Der Einsatz von Videoüberwachung am Arbeitsplatz ist datenschutzrechtlich heikel und nur nach einer am Einzelfall orientierten Interessensabwägung zulässig. Nach Ansicht der Datenschutzbehörden kann eine Überwachung von Mitarbeitern deren Persönlichkeitsrecht verletzen.
Da die Datenschutzbehörden aufgrund von unzulässigen Videoüberwachungen besonders häufig Geldbußen verhängen, sollte bei der Ausgestaltung der Videoüberwachung der Datenschutzbeauftrage beigezogen werden. Eine Orientierung finden Sie in diesem Artikel.
Was sind die Voraussetzungen für eine DSGVO-konforme Videoüberwachung?
Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung personenbezogener Daten. Die DSGVO gilt somit auch für die Videoüberwachung, da die Videoüberwachung personenbezogene Daten in Form von Bild- und Filmmaterial umfassen kann.
Dabei stellt die DSGVO gewisse Ansprüche:
- Vorhandensein und Dokumentation einer geeigneten Rechtsgrundlage inkl. Interessenabwägung
- Dokumentation eines eindeutig bestimmten Zwecks der Datenverarbeitung
- Dokumentierte technische und organisatorische Maßnahmen zum Schutz erhobener Daten
- Die Aufnahme der Datenverarbeitung in das Verzeichnis der Verarbeitungsaktivitäten (VVT)
- die Durchführung einer Datenschutz-Folgenabschätzung
- Transparenz gegenüber Betroffenen
1: Die geeignete Rechtsgrundlage inkl. Interessenabwägung
Als Rechtsgrundlage für Datenverarbeitungen im Rahmen einer Videoüberwachung wird regelmäßig Art. 6 Abs. 1 S. 1 lit. f DSGVO (das berechtigte Interesse des Unternehmens) herangezogen. Sofern sich Verantwortliche im Rahmen einer Verarbeitung von personenbezogenen Daten auf Ihr berechtigtes Interesse stützen möchten, müssen Sie jedoch zuvor eine Interessenabwägung durchführen. Nur, wenn Sie darlegen können, warum Ihr Interesse an der Datenverarbeitung über dem Interesse der Betroffenen an ihren Grundrechten und Grundfreiheiten überwiegt.
Ob die Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO erfüllt sind, ist anhand einer dreistufigen Prüfung zu ermitteln. Die Durchführung sollten Sie dokumentiert, um der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO nachzukommen.
2: Zweck der Videoüberwachung
Bevor Sie eine Videokamera aktivieren, müssen Sie für jede Verarbeitung eindeutig bestimmen und festlegen, welcher Zweck mit der Videoüberwachung erreicht werden soll. Die jeweiligen Zwecke sind für jede einzelne Kamera schriftlich zu dokumentieren und in das Verzeichnis der Verarbeitungstätigkeiten (VVT; Art. 30 DSGVO) aufzunehmen.
3: Technische und organisatorische Maßnahmen zum Schutz der per Videoaufnahme erhobenen Daten
Bei einer Videoüberwachung ist ferner gem. Art. 24, 25 und 32 der DSGVO mit technischen und organisatorischen Maßnahmen (TOM) nachweisbar sicherzustellen, dass eine Verarbeitung nach den Vorgaben der DSGVO erfolgt.
Risiken für die Rechte und Freiheiten natürlicher Personen sind damit zu minimieren und es ist ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Es gilt, dem Datenschutz durch Technikgestaltung (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) nachzukommen.
Umsetzbar ist dies u. a. durch eine geeignete Wahl des videoüberwachten Bereichs. Dieser sollte möglichst nur den zur Zweckerfüllung erforderlichen Bereich umfassen. Sollte dies nicht möglich sein, kann die Datenminimierung erreicht werden durch…
- irreversibles Verpixeln,
- irreversibles Ausblenden von nicht relevanten Bereichen,
- die Wahl der Videoauflösung
- und eine möglichst kurze Speicherdauer.
Technische Möglichkeiten wie Schwenken, Neigen oder Zoomen, biometrische Erkennung, Verhaltenserkennung und Audioaufnahmen sind in der Regel nicht zulässig.
