Der externe Datenschutzbeauftragte

Als Dienstleister übernehme ich alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

Die Vorabkontrolle bei der Videoüberwachung

23. Juli 2016

Bestimmte Verarbeitungen unterliegen gemäß dem Bundesdatenschutzgesetz (BDSG) der sogenannten Vorabkontrolle. Geregelt ist dies in § 4d Abs. 5. Demnach ist eine Vorabkontrolle immer dann durchzuführen, „soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen“. Ob eine Videoüberwachung zu diesen Verarbeitungen gehört, wird im Gesetzestext nicht ausgeführt. Allerdings haben sich die Aufsichtsbehörden hierzu klar positioniert und sehen die Pflicht zur Vorabkontrolle bei einer Videoüberwachung zumindest dann als erforderlich an, sofern die „Überwachungskameras nicht punktuell, sondern durch die verantwortliche Stelle in größerer Zahl und zentral kontrolliert eingesetzt werden“.

Wer ist zuständig für die Vorabkontrolle?

In § 4d Abs. 6 ist festgelegt, dass der Datenschutzbeauftragte der verantwortlichen Stelle die Vorabkontrolle durchzuführen hat. Hieraus ergibt sich für die verantwortliche Stelle zunächst einmal die Pflicht, einen Datenschutzbeauftragten zu bestellen und zwar auch dann, wenn ansonsten gar keine Pflicht zur Bestellung eines Datenschutzbeauftragten vorliegt (nicht mehr als 9 Mitarbeiter, die regelmäßig personenbezogene Daten verarbeiten).

Inhalte der Vorabkontrolle

Damit der Datenschutzbeauftragte die Vorabkontrolle durchführen kann, sind ihm zunächst von der verantwortlichen Stelle die notwendigen Informationen zu der geplanten Videoüberwachung zur Verfügung zu stellen. Was zu diesen Informationen gehört ist in § 4e BDSG festgelegt. Zusammengefasst kann festgehalten werden, dass alle diejenigen Informationen dazu gehören, die notwendig sind, damit der Datenschutzbeauftragte bewerten kann, ob die geplante Videoüberwachung gesetzeskonform ausgestaltet ist. Insbesondere gehören die folgenden Informationen dazu:

  • der Zweck der Videoüberwachung (beispielsweise Wahrung des Hausrechts, Aufdeckung von Diebstahl),
  • die von der Videoüberwachung betroffenen Personen,
  • Empfänger, an die Daten mitgeteilt werden können,
  • Löschfristen,
  • die Beschreibung der technischen und organisatorischen Maßnahmen, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

Anhand dieser Informationen kann der Datenschutzbeauftragte dann die eigentliche Vorabkontrolle durchführen. Hierbei hat sich folgende Vorgehensweise bewährt, die von der Aufsichtsbehörde Niedersachsen beispielweise mit dieser Orientierungshilfe empfohlen wird:

  1. Erstellung einer detaillierten Systembeschreibung,
  2. Definition der Rechtsgrundlage der Videoüberwachung (in der Regel eine oder mehrere der Rechtsgrundlagen der §§ 6b, 28, 32 BDSG,
  3. Gefahrenanalyse, bei der die möglichen Schäden (beispielsweise bei Verlust der Vertraulichkeit der Daten) quantifiziert bzw. qualifiziert werden,
  4. Risikoanalyse auf Basis der Wahrscheinlichkeit eines Schadeneintritts und des Ausmaßes des jeweiligen Schadens
  5. Entwicklung des notwendigen Datensicherungskonzepts zur Beherrschung der Gefahren.

Ausblick auf die europäische Datenschutz-Grundverordnung (EU-DSGVO)

Den Begriff der Vorabkontrolle kennt die EU-DSGVO nicht. Allerdings ist gemäß Artikel 35 der Grundverordnung eine sogenannte Datenschutz-Folgeabschätzung (DSFA) immer dann durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge“ hat. Als Beispiel wird die Überwachung öffentlich zugänglicher Bereich im Gesetzestext sogar explizit genannt. Zu der genauen Vorgehensweise bei der Erstellung einer DSFA bleibt die DS-GVO wie das bisherige BDSG. Erste Stellungnahmen der Behörden sowie die Formulierungen der Vorgaben legen jedoch den Schluss nahe, dass die geforderten Inhalte einer DSFA ähnliche derer einer Vorabkontrolle sein werden.

Planen Sie den Einsatz einer Videoüberwachung oder haben eine solche bereits im Einsatz? Sprechen Sie uns an! Gerne bewerten wir die Datenverarbeitung anhand der Vorabkontrolle auf Konformität zu den datenschutzrechtlichen Vorgaben.