Mit Pressemitteilung vom 30. Juli 2024 weist die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) Dr. Juliane Hundert auf die Veröffentlichung der zweiten Auflage der Informationsbroschüre „Achtung Kamera!“, einem Ratgeber für Verantwortliche und Betroffene hin. Zugleich macht sie auf die gegenüber zum Vorjahreszeitraum um 20 Prozent gestiegene Anzahl von Beschwerden betroffener Personen im Kontext mit Videoüberwachungen aufmerksam. In der ersten Jahreshälfte sah sich die sächsische Datenschutz-Aufsichtsbehörde mit insgesamt 115 Eingaben konfrontiert.

Anforderungen Kennen

Verantwortliche sollten sich bereits vor der Einführung eines Videoüberwachungssystems gründlich mit den datenschutzrechtlichen Anforderungen an ein solches System auseinandersetzen. Zu den Verantwortlichen können neben Behörden, Kommunen und Unternehmen auch Privatpersonen gehören. Schließlich finden die Normen der Datenschutz-Grundverordnung gemäß Art. 2 Abs. 2 lit. c) DS-GVO auch auf natürliche Personen Anwendung, sofern eine Verarbeitung personenbezogener Daten – hierzu gehören grundsätzlich auch Videoinhalte – nicht zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erfolgt.

Im Rahmen der Pressemitteilung weist die SDTB darauf hin, dass der Anstieg im Vergleich zum Vorjahreszeitraum ausschließlich auf den Einsatz von Videoüberwachungssystemen von Privatpersonen und Unternehmen zurückzuführen sei. „Der Zuwachs an Beschwerden macht deutlich, dass sich immer mehr Menschen durch privatmotivierte Videoüberwachung in ihrer Freiheit eingeschränkt fühlen. Inwieweit die Beschwerden berechtigt sind, lässt sich jedoch erst nach Abschluss der Verfahren sagen. Es deutet derzeit aber vieles darauf hin, dass in der Mehrzahl Datenschutzverstöße vorliegen. Erfahrungsgemäß überwiegen die Persönlichkeitsrechte der Betroffenen fast immer das berechtigte Interesse der Kamerabetreibenden.“, so Dr. Juliane Hundert.

Die aktualisierte Auflage biete einen umfassenden Überblick zur Rechtslage über die häufigsten Verarbeitungssituationen wie zum Beispiel zur Videoüberwachung von Beschäftigten, in der Nachbarschaft, auf Baustellen, in der Gastronomie, in Freizeiteinrichtungen sowie in Fahrzeugen und durch Drohnen. Darüber hinaus werde auch die Rechtslage bei Videoüberwachungen durch Kommunen in Sachsen dargestellt.

Rechtmäßigkeit und Transparenz

Im Kontext von Videoüberwachungen werden wesentliche Anforderungen an die Rechtmäßigkeit sowie an die Transparenz der Datenverarbeitung gestellt. Insbesondere bei Videoüberwachungen durch Unternehmen oder Privatpersonen wird regelmäßig auf das sogenannte berechtigte Interesse abzustellen sein. Im Rahmen einer verpflichtend durchzuführenden Interessenabwägung sind die Interessen des Verantwortlichen mit den entgegenstehenden Interessen, Rechten und Freiheiten betroffener Personen gegenüberzustellen. Überwiegen letztere, kann eine Videoüberwachung nicht in der geplanten Form durchgeführt werden.

Zudem fordert die Datenschutz-Grundverordnung eine transparente Datenverarbeitung. Daraus folgt, dass auch bei einer Videoüberwachung die Informationspflichten nach Art. 13 DS-GVO einzuhalten sind. Hierbei sind mindestens Angaben zur Identität des Verantwortlichen, die Kontaktdaten der bzw. des Datenschutzbeauftragten, die Verarbeitungszwecke und Rechtsgrundlage, die Dauer der Speicherung sowie der Hinweis auf die Betroffenenrechte vorzunehmen. Diese Informationen müssen der betroffenen Person in gut lesbarer und verständlicher Weise bereitgestellt werden, möglichst noch bevor diese den kameraüberwachten Bereich betritt.

Verstößt ein Verantwortlicher gegen die datenschutzrechtlichen Anforderungen, können sich betroffene Personen bei der Aufsichtsbehörde beschweren. Diese kann aufgrund der Eingabe der betroffenen Person, aber auch eigeninitiativ tätig werden, Prüfungen durchführen und beispielsweise Bußgelder erlassen, eine Videoüberwachung mit Auflagen versehen oder gänzlich untersagen. Dass die sächsische Aufsichtsbehörde hinsichtlich des Themas Videoüberwachung auch eigeninitiativ tätig wird, zeigt der Tätigkeitsbericht 2023 und die dort dargestellte stichprobenartige Überprüfung von Videoüberwachungen in sächsischen Tanzschulen. Dort führte die Überprüfung teilweise auch zur Demontage von Kameras.

