Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Nachdem wir vorbeispaziert sind am Dickicht des Art. 9 – in das man beim Spazierengehen gar nicht zu tief hineinlaufen darf – wirkt Art. 10 trotz des grimmigen Themas ganz entspannt: In zwei Sätzen (!) wird das Thema Straftaten und Sicherungsmaßregeln abgehandelt.

Kurz für Nichtjuristen: Sicherungsmaßregeln werden – anstelle oder neben Strafen – von Gerichten verhängt, wenn Straftäter für die Allgemeinheit gefährlich sind. Häufig betrifft das psychisch kranke Menschen, die ihr Handeln nicht oder nur teilweise steuern können.

Zu Artikel 10 DS-GVO

Der Gesetzgeber hätte das Thema des Artikel 10 auch zu Artikel 9 schieben können, die entsprechenden Daten also in Art. 9 Abs. 1 DS-GVO nennen und dann im Absatz 2 die ausnahmsweise erlaubten Verarbeitungswege aufzeigen. Hat er aber nicht.

Bei Lektüre von Artikel 10 zeigen beide Sätze, dass der Gesetzgeber viel von behördlicher Aufsicht hält und offenbar meint, behördliche Aufsicht sei eine Datenschutzmaßnahme. Na gut. Mit dieser behördlichen Aufsicht ist sowohl die Datenverarbeitung für strafrechtliche Verurteilungen, Straftaten und Sicherungsmaßregeln, als auch die Führung eines umfassenden Registers erlaubt. Ansonsten dürfen diese Daten nur verwendet werden, „wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Person vorsieht, zulässig ist“. Wir brauchen also (1) eine Regelung im EU- oder nationalen Recht und (2) diese gesetzliche Regelung muss besondere geeignete Garantien für den Datenschutz enthalten.

Praxisrelevantes Beispiel: § 72a SGB VIII verlangt von Jugendhilfe-Trägern die Kontrolle des eigenen Personals hinsichtlich einschlägiger Straftaten durch Vorlage des Führungszeugnisses. Der dortige Absatz 5 regelt dann sehr detailliert, wie die Jugendhilfe-Träger mit dem Führungszeugnis und den dortigen Daten umzugehen haben; dies sind geeignete Garantien im Sinne von Art. 10 Satz 1 DSGVO.

Falls sich jemand fragt, was die Passage „aufgrund von Art. 6 Abs. 1“ in Satz 1 bedeuten soll: Nichts. Der Gesetzgeber hätte uns dies auch ersparen können. Aber seien wir froh: Immerhin hat er zum Beispiel nicht noch vermerkt „und unter Berücksichtigung der Vorgaben des Art. 25 DS-GVO.“

Ein wichtiger Punkt im Weitergehen: Artikel 10 gilt natürlich nur, soweit die DS-GVO überhaupt gilt. Und gerade bei Straftaten muss man Art. 2 Abs. 2 lit. d) DS-GVO beachten: Soweit „die zuständigen Behörden“ Daten verarbeiten für „Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten“, Strafvollstreckung und öffentliche Sicherheit, gilt die JI-Richtlinie 2016/680 – und dort gibt es kein Pendant zu Artikel 10 DS-GVO.

Weiter geht’s zu Artikel 11!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In einem aktuellen Fall beschäftigte sich das Verwaltungsgericht (VG) Hannover (Urt. v. 10.10.2023, Az. 10 A 3472/20) mit einem besonderen Fall der Videoüberwachung – der Videoüberwachung in einem Wettbüro. Der folgende Beitrag soll den Sachverhalt sowie das Urteil umreißen und die wichtigen Aspekte für die Praxis darstellen.

Der Sachverhalt

Die Klägerin verfügt über ein Filialnetz für Wettannahmen der Pferdewett- und Sportvermittlung. In dem infrage stehenden Wettbüro halten sich Gäste in mehreren Abschnitten beziehungsweise Räumlichkeiten auf. Hierzu gehören das Wettbüro, der Gastronomiebereich und die sanitären Einrichtungen.  

Die Geschäftsführung ließ in der betroffenen Filiale insgesamt elf Videokameras aufstellen, welche die drei für Gäste zugänglichen Räume umfassend überwachten. Die Betreiberin des Wettbüros begründete die Überwachung mit dem berechtigten Interesse der Vorbeugung von Straftaten, welche in Vergangenheit häufiger und in verschiedenen Variationen stattfand. Hierzu gehörten insbesondere milieubedingte Kriminalität wie Handel und Konsum von Drogen, damit verbundene, teils aggressive Handlungen und Betrug. Weiterhin dienen die Kameras der Stärkung des Sicherheitsgefühls der Beschäftigten und dem Schutz des Eigentums vor Vandalismus und Diebstahl.

