Zur Webansicht – hier klicken.

Ausgabe 4 | Mai 2018

DSGVO

EU-DSGVO UND ÖSTERR. DSG: NOCH 14 TAGE

Wichtige Informationen für Errichter und Betreiber von CCTV-Anlagen und Zutrittskontrollsystemen!

1. Allgemeine Informationen zur EU-Datenschutz-Grundverordnung im Bereich Videoüberwachung und Zutrittskontrolle
Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen Geldstrafen bis zu 20 Mio. EUR bzw. 4% des Jahresumsatzes.

Das Datenschutzgesetz in der Fassung des Datenschutz-Anpassungsgesetzes enthält einen eigenen Abschnitt zur „Bildverarbeitung". Damit werden die Regelungen des DSG 2000 zur „Videoüberwachung" grundsätzlich auf alle Bildaufnahmen durch Verantwortliche des privaten Bereichs ausgedehnt und neuen technischen Entwicklungen angepasst.

Die Regelungen der Datenschutz-Grundverordnung sind daher auch bei der Bildverarbeitung und Zutrittskontrolle zu beachten.

Allgemeine Bedingungen:

  • Für die Anwendungen Video und Zutritt ist eine (freie) Betriebsvereinbarung erforderlich.
  • Die DSGVO gilt auch für analoge Videoaufzeichnungsanlagen.
  • Die Anwendungen sind im Verfahrensverzeichnis des Betreibers (= Verantwortliche) zu führen.
  • Bei Service und Wartungsarbeiten ist eine Auftragsverarbeitungsvereinbarung zu treffen. Dafür ist ein eigenes Verzeichnis für Verarbeitungstätigkeiten vom Auftragsverarbeiter zu führen.

2. Die Regelungen des Datenschutz-Anpassungsgesetzes 2018 zur „Bildverarbeitung"

2.1 Definition
Unter einer "Bildaufnahme" versteht das DSG „die durch Verwendung technischer Einrichtungen zur Bildverarbeitung vorgenommene Feststellung von Ereignissen im öffentlichen oder nicht-öffentlichen Raum zu privaten Zwecken". Zur Bildaufnahme gehören auch dabei mitverarbeitete „akustische Informationen".
Von den Regelungen erfasst sind grundsätzlich alle Bildaufnahmen durch Verantwortliche des privaten Bereichs (so z.B. auch das Anfertigen von Fotografien zu beruflichen Zwecken). Aufnahmen zur Vollziehung hoheitlicher oder schlicht hoheitlicher Aufgaben benötigen weiterhin eine gesonderte gesetzliche Rechtsgrundlage. Der Begriff „Ereignis" wird weit verstanden, so sollen insbesondere auch mobile Videoaufzeichnungen (z.B. das Filmen einer Abfahrt mit einer Action-Cam) erfasst sein.

2.2 Zulässigkeit der Bildaufnahme
Eine Bildaufnahme ist zulässig,

  • wenn sie im lebenswichtigen Interesse einer Person erforderlich ist,
  • die betroffene Person zur Verarbeitung ihrer personenbezogenen Daten eingewilligt hat,
  • sie durch besondere gesetzliche Bestimmungen angeordnet oder erlaubt ist,
  • oder im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit gegeben ist.

Beispiele für zulässige Bildaufnahmen im überwiegenden berechtigten Interesse des Verantwortlichen:

  • Die Bildaufnahme dient dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften, die ausschließlich vom Verantwortlichen genutzt werden. Sie reicht räumlich nicht über die Liegenschaft hinaus, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen.
  • Die Bildaufnahme ist erforderlich für den vorbeugenden Schutz von Personen oder Sachen an öffentlich zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, und zwar aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotentials und es steht kein gelinderes geeignetes Mittel zur Verfügung. Damit werden insbesondere auch die bisherigen Standardanwendungen zur Videoüberwachung, z.B. für Trafiken, Juweliere, Banken) sowie die Bildaufnahmen in öffentlichen Verkehrsmitteln legitimiert.
  • Die Bildaufnahme verfolgt ein privates Dokumentationsinteresse, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eigenen, gerichtet ist.

