5 Fragen, 5 Antworten: Videoüberwachung und der Datenschutz
Planen Sie eine Videoüberwachungsanlage in Ihrem Betrieb oder haben Sie bereits eine installiert, sind sich aber nicht sicher ob diese rechtmäßig angebracht ist? Zu aller erst die gute Nachricht: Es ist grundsätzlich möglich Videoüberwachung in Österreich legal einzusetzen. Was Sie dabei beachten müssen, lesen Sie in diesem Beitrag von Data Traction.
Videoüberwachung im Unternehmen ist seit jeher ein schwieriges Thema. Es sorgt immer wieder für Konfliktpotenzial zwischen Arbeitgeber, Arbeitnehmer und Datenschützern. Seit Einführung der Datenschutz-Grundverordnung (DSGVO) und Anpassung des österreichischen Datenschutzgesetztes (DSG) müssen strengere Auflagen eingehalten werden. Informations- und Kennzeichnungspflicht, Einzelzustimmung oder Betriebsratsvereinbarung, sowie Datenminimierung und Datenschutz-Folgenabschätzung sind Themen, mit denen Sie sich als Unternehmer vertraut machen sollten, um weiterhin rechtskonforme Videoüberwachung in Ihrem Betrieb einsetzen zu können. Nicht zuletzt, weil die erste, in Österreich verhängte DSGVO-Geldstrafe aufgrund einer falsch angebrachten und unzureichend gekennzeichneten Überwachungskamera verhängt wurde. (Artikel in den Salzburger Nachrichten, 19.09.2018)
In diesem Beitrag beantworten wir die wichtigsten Fragen zum Thema Videoüberwachung im Unternehmen.
1. Muss ich bei der Videoüberwachung den Datenschutz beachten?
Ja. Wenn auf einer Videoaufnahme Personen identifiziert werden können – was vielfach der Zweck der Videoüberwachung ist – stellt sie eine Verarbeitung personenbezogener Daten im Sinne der DSGVO dar. Daher müssen Unternehmen die Grundsätze für die Verarbeitung achten, sowie alle Pflichten des Verantwortlichen erfüllen.
2. Wie kann ich Videoüberwachung in Österreich legal einsetzen?
Das österreichische DSG erlaubt eine „Bildaufnahme“ insbesondere dann, wenn „sie für den vorbeugenden Schutz von Personen oder Sachen an öffentlich zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich ist“ (§12 Abs. 3 Z 2, DSG).
Diese Verarbeitung basiert also auf „überwiegenden berechtigten Interessen des Verantwortlichen“ ($12 Abs. 2 Z 4). Das bedeutet, bevor die Überwachung beginnt, muss eine Interessensabwägung durchgeführt werden. Hat bereits eine Straftat stattgefunden, deren Wiederholung ich mittels Videoüberwachung zu verhindern versuche? Steht kein gelinderes Mittel zur Verfügung („Datenminimierung“)? Inwiefern werden die Rechte meiner Arbeitnehmer und Kunden eingeschränkt oder verletzt?
Besonders die Frage nach den Rechten der Arbeitnehmer führt uns unweigerlich zum Thema Arbeitnehmerschutz. Laut §10 Abs. 1 des AVRAG (Arbeitsvertragsrechts-Anpassungsgesetz) bedarf die „Einführung und Verwendung von Kontrollmaßnahmen und technischen Systemen, welche die Menschenwürde berühren“ einer Regelung durch eine Betriebsvereinbarung. In Betrieben, in denen kein Betriebsrat eingerichtet ist, bedarf es einer Zustimmung jedes einzelnen betroffenen Arbeitnehmers.
Dies gilt auch, wenn die Videoüberwachung selbst eigentlich nicht als Kontrollmaßnahme eingeführt wurde. Tatsächlich ist die Kontrolle von Dienstnehmern durch Videoüberwachung illegal (Siehe §12 Abs. 4 Z 2, DSG).
All dies war bereits vor Einführung der DSGVO der Fall. Neu ist nun, wie solche Betriebsvereinbarungen bzw. Zustimmungen der Arbeitnehmer auszusehen haben.
