DSGVO: Neue Kriterien für zulässige VIDEOÜBERWACHUNG und zu biometrischen Daten

Für EILIGE: Verantwortliche und Auftragsverarbeiter sollten jetzt die DSGVO-Compliance ihre Videoüberwachungen prüfen bzw. „nachschärfen“. Denn das Österreichische Bundesverwaltungsgericht (BVwG) hat Ende November 2019 einige Bestimmungen des Datenschutzgesetzes betreffend Videoüberwachungen für ungültig erachtet. Im Jänner 2020 hat der Europäische Datenschutzausschuss seine finale Version der umfangreichen Richtlinie für Videoüberwachungen veröffentlicht. Die neue Richtlinie enthält auch interessante Guidelines für die Verarbeitung biometrischer Daten, im Besonderen auch zur Gesichtserkennung.

Die besonders große Aufmerksamkeit, die Videoüberwachungsanlagen von Medien und Datenschützern zuteil wird, erscheint auch vielen Betroffenen stark übertrieben. Nicht zuletzt die hervorragende Doku in FS 1 am 6.2.2020 Tokio 2020 – Der Preis der Sicherheit (https://tvthek.orf.at/profile/Dok-1/13844820/Dok-1-Tokio-2020-Der-Preis-der-Sicherheit/14040546 ) kann diese Meinung relativieren.

Wie immer man zu den Datenschutz-Vorschriften für Videoanlagen stehen mag, es gibt neuen Anlass für deren Betreiber, sich wieder damit zu beschäftigen:

  1. Das Österreichische Bundesverwaltungsgericht (BVwG) hat im November 2019 in zwei (nicht rechtskräftigen) Entscheidungen ausgesprochen, dass aktuelle Bestimmungen des Österreichischen DSG zur Bildverarbeitung (§ 13 und § 12 Abs. 4 Z 1) nicht anzuwenden waren, weil sie der Europäischen DSGVO nicht entsprechen (BVwG, Beschluss vom 20.11.2019, W256 2214855-1, und BVwG, Erkenntnis vom 25.11.2019, W211 2210458-1).
  2. Der Europäische Datenschutz-Ausschuss (EDSA) hat 2020 die 33 Seiten umfassende Endversion seiner Guidelines 3/2019 on processing of personal data through video devices, Version 2.0, Adopted on 29 January 2020 ( https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201903_video_devices.pdf ) veröffentlicht.

Der Europäische Datenschutz-Ausschuss (EDSA) setzt sich aus Vertretern aller Datenschutzbehörden in der EU zusammen. Der EDSA erlässt Richtlinien mit Rechtsauffassungen, welche die Datenschutzbehörden ihren Entscheidungen zu Grunde legen. Auch wenn solche Rechtsauffassungen durch Anfechtung der Entscheidungen von den betroffenen Unternehmen und Behörden überprüft werden können, haben sie dennoch – bis zu deren allfälliger Abänderung – große Bedeutung für Verantwortliche und Auftraggeber.

Die Richtlinie enthält neben abstrakten Erläuterungen zahlreiche praktische Beispiele, wie eine Videoüberwachung DSGVO-konform betrieben werden kann – und wie nicht.

Gültiger Rechtsgrund für Videoüberwachungen

Neben einem gesetzlichen Auftrag zur Videoüberwachung kommen als Rechtsgrundlage vor allem in Frage

  • das berechtigte Interesse des Verantwortlichen oder Dritter sowie
  • die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt

Berechtigte Interessen können rechtlicher, wirtschaftlicher und auch nicht materieller Natur sein. Der Schutz von Personen oder von Eigentum gegen Raub, Diebstahl oder Vandalismus können ein berechtigtes Interesse begründen. Zum Nachweis der Erforderlichkeit dieses Schutzes sollten konkrete frühere Gefährdungen oder Verletzungen (z.B. auch in der Nachbarschaft) dokumentiert werden. Banken, Juweliere, Tankstellen sind als typische Beispiele immanenter Gefährdung angeführt.

Über die Art des berechtigten Interesses des Verantwortlichen oder Dritten müssen Betroffene rechtzeitig informiert werden. Im Fall eines Widerspruches des Betroffenen gegen das berechtigte Interesse muss der Verantwortliche sein compelling legitimate interest an der Videoüberweachung dokumentieren. Letzteres wird – bedauerlicherweise – ausdrücklich nicht näher beschrieben.

