Immer up to date - unser Blog
Ob aktuelle IT Nachrichten, neueste Infos zu Ihrer IT-Sicherheit
oder Neuigkeiten von Comp4U, mit unserem Blog bleiben Sie
immer auf dem Laufenden.

Allgemeine Informationen zur Einführung einer Videoüberwachung im Unternehmen

Diese Information erläutert notwendige Grundlagen, die vor Einführung einer Videoüberwachung zu beachten sind. Sie dient nicht zur konkreten Beratung im Einzelfall. Sie stellt den gesetzlichen Rahmen dar und Sichtweisen der deutschen Aufsichtsbehörden für den Datenschutz und die Informationsfreiheit.  

1. Was wird unter „Videoüberwachung“ verstanden? 

Sobald mit einer Kamera („opto-elektronische Einrichtung“) personenbezogene Daten längerfristig und zu einem Überwachungszweck verarbeitet werden, wird von einer Überwachung gesprochen. Selbst wenn (noch) kein Überwachungszweck vorliegt, ist der Anwendungsbereich der DSGVO zur Beurteilung der Rechtmäßigkeit eröffnet, da personenbezogene Daten verarbeitet werden.  

 

Personenbezogene Daten sind immer dann gemeint, wenn durch die Bilderfassung Personen entweder direkt erkennbar sind, oder die Aufnahmen Rückschlüsse auf die Person zulassen. Die Identifizierung muss nicht unbedingt durch die Erkennbarkeit z.B. des Gesichtes möglich sein, sondern kann auch durch situationsbezogene Merkmale stattfinden (Ort, Zeit, Verhalten etc.)  

2. Welche Bedingungen müssen für eine rechtmäßige Videoüberwachung erfüllt sein?  


2.1 Es muss eine Rechtsgrundlage geben: 

Bis auf wenige Ausnahmen kommt in der Regel das berechtigte Interesse des Unternehmens nach Art. 6 Abs. 1 lit. f) DSGVO in Frage: Das berechtigte Interesse kann ideeller, wirtschaftlicher oder rechtlicher Natur sein. So zum Beispiel der Schutz des Eigentums vor Diebstahl, Sachbeschädigung oder die Verhütung von Leistungsmissbrauch oder Betrug. Das berechtigte Interesse muss hinreichend klar formuliert und nicht rein spekulativ sein. 

Eine Gefährdung kann sich nur aus tatsächlichen Erkenntnissen ergeben, subjektive Befürchtungen oder ein Gefühl der Unsicherheit reichen nicht aus. Daraus folgt, dass Beschädigungen, Vorfälle oder andere Ereignisse aus der Vergangenheit, die eine Gefahrenlage objektiv begründen können, nachweisbar sein müssen. Konkrete Vorfälle müssen nicht unbedingt beim Unternehmen stattgefunden haben. Eine Gefahrenlage kann sich auch daraus ergeben, dass vergleichbare Vorfälle in der Nachbarschaft stattgefunden haben. In diesen Fällen muss ein zeitlicher, sachlicher und örtlicher Bezug von Vorfällen nachweisbar vorliegen. Eine „Überwachung ins Blaue“ ist nicht zulässig.  

Sollen durch eine Videoüberwachung z.B. Diebstähle durch Angestellte aufgedeckt werden, müssen Anhaltspunkte den Verdacht konkret begründen und dokumentiert werden und dürfen nur zeitlich begrenzt durchgeführt werden. Gibt es diese Anhaltspunkte nicht und soll die Videoüberwachung nur „abschrecken“, so ist sie nicht zulässig. Bei Überwachung von Angestellten sollte dringend vorher der Rat des Datenschutzbeauftragten oder ggfs. eines Anwalts eingeholt werden. 

Achtung allerdings: Eine dauerhafte Überwachung im Arbeitsverhältnis ist regelmäßig unzulässig. Wenn ein Beschäftigter befürchten muss, dass sein/ihr Verhalten ständig aufgezeichnet wird und sofort oder später kontrolliert wird, erzeugt das „Überwachungs- und Anpassungsdruck“.  

