> Datenschutz Videoüberwachung

„ Videoüberwachung Datenschutz “ – Ist der Einsatz von „Klingel-Cams“ erlaubt?

datenschutz camsVideoüberwachungsanlagen können die Privatsphäre von Betroffenen erheblich einschränken, weshalb das Thema „ Videoüberwachung Datenschutz “ sowohl Privatpersonen als auch Organisationen beschäftigt. Was bzw. wer ist hier mit Organisationen gemeint?

Verantwortliche Stellen im Sinne des Bundesdatenschutzgesetzes (BDSG). Hierzu zählen:

  • Unternehmen (Firmen, Einzelunternehmen, Gesellschaften eines Konzerns usw.),
  • Behörden,
  • Vereine/Verbände,
  • oder Stiftungen.

Der Einsatz von Videoüberwachungsanlagen kann im Hinblick auf die Sicherheit zu vielen Vorteilen führen. Diese wären z. B.:

  • Abschreckung von Straftätern,
  • die leichtere Suche bei Straftaten nach den „Übeltätern“,
  • Sicherung von Beweisen.

Aus diesem Grund ist es wenig verwunderlich, dass nicht nur Organisationen, sondern auch Privatpersonen zu Videoüberwachungsanlagen zurückgreifen. Hörte man früher eher bei eskalierten Nachbarschaftsstreitigkeiten von einem Einsatz, so werden verstärkt Videoüberwachungsanlagen präventiv von Privatpersonen angebracht. In diesem Zusammenhang sieht man vermehrt den Einsatz von sogenannten „Klingel-Cams“ bzw. „Türspion-Kameras“.

Bei „Klingel-Cams“ handelt es sich üblicherweise um Kameras, die an der Klingel angebracht werden. Wird die Klingel betätigt, so können die Bewohner – bevor sie die Tür öffnen – feststellen, wer geklingelt hat. Daneben existieren auch „Klingel-Cams“ auf die sich die Bewohner jederzeit „aufschalten“ können. Auch gibt es bereits „Türspion-Kameras“, die das Einsehen von Aufnahmen mit dem Smartphone ermöglichen. Hierbei tritt natürlich unweigerlich die Frage nach der Zulässigkeit auf, die sowohl Betroffene als auch Eigentümer betrifft. Ist der Einsatz von „Türspion-Kamers“ erlaubt?

Ihr externer Datenschutzbeauftragter informiert im Folgenden über das Thema „ Videoüberwachung Datenschutz “, wobei nicht nur der Einsatz von „Klingel-Cams“, sondern die Videoüberwachung in Organisationen thematisiert werden.

„ Videoüberwachung Datenschutz “ – Ist der Einsatz von „Klingel-Cams“ erlaubt?

Die Thematik rund um „Klingel-Cams“ beschäftigte seit Jahren nicht nur Betroffene, eher unfreiwillig die Eigentümer bzw. Verantwortlichen, Datenschützer und Datenschutzbeauftragte, sondern auch die Instanzen der deutschen Gerichte, sogar den Bundesgerichtshof (BGH).

Um kurz das Thema „Nachbarschaftsstreitigkeiten“ aus der Einleitung aufzugreifen. Ja, die dauerhafte Videoüberwachung aufgrund eines Nachbarschaftsstreits von weiteren Wohnungseigentümern sollte unterlassen werden (Urteil des AG München vom 4.12.2013 – Az. 413 C 26749/13).

Grundsätzlich ist Privatpersonen anzuraten, von „Klingel-Cams“ die Finger wegzulassen, allerdings liegen Ausnahmen vor, die im Einzelfall den Einsatz erlauben könnten. Möchten Wohnungseigentümer bzw. der Vermieter des Hauses eine solche Kamera anbringen, so sollten einige Maßnahmen ergriffen werden.