Bei der Abwägung der Interessen von Verantwortlichen und Betroffenen sind auch die vernünftigen Erwartungen der Betroffenen hinsichtlich einer Überwachung überhaupt und deren Art zu beachten (z.B. nicht auf der Toilette).

Die Einwilligung von Betroffenen kommt als Rechtsgrundlage für systematische Überwachung nur in Ausnahmefällen in Frage. Denn ein Verantwortlicher wird hier schwer nachweisen können (Rechenschaftspflicht!), dass die vielen Betroffenen rechtzeitig ihre (informierte) Einwilligung gegeben haben; und im Fall des Widerrufs der Einwilligung, dass die Verarbeitung der von dieser Person gespeicherten pb Daten unverzüglich beendet wird.

Für Mitarbeiter können gemäß der Richtlinie ausdrücklich „works agreements“ eine gültige Einwilligung darstellen. Dieser englische Begriff ist leider nicht näher erläutert.

Auch jede Weitergabe der Videodaten an Dritte bedarf einer gültigen Rechtsgrundlage. Ein berechtigtes Interesse kann an der Weitergabe einer Videoaufzeichnung an eine Strafverfolgungsbehörde bestehen, auch mangels Herausgabebegehren einer Sicherheitsbehörde (z.B. Interesse eines Shop-Betreibers, der einen begründeten Verdacht hat, dass auf den Überwachungsbildern eine Straftat aufgezeichnet ist).

Werden besondere Kategorien von pb Daten (sensible Daten) verarbeitet, muss gemäß der Richtlinie die Ausnahme-Zulässigkeit für die Verarbeitung nach Art 9 DSGVO bestimmt werden – und auch die rechtliche Basis gemäß Art 6 DSGVO.

Bei Verarbeitung sensibler Daten ist freilich ein hohes Sicherheitsniveau gefordert.

Gesichtserkennung und andere biometrische Daten:

Der Verarbeitung biometrischer Daten, im Speziellen der Gesichtserkennung, ist ein eigener Abschnitt gewidmet.

Videoaufnahmen sind für sich nicht bereits biometrische Daten gemäß Art 9 DSGVO. Es bedarf einer spezifischen technischen Verarbeitung, die auch zur Identifikation des Individuums beiträgt.

Eine Gesichtserkennung, die keine biometrischen Aufnahmen erzeugt, um Personen individuell zu erkennen, sondern sie beispielsweise nur in Kategorien wie Alter, Geschlecht etc. einteilt, erzeugt nicht biometrische Daten im Sinn Art 9 DSGVO.

Bei der Verarbeitung von biometrischen Daten ist besonders auf Rechtmäßigkeit, Erforderlichkeit, Verhältnismäßigkeit und Datenminimierung zu achten. Zunächst ist immer der Einsatz weniger intrusiver Mittel für die Zielerreichung zu prüfen.

Als Rechtsgrundlage für die Verarbeitung biometrischer Daten für eigene Zwecke durch private Verantwortliche wird meist nur die gültige Einwilligung in Frage kommen. So können Betroffene in die Gesichtserkennung bei einer Eingangskontrolle einwilligen. Damit dabei nicht auch andere Personen automatisch biometrisch erfasst werden, muss es für die Einwilligenden einen separaten check-point geben; oder die Einwilligenden müssen am allgemeinen Kontrollpunkt jedes Mal einen speziellen Knopf zur Aktivierung der Gesichtserkennung drücken.

Spezielle Maßnahmen zur Risiko-Minimierung bei Verarbeitung biometrischer Daten werden angeführt:

  • Einhaltung der Zweckbindung, keine darüberhinausgehende Verarbeitung! Sicherstellung, dass Vorlagen nicht außerhalb des biometrischen Systems gelangen.
  • Templates (Vorlagen), die zum Zweck der Identifizierung, Authentifizierung /Verifizierung benötigt werden, müssen am bestgeeignetsten Ort gespeichert werden. Soweit möglich und sinnvoll beim Benutzer selbst (im Smartphone, ID-Card) oder verschlüsselt in einer zentralisierten Datenbank mit einem Schlüssel, den allein die betroffene Person erhält. Haben andere als die betroffene Person Zugang zu den Vorlagen, können Verschlüsselung der Templates und spezielle Zugangsberechtigungen überlegt werden.
  • Sicherstellung von Verfügbarkeit, Integrität und Vertraulichkeit der biometrischen Daten.
  • Abschottung der biometrischen Daten in Cryptainer-Vaults während Übertragung und Speicherung
  • Speichern von biometrischen Templates und von Roh- oder Identitäts-Daten in unterschiedlichen Datenbanken
  • Verschlüsselung biometrischer Daten, vor allem von Templates
  • Verschlüsselungs-Policy und Schlüssel-Management
  • TOMs für fraud detection
  • Zuordnung der biometrischen Daten zu einem Integritätscode (Unterschrift oder Hashfunktion)
  • Verhinderung eines externen Zugangs zu den biometrischen Daten
  • Anpassung an den Fortschritt der Technologien
  • Löschen der Roh-Daten (Gesichtsbilder, Sprachsignale, Gangart etc.) und der biometrischen Daten und Sicherstellung der Effektivität des Löschens