Grund der Klage seitens des Betreibers waren Streitigkeiten mit der der Niedersächsischen Datenschutzbehörde bezüglich der Aufstellung einiger Kameras in den Räumlichkeiten.  Die beklagte Datenschutzbehörde gab an, dass die Überwachung der Arbeits- und Sitzplätze in den Räumlichkeiten nicht erforderlich sei, um die vom Kläger verfolgten Zwecke der Videoüberwachung umzusetzen. Die Überwachung beeinträchtige zudem die Persönlichkeitsrechte der sich länger in den Sitzbereichen aufhaltenden Personen.

Zum Urteil

Das VG Hannover wies die Klage ab und gab der Datenschutzbehörde recht. Das Gericht befand die Anweisung als materiell rechtmäßig, da einige der Kameras mit ihrer derzeitigen Aufstellung nicht den datenschutzrechtlichen Anforderungen entsprachen. Weiterhin waren die in Frage stehenden Kameras nach Auffassung des Gerichts zur Wahrnehmung der Interessen der Klägerin nicht notwendig. Dem Gericht war kein Zusammenhang zwischen der in Vergangenheit begangenen Straftaten und dem Aufenthalt der Gäste in den Sitzbereichen erkennbar, da die jeweiligen Straftaten nicht in dem betroffenen Bereich stattgefunden haben.

Für das Gericht war außerdem nicht erkennbar, dass die Videoüberwachung im Sitzbereich dazu geeignet ist, die zuvor genannten Straftaten zu verhindern oder aufzuklären.

Das VG Hannover war der Auffassung, dass der Betreiber zu wesentlich milderen Mitteln hätte greifen können. So teilte das Gericht die Auffassung des Klägers nicht, dass die Präsenz von Wachpersonal von den Gästen als gravierenderer Eingriff wahrgenommen würde, weshalb der Einsatz von Kameras bereits das mildere Mittel gewesen sei. Der Einsatz von Wachpersonal würde entgegen der Argumentation der Klägerin nicht zu einer permanenten Beobachtung führen, sofern diese nur gelegentliche Rundgänge unternehmen. Gelegentliche Rundgänge würden zudem die gleiche abschreckende Wirkung entfalten wie eine permanente Beobachtung durch Kameras. Weiterhin könnte sich das Personal vor aggressiv auftretenden Gästen schützen, indem sie die Polizei rufen, anstatt sie selbst des Hauses zu verweisen.

Fazit

Aus dem Urteil wird schnell ersichtlich, dass die Videoüberwachung im Betrieb datenschutzrechtlich nach wie vor erhebliche Hürden in der Rechtfertigung erfahren kann. In der Praxis greifen Verantwortliche oftmals auf Videokameras zurück, welche die Videoüberwachung mit der Aufdeckung von Vandalismus oder ähnlichen Delikten rechtfertigen, obwohl teilweise bislang keine derartigen Fälle aufgetreten sind. Das Urteil zeigt, dass selbst bei in der Vergangenheit aufgetretenen Straftaten das Persönlichkeitsrecht der Betroffenen noch immer über den Interessen des Betreibers stehen kann. Die Videoüberwachung ist jedoch keinesfalls unmöglich. Letztendlich kommt es auch in Wettbüros mit hohem Aufkommen (potenzieller) krimineller und gewalttätiger Handlungen auf eine datenschutzkonforme Einrichtung der Videokameras an.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesverfassungsgericht befasste sich kürzlich mit den beiden größtenteils identischen Regelungen des § 25a Abs. 1 Hessisches Gesetz über die öffentliche Sicherheit und Ordnung (HSOG) und § 49 Abs. 1 Hamburger Gesetz über die Datenverarbeitung der Polizei (HmbPolDVG). Beide Gesetze eröffnen eine spezielle Rechtsgrundlage, bisher nicht miteinander verbundene, automatisierte Dateien und Datenquellen aus Analyseplattformen miteinander zu vernetzen, wodurch die Datenbestände via Suchfunktion erschlossen werden können. Hierdurch ist es der Polizei erlaubt, personenbezogene Daten per Datenanalyse bzw. Auswertung zur Vorbeugung von schweren Straftaten i.S.d § 100a Abs. 2 StPO (Alt. 1) und zur Abwehr von Gefahren bestimmter Rechtsgüter (Alt. 2) zu verarbeiten. Gemäß Abs. 2 kann die Polizei im Rahmen der Verarbeitung nach Abs. 1 insbesondere Beziehungen oder Zusammenhänge zwischen Personen, Personengruppen, Institutionen, Organisationen, Objekten und Sachen herstellen. Weiterhin können u. a. Erkenntnisse zu bekannten Sachverhalten zugeordnet und gespeicherte Daten statistisch ausgewertet werden. Die hessische Polizei nutzt auf Grundlage des § 25a HSOG die Analyseplattform „hessenDATA“ jährlich in Tausenden Fällen. Das Hamburger Äquivalent findet derzeit keine Anwendung.