Anstieg von Bußgeldern

Der aktuellen Pressemitteilung ist ebenfalls zu entnehmen, dass seitens der Aufsichtsbehörde in diesem Jahr bereits mehrere Bußgeldbescheide im Kontext mit Videoüberwachungen erlassen wurden. Die Fälle umfassten Videokameras in Fahrzeugen, in Mehrfamilienhäusern und in einem Fall den Parkplatz eines Gewerbebetriebes. Die Höhe der Bußgelder belief sich jeweils auf eine Höhe von 100 Euro bis 900 Euro, im Falle des Gewerbebetriebes in Höhe von 30.000 Euro. Ausschlaggebend war im letztgenannten Fall insbesondere die unzulässige Aufzeichnung von Audioinhalten sowie die Erfassung des öffentlichen Verkehrsraums sowie mehrerer weiterer Privatgrundstücke und einer Baustelle. Das Bußgeld sei noch nicht rechtskräftig.

Insgesamt lässt sich seitens der betroffenen Personen eine deutlich gesteigerte Sensibilität hinsichtlich Videoüberwachungen wahrnehmen. Immer öfter werden dabei Beschwerden an die Aufsichtsbehörden herangetragen. Insofern sollten Verantwortliche den Einsatz von Videoüberwachungssystemen umfassend prüfen und datenschutzkonform ausgestalten. Weitere Informationen hierzu erhalten Sie beispielsweise in unserem Leitfaden zum Thema Videoüberwachung sowie im Kurzpapier Nr. 15 der unabhängigen Datenschutzbehörden des Bundes und der Länder, aber auch in der benannten Informationsbroschüre der SDTB „Achtung Kamera!“.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im NOMOS-Verlag ist nun in der Reihe NOMOS Handkommentar, die nach und nach Kommentierungen der Landesdatenschutzgesetze veröffentlicht, der von Stephanie Schiedermair (Universität Leipzig) herausgegebene Kommentar zum Sächsischen Datenschutzdurchführungsgesetz (SächsDSDG) erschienen. Warnung vorab: Der Blog-Autor ist Mitverfasser, eine neutrale Beurteilung des Kommentars deshalb von ihm nicht zu erwarten. Leserinnen und Leser sind eingeladen, sich ein eigenes Urteil zu bilden.

Zum Sächsischen Datenschutzdurchführungsgesetz

Relevant ist die Kommentierung vor allem für die behördlichen Datenschutzbeauftragten in Sachsen und die dortigen Rechtsanwender sowie Berater. An dieser Stelle lohn ein Blick auf die „Gesetzeslandschaft“:

Das Sächsische Datenschutzdurchführungsgesetz regelt die Umsetzung der DS-GVO, soweit hierfür Kompetenzen beim sächsischen Gesetzgeber liegen, also in erster Linie für die Stellen des Freistaates Sachsen. Daneben existiert das Sächsische Datenschutzumsetzungsgesetz (SächsDSUG) zur Umsetzung der Datenschutz-Richtlinie 2016/680 „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr […]“. Für das SächsDSUG ist keine eigene Kommentierung zu erwarten. Bei zahlreichen Einzelfragen kann man aber auf die Kommentierung der – teils identischen, teils sehr ähnlichen – Regeln im Sächsischen Datenschutzdurchführungsgesetz zurückgreifen.

Der Bundesgesetzgeber und einige Landesgesetzgeber (z.B. der Freistaat Bayern) haben sich für die Zusammenfassung beider Bereiche in einem Gesetz entschieden. Dieser „monistische“ Ansatz bietet tatsächlich große Vorteile: Auch in denjenigen Behörden, die nach JI-RL zu arbeiten haben, gelten die entsprechenden Regeln schließlich nur für die Datenverarbeitung z.B. im Zusammenhang mit der Strafverfolgung. Bei der Verarbeitung der eigenen Beschäftigtendaten greifen dann wieder die DS-GVO und in Sachsen das Sächsische Datenschutzdurchführungsgesetz.