  • Unter anderen sollte sichergestellt werden, dass die Kamera erst bei Betätigung der Klingel aktiv wird und sich zeitnah wieder automatisiert ausschaltet,
  • wobei die Aufnahmen nur vom Bewohner eingesehen werden dürfen, bei dem geklingelt wurde.
  • Des Weiteren sollten die Aufnahmen nicht gespeichert werden,
  • der Betroffene sollte mit Hilfe eines Hinweisschildes informiert werden
  • und die Kamera sollte so eingestellt werden, dass möglichst nur die Person, die geklingelt hat, gefilmt wird.

Zwischen dem Verbot und der Erlaubnis ist nur ein „schmaler Grat“, weshalb sich Privatpersonen vor Anbringung von Überwachungskameras ausreichend mit dem Thema „ Videoüberwachung Datenschutz “ auseinanderzusetzen sollten. Spätestens beim beruflichen Einsatz von „Klingel-Cams“ bzw. allgemein von Videoüberwachungsanlagen sollte auf fachkundige Beratung keinesfalls verzichtet werden. Dies gilt übrigens auch für Kameraattrappen, da diese die „informationelle Selbstbestimmung“ von Betroffenen ebenfalls einschränken können.

„Videoüberwachungsanlagen Datenschutz“ – Worauf Organisationen achten sollten

Planen „verantwortliche Stellen“, wie z. B. Unternehmen, das Anbringen von Videoüberwachungsanlagen, so sollten sich diese dringend von einem Datenschutzbeauftragten beraten lassen, dabei spielt es keine Rolle, ob es sich um Videoüberwachungsanlagen handelt, die nichts aufnehmen (Kameraattrappen), die ausschließlich aufnehmen (auch bekannt unter „verlängertes Auge“) oder auch das Speichern von Aufnahmen ermöglichen.

Im Datenschutzrecht steht die „informationelle Selbstbestimmung“ im Vordergrund. Das Ziel ist es, dass natürliche Personen selbst über die Erhebung, Verarbeitung und Nutzung ihrer Daten entscheiden können, damit diese sich frei entfalten können. Bei Anbringung einer Kameraattrappe passen sich Betroffene, wie Mitarbeiter und Kunden, automatisch an, weil sie nicht wissen, dass es nur eine Attrappe ist. Eine Kameraattrappe ließe sich zudem, wenn sich ein Betroffener an diese gewöhnt hat, recht unkompliziert durch eine funktionstüchtige Videoüberwachungsanlage ersetzen. Dies verletzt das Grundrecht der Persönlichkeitsentfaltung sowie die informationelle Selbstbestimmung. Daher greift – rein logisch – das Datenschutzrecht auch bei Kameraattrappen.

Organisationen sollten bei der Planung der Videoüberwachungsanlagen Maßnahmen, wie die Vorabkontrolle durch einen Datenschutzbeauftragten, ergreifen sowie klare Regelungen aufstellen. Ist ein Datenschutzbeauftragter extern oder intern bestellt, so kontrolliert er die geplanten Videoüberwachungsmaßnahmen und unterstützt „verantwortliche Stellen“ bei der Erstellung von Betriebsvereinbarungen zu Videoüberwachungsanlagen, Video-Dienstvereinbarungen bzw. Richtlinien und sonstige Regelwerke rund um Videokameras und sonstige Datenschutz-Regelwerke.

Das fehlerhafte Anbringen von Videoüberwachungsanlagen kann für „verantwortliche Stellen“ zu erheblichen Konsequenzen führen. Neben der Demontage von teuren Anlagen drohen sogar Bußgelder und ein erheblicher Imageverlust.

Möchten Sie mehr zum Thema „ Videoüberwachung Datenschutz “ erfahren, dann lesen Sich doch unseren Beitrag „Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten“.

Wenn Sie sich im Datenschutz dauerhaft besser positionieren möchten, dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„ Vorabkontrolle Datenschutzbeauftragter “ – Wann und unter welchen Umständen eine „Datenschutz Vorabkontrolle“ erfolgen sollte

Vorabkontrolle DatenschutzbeauftragterTrotz der hohen Verbundenheit der Begriffe „ Vorabkontrolle Datenschutzbeauftragter “ sieht man in der Praxis häufig, dass innerhalb einer „verantwortliche Stellen“ zwar ein interner betrieblicher Datenschutzbeauftragter oder externer Datenschutzbeauftragter bestellt wurde, sich die Verantwortlichen allerdings nicht darüber bewusst sind, dass bestimmte Verfahren vorab zwingend durch den Datenschutzbeauftragten kontrolliert werden sollten. Die sogenannte Datenschutz-Vorabkontrolle darf nicht vergessen werden.