Auch die Wahrung des Hausrechts ist eine geeignete Rechtsgrundlage, sie gilt aber nur in einer unmittelbaren Verbindung zum überwachten Objekt und in einem klar abgegrenzten Raum. Damit kann allerdings das Hausrecht auch nur im nicht-öffentlichen Bereich genutzt werden.  

Soll eine Videoüberwachung im öffentlichen Raum stattfinden (z.B. zum Schutz von Eigentum), so muss ein noch engerer Maßstab angelegt werden: Da hier vor allem Daten von Unbeteiligten verarbeitet und gespeichert werden, die keinen Einfluss auf die Überwachung haben noch Anlass dazu geben, ist der Eingriff in deren Rechte wesentlich stärker. 

Die Rechte der Betroffenen (und nicht die der Tatverdächtigen) sollen durch die rasche Löschung der Daten gewahrt werden. Im Allgemeinen sollte es innerhalb 72 Stunden möglich sein zu prüfen, ob eine Schädigung stattgefunden hat und das Bildmaterial ausgewertet werden muss. Nur in diesem Fall sollen die entsprechenden Videosequenzen gesichtet und gespeichert werden. Eine ansatzlose Kontrolle der Aufnahmen soll nicht stattfinden. Eine längere Speicherdauer muss nachvollziehbar und gut begründet sein. Allgemein gilt auch für diese Verarbeitungstätigkeit: Keine Verarbeitung nach Zweckwegfall.  

Übrigens wird die Einwilligung als Rechtsgrundlage regelmäßig unzulässig sein, da sie entweder nicht die erforderlichen Bedingungen erfüllen kann („freiwillig, informiert, unmißverständlich und jederzeit widerrufbar“) oder schlichtweg von den Betroffenen gar nicht eingeholt werden kann, z.B. im öffentlichen Raum.

2.2 Eignung & Erforderlichkeit müssen festgestellt werden:  

Auch wenn berechtigte Interessen des Unternehmens vorliegen, muss immer auch der Schutz der Grundrechte der betroffenen Personen beachtet werden. Eine wesentliche Prüfpflicht ist daher festzustellen, ob es alternative Möglichkeiten gibt, die genauso wirksam sind, aber weniger stark in die Rechte der betroffenen Personen eingreifen. Gibt es eine solche Alternative, so ist diese immer vorzuziehen.  

Für die Videoüberwachung bedeutet das: Vor der Installation muss sich der Verantwortliche mit alternativen Sicherheitsmaßnahmen auseinandersetzen. Greifen sie weniger in die Rechte ein, sind aber gleich gut geeignet, die Zwecke der Überwachung zu erreichen, müssen sie bevorzugt werden. So könnten z.B. eine Umzäunung, eine Alarmanlage oder andere Zugangssicherungen, Safes, Beleuchtungen, der Einbau von Sicherheitsschlössern oder einbruchsicheren Fenstern ebenfalls einen wirksamen Schutz vor Einbruch, Diebstahl und unberechtigten Zugang bieten. 

Sofern alternative Maßnahmen nicht einsetzbar sind, ist die Installation der Überwachungsanlage und ihrer Kameras streng am Zweck auszurichten: So ist u.a. der Aufnahmezeitraum oder der Erfassungsbereich der Kamera auf das mindestnotwendige Maß zu beschränken. So muss z.B. eine Videoüberwachung zum Schutz vor Einbrechern auf die Zeiten eingegrenzt werden, in denen nicht ohnehin noch Angestellte im Unternehmen sind, die einen Einbruch bemerken würden. Sollte ein Liveüberwachung ohne Aufzeichnung für den gewünschten Zweck ausreichen, so darf nicht zusätzlich aufgezeichnet werden.  

Wenn die Ausrichtung der Kamera nicht verhindern kann, das unbeteiligte Personen oder Bereiche erfasst werden, müssen diese Bereiche der Aufnahme endgültig geschwärzt oder verpixelt werden.  

2.3 Die Interessen müssen an der Verhältnismäßigkeit abgewogen werden:  

Wenn 2.1 und 2.2 geprüft wurden und die Einrichtung einer Videoüberwachung soweit zulässig ist, muss eine Abwägung mit den schutzwürdigen Interessen der Betroffenen erfolgen. Hierbei sind immer die konkreten Einzelfälle zu prüfen, ein Vergleich mit anderen Konstellationen wäre nicht zulässig.  