3. Welche (technischen) Maßnahmen muss ich treffen?
Haben Sie sichergestellt, dass Ihre Videoüberwachungsanlage legal eingesetzt werden kann, müssen nun noch die Vorschriften des §13, DSG („Besondere Datensicherheitsmaßnahmen und Kennzeichnung“) sorgfältig umgesetzt werden. Dazu gehören:
- Datensicherheitsmaßnahmen ergreifen;
- Verarbeitungsvorgänge protokollieren;
- Löschfristen beachten;
- Kennzeichnungspflicht erfüllen;
Weiters gilt es die Vorschriften und Grundsätze der DSGVO zu beachten. Beispielsweise muss die Videoüberwachung ins Verarbeitungsverzeichnis aufgenommen werden (Art. 30, DSGVO). Die Betroffenen müssen vor dem Beginn der Verarbeitung über diese, auf verständliche Weise, informiert werden (Art. 13, DSGVO). Unter Umständen muss eine Datenschutz-Folgenabschätzung durchgeführt werden (Art. 35, DSGVO).
Im Sinne der Datenminimierung muss der Blickwinkel der Kamera so gewählt und das Sichtfeld soweit eingeschränkt werden, dass nur relevante Bereiche (z.B. eine Vitrine, deren Inhalt vor Ladendiebstahl geschützt werden soll) aufgenommenen werden. Wie die bereits erwähnte, erste DSGVO-Geldstrafe gezeigt hat, ist vom großräumigen Mitfilmen öffentlicher Gehwege abzuraten.
Bedenken Sie auch eine zeitliche Einschränkung Ihrer Videoüberwachung. Wurde bereits öfter eingebrochen, allerdings immer nachts? Dann wird eine 24-Stunden Videoüberwachung schwer zu rechtfertigen sein.
4. Muss ich eine Datenschutz-Folgenabschätzung (DSFA) durchführen?
Die österreichische Datenschutzbehörde hat in einer Ausnahmen-Verordnung (DSFA-AV), eine Liste von Verarbeitungsvorgängen veröffentlicht, für die keine DSFA durchgeführt werden muss. Punkt DSFA-A09 dieser Verordnung behandelt das Thema Videoüberwachung. Darin geht hervor, dass unter Einhaltung bestimmter Vorschriften (Räumlicher Erfassungsbereich, Speicherdauer, Kennzeichnung, Zweckbindung) keine DSFA für „Bild- und Akustikverarbeitungen“ durchgeführt werden muss.
Weiters sind „Datenanwendungen“ (im Sinne des DSG 2000) die „vor Ablauf des 24. Mai 2018 im Datenverarbeitungsregister registriert wurden, oder gemäß § 17 Abs. 2 Z 6 DSG 2000 nicht meldepflichtig waren, von der Datenschutz-Folgenabschätzung ausgenommen, sofern diese Datenanwendungen mit Ablauf des 24. Mai 2018 den Vorgaben der DSGVO entsprechen und ab dem Inkrafttreten dieser Verordnung keine wesentlichen Änderungen vorgenommen werden“ (§1 Abs. 2, DSFA-AV).
Als Verantwortlicher müssen Sie feststellen, ob Ihre Videoüberwachungsanlage den Anforderungen der DSFA-AV entspricht. Im Zweifel wird eine definitive Antwort nur durch eine vorherige Risikobewertung möglich sein.
5. Wie sieht es mit Echtzeitüberwachung, Dashcams und Attrappen aus?
Echtzeitüberwachung, also Videoüberwachung, bei der die Bildaufnahmen nicht gespeichert werden, unterliegt nahezu denselben Auflagen wie oben. Es entfällt klarerweise die Protokollierung der Verarbeitungsvorgänge und das Thema DSFA wird im Punkt DSFA-A10 der DSFA-AV behandelt (siehe Frage 4, oben).
Bezüglich Dashcams (Überwachungskameras in Fahrzeugen) hat die österreichische Datenschutzbehörde die Warnung ausgesprochen, dass „der Betrieb einer Dashcam voraussichtlich gegen die DSGVO verstößt.“ Daher ist von ihrer Verwendung abzuraten.
Nachzulesen hier: https://www.dsb.gv.at/fragen-und-antworten#Dashcams
Kameraattrappen, die keine tatsächlichen Bild- oder Tonaufnahmefunktionen haben, sind datenschutzrechtlich nicht relevant. Jedoch ist auch diese nicht immer zulässig. Etwa ist das „Filmen“ eines Nachbargrundstücks mittels Kameraattrappe nicht zulässig, da es das Gefühl überwacht zu werden vermittelt und damit des Nachbars Recht auf Privatsphäre verletzt. Dies birgt somit die Gefahr auf Unterlassung geklagt zu werden.
Auch hier gibt es eine Empfehlung der Datenschutzbehörde: https://www.dsb.gv.at/fragen-und-antworten#Sind_Kamera-Attrappen_zulaessig_