Ihr externer Datenschutzbeauftragter informiert im Folgenden, wann und unter welchen Umständen die sogenannte Vorabkontrolle durch den bestellten Datenschutzbeauftragten und zwar ausschließlich durch diesen „Beauftragten für den Datenschutz“ erfolgen sollte.

„ Vorabkontrolle Datenschutzbeauftragter “ – die hohe Bedeutung für den Datenschutz

Durch das Bundesdatenschutzgesetz (BDSG) sind alle Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, der zuständigen Datenschutzaufsichtsbehörde zu melden. Die Meldepflicht an die Aufsichtsbehörde entfällt, gemäß § 4d Abs. 2 BDSG, wenn innerhalb der „verantwortliche Stelle“ ein interner betrieblicher Datenschutzbeauftragter bzw. externer Datenschutzbeauftragter bestellt wurde. Des Weiteren legt § 4d Abs. 5 BDSG fest, dass für einige automatisierte Datenverarbeitungen eine Vorabkontrolle zu erfolgen hat.

§ 4d Abs. 6 S. 1 BDSG schreibt hierzu das Folgende: „Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor.

Zuständig für die Vorabkontrolle ist damit eindeutig der Datenschutzbeauftragte unter Mitwirkung der verantwortlichen Stelle!!!

Eine Vorabkontrolle ist eine Überprüfung des Datenschutzbeauftragten VOR der automatisierten Datenverarbeitung, dabei ermöglicht sie der „verantwortlichen Stelle“ sich frühzeitig mit den potenziellen Datenschutz-Risiken und Gefahren, die sich durch die automatisierte Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten ergeben, zu befassen.

Wann sollte eine Vorabkontrolle stattfinden? Gibt es Situationen bei der eine Vorabkontrolle entfällt?

Wann eine solche Vorabkontrolle stattfinden soll, ist vom Gesetzgeber bestimmt. So besagt der § 4d Abs. 5 BDSG, dass eine solche Kontrolle nur durchzuführen ist, wenn ein automatisches Verfahren „besondere Risiken“ für die Rechte und Freiheiten der davon Betroffenen darstellt. Aber wann stellt die automatisierte Datenverarbeitung ein erhöhtes Risiko dar?

Das erhöhte Risiko wird wird im § 4d Abs. 5 BDSG in zwei Punkten näher erläutert. Nach diesem ist die Vorabkontrolle bei der Verarbeitung von besonderen Arten personenbezogener Daten (§3 Abs. 9 BDSG) sowie bei deren Verwertung, welche Rückschlüsse auf die Fähigkeiten, Leistung oder Verhalten des Betroffenen begründet, sogenannte Verhaltens- und Leistungskontrolle, anzuwenden. Es ist darauf zu achten, dass bereits die bloße Möglichkeit einer Verhaltens- und Leistungskontrolle eine Vorabkontrolle vorsieht. Aus diesem Grund sollten unter anderem Zeiterfassungssysteme und Videoüberwachungsanlagen einer Vorabkontrolle durch den Datenschutzbeauftragten unterzogen werden. Möchten Sie mehr zu Thema Videoüberwachung oder Zeiterfassung erfahren, dann lesen Sie doch unsere Beiträge „Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten“ oder „Vertrauen ist gut, Kontrolle ist besser! – Wieso Sie bei der Zeiterfassung Datenschutz-Risiken beachten sollten“.

In der Praxis liegen weitere Verfahren vor, die ebenfalls einer Datenschutz-Vorabkontrolle unterzogen werden sollten, allerdings ist das Thema „ Vorabkontrolle Datenschutzbeauftragter “ nicht in allen Fällen für „verantwortliche Stellen“ so deutlich erkennbar, wie bei der Videoüberwachung oder Zeiterfassung.