4: Videoaufnahmen in das Verzeichnis der Verarbeitungsaktivitäten (VVT) aufnehmen
Im VVT müssen Verantwortliche dokumentieren, welche personenbezogenen Daten mit Hilfe welcher Verfahren auf welche Weise verarbeitet und welche Datenschutzmaßnahmen getroffen wurden. Das VVT enthält insbesondere…
- den Namen und die Kontaktdaten des Verantwortlichen
- die Zwecke der Verarbeitung
- eine Beschreibung der Kategorien betroffener Personen, personenbezogener Daten und Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen.
5: Durchführung einer Datenschutz-Folgenabschätzung
Ob die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) notwendig ist, hängt davon ab, ob die Videoüberwachung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (vgl. Art. 35 Abs. 1 DSGVO).
Eine Datenschutz-Folgenabschätzung befasst sich insbesondere mit Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann.
Eine Datenschutz-Folgenabschätzung ist bei einer Videoüberwachung vor allem in den folgenden Fällen erforderlich, wenn…
- weiträumig öffentlich zugängliche Bereiche von Kameras erfasst sind, d.h. die Überwachung ein bedeutendes geografisches Ausmaß erreicht. Gleiches gilt für Überwachungen, die mit einer Vielzahl von Kameras durchgeführt werden,
- und/oder mittels Kameratechnik besondere Kategorien von personenbezogenen Daten gem. Art. 9 Absatz 1 DS-GVO (z.B. biometrische Daten zur eindeutigen Identifizierung oder mittels Gesichtserkennungssoftware, um den Zutritt- oder Zugang zu einem Bereich zu kontrollieren, um Werbe- und Marketingmaßnahmen durchzuführen) umfangreich verarbeitet werden.
Unabhängig von der räumlichen Ausdehnung der Überwachung oder der Verarbeitung biometrischer Daten, kann sich ein hohes Risiko i.S. des Art. 35 Absatz 1 DS-GVO für die Rechte und Freiheiten natürlicher Personen ferner aus den besonderen Umständen der Datenverarbeitung ergeben. Beispielsweise wenn…
- ein besonders schützenswerter Personenkreis überwacht wird (Beschäftigte, Kinder, etc.)
- die Datenverarbeitung einen hohen Informationsgehalt besitzt (z.B. politische Veranstaltungen oder Werbe- und Marketingmaßnahmen mit Gesichtserkennungssoftware)
- oder eine bestimmte Art und Weise der Datenverarbeitung erfolgt (hohe Auflösung, Fernzugriff, Zoom- und Schwenkbarkeit, Webcam, etc.).
Die Frage, ob eine Verarbeitung im Sinne der DSGVO wahrscheinlich ein hohes Risiko mit sich bringt und ob Sie daher eine Datenschutz-Folgenabschätzung durchführen müssen, klären Sie am besten mit Ihrem Datenschutzbeauftragten.
6: Transparenz bei der Videoüberwachung
Um Ihre Mitarbeiter überhaupt per Video aufnehmen zu dürfen, müssen Sie umfassend über die Videoüberwachung informieren. Die betroffenen Personen müssen – bevor sie den videoüberwachten Bereich betreten - über die wesentlichen Elemente der Videoüberwachung auf einem gut sichtbaren Hinweisschild am Ort der Videoüberwachung informiert werden. Ein Hinweis mit einem Kamera-Symbol genügt nicht.
Audioaufnahmen im Rahmen der Videoüberwachung sind nicht zulässig. Verfügt eine Videoüberwachungskamera über eine Audiofunktion, ist diese unumkehrbar zu deaktivieren.
Fazit
Um Videokameras installieren zu dürfen, müssen Unternehmen so Einiges beachten. Und das aus gutem Grund: Die Verarbeitung von Videomaterial greift in die Persönlichkeitsrechte von Angestellten ein. In der Vergangenheit wurden unzulässige Videoüberwachungen streng geahndet. Um kein Bußgeld zu riskieren und das Vertrauen Ihrer Belegschaft nicht aufs Spiel zu setzen, sollten Sie also sehr gründlich abwägen, wo eine Videoüberwachung überhaupt gerechtfertigt ist.
Für weitere Fragen zur Datensicherheit und zum Datenschutz am Arbeitsplatz stehen Ihnen unsere Experten zur Verfügung.
Die Top 6 Datenschutzfehler in Unternehmen
Datenschutzverstöße und kostspielige Bußgelder vermeiden - ein Überblick der häufigsten Fehler und wie Sie sie vermeiden