2 Min

Einhaltung der DSGVO bei der Videoüberwachung am Arbeitsplatz

Der Einsatz von Videoüberwachung am Arbeitsplatz ist datenschutzrechtlich heikel und nur nach einer am Einzelfall orientierten Interessensabwägung zulässig. Nach Ansicht der Datenschutzbehörden kann eine Überwachung von Mitarbeitern deren Persönlichkeitsrecht verletzen. 

Da die Datenschutzbehörden aufgrund von unzulässigen Videoüberwachungen besonders häufig Geldbußen verhängen, sollte bei der Ausgestaltung der Videoüberwachung der Datenschutzbeauftrage beigezogen werden. Eine Orientierung finden Sie in diesem Artikel.

Was sind die Voraussetzungen für eine DSGVO-konforme Videoüberwachung?

Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung personenbezogener Daten. Die DSGVO gilt somit auch für die Videoüberwachung, da die Videoüberwachung personenbezogene Daten in Form von Bild- und Filmmaterial umfassen kann.  

Dabei stellt die DSGVO gewisse Ansprüche:

  1. Vorhandensein und Dokumentation einer geeigneten Rechtsgrundlage inkl. Interessenabwägung
  2. Dokumentation eines eindeutig bestimmten Zwecks der Datenverarbeitung
  3. Dokumentierte technische und organisatorische Maßnahmen zum Schutz erhobener Daten
  4. Die Aufnahme der Datenverarbeitung in das Verzeichnis der Verarbeitungsaktivitäten (VVT)
  5. die Durchführung einer Datenschutz-Folgenabschätzung
  6. Transparenz gegenüber Betroffenen

1: Die geeignete Rechtsgrundlage inkl. Interessenabwägung

Als Rechtsgrundlage für Datenverarbeitungen im Rahmen einer Videoüberwachung wird regelmäßig Art. 6 Abs. 1 S. 1 lit. f DSGVO (das berechtigte Interesse des Unternehmens) herangezogen. Sofern sich Verantwortliche im Rahmen einer Verarbeitung von personenbezogenen Daten auf Ihr berechtigtes Interesse stützen möchten, müssen Sie jedoch zuvor eine Interessenabwägung durchführen. Nur, wenn Sie darlegen können, warum Ihr Interesse an der Datenverarbeitung über dem Interesse der Betroffenen an ihren Grundrechten und Grundfreiheiten überwiegt.

Ob die Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO erfüllt sind, ist anhand einer dreistufigen Prüfung zu ermitteln. Die Durchführung sollten Sie dokumentiert, um der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO nachzukommen.

2: Zweck der Videoüberwachung

Bevor Sie eine Videokamera aktivieren, müssen Sie für jede Verarbeitung eindeutig bestimmen und festlegen, welcher Zweck mit der Videoüberwachung erreicht werden soll. Die jeweiligen Zwecke sind für jede einzelne Kamera schriftlich zu dokumentieren und in das Verzeichnis der Verarbeitungstätigkeiten (VVT; Art. 30 DSGVO) aufzunehmen.

 

3: Technische und organisatorische Maßnahmen zum Schutz der per Videoaufnahme erhobenen Daten

Bei einer Videoüberwachung ist ferner gem. Art. 24, 25 und 32 der DSGVO mit technischen und organisatorischen Maßnahmen (TOM) nachweisbar sicherzustellen, dass eine Verarbeitung nach den Vorgaben der DSGVO erfolgt.  

Risiken für die Rechte und Freiheiten natürlicher Personen sind damit zu minimieren und es ist ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Es gilt, dem Datenschutz durch Technikgestaltung (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) nachzukommen.  

Umsetzbar ist dies u. a. durch eine geeignete Wahl des videoüberwachten Bereichs. Dieser sollte möglichst nur den zur Zweckerfüllung erforderlichen Bereich umfassen. Sollte dies nicht möglich sein, kann die Datenminimierung erreicht werden durch…

  • irreversibles Verpixeln,
  • irreversibles Ausblenden von nicht relevanten Bereichen,
  • die Wahl der Videoauflösung
  • und eine möglichst kurze Speicherdauer.

Technische Möglichkeiten wie Schwenken, Neigen oder Zoomen, biometrische Erkennung, Verhaltenserkennung und Audioaufnahmen sind in der Regel nicht zulässig.

4: Videoaufnahmen in das Verzeichnis der Verarbeitungsaktivitäten (VVT) aufnehmen

Im VVT müssen Verantwortliche dokumentieren, welche personenbezogenen Daten mit Hilfe welcher Verfahren auf welche Weise verarbeitet und welche Datenschutzmaßnahmen getroffen wurden. Das VVT enthält insbesondere…

  • den Namen und die Kontaktdaten des Verantwortlichen
  • die Zwecke der Verarbeitung
  • eine Beschreibung der Kategorien betroffener Personen, personenbezogener Daten und Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen.

5: Durchführung einer Datenschutz-Folgenabschätzung

Ob die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) notwendig ist, hängt davon ab, ob die Videoüberwachung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (vgl. Art. 35 Abs. 1 DSGVO).

Eine Datenschutz-Folgenabschätzung befasst sich insbesondere mit Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann. 