Es lag und liegt sehr nahe, die Normen in verschiedene Abschnitte eines Gesetzes zu fassen, weitestmöglich themenidentisch zu regeln und solche (einheitlichen) Regelungen in gesetzestechnisch bewährter Art als allgemeinen Teil „vor die Klammer zu ziehen“ (vgl. im BDSG: Teil 1 Gemeinsame Bestimmungen, Teil 2 Durchführungsbestimmungen zur DS-GVO, Teil 3 Durchführungsbestimmungen zur JI-RL). Ebenso nahe liegt, einem entsprechenden Gesetz dann als letzten Teil noch diejenigen Datenschutznormen anzufügen, die sich weder auf DS-GVO, noch auf JI-RL beziehen. Das sind im Bereich der Bundesländer z.B. die Regeln zu den Datenverarbeitungen des Parlaments (insoweit keine Gesetzgebungskompetenz der EU). Der Freistaat Sachen ist jedoch auch insoweit den Weg der Rechtszersplitterung gegangen und hat eine gesonderte Datenschutzordnung für den Sächsischen Landtag erlassen (selbes Vorgehen z.B. in Baden-Württemberg). Anders der Bundesgesetzgeber, der im Teil 4 des BDSG die Datenverarbeitungen außerhalb DS-GVO und JI-RL regelt.

Ein Nachteil (sicher nicht der größte) des sächsischen Vorgehens besteht nun darin, dass nur ein Teil des Landesdatenschutzrechts wissenschaftlich und publizistisch überhaupt vertiefter Bearbeitung lohnt. Das SächsDSUG und die Landtagsdatenschutzordnung werden wegen der zwergenhaften Anwendungsbereiche hingegen dauerhaft kaum Beachtung in der Fachliteratur finden. Soweit der Ausflug in die Gesetzesstruktur und der Blick auf den bedauerlichen „Datenschutz-Flickenteppich“.

Der Kommentar

Zurück zu den „hard facts“ des Kommentars: 289 Seiten, 69 Euro, Autoren aus Aufsichtsbehörde, Richterschaft, Wissenschaft und Anwaltschaft. Wer in sächsischen Behörden mit Datenschutz befasst ist, sollte testen, ob das Werk die Tagesarbeit erleichtert. Behördliche Datenschutzbeauftragte dürfen ihre Dienststelle dazu auf Art. 38 Abs. 2 DS-GVO (Bereitstellung erforderlichen Ressourcen) hinweisen. Kritik und Hinweise (natürlich auch Lob) sind dem Verlag und den Autoren – u.a. auch mit Blick auf eine mögliche Aktualisierung – willkommen.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die Sächsische Datenschutzbeauftragte Dr. Juliane Hundert hat bereits am Dienstag, den 24. Mai 2022 ihren Tätigkeitsbericht für das zurückliegende Jahr vorgestellt. Der Bericht basiert im Wesentlichen noch auf dem Wirken des Amtsvorgängers Andreas Schurig, dessen Dienstzeit am 31. Dezember 2021 endete. Auf über 200 Seiten sind Schwerpunkte der aufsichtsbehördlichen Tätigkeit inklusive Hinweise zur Auslegung der Datenschutz-Grundverordnung (DS-GVO), zur Sanktionspraxis und Rechtsprechung zusammengefasst. Zahlreiche Vorgänge standen im Zusammenhang mit Corona-Schutz-Maßnahmen, wie beispielsweise die Testpflicht für Urlaubsrückkehrer und die 3G-Regelung am Arbeitsplatz. Das Aufkommen bei Beschwerden und Hinweisen zu Datenschutzverstößen erreichte ein ähnlich hohes Niveau wie im Vorjahr. Ein Teil davon betraf die Telemedien. Grund genug, dass im Rahmen des nachfolgenden Beitrages der Blick auf einige Auszüge aus dem Bericht gelegt werden sollen.

