EU-Datenschutz-Grundverordnung (DSGVO): Bildverarbeitung/Videoüberwachung
Wann ist eine Videoüberwachung zulässig?
Lesedauer: 5 Minuten
Obwohl im österreichischen Datenschutzgesetz (DSG) ein eigener Abschnitt zur „Bildverarbeitung“ enthalten ist, hat das Bundesverwaltungsgericht (BVwG) in mehreren Entscheidungen ausgesprochen, dass dafür keine Öffnungsklausel innerhalb der DSGVO (Datenschutz-Grundverordnung) besteht und diese Bestimmungen daher nicht anzuwenden sind. Eine höchstgerichtliche Entscheidung dazu ist jedoch ausständig.
Die österreichische Datenschutzbehörde hat aus den Entscheidungen des BVwG den Schluss gezogen, dass sie die Bestimmungen des DSG nicht mehr anwenden, sondern Bildverarbeitungen im privaten Bereich ausschließlich auf Basis der DSGVO prüfen wird (siehe dazu Newsletter 1/2020 der Datenschutzbehörde).[1]
Aus diesem Grund wird die Bildverarbeitung im Folgenden auf Basis der relevanten Artikel der DSGVO dargestellt.
Zulässigkeit der Bildverarbeitung
Die DSGVO findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Aus diesem Grund sieht die österreichische Datenschutzbehörde Urlaubsfotos oder -filme, die nicht auf die identifizierende Erfassung unbeteiligter Personen hinauslaufen ebenso als zulässig an, wie die Aufnahmen von Skiabfahrten mit einer Helmkamera.
Eine im Rahmen der DSGVO relevante Bildverarbeitung (z.B. Videoüberwachung von Geschäftsräumlichkeiten) erfüllt nur dann die Voraussetzungen der DSGVO, wenn sie zumindest auf eine Rechtmäßigkeitsgrundlage gestützt werden kann.
Als Rechtsgrundlage für die Verarbeitung personenbezogener Bilddaten kommt insbesondere das berechtigte Interesse des Verantwortlichen in Betracht.
Die österreichische Datenschutzbehörde nennt drei Gründe, die den Einsatz einer Videoüberwachung rechtfertigen können:
- Schutz des Lebens von Personen
- Schutz der Gesundheit und der körperlichen Unversehrtheit von Personen
- Schutz des Eigentums (beispielsweise des Eigenheimes)
Nach Ansicht der österreichischen Datenschutzbehörde sowie des Europäischen Datenschutzausschusses (Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Rz 24)[2] sollten Videoüberwachungsmaßnahmen nur dann gewählt werden, wenn der Zweck der Verarbeitung nach vernünftigem Ermessen nicht durch andere, gelindere Mittel (z.B. Sperrsysteme, Sicherungssysteme, Einsatz von Sicherheitspersonal) erreicht werden kann.
Bei der Verarbeitung von personenbezogenen Daten aufgrund des berechtigten Interesses dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Die hierbei durchgeführte Interessensabwägung ist regelmäßig eine Einzelfallentscheidung.
In Einzelfällen kann anstelle des berechtigten Interesses auch die Einwilligung der betroffenen Person als Rechtsgrundlage herangezogen werden.
Verbotene Bildverarbeitungen (ohne Einwilligung)
Unter Strafe steht die absichtliche Bildaufnahme der Genitalien, der Schamgegend, des Gesäßes, der weiblichen Brust oder der diese Körperstellen bedeckenden Unterwäsche einer anderen Person, die diese Bereiche gegen Anblick geschützt hat oder sich in einer Wohnstätte oder in einem gegen Einblick besonders geschützten Raum befindet, ohne deren Einwilligung (gemäß § 120a Abs. 1 StGB [„Unbefugte Bildaufnahmen“] Freiheitsstrafe bis zu sechs Monaten oder Geldstrafe bis zu 360 Tagessätze, erhöhte Strafe bei Veröffentlichung des Bildmaterials). Generell unzulässig sind Bildverarbeitungen im höchstpersönlichen Lebensbereich (Umkleidekabinen, Toiletten, [fremde] Privatwohnungen und Wohnungstüren).
Einhaltung der Grundsätze der DSGVO bei der Bildverarbeitung
Darüber hinaus sind die Grundsätze für die Verarbeitung personenbezogener Daten einzuhalten. Der Verantwortliche muss daher
- die Videoüberwachung geeignet kennzeichnen um seinen datenschutzrechtlichen Informationspflichten nachzukommen (z.B. durch Schilder oder Aufkleber),
- die Videoüberwachung zeitlich und örtlich auf das für die Zwecke der Verarbeitung notwendige Maß beschränken (z.B. ist laut Datenschutzbehörde die Überwachung von Straße oder Gehsteig nur zulässig, wenn sonst der Schutzzweck der Videoüberwachung nicht erfüllt werden könnte. Zur Überwachung einer Hausfassade zum Schutz vor Sachbeschädigung darf maximal 50 cm öffentlicher Raum mitgefilmt werden),
- geeignete Datensicherheitsmaßnahmen ergreifen und dafür sorgen, dass der Zugang zur Bildaufnahme und eine nachträgliche Veränderung durch Unbefugte ausgeschlossen ist,
- aufgenommene personenbezogene Daten löschen, wenn sie für den Zweck, für den sie ermittelt wurden, nicht mehr benötigt werden und keine andere gesetzliche Aufbewahrungspflicht besteht. Von Seiten der Datenschutzbehörde wird eine Speicherdauer von bis zu 72 Stunden in der Regel als zulässig erachtet.