Bezüglich der Voraussetzungen für eine Vorabkontrolle bietet der § 4d Abs. 5 BDSG zwar das Heranziehen des § 3 Abs. 9 BDSG an, welcher erläutert, dass Daten, die eine Vorabkontrolle benötigen, vorliegen, sobald diese im Zusammenhang mit rassischer und ethnischer Herkunft, politischer Meinung, religiöser oder philosophischer Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben stehen.

Diese besonderen Angaben, wie die religiöse Überzeugung und Angaben über die Gesundheit, werden im betrieblichen / behördlichen Alltag häufig im Rahmen der gesetzlich vorgeschriebenen Speicherung der Religionszugehörigkeit für die Ermittlung der Kirchensteuer sowie im Zusammenhang mit dem Betrieblichen Eingliederungsmanagements (BEM) bzw. dem Betrieblichen Gesundheitsmanagements (BGM) erhoben und verarbeitet.

Nach dem § 4d Abs. 5 Nr. 2 BDSG unterfällt ebenso die Verarbeitung personenbezogener Daten, die die Persönlichkeit des Beteiligten bewerten sollen, der Vorabkontrolle. Was unter der Bewertung der Persönlichkeit des Betroffenen zu verstehen ist, kann schwer ermittelt werden, da eine Bewertung immer aus dem eigenen Standpunkt erfolgt und subjektive Tendenzen nicht zu vermeiden sind.  Selbst bei besonderen Arten personenbezogener Daten oder bei personenbezogenen Daten, die eine Verhaltens- und Leistungskontrolle ermöglichen, gibt es noch die Ausnahmen im § 4d Abs. 5 Satz 2 letzter Halbsatz.  Eine Vorabkontrolle kann demnach entfallen, wenn:

  • eine gesetzliche Verpflichtung für die Verarbeitung besteht,
  • die Einwilligung des Betroffenen vorliegt (Achtung Exkurs: Einwilligungen im Kontext des Arbeitsverhältnisses regelmäßig schwierig) oder
  • die Verarbeitung der Daten einem Vertragsverhältnis oder auch vertragsähnlichen Verhältnis dienen.

Im Zweifel über die Erforderlichkeit einer Vorabkontrolle sollte auf fachkundige Unterstützung, in der Form der Datenschutzberatung oder durch einen versierten Datenschutzbeauftragten (siehe auch Dienstleistung: externer Datenschutzbeauftragter) zurückgegriffen werden.

Was sind die Folgen einer unterlassenen Datenschutz-Vorabkontrolle?

Erfolgt keine Vorabkontrolle, so stellt dies zwar keine Ordnungswidrigkeit oder Straftat, gemäß §§ 43, 44 BDSG dar. Auch bedeutet es nicht, dass eine automatisierte Datenverarbeitung ohne Vorabkontrolle nicht rechtmäßig ist, allerdings ermöglicht sie vorab Fehler festzustellen. Wird erst im Nachgang festgestellt, dass die automatisierte Datenverarbeitung nicht datenschutzkonform erfolgt, da die relevanten Kriterien, wie der Anlass der Datenverarbeitung, die über ein Verbot oder eine Zulässigkeit des Verfahrens entscheiden, nicht eingehalten werden, so muss die „verantwortliche Stelle“ Änderungen vornehmen oder die Verfahren einstellen. Dies führt zumeist zu einem erheblichen Mehraufwand. Des Weiteren ist nicht auszuschließen, dass automatisierte Datenverarbeitungen, wie Videoüberwachungssysteme, unter anderem durch die Aufsichtsbehörde geprüft werden. Wird zum Beispiel festgestellt, dass die „verantwortliche Stelle“ die Mitarbeiter überwacht, so kann dies zu hohen Bußgeldern und zu einem erheblichen Imageverlust führen. Auch auf das „Betriebsklima“ wirken sich Probleme rund um die Videoüberwachung nicht gerade positiv aus. Mitarbeiter sollten daher bestmöglich zu den Hintergründen einer Videoüberwachung informiert werden. Wir bieten unseren Kunden daher die Möglichkeit diese durch die Vorabkontrolle gewonnenen Kenntnisse zu den Mitarbeitern zu transferieren und integrieren diese in einem sehr reduzierten Umfang in unsere Datenschutzschulungen.