Eine Datenschutz-Folgenabschätzung ist bei einer Videoüberwachung vor allem in den folgenden Fällen erforderlich, wenn… 

  • weiträumig öffentlich zugängliche Bereiche von Kameras erfasst sind, d.h. die Überwachung ein bedeutendes geografisches Ausmaß erreicht. Gleiches gilt für Überwachungen, die mit einer Vielzahl von Kameras durchgeführt werden,
  • und/oder mittels Kameratechnik besondere Kategorien von personenbezogenen Daten gem. Art. 9 Absatz 1 DS-GVO (z.B. biometrische Daten zur eindeutigen Identifizierung oder mittels Gesichtserkennungssoftware, um den Zutritt- oder Zugang zu einem Bereich zu kontrollieren, um Werbe- und Marketingmaßnahmen durchzuführen) umfangreich verarbeitet werden.

Unabhängig von der räumlichen Ausdehnung der Überwachung oder der Verarbeitung biometrischer Daten, kann sich ein hohes Risiko i.S. des Art. 35 Absatz 1 DS-GVO für die Rechte und Freiheiten natürlicher Personen ferner aus den besonderen Umständen der Datenverarbeitung ergeben. Beispielsweise wenn…

  • ein besonders schützenswerter Personenkreis überwacht wird (Beschäftigte, Kinder, etc.)
  • die Datenverarbeitung einen hohen Informationsgehalt besitzt (z.B. politische Veranstaltungen oder Werbe- und Marketingmaßnahmen mit Gesichtserkennungssoftware)
  • oder eine bestimmte Art und Weise der Datenverarbeitung erfolgt (hohe Auflösung, Fernzugriff, Zoom- und Schwenkbarkeit, Webcam, etc.).

Die Frage, ob eine Verarbeitung im Sinne der DSGVO wahrscheinlich ein hohes Risiko mit sich bringt und ob Sie daher eine Datenschutz-Folgenabschätzung durchführen müssen, klären Sie am besten mit Ihrem Datenschutzbeauftragten.

6: Transparenz bei der Videoüberwachung

Um Ihre Mitarbeiter überhaupt per Video aufnehmen zu dürfen, müssen Sie umfassend über die Videoüberwachung informieren. Die betroffenen Personen müssen – bevor sie den videoüberwachten Bereich betreten - über die wesentlichen Elemente der Videoüberwachung auf einem gut sichtbaren Hinweisschild am Ort der Videoüberwachung informiert werden. Ein Hinweis mit einem Kamera-Symbol genügt nicht.

Audioaufnahmen im Rahmen der Videoüberwachung sind nicht zulässig. Verfügt eine Videoüberwachungskamera über eine Audiofunktion, ist diese unumkehrbar zu deaktivieren.

Fazit

Um Videokameras installieren zu dürfen, müssen Unternehmen so Einiges beachten. Und das aus gutem Grund: Die Verarbeitung von Videomaterial greift in die Persönlichkeitsrechte von Angestellten ein. In der Vergangenheit wurden unzulässige Videoüberwachungen streng geahndet. Um kein Bußgeld zu riskieren und das Vertrauen Ihrer Belegschaft nicht aufs Spiel zu setzen, sollten Sie also sehr gründlich abwägen, wo eine Videoüberwachung überhaupt gerechtfertigt ist.

Für weitere Fragen zur Datensicherheit und zum Datenschutz am Arbeitsplatz stehen Ihnen unsere Experten zur Verfügung. 

 
Top 6 privacy mistakes Top 6 privacy mistakes

Die Top 6 Datenschutzfehler in Unternehmen

Datenschutzverstöße und kostspielige Bußgelder vermeiden - ein Überblick der häufigsten Fehler und wie Sie sie vermeiden

Jetzt kostenlos herunterladen

Über den Autor

DataGuard Datenschutz-Experten DataGuard Datenschutz-Experten
DataGuard Datenschutz-Experten

Tauchen Sie ein in die Welt der Datensicherheit und DSGVO – mit Tipps und Meinungen unserer zertifizierten Datenschutzbeauftragten in Deutschland, UK und Österreich. Unsere Experten kommen aus den unterschiedlichsten Bereichen wie Wirtschaft, Recht, Technik oder Marketing und teilen mit Ihnen die neuesten Nachrichten sowie Lösungen zu aktuellen Herausforderungen, Urteilen und Rechtsentscheidungen. Ihr Ziel? Ihnen das Wissen und die Werkzeuge an die Hand zu geben, damit Sie die richtigen Entscheidungen treffen, Ihr Unternehmen absichern, Vertrauen aufbauen und Ihren Umsatz steigern können – in Einklang mit geltenden Datenschutzgesetzen. Diese Qualifizierungen unserer Datenschutzberater stehen für Qualität und Vertrauen: Zertifizierter Datenschutzbeauftragter (TÜV), Certified Information Privacy Professional/Europe (IAPP), Certified Information Privacy Manager (IAPP) Information Security, Certified Information Privacy Technologist (IAPP), Certified Practitioner in Data Protection (BCS), Fellow of Information Privacy (IAPP), Certified EU General Data Protection Regulation Practitioner (IBITGQ), Data Protection Officer & Europrivacy Auditor, Practitionier Certificate in Data Protection, PC.dp. (GDPR)

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren