei der Durchführung einer DSFA ist die Analyse dieses Risikos sowie die anschließende Ermittlung und Umsetzung passender Abhilfemaßnahmen. Das hohe Risiko ist im Rahmen von Videoüberwachung aufgrund einer systematischen und umfangreichen Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 lit. c oder der Erfassung besonderer Datenkategorien [siehe unten IV.]) schnell erreicht. Näheres zur Durchführung einer DSFA erklären auch Schürmann Rosenthal Dreyer Rechtsanwälte in ihrem Beitrag zur DSFA.

Technisch-organisatorische Maßnahmen festlegen
Unabhängig von der DSFA müssen grundsätzlich angemessene technische und organisatorischer Maßnahmen („TOM“) getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (vgl. Art. 32 DSGVO). Grundsätzlich gilt: Je höher die Risiken der Videoüberwachung sind, desto höher sollte das Schutzniveau der Maßnahmen sein. Dieses hängt zum einen von den Kriterien ab, die auch im Rahmen der Interessenabwägung (siehe oben II. 2.) berücksichtigt werden, zum anderen aber auch von dem Risiko einer unbeabsichtigten oder unrechtmäßigen Löschung, einer Veränderung, des Verlusts und der Offenlegung der Daten bzw. Aufnahmen. Zu den Maßnahmen können etwa die Schwärzung oder das Verpixeln der Bereiche, deren Aufnahme nicht erforderlich ist, gehören. Wichtig sind auch Sicherheitsmaßnahmen wie die Regelung der Zugriffsrechte oder die Implementierung eines Passwortschutzes. Technische Funktionen, die über die gewöhnliche Videoaufnahme hinausgehen (Zoom, Bewegung der Kamera, Ton oder Erkennungssoftware) sollten möglichst unterlassen werden. Die Speicherdauer sollte so weit wie möglich reduziert werden, d. h. die Aufnahmen müssen gelöscht werden, sobald sie nicht mehr benötigt werden. In den meisten Fällen dürfte dies nach spätestens 72 Stunden der Fall sein. Zudem ist es entscheidend, die Betroffenenrechte zu berücksichtigen: Insbesondere Auskunfts- und Löschanfragen sind schnell und rechtskonform zu bearbeiten.
Hinweis-, Informations- und Rechenschaftspflichten berücksichtigen
Unternehmen müssen einen entsprechenden Hinweis anbringen, der den Anforderungen des Art. 13 bzw. 14 DSGVO genügt und der die sich im gefilmten Bereich bewegenden Betroffenen informiert über:
- die Videoüberwachung,
- den Verantwortlichen inkl. Kontaktdaten
- die Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden)
- die Rechtsgrundlage (inkl. Nennung der berechtigten Interessen)
- die Zwecke
- die Speicherdauer oder die Kriterien für die Festlegung der Dauer sowie
- etwaige weitere Empfänger
Dafür sollte ein gut sichtbares Hinweisschild vor dem überwachten Bereich angebracht werden. Je nach Konstellation können neben dem Hinweisschild, auf dem nur ein Überblick über die Informationen gegeben werden kann, ergänzende Hinweisblätter ausgelegt werden, in denen die Informationen noch einmal detaillierter dargestellt werden. Zudem muss die Videoüberwachung sorgfältig und umfassend dokumentiert werden, nicht zuletzt um als Verantwortlicher seinen Rechenschaftspflichten (vgl. Art. 5 Abs. 2 DSGVO) nachkommen zu können. Dazu gehören alle Umstände, das heißt sowohl die technische und organisatorische Ausgestaltung der Videoüberwachung, die rechtlichen Rahmenbedingungen, als auch ggf. die DSFA. Die Informationen sollten in das Verzeichnis der Verarbeitungstätigkeiten („VVT“) aufgenommen werden. Im VVT ist grundsätzlich für jede Kamera ein gesondertes Verfahren anzulegen.