Es ist daher für niemanden von Vorteil, wenn ein Verfahren zwar schnell zum Einsatz kommt, jedoch erneuert / stark verändert werden muss, weil Aspekte des Datenschutzes nicht hinreichend beachtet wurden. Beim Einsatz von Videoüberwachungsanlagen kann eine Folge z. B. das Abhängen der zuvor teuer erworbenen und installierten Videokameraanlagen sein.

Neben der Vorabkontrolle sollten „verantwortliche Stellen“ weitere Maßnahmen, wie die Erstellung eines öffentlichen und von internen Verfahrensverzeichnissen (auch als interne Verfahrensübersicht bekannt), ergreifen. Zudem sollte beachtet werden, dass der Betriebsrat bei Verfahren, die eine Leistungs- und Verhaltenskontrolle ermöglichen ein Mitbestimmungsrecht hat, vgl. § 87 Abs. 1 Nr. 6 BetrVG.

Benötigen Sie Informationen zum Thema „ Vorabkontrolle Datenschutzbeauftragter “ bzw. „Datenschutz Vorabkontrolle“ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf. Als Datenschutzberater oder externer Datenschutzbeauftragter unterstützen wir Sie natürlich sofort in allen Fragen rund automatisierte Datenverarbeitungen, wie  Zeiterfassung und Videoüberwachung.

Weitere Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Externer Datenschutzbeauftragter – „zehn Dinge“, die er niemals sagen würde!

Was würde ein externer Datenschutzbeauftragter NIE sagen? Jede Berufsgruppe / Branche hat ihre eigenen Probleme, Anforderungen, Merkmale und folglich Aussagen, die von den einzelnen Gruppen stammen können oder die einzelne Berufsgruppen niemals treffen würden. Im Folgenden erfahren Sie, was Sie nie aus dem Mund eines externen Datenschutzbeauftragten hören werden, wobei dies in den meisten Fällen auch auf den internen Datenschutzbeauftragten zutreffen dürfte.

Externer Datenschutzbeauftragter: „Hierfür übernehme ich die Verantwortung!“

1. Externer Datenschutzbeauftragter: „Hierfür übernehme ich die Verantwortung!“Die Aussage „Hierfür übernehme ich die Verantwortung!“ würde ein externer Datenschutzbeauftragter nicht tätigen, weil er sie üblicherweise auch nicht übernimmt.

Grund: Als Datenschutzbeauftragte haben wir die Pflicht auf die Einhaltung des Datenschutzes hinzuwirken. Das heißt unsere Aufgabe ist es „verantwortlichen Stellen“, wie Unternehmen und Vereinen, den richtigen Weg „auszuleuchten“ und sie bei der Umsetzung zu unterstützen, wobei die Umsetzung selbst bei der „verantwortlichen Stelle“, demzufolge bei der Geschäftsführung respektive Behördenleitung liegt. Mehr Infos zu Hinwirkungspflicht des Datenschutzbeauftragten erfahren Sie in unserem Datenschutz-Lexikon.

Externer Datenschutzbeauftragter: „Natürlich können Sie alle Daten in der Dropbox sichern.“

1. Externer Datenschutzbeauftragter: „Natürlich können Sie alle Daten in der Dropbox sichern.“Ein externer Datenschutzbeauftragter würde immer von einer Nutzung der Dropbox abraten.

Grund: Werden personenbezogene Daten in eine Cloud, so auch in die Dropbox, ausgelagert, so handelt es sich bereits um eine Datenübermittlung. Eine Übermittlung personenbezogener Daten bedarf allerdings grundsätzlich einer Rechtsgrundlage oder einer informierten Einwilligung.