Selbstverständlich sind die allgemeinen Regelungen der Datenschutz-Grundverordnung ebenfalls zu beachten (siehe z.B. Datenschutzerklärung/Informationspflichten, Verarbeitungsverzeichnis) und ist gegebenenfalls eine Datenschutz-Folgenabschätzung durchzuführen:
Im Rahmen einer Datenschutz-Folgenabschätzung sollen die Auswirkungen und Risiken einer Datenverarbeitung für die Rechte und Freiheiten der Betroffenen analysiert und die Folgen der vorgesehenen Datenverarbeitungen für den Datenschutz abgeschätzt und geeignete Abhilfemaßnahmen ergriffen werden.
Zur Einschätzung des Risikos können zwei von der österreichischen Datenschutzbehörde erlassene Verordnungen („white list“ für Fälle, in denen keine Datenschutz-Folgenabschätzung erforderlich ist und „black list“ für Fälle, in denen auf jeden Fall eine Datenschutz-Folgenabschätzung durchzuführen ist) herangezogen werden.
Im Bereich der Bildverarbeitung sind aufgrund der „white list“ unter den dort genannten Voraussetzungen folgende Datenverarbeitungstätigkeiten von einer verpflichtenden Durchführung einer Datenschutz-Folgenabschätzung ausgenommen:
- Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)
- Bild- und Akustikdatenverarbeitung in Echtzeit
- Bild- und Akustikverarbeitungen zu Dokumentationszwecken
Die näheren Voraussetzungen dafür finden Sie in der „white list“: DSFA-A09 Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung), DSFA-A10 Bild- und Akustikdatenverarbeitung in Echtzeit sowie DSFA-A11 Bild- und Akustikverarbeitungen zu Dokumentationszwecken.
Die „black list“ enthält jene Verarbeitungsvorgänge, in denen jedenfalls eine Datenschutz-Folgenabschätzung durchzuführen ist (vgl. insbesondere § 2 Abs 2 Z 3 und Z 6 DSFA-V sowie § 2 Abs 3 DSFA-V).
Tipp: Ermitteln Sie mit dem elektronischen Ratgeber, ob eine Datenschutz-Folgenabschätzung in Ihren konkreten Fall durchzuführen ist.
Zulässigkeit von Audioaufnahmen
Wenngleich Tonaufnahmen im Zusammenhang mit der Videoüberwachung vermehrt technisch einfach möglich sind, sind auch in Bezug auf diese Aufnahmen die oben angeführten Bestimmungen der DSGVO (Rechtsgrundlage, Informationspflichten, Speicherdauer usw.) einzuhalten. Häufig wird eine im Rahmen des berechtigten Interesses durchgeführte Interessensabwägung zum Ergebnis kommen, dass eine Audio- neben einer Videoaufnahme unverhältnismäßig und nicht auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt ist (Verstoß gegen den Grundsatz der Datenminimierung).
Tipp: Prüfen Sie konkret auf den beabsichtigten Zweck der Videoüberwachung, ob und warum Tonaufnahmen notwendig sein könnten. So wird etwa eine Videoüberwachung eines Geschäftslokals zur Vermeidung und Aufklärung von Diebstählen in der Regel keine Tonaufnahme notwendig sein.
Darüber hinaus ist die Benützung eines Tonaufnahme- oder Abhörgeräts, um sich oder einem anderen Unbefugten von einer nicht öffentlichen und nicht zu seiner Kenntnisnahme bestimmten Äußerung eines Anderen Kenntnis zu verschaffen, gerichtlich strafbar (gemäß § 120 Abs. 1 StGB [„Missbrauch von Tonaufnahme- und Abhörgeräten“] Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bis zu 720 Tagessätzen).
Geldstrafen
Je nachdem welche Pflichten im Zusammenhang mit der Datenschutz-Grundverordnung verletzt werden, sind Geldbußen bis zu 20 Mio EUR oder im Falle eines Unternehmens von
bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen
Geschäftsjahres möglich (siehe dazu Strafbestimmungen).
Relevante Artikel der DSGVO: Art 5, Art 6, Art 12, Art 35
Relevante Erwägungsgründe: 39ff
[1] Der Oberste Gerichtshof hat die §§ 12 und 13 DSG – neben den Bestimmungen der DSGVO – auch nach den ersten entsprechenden Entscheidungen des BVwG weiterhin zur Beurteilung der Zulässigkeit einer Bildverarbeitung herangezogen (siehe 6 Ob 150/19f vom 27.11.2019).
[2] Der Europäische Datenschutzausschuss (EDSA) ist eine unabhängige europäische Einrichtung, die zur einheitlichen Anwendung der Datenschutzvorschriften in der gesamten Europäischen Union beiträgt und die Zusammenarbeit zwischen den EU-Datenschutzbehörden fördert. Diese Gruppe verfasst und beschließt u.a. Leitlinien für die Umsetzung der DSGVO, um eine möglichst einheitliche Anwendung der DSGVO in der EU zu gewährleisten. Auch wenn diese Leitlinien „lediglich“ empfehlenden Charakter aufweisen, haben sie in der Praxis eine große Bedeutung, weshalb sich deren Berücksichtigung empfiehlt.
Stand: 20.06.2024