Besondere Fälle der Videoüberwachung
Je nach dem überwachten Gelände und den gefilmten Personen können zu den o.g. grundsätzlichen Anforderungen weitere spezialrechtliche Anforderungen hinzukommen. In diesem Zusammenhang ist häufig die Überwachung von Mitarbeitern zu nennen. Diese stellt aufgrund des Ober- und Unterordnungsverhältnisses, durch die erhöhte Drucksituation und die mögliche Kontrolle des Arbeitsverhaltens einen wesentlich stärkeren Eingriff in das Persönlichkeitsrecht dar, als es etwa die kurzzeitige Videoaufnahme vorbeigehender Passanten oder von Kunden in einem Ladengeschäft sind. Hier ist jedoch immer zu berücksichtigen, wie die genauen Umstände der Überwachung sind. Je nach Positionierung der Kamera und der Dauer der Überwachung entstehen auch hier deutliche Unterschiede. Unzulässig ist die Überwachung der persönlich besonders sensiblen Bereiche wie Umkleiden oder Aufenthaltsräume sowie die Orte, an denen über längere Zeit die Arbeitsleistung erbracht wird. Je weniger unbewachte Räume bzw. Rückzugsmöglichkeiten den Mitarbeitern zur Verfügung stehen oder je intensiver eine Überwachung und Kontrolle (auch in Bezug auf Diebstähle o. ä.) der Mitarbeiter stattfindet, desto eher sind die Videoaufnahmen unzulässig. Zur Vorbeugung von Straftaten ist die Videoüberwachung im Beschäftigtenkontext nur zulässig, wenn für die Begehung der Straftaten konkrete Anhaltspunkte vorliegen. Auch sollten Unternehmen sich nicht einfach damit „absichern“, eine Einwilligung der Mitarbeiter einzuholen, da diese häufig an der erforderlichen Freiwilligkeit scheitert. § 26 Abs. 2 Bundesdatenschutzgesetz (BDSG) stellt klar, dass die Abhängigkeit der Mitarbeiter durch das Beschäftigungsverhältnis und die besonderen Umstände der Einwilligung hier besonders berücksichtigt werden müssen. Unternehmen sollten in jedem Fall die Videoüberwachung von Mitarbeitern sehr sorgfältig im Vorfeld prüfen.
Schnell kann es im Rahmen der Videoüberwachung auch zur Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO kommen, die ebenfalls besonderen Anforderungen im Hinblick auf ihre Rechtmäßigkeit unterliegt. Höheren Anforderungen unterliegt bspw. die Aufnahme biometrischer Daten, wenn das Gesicht oder die Körpergröße genau erfasst werden, oder aber von Gesundheitsdaten, wenn ein Krankenhaus auch nur den Eingang filmt und sich dadurch u.U. ermitteln lässt, wer Patient ist. Die Verarbeitung der besonderen Kategorien ist grundsätzlich unzulässig und nur in den Ausnahmefällen des Art. 9 Abs. 2 DSGVO erlaubt. Sofern besondere Kategorien personenbezogener Daten verarbeitet werden, kann die Videoüberwachung daher nicht mehr nur aufgrund eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erfolgen, sondern es muss ein Ausnahmefall des Art. 9 Abs. 2 DSGVO erfüllt sein. Wenn besondere Datenkategorien zudem umfangreich verarbeitet werden, muss nach Art. 35 Abs. 3 lit. b DSGVO zwingend eine DSFA durchgeführt werden.
Fazit
Die Zulässigkeit von Videoüberwachung hängt von unzähligen Faktoren ab und kann nur im Einzelfall abschließend beantwortet werden. Die vielen Faktoren, von den technischen Möglichkeiten der Kameras bis hin zu den überwachten Bereichen und Personen, lassen sich allerdings immer darauf herunterbrechen, dass ein angemessener Ausgleich zwischen vernünftigen Erwartungen an die und den Interessen von Unternehmen an der Videoüberwachung auf der einen Seite und den Grundrechten und Interessen der beobachteten Personen auf der anderen Seite gefunden werden muss. Während einige Überwachungsmaßnahmen eindeutig unzulässig sind, kann dennoch häufig durch ausgleichende technische und organisatorische Maßnahmen Videoüberwachung rechtskonform eingesetzt werden. Das Beispiel der notebooksbilliger.de AG zeigt, dass der Datenschutz im Bereich der Videoüberwachung von den Behörden sehr ernst genommen wird. Nichtsdestotrotz bedeutet dies aber nicht, dass Videoüberwachung für Verantwortliche aufgrund der datenschutzrechtlichen Vorgaben unmöglich ist. Vielmehr ist ein rechtskonformer Einsatz einer Videoüberwachung für Verantwortliche in vielen Fällen durchaus möglich, wenn diese bei der konkreten Ausgestaltung sehr sorgfältig vorgehen und alle rechtlichen Vorgaben beachten.
-
Alternativen zum klassischen Cookie-Banner – Paywalls, PUR-Modelle und PIMS
Das Werbetracking bietet Telemedienanbieterinnen und -anbietern die Möglichkeit, den Nutzerinnen und Nutzern personalisierte Werbung auszuspielen und damit die Darstellung ihrer Inhalte zu finanzieren. Der folgende Beitrag untersucht die rechtlichen Herausforderungen personalisierter Werbung und zeigt praktische Lösungsansätze auf.
-
Datenschutzaudit – Erforderlichkeit, Ablauf, Umfang
Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits.
-
Datenschutz und Digitalisierung: EU-Datenregulierung im Überblick
Datengetriebene Unternehmen stehen vor der Herausforderung, ihre Geschäftsmodelle nicht nur an technologische Veränderungen, sondern auch an datenschutzrechtliche Anforderungen anzupassen. Dazu gehört auch das Verständnis der verschiedenen EU-Rechtsakte zur Datenregulierung wie: Data Governance Act (DGA), Data Act (DA), Digital Services Act (DSA), Digital Markets Act (DMA), AI Act (AIA) und dem European Health Data Space (EHDS).