ANFORDERUNGEN AN COOKIES UND VERGLEICHBARE TECHNOLOGIEN

Durch das In-Kraft-Treten des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sind seit dem 1. Dezember 2022 neben den Voraussetzungen an die Verarbeitung personenbezogener Daten nach der DS-GVO weitere Anforderungen hinsichtlich der Einbindung bzw. des Setzens von „Cookies“ und vergleichbarer Technologien – insbesondere nach § 25 TTDSG – zu beachten. Diesbezüglich wird im Tätigkeitsbericht wie folgt ausgeführt: „Die für Websites und Apps an der ehesten infrage kommende Rechtsgrundlage ist neben der Einwilligung (Art. 6 Abs. 1 Buchst. a) [DS-GVO] das berechtigte Interesse (Art. 6 Abs. 1 Buchst. f) [DS-GVO]. Dieses berechtigte Interesse muss aber nachgewiesen werden und fordert eine Abwägung zwischen den Interessen des Verantwortlichen und den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person. Dies ist alles andere als trivial, eine bloße Nützlichkeitsbegründung seitens des Verantwortlichen ist nicht ausreichend […]. Fakten, die für eine Interessenabwägung zugunsten des Verantwortlichen sprechen, sind zum Beispiel eine nachweisbare und den Anforderungen des Art. 28 DSGVO entsprechende Auftragsverarbeitung mit einem eingebundenen Dienstleister oder eine Verarbeitung durch den Verantwortlichen selbst bzw. technisch-organisatorische Maßnahmen wie eine zügige Anonymisierung von personenbezogenen Daten (zum Beispiel IP-Adressen, Cookie-Identifikatoren). Verarbeitungen, die aufgrund ihres Risikos eher nicht auf ein berechtigtes Interesse gestützt werden können, sind die Bildung von Profilen und sogenannten Nutzer-Journeys, also all das, was landläufig unter Tracking verstanden wird. Das berechtigte Interesse ist in aller Regel auch dann infrage zu stellen, wenn ein Dritter die erlangten Daten für eigene Zwecke nutzt oder dies nicht klar ausgeschlossen ist. Um es klar zu sagen: Die Nutzung von Diensten großer Anbieter, deren Geschäftsmodell das Sammeln und Aggregieren von Nutzungsdaten zu Werbezwecken ist und die dazu noch über eine entsprechende Marktmacht verfügen, ist mit einem berechtigten Interesse des Verantwortlichen nicht vereinbar. […] Fehlen die Voraussetzungen für ein berechtigtes Interesse, bleibt in aller Regel nur ein Rückgriff auf eine Einwilligung. Dabei sind alle Anforderungen aus der DSGVO zu beachten, die strikte Regeln für Transparenz, Bestimmtheit und Freiwilligkeit fordert sowie in Fällen der Nutzung durch Minderjährige eine Einwilligung der Erziehungsberechtigten vorsieht.“

Und weiter heißt es: „Werden zusätzlich zu einer Verarbeitung auch Cookies oder ähnliche Technologien eingesetzt, muss deren Einsatz den Anforderungen des TTDSG entsprechen, welches dafür grundsätzlich eine Einwilligung vorsieht […]. Ausnahmen von einem Einwilligungserfordernis sind eng begrenzt auf eine unbedingte Erforderlichkeit, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann […]. Ausgehend von den Begrifflichkeiten des Nutzerwunsches und der Erforderlichkeit muss jeder Cookie überprüft werden: Wann, wie, für wie lange und für wen wird ein Cookie gesetzt? Es geht dabei um eine Bewertung des Zweckes und der Mittel […] So muss ein individualisierter Warenkorb-Cookie in einem Online-Shop erst dann gesetzt werden, wenn der Warenkorb genutzt wird. Für ein bloßes Browsen ist dieser nicht erforderlich. Gleiches gilt für Cookies für Zusatzfunktionen wie Chats oder Karten-Widgets. […] zum Beispiel [ist] nicht als erforderlich zu betrachten, dass ein Einwilligungsmanagement, welches die Entscheidung über die Auswahl an gewünschten Verarbeitungen speichern soll, einen individualisierten Cookie setzt (und schon gar nicht beim initialen Aufruf einer Website, bevor eine Entscheidung getroffen wurde) […] Für die Speicherung der Entscheidung reicht es, diese nichtindividualisiert zu speichern […].“

Es folgen noch weitere – zumindest lesenswerte – Ausführungen zum Einsatz von US-Dienstleistern. Diese sowie die obenstehenden Punkte machen deutlich, dass die sächsische Aufsichtsbehörde dem Grunde nach einen sehr strengen Prüfungsmaßstab, insbesondere an die Erforderlichkeit der Ausnahmen vom Einwilligungserfordernis im Rahmen des § 25 TTDSG, anleget. Mithin dürfte auch klar sein, dass datenschutzrechtlich Verantwortliche – unabhängig davon, ob man der strengen Ansicht der Aufsichtsbehörde vollumfänglich folgt – ihre Webseiten prüfen und gegebenenfalls überarbeiten und anpassen sollten, um sich zum einen der auf den Internetpräsenzen stattfinden Datenverarbeitungen bewusst zu werden und zum anderen der bestehenden Rechenschaftspflicht insbesondere in Bezug auf die Abwägungskriterien der unbedingten Erforderlichkeit nach § 25 Abs. 2 Nr. 2 TTDSG erfüllen zu können.

WIE HABEN SICH DIE DATENSCHUTZVERLETZUNGEN ENTWICKELT?

Dem Tätigkeitsbericht ist ferner zu entnehmen, dass die Meldung von Datenschutzverletzungen gemäß Art. 33 DS-GVO stetig ansteigt. Im Berichtszeitraum sind 923 solcher Meldungen eingegangen. Im Vergleich zum vorjährigen Berichtszeitraum (635 Meldungen) entspricht dies laut Tätigkeitsbericht einer Steigerung um rund 45 Prozent. Wie bereits im vorjährigen Berichtszeitraum ist der Fehlversand eine der häufigsten Fallgruppen der gemeldeten Datenschutzverletzungen. Ursachen für diese Vorfälle sind falsche Zuordnung von Unterlagen, fehlerhafte Kuvertierung oder schlicht Flüchtigkeitsfehler. Nach wie vor ist häufig der Versand von E-Mails (zum Beispiel Newsletter) über erkennbare E-Mail-Adressen im Kopie-Modus (Cc), anstatt im Blindkopie-Modus (Bcc) eine gemeldete Datenschutzverletzung, die in der Regel auf schlichte Unachtsamkeit des Absenders zurückzuführen ist. Neben dem Fehlversand aufgrund des Verschuldens des Absenders gingen auch wieder zahlreiche Meldungen wegen des Verlustes von Postsendungen ein. Ebenso kam es im Berichtszeitraum wieder zu Diebstählen oder dem Verlust von Datenträgern mit zum Teil sensiblen Daten. Rund ein Drittel der Meldungen von Datenschutzverletzungen, die im Jahr 2021 eingingen, sind auf die Fallgruppe der Cyberkriminalität zurückzuführen. Zu den besonderen Vorfällen im Bereich Cyberkriminalität zählten die Sicherheitslücken in Microsoft Exchange-Servern.

KANN EIN DATENSCHUTZBEAUFTRAGTER ZUGLEICH BEAUFTRAGTER FÜR INFORMATIONSSICHERHEIT EINER ORGANISATION SEIN?

Auch der Blick auf die Fragen der Informationssicherheit – in Sachsen für staatliche und nicht-staatliche Stellen speziell durch das Sächsische Informationssicherheitsgesetz (SächsISichG) geregelt – lohnt: „Die Bestellung verschiedener anderer Beauftragter in Personalunion zum Datenschutzbeauftragten ist grundsätzlich problematisch. Der Beauftragte für Informationssicherheit ist dabei jedoch weniger kritisch zu betrachten, da Informationssicherheit und Datenschutz meist parallel laufen. Dies gilt auch vor dem Hintergrund, dass für die Informationssicherheit umfassende Sammlungen personenbezogener Daten verarbeiten werden, um Missbrauch zu entdecken. Auch Art. 32 DSGVO adressiert die Sicherheit der Verarbeitung und zudem in Absatz 1 Buchst. c) ausdrücklich die Verfügbarkeit.“

Auch diese Auffassung muss näher beleuchtet werden. Ein Beauftragter für Informationssicherheit muss vergleichbar zum Datenschutzbeauftragten gemäß § 7 Abs. 2 Satz 3 SächsISichG bei der Aufgabenerfüllung frei von Interessenkonflikten sein. Mit Blick auf den BSI IT-Grundschutz wird auch dort vermerkt, dass beiden Rollen (DSB und ISB/BfIS) sich nicht grundsätzlich ausschließen, es sind allerdings einige Aspekte im Vorfeld zu klären: „Die Schnittstellen zwischen den beiden Rollen sollten klar definiert und dokumentiert werden. Außerdem sollten auf beiden Seiten direkte Berichtswege zur Leitungsebene existieren. Weiterhin sollte überlegt werden, ob konfliktträchtige Themen zusätzlich noch nachrichtlich an die Revision weitergeleitet werden sollten. Außerdem muss sichergestellt sein, dass der Informationssicherheitsbeauftragte über ausreichend freie Ressourcen für die Wahrnehmung beider Rollen verfügt. Gegebenenfalls muss er durch entsprechendes Personal unterstützt werden.“ Auf diese Grundsätze sollte auch bei der Personalunion zwischen Datenschutzbeauftragten und Beauftragten für Informationssicherheit zurückgegriffen werden.

FAZIT

Dem Tätigkeitsbericht ist sehr gut zu entnehmen, welchen Kurs die sächsische Datenschutzaufsichtsbehörde zum Teil bei der Rechtsauslegung und -anwendung einschlägt. Zum anderen geht deutlich hervor, dass sich datenschutzrechtlich Verantwortliche ihrer Pflichten bewusst sein und für deren effektive Umsetzung sorgen müssen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.