Bei einer Auslagerung personenbezogener Daten an einen Cloud-Anbieter, der seinen Sitz innerhalb der europäischen Union (EU) / des europäischen Wirtschaftsraums (EWR) hat, ist die Ausgangslage etwas einfacher, da es sich bei Cloud-Diensten in den meisten Fällen um eine Auftragsdatenverarbeitung (ADV), gemäß § 11 Bundesdatenschutzgesetz (BDSG) handelt. Die Übermittlung an einen ADV-Dienstleister wird hingegen als „Nicht-Übermittlung“ eingestuft, wodurch das Einholen von informierten Einwilligungen nicht notwendig ist. Achtung: Das Abschließen eines Vertrages zur Auftragsdatenverarbeitung, der die Rechte und Pflichten des Auftraggebers / Auftragnehmers klar regelt, ist allerdings unbedingt anzuraten.

Hat der Cloud-Anbieter seinen Sitz außerhalb der EU / EWR (Drittland), wie dies bei der Dropbox Inc. der Fall ist, so gilt nicht die Fiktion der „Nicht-Übermittlung“. Aus diesem Grund dürfen die Daten nur auf Basis einer Rechtsgrundlage respektive alternativer vertraglicher Regelungen zum klassischen ADV-Vertrag oder einer informierten Einwilligung in die Dropbox ausgelagert werden.

Externer Datenschutzbeauftragter: „Im Datenschutz ist alles erlaubt, außer es wird explizit verboten.“

1. Externer Datenschutzbeauftragter: „Im Datenschutz ist alles erlaubt, außer es wird explizit verboten.“Bei dieser Aussage wurden Satzteile bewusst verdreht und der Satz gewinnt eine neue, allerdings komplett falsche Bedeutung.

Grund: Im Datenschutz gilt, anders als in der Überschrift formuliert, das Verbot mit Erlaubnisvorbehalt. Dies bedeutet, dass jegliche Erhebung, Verarbeitung oder Nutzung personenbezogener Daten VERBOTEN ist, außer eine Rechtsgrundlage oder informierte Einwilligungen der Betroffenen erlauben die Datenverarbeitung.

Externer Datenschutzbeauftragter: „Den Ausweis können Sie bedenkenlos kopieren.“

Externer Datenschutzbeauftragter: „Den Ausweis können Sie bedenkenlos kopieren.“Das Kopieren von Personalausweisen ist ein Thema, das in der Praxis häufig zu Streitigkeiten führt, allerdings ist das Kopieren von Ausweisen, anderes als von vielen „verantwortlichen Stellen“ erwartet und gelebt, bis auf wenige Ausnahmen, verboten.

Grund: Im Personalausweisgesetz (PAuswG) findet man zu dem Kopierverbot zwar keinen Passus, jedoch geht dies aus der Gesetzesbegründung, aus Urteilen und allgemeinen Grundsätzen des Datenschutzes hervor. Grundsätzlich gilt, dass der Ausweis sogar bestmöglich nicht einmal aus der Hand gegeben werden sollte, wobei es Ausnahmen gibt, wie zum Beispiel in Banken gemäß Geldwäschegesetz (GwG).

Unternehmen und anderen „verantwortlichen Stellen“ ist deshalb von dem Kopieren von Personalausweisen ohne legitimen Zweck abzuraten.

Externer Datenschutzbeauftragter: „Es gibt kein Restrisiko!“

Externer Datenschutzbeauftragter: „Es gibt kein Restrisiko!“Auch den Satz werden Sie von einem externen Datenschutzbeauftragten nicht hören.

Grund: Der Grund ist ganz einfach, wo personenbezogene Daten erhoben, verarbeitet und genutzt werden, kann nie vollkommen ausgeschlossen werden, dass diese Daten von Unbefugten eingesehen werden.