Unzulässig ist

  • eine Bildaufnahme ohne ausdrückliche Einwilligung der betroffenen Person in deren höchstpersönlichem Lebensbereich,
  • eine Bildaufnahme zum Zweck der Kontrolle von Arbeitnehmern,
  • der automationsunterstützte Abgleich von mittels Bildaufnahmen gewonnener personenbezogener Daten mit anderen personenbezogenen Daten oder
  • die Auswertung von mittels Bildaufnahmen gewonnener personenbezogener Daten anhand von besonderen Kategorien personenbezogener Daten als Auswahlkriterium.

2.3 Besondere Datensicherheitsmaßnahmen und Kennzeichnung
Der Verantwortliche muss (sofern die Bildaufnahme nicht lediglich ein privates Dokumentationsinteresse verfolgt, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eignen, gerichtet ist)

  • geeignete Datensicherheitsmaßnahmen ergreifen und dafür sorgen, dass der Zugang zur Bildaufnahme und eine nachträgliche Veränderung durch Unbefugte ausgeschlossen ist,
  • jeden Verarbeitungsvorgang protokollieren, außer es handelt sich um Fälle einer Echtzeitüberwachung,
  • aufgenommene personenbezogene Daten löschen, wenn sie für den Zweck, für den sie ermittelt wurden, nicht mehr benötigt werden und keine andere gesetzliche Aufbewahrungspflicht besteht (eine länger als 72 Stunden andauernde Aufbewahrung muss verhältnismäßig sein und ist gesondert zu protokollieren und zu begründen),
  • die Bildaufnahme geeignet kennzeichnen. Aus der Kennzeichnung muss jedenfalls der Verantwortliche eindeutig hervorgehen, es sei denn, dieser ist den betroffenen Personen nach den Umständen des Falles bereits bekannt.

Werden keine ausreichenden Informationen bereitgestellt, kann jeder von einer Verarbeitung potentiell Betroffene vom Eigentümer oder Nutzungsberechtigten einer Liegenschaft oder eines Gebäudes oder sonstigen Objekts, von dem aus eine solche Verarbeitung augenscheinlich ausgeht, Auskunft über die Identität des Verantwortlichen begehren. Die unbegründete Nichterteilung einer derartigen Auskunft ist einer Verweigerung der nach der Datenschutz-Grundverordnung geltenden Auskunftspflicht gleichzuhalten.

2.4 Strafbestimmungen
Wer eine Bildverarbeitung entgegen den genannten Bestimmungen betreibt, ist mit einer Geldstrafe bis zu EUR 50.000,00 zu bestrafen, sofern die Tat nicht unter die weit höheren Strafbestimmungen der Datenschutz-Grundverordnung (bis zu 20 Mio. EUR bzw. 4% des Jahresumsatzes) fällt.

3. Die Regelungen der Datenschutzgrundverordnung zur „Zutrittskontrolle"
Zutrittskontrollen sind Datenanwendungen und unterliegen dem Datenschutz.

Es sind hierbei folgende Punkte zu beachten:

  • Es ist eine (freie) Betriebsvereinbarung erforderlich
  • Eine Eintragung in das Verfahrensverzeichnis des Betreibers hat zu erfolgen
  • Biometrische Daten sind sensible Daten und daher speziell zu schützen (Datenschutzbeauftragter)


HINWEIS:
Der Inhalt dieses Newsletters wurde mit größter Sorgfalt zusammengestellt. Eine Gewähr für die Richtigkeit und Vollständigkeit der Inhalte wird nicht übernommen. Der Inhalt gibt den Kenntnisstand zum Zeitpunkt der Erstellung (April 2018) wieder. Spätere Rechtsauslegungen sind zu beachten. Aus Gründen der leichteren Lesbarkeit wird auf die gleichzeitige Verwendung männlicher und weiblicher Sprachformen verzichtet. Sämtliche Personenbezeichnungen gelten gleichermaßen für beiderlei Geschlecht.

 

 
Newsletter abmelden   Impressum