Betroffenenrechte

Hier enthält die RL allgemeine Hinweise zu Begehren nach Auskunft und Löschen und zum Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen

Transparenz und Informationspflichten

Praktikabel erscheint das Muster für eine typische first layer information (Video-Hinweistafel):

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201903_video_devices_en.pdf – Seite 27 Pkt. 116.

Ein leichter Zugang zur (digitalen und nicht-digitalen) vollständigen (gemäß Art 13 DSGVO) second layer information muss gewährleistet werden.

Speicher-Perioden und Löschpflicht

Mangels konkreter gesetzlicher Vorschriften im Mitgliedsstaat ist die Speicherdauer abhängig vom Zweck der Videoüberwachung. Bei Überwachung zum Zweck des Schutzes von Eigentum oder der Sicherung von Beweismittel können Schäden meist innerhalb von 1 oder 2 Tagen festgestellt werden. Datenminimierung und Speicherbegrenzung erfordern daher meist eine Löschung nach wenigen Tagen. In einem Geschäft können beispielsweise geschlossene Wochenenden oder längere Urlaube eine längere Aufbewahrung erforderlich machen.

Eine Speicherung von mehr als 72 Stunden muss jedenfalls klar definiert und für jeden einzelnen Zweck nach den Prinzipien Erforderlichkeit und Verhältnismäßigkeit festgelegt und entsprechend argumentiert werden.

Technische und organisatorische Maßnahmen

Die Richtlinie verweist auf das Erfordernis von Maßnahmen zum Schutz der Datensicherheit gemäß Art 32 DSGVO.

Die TOMs müssen aber ausdrücklich auch die Einhaltung der Datenschutz-Grundsätze (Rechtmäßigkeit, Zweckbindung und Speicherbegrenzung, Datenminimierung durch datenschutzfreundliche Voreinstellungen, Integrität und Vertraulichkeit sowie Rechenschaftspflicht etc.) und der Betroffenenrechte (Art 15-22 DSGVO) gewährleisten. Dies ist auch bei Neuanschaffungen zu beachten.

Die Maßnahmen müssen sich auf alle Komponenten des Systems und alle darin verarbeiteten Daten über deren gesamten Lebenslauf beziehen.

Die technischen Lösungen sollen Masking (Abdecken) und das Scrambling von für die Überwachung nicht erforderlichen Bereichen ermöglichen sowie das Ausschneiden von dritten Personen.

Für den Zweck der Überwachung nicht benötigte Funktionen wie uneingeschränkte Bewegung der Kamera, Zoom, Funkübertragung, Analyse und Tonaufnahmen sollen Fehlen oder deaktiviert werden.

Zahlreiche Möglichkeiten für organisatorische und für technische Maßnahmen sind aufgelistet, deren Einsatz überlegt werden soll.

Datenschutzfolgenabschätzung:

Auf Grund der oft hohen Risiken, welche durch eine Videoüberwachung für die Rechte und Freiheiten von Betroffenen entstehen können, machen viele Videoüberwachungen eine DSFA erforderlich (siehe Art 35 DSGVO).

Vorschriften der Mitgliedsstaaten, in welchen Verarbeitungen aufgelistet sind, für welche jedenfalls eine DSFA erforderlich ist, müssen sorgfältig geprüft werden.

In Österreich ist dies die DSFA-V, BGBl II Nr. 278/2018 (sogenannte „black list“). Konkrete Bildverarbeitungen sind dort besonders in § 2 Abs. 2 Z. 3 bis 5 angeführt.

Ausdrückliche Ausnahmen von der DSFA-Pflicht für einige Bildverarbeitungen findet man in der „white-list“, Verordnung DSFA-AV, BGBl II Nr 108/2018 (siehe DSFA-A08 bis A11).

Markus Frank

11.02.2020