„Verantwortliche Stelle“ sind allerdings dazu verpflichtet, geeignete technische und organisatorische Maßnahmen (sogenannte TOM) zutreffen, um personenbezogene Daten zu schützen. Die Anforderungen sind in der Anlage zu § 9 BDSG aufgeführt. Erforderliche Maßnahmen sind unter anderem die Verpflichtung der Mitarbeiter auf das Datengeheimnis sowie sämtliche Maßnahmen, die den Zugriff auf Datenverarbeitungsanlagen (z. B. verschlossene Räume) und in Datenverarbeitungsprogramme (z. B. Passwörter) erschweren bzw. verhindern sollen. Daneben sind weitere Anforderungen umzusetzen.

Trotz der zahlreichen Maßnahmen, die getroffenen werden bzw. getroffenen werden sollten, verbleiben Restrisiken, da Unbefugte immer neue Wege finden könnten, um an sensible Informationen zu gelangen.

Externer Datenschutzbeauftragter: „Nein – die Datenerhebung benötigt keiner gesetzlichen Grundlage oder Einwilligung.“

Externer Datenschutzbeauftragter: „Nein - die Datenerhebung benötigt keiner gesetzlichen Grundlage oder Einwilligung.“Die Aussage, dass eine Datenerhebung keine gesetzliche Grundlage bzw. keine Einwilligung benötigt ist falsch.

Grund: Wie bereits unter Punkt 3 erläutert, bedarf jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten einer Rechtsgrundlage oder einer informierten Einwilligung.

Rechtliche Grundlagen für eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten findet man allerdings nicht nur im Bundesdatenschutzgesetz, sondern in anderen landesspezifischen Vorschriften, wie dem Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) oder in bereichsspezifischen Gesetzen, wie dem Telemediengesetz (TMG) oder Telekommunikationsgesetz (TKG). Liegt keine Rechtsgrundlage vor, die die Erhebung, Verarbeitung und/oder Nutzung erlaubt, so ist die „verantwortliche Stelle“ verpflichtet, informierte Einwilligungen einzuholen, wobei das Datenschutzrecht konkrete Anforderungen an die „Informiertheit“ der Einwilligungen stellt.

Zudem sollte der gesetzesübergreifende Grundsatz der Zweckbindung nicht außer Acht gelassen werden. Dies bedeutet, dass personenbezogene Daten ausschließlich für den Zweck erhoben, verarbeitet und genutzt werden dürfen, für den die Rechtsgrundlage bzw. die informierte Einwilligung vorliegt. Plant eine „verantwortliche Stelle“ die Daten für einen anderen Zweck zu verwenden, so bedarf es einer erneuten Prüfung der Rechtsgrundlage oder es müssen für den „neuen“ Zweck informierte Einwilligungen eingeholt werden.

Externer Datenschutzbeauftragter: „Kameraattrappen sind nie ein Problem!“

Externer Datenschutzbeauftragter: „Kameraattrappen sind nie ein Problem!“Kameraattrappen stellen für „verantwortliche Stelle“ zunächst ähnliche Probleme / Risiken  dar, wie „normale“ Videoanlagen.

Grund: Kameraattrappen sollten zunächst genauso behandelt werden, wie Videoanlagen mit denen Aufnahmen angefertigt werden können, da im Datenschutzrecht nicht nur der Inhalt oder die Bedeutung der Daten im Vordergrund steht, sondern das „informationelle Selbstbestimmungsrecht“.

Weiß einer Betroffener nicht, dass es sich um eine Kameraattrappe handelt, so wird er sich automatisch anpassen und ist in seinem Handeln eingeschränkt, was wiederrum das Grundrecht der freien Persönlichkeitsentfaltung und folglich das informationelle Selbstbestimmungsrecht verletzt.

Kameraattrappen sollten deshalb vor Anbringung durch einen Datenschutzbeauftragten geprüft werden, sogenannte Vorabkontrolle, die auch bei funktionierenden Anlagen ein absolutes MUSS ist.

Möchten Sie mehr zum Thema Videoüberwachung erfahren, dann lesen Sie unseren Beitrag „Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten?

Externer Datenschutzbeauftragter: „Verstecken Sie Ihr Passwort ruhig unter der Tastatur, dort ist es sicher!“

Externer Datenschutzbeauftragter: „Verstecken Sie Ihr Passwort ruhig unter der Tastatur, dort ist es sicher!“Als externer Datenschutzbeauftragter sieht man in der Praxis häufig mehr oder weniger kreative Verstecke für Passwörter. Eines das weniger kreativ, allerdings fast überall zu finden ist, dürfte die Tastatur sein.