Das Interesse des Unternehmens muss bei der Abwägung überwiegen. Je höher der Schutzbedarf ist, desto schwerwiegender ist das Interesse. So ist eine mögliche Verhinderung einer Gefährdung von Leben, Gesundheit oder Freiheit immer erheblich,  die Verhinderung eines Bagatelldelikts ist es regelmäßig nicht. Bei der Abwägung kann auch die anzunehmende materielle Schadenshöhe in Betracht kommen, sofern es keine Alternativen (wie in 2.2.) gibt. Je abstrakter das mögliche Schadensszenario ist, desto wahrscheinlicher überwiegt das Interesse des Betroffenen.  

Die Abwägung muss vor allem die Eingriffsintensität berücksichtigen: Dabei ist vor allem der betroffene Personenkreis zu beachten, die Art und der Umfang der erfassten Informationen und die Art und Weise der Verarbeitung der erfassten Daten. 

Bei der Berücksichtigung des Personenkreises gilt: Kinder unterliegen einem besonderen Schutz. Auch die Bereiche eines Unternehmens, in denen Mitarbeiter sich zurückziehen können, um z.B. Pausen zu verbringen, zu essen und trinken oder Sport zu treiben, dürfen nicht überwacht werden. Das gilt auch für alle anderen Freizeit- und Gastronomieeinrichtungen.  

Grundsätzlich gilt das Prinzip der vernünftigen Erwartungen des Betroffenen: Akzeptiert wird zwar eine Überwachung eines Geldautomaten, auf keinen Fall jedoch die einer Toilette oder eines Umkleideraums. 

Die Berücksichtigung des Informationsgehalts berücksichtigt, wie viele personenbezogene Daten erhoben werden. Vor allem wenn der Betroffene dauerhaft überwacht werden soll oder der Maßnahme nicht ausweichen kann, ist die Intensität sehr hoch und muss besonders geprüft werden. Dies gilt z.B. auch bei der ständigen Überwachung von Laufwegen, Eingängen oder Zufahrten. Wenn die Nutzungsmöglichkeit der Daten zur Erstellung von Bewegungsprofilen oder zur Leistungs- und Verhaltenskontrolle erstellt werden können, ist eine Überwachung regelmäßig unzulässig, wenn die Nutzung nicht wirksam unterbunden werden kann.  

Schließlich muss die Art und Weise der Verarbeitung berücksichtig und geprüft werden: Wird nur gelegentlich erfasst (z.B. über Bewegungsmelder während arbeitsfreier Zeiten in einem Unternehmen) oder dauerhaft (Eingangsbereich eines Gebäudes Tag und Nacht). Lässt die Kamera die Identifikation von Personen durch besonders hohe Auflösung zu und kann evtl. sogar biometrische Merkmale erfassen? Kann die Kamera manuell oder automatisch verfolgen, ist sie nachtsichtfähig, kann sie zoomen? Und letztlich: Wo, wie und wie lange werden die Daten verarbeitet? Verbleiben die Daten im Haus und werden nach 3 Tagen gelöscht oder verarbeitet sie ein Auftragsverarbeiter in der Cloud?  

Übrigens ist auch die Verwendung von Attrappen (sog. „Fake-Kameras“) nicht unkritisch: Auch wenn sie keine Daten verarbeiten, sollen sie trotzdem genau den Eindruck erzeugen und beeinflussen somit das Verhalten von Mitarbeitern und Dritten. Wenn Personen tatsächlich befürchten müssen, überwacht zu werden, kann der Verhaltensdruck bereits für eine Verletzung der Persönlichkeitsrechte ausreichen. In diesem Fall könnten betroffene Personen zivilrechtliche Ansprüche gegen den Betreiber geltend machen. Die Maßstäbe des Datenschutzrechts sollten daher entsprechend angewendet werden und die oben beschriebenen Prüfung der Erforderlichkeit und Verhältnismäßigkeit durchgeführt und dokumentiert werden, als ob die Maßnahme tatsächlich erfolgt. 