Das Urteil

Das Gericht kam in seinem Urteil zu dem Ergebnis, dass das informationelle Selbstbestimmungsrecht aller greift, sobald gespeicherte Daten mittels einer automatisierten Anwendung zur Analyse oder Auswertung der Daten verarbeitet werden. Das Gericht sah hier einen Eingriff in die Grundrechte, nicht allein in der Verwendung von Daten, die früher getrennt waren, sondern auch im Aufbau von neuem grundrechtsrelevantem Wissen, erlangt durch die automatisierte Auswertung oder Analyse der Daten.

Automatisierte Datenanalysen oder Auswertungen müssen verfassungsrechtlich gerechtfertigt sein, was nicht problematisch ist, solange der Grundsatz der Verhältnismäßigkeit berücksichtigt wird. Das Gericht merkte an, dass es nicht ungewöhnlich ist, dass die Polizei bereits gewonnene Erkenntnisse für Ihre Ermittlungen nutzt und sie für ihre Ermittlungen mit weiteren Informationen verknüpft. Die automatisierte Analyse oder Auswertung eröffnet jedoch eine andere Dimension der polizeilichen Ermittlung, da hierdurch die Verarbeitung großer und komplexer Datenbestände ermöglicht wird, wodurch wieder weitere Erkenntnisse gewonnen werden können, was wiederrum die Extraktion von Informationen aus den vorhandenen Daten intensiviert. Es klingt wie ein Teufelskreis der Informationsgewinnung, da die Beschaffung von weiteren Informationen oder Erkenntnissen die Beschaffung weiterer Informationen erleichtert. Selbst das Bundesverfassungsgericht verglich diese Praxis mit dem sog. „Profiling“ und sagte, dass es diesem nahekommt.

In diesem Zuge legte das Bundesverfassungsgericht die Maßstäbe für einen derartigen Eingriff fest und bemängelte u. a., dass die in § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG geregelten Befugnisse die automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden zulassen. Die Regelungen ermöglichen es der Polizei „mit einem Klick“ umfassende Profile von Personen, Gruppen und Milieus zu erstellen. Hiervon sind sogar Personen bedroht, die zwar mit dem jeweiligen Fall nichts zu tun haben, aber irgendwie Daten hinterlassen haben, die das System mit dem konkreten Fall in Verbindung setzt. Dadurch könnten sogar potenziell unschuldige Personen ins Fadenkreuz der Polizei geraten und entsprechenden polizeilichen Maßnahmen unterzogen werden.

Weiterhin regeln die Vorschriften nicht, welche Arten von Daten und Datenbestände für die Analyse der Daten verwendet werden dürfen und lassen zudem, wie oben erwähnt, die Einbeziehung von Daten von Personen zu, die mit dem jeweiligen Sachverhalt nichts zu tun haben. 

Da die Gesetze keine Eingrenzungen zur Methode der automatisierten Datenanalyse und Auswertung enthalten, ermöglichen sie der Polizei das sog. „Data-Mining“ und sogar den Einsatz von lernfähigen KI-Systemen. Bedenklich ist, dass auch offene Suchanfragen zulässig sind. Die automatisierte Datenauswertung darf ferner für das alleinige Aufdecken von statistischen Auffälligkeiten genutzt werden, woraus dann insbesondere durch die Verknüpfung mit weiteren Daten Schlüsse gezogen werden können. Hieraus könnten in einem nächsten Schritt Prognosen erstellt werden, die in ihrer Entstehungsweise große Ähnlichkeiten zu dem in den USA teilweise eingesetzten „predictive policing“ aufweisen.

Auswirkungen des Urteils

Im Rahmen des Bund-Länder-Vorhabens „Polizei 2020“ wurde dem Unternehmen Palantir für ein neuartiges verfahrensübergreifendes Recherche- und Analysesystem (VeRa), federführend durch das bayrische Landeskriminalamt der Zuschlag erteilt. Die hamburger Polizei bekundete bereits ihr Interesse an dieser Software. Das Urteil führt dazu, dass die Rechtsgrundlage für den Einsatz eines derartigen Verfahrens fürs Erste fehlt, weshalb sie in naher Zukunft wohl nicht zum Einsatz kommen wird.

Das ist jedoch für Kriminelle kein Grund zum Aufatmen. Es besteht Anlass zur Sorge, dass die Gesetzgeber der beiden Länder die Vorschriften auf einer Weise ändern werden, dass sie mit dem Grundrecht auf informationelle Selbstbestimmung vereinbar sind. Mit der Folge, dass die Polizei eine Software wie VeRa in absehbarer Zukunft doch nutzen könnte.

Falls Sie in naher oder ferner Zukunft vor haben, kriminelle Aktivitäten durchzuführen, so tun Sie dies am besten in einem der zahlreichen weiteren Bundesländer Deutschlands, solange dies möglich ist. Sollte sich die Technologie bewähren (im Gegensatz zu Ihnen) wird sie sicher auch in weiteren Bundesländern eingesetzt werden. In diesem Fall bleibt nur das Ausland als Alternative.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.