Sollten auch Sie sich beim Lesen ertappt fühlen, dann „nix wie weg damit“!

Grund: Sie sollten Ihr Passwort nicht unter der Tastatur verstecken, weil das Versteck einfach nicht sicher ist. Schafft es ein Unbefugter an Ihren Arbeitsplatz, so kann er sich schnell und einfach Zugriff auf personenbezogene Daten verschaffen. Der Datenklau ist allerdings nicht das einzige Risiko, da der Unbefugte ebenso Daten in Ihrem Namen manipulieren oder löschen kann. Dies könnte auch schnell für Sie selbst zu unschönen Konsequenzen führen.

Externer Datenschutzbeauftragter: „Mein Kollege ist krank.“

Externer Datenschutzbeauftragter: „Mein Kollege ist krank.“„Mein Kollege ist krank“ oder „Mein Kollege ist für zwei Wochen im Urlaub auf Mallorca“ sind Informationen, die wir regelmäßig zuhören bekommen, wenn wir unter anderem in Unternehmen anrufen, allerdings würden Sie diese Informationen nicht von einem Datenschutzbeauftragten erhalten.

Grund: Bei diesen Informationen handelt es sich bereits um personenbezogene Daten, die wir ohne Rechtsgrundlage oder ohne informierter Einwilligung des Betroffenen nicht weitergeben sollten. Es kann zwar wie ein betriebliches Interesse klingen, sich nach dem Aufenthalt des Mitarbeiters eines Unternehmens zu erkundigen, aber dahinter mehr verbergen. Auch wenn es abstrakt klingt, könnten sich Anrufer nach Mitarbeitern erkundigen, erfahren, dass sich diese länger im Ausland befinden und diese Informationen dazu nutzen, um bei der Person einzubrechen. Auch sollten Privatadressen der Kollegen nicht einfach rausgegeben werden.

Bei der Angabe „Mein Kollege ist krank“ handelt es sich zumal um besonders sensiblen Angaben personenbezogener Daten. Für diese sogenannten besonderen Angaben personenbezogener Daten sieht der Gesetzgeber einen, wie das Wort schon sagt, „besonderen“ Schutz vor.

Externer Datenschutzbeauftragter: „WhatsApp können Sie jetzt ruhig verwenden, ist schließlich verschlüsselt.“

Externer Datenschutzbeauftragter: „Mein Kollege ist krank.“Ein externer Datenschutzbeauftragter würde Ihnen gegenwärtig von der Nutzung von WhatsApp abraten.

Grund: Schenkt man dem Anbieter von WhatsApp, was die Verschlüsselung angeht, Vertrauen, so verbleiben aus Datenschutzsicht Risiken, die „verantwortliche Stellen“ nicht bewältigen können.

Das Problem tritt üblicherweise bereits im Installationsprozess auf, denn – je nach Geräretyp – greift WhatsApp während oder nach der Installation auf die gespeicherten Kontakte des Telefonbuchs zu.  Diese Kontaktdaten werden an die Server in den USA übermittelt, wodurch, wie bereits unter Punkt 2 erläutert, informierte Einwilligungen der Betroffenen eingeholt werden müssten.

Möchten Sie mehr zum Einsatz von WhatsApp erfahren, dann lesen Sie „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“ oder „WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe?

Zudem sollte nicht außer Acht gelassen werden, dass die geänderte Nutzungsvereinbarung und damit die Datenübermittlung an Facebook sowie an weitere Unternehmen der Facebook-Unternehmensgruppe zu noch höheren Datenschutz-Risiken führt. Ihr externer Datenschutzbeauftragter informiert Sie in dem Beitrag „Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht“ über die Datenübermittlung an Facebook und die „neuen“ Datenschutz-Risiken.

Möchten Sie weitere Informationen zu den einzelnen Themen erfahren oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.