Besonders wichtig ist die Frage, wer wann und wie Zugriff auf die Aufzeichnungen erhält: Empfehlenswert sind Zugriffe im 4-Augen-Pzinzip und ein Blackbox-Verfahren, in dem der Zugriff nur gestattet ist, wenn es nachweislich eine Schädigung im Sinne des Zwecks gab – und die Aufzeichnungen ansonsten automatisch und regelmäßig zeitnah gelöscht werden.  

3. Datenschutzfolgenabschätzung (DSFA) 

Im Rahmen der Prüfung der Zulässigkeit muss der Verantwortliche besonderes Augenmerk darauf legen, ob für den Betroffenen besonders hohe Risiken für seine Rechte und Freiheiten bestehen. Ist das der Fall, muss zwingend vorab eine Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO unter Hinzuziehung des Datenschutzbeauftragten durchgeführt werden. Die DSFA beschreibt, neben der geplanten Verarbeitung und der Bewertung der Risiken, vor allem die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen. Kommt der Verantwortliche im Rahmen der Untersuchung zu dem Ergebnis, dass das Risiko dennoch überwiegt, darf die Videoüberwachung nicht eingeführt werden.  

 
Beispiele für Fälle, in denen eine DSFA durchgeführt werden muss sind (nicht abschließend): Eine systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche, der Einsatz biometrischer Verfahren wie z.B. Gesichtserkennung oder die Überwachung einer großen, weiträumigen Fläche.  

4. Dokumentation, Information und Hinweispflicht 

Wenn alle Prüfungen aus 2. erfolgreich waren, kann die Videoüberwachung eingeführt werden. Der Verantwortliche unterliegt dabei der Nachweispflicht gem. Art. 5 Abs. 1 DSGVO und muss die Einhaltung der Datenschutzgrundsätze dokumentieren. Besonders im Umgang mit der zuständigen Aufsichtsbehörde ist eine korrekte Dokumentation wichtig:  
 
Mindestens muss die Verarbeitung von personenbezogenen Daten im Rahmen einer Videoüberwachung im Verzeichnis der Verarbeitungstätigkeiten (VVT) des Verantwortlichen erfasst werden. Wir empfehlen darüber hinaus aber die ausführliche Dokumentation der o.g. Prüfungen und Ergebnisse sowie die Abwägung, die das berechtigte Interesse belegt.  
 
Außerdem sollten die technisch-organisatorischen Maßnahmen genau beschrieben werden, damit man die Funktion der Anlage und die Zugriffsrechte schnell erläutern kann. Dazu zählen aus unserer Sicht auch Bilder, die den Erfassungsbereich der einzelnen Kameras zeigen sowie z.B. Schwenkbereich oder Nachtsichtaufnahmen.  

Sollte die Erfassung mithilfe eines Auftragsverarbeiters erfolgen, so muss der zugehörige Vertrag geprüft und abgeschlossen sein, bevor die Erfassung beginnt.  

Wir empfehlen außerdem vor Aufnahme der Überwachung, die Betroffenen gesondert über die geplante Maßnahme zu informieren. Dazu kann z.B. erklärt werden, was der Zweck der Überwachung ist, wie die Mitarbeiter dabei geschützt werden, welche Bereiche wann und wie erfasst werden, wie lange gespeichert wird und wer überhaupt Zugriff auf die Aufnahmen hat.  

Hinweispflicht:  

Auch bei einer Videoüberwachung muss der Verantwortliche den Betroffenen gem. Art. 12 DSGVO über die Verarbeitung informieren. Dazu muss wird ein Hinweisschild so angebracht, dass die Überwachung vor dem Betreten des überwachten Bereiches erkennbar ist. Auf dem Schild sind Mindestangaben erforderlich, alle weiteren Informationen können z.B. auf einem Informationsblatt erfolgen. Das Informationsblatt kann z.B. über einen Link im Internet einsehbar sein oder am Empfang des Unternehmens o.ä. Beispiele für ein Hinweisschild und das Informationsblatt erhalten Sie natürlich durch uns.