EDPB: def. Fas­sung der Leit­li­ni­en zur Video­üer­wa­chung

Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA/EDPB) hat nach dem Ent­wurf nun die defi­ni­ti­ve Fas­sung sei­ner Leit­li­ni­en zur Video­üer­wa­chung (Gui­de­li­nes 3/2019 on pro­ces­sing of per­so­nal data through video devices) mit Datum vom 29. Janu­ar 2020 ver­ab­schie­det (vor­erst nur auf Eng­lisch ver­füg­bar). Die Leit­li­ni­en erläu­tern auf knapp 30 Sei­ten u.a. die Zuläs­sig­keit der Video­über­wa­chung (Rechts­grund­la­gen), die Bekannt­ga­be an Drit­te, die Ver­ar­bei­tung beson­de­rer Kate­go­rien von Per­so­nen­da­ten, die Betrof­fe­nen­rech­te im Zusam­men­hang mit Video­auf­nah­men, die Infor­ma­ti­on der Betrof­fe­nen, die Auf­be­wah­rung der Auf­nah­men, die erfor­der­li­chen Sicher­heits­mass­nah­men und Daten­schutz-Fol­gen­ab­schät­zun­gen.

Ver­hält­nis­mä­ssig­keit

Der EDSA legt Gewicht auf die Ver­hält­nis­mä­ssig­keit der Mass­nah­men, was jeweils eine Ein­zel­fall­prü­fung ver­langt. Er stellt ausser­dem rela­tiv hohe Anfor­de­run­gen an das kon­kre­te berech­tig­te Inter­es­se des Ver­ant­wort­li­chen, sofern sich die­ser auf Art. 6 Abs. 1 lit. f DSGVO stützt (vgl. dazu EuGH, Rs. C‑708/18).

Beson­ders schüt­zens­wer­te Per­so­nen­da­ten

Inter­es­sant sind die Aus­füh­run­gen zu beson­ders schüt­zens­wer­ten Per­so­nen­da­ten. Der EDSA bestä­tigt hier die all­ge­mei­ne Auf­fas­sung, dass Auf­nah­men, die poten­ti­ell beson­ders heik­le Merk­ma­le zei­gen (z.B. eine Bril­le als poten­ti­el­les Gesund­heits­da­tum, nicht per se beson­ders schüt­zens­wert sind. Erst wenn den Auf­nah­men die­se heik­len Aus­sa­gen ent­nom­men wer­den, wer­den beson­ders schüt­zens­wer­te Per­so­nen­da­ten bear­bei­tet:

Howe­ver, if the video foo­ta­ge is pro­ces­sed to dedu­ce spe­cial cate­go­ries of data Arti­cle 9 app­lies.

Das gilt nicht nur für Gesund­heits­da­ten, son­dern auch ande­re Kate­go­rien:

Video sur­veil­lan­ce cap­tu­ring a church does not per se fall under Arti­cle 9.

Aller­dings sind poten­ti­ell beson­ders schüt­zens­wer­te Per­so­nen­da­ten hei­kel, wes­halb der Ver­hält­nis­mä­ssig­keits­grund­satz hier beson­de­re Bedeu­tung hat.

Bio­me­tri­sche Daten

Eben­falls bemer­kens­wert sind die Aus­füh­run­gen zu bio­me­tri­schen Daten. Bio­me­tri­sche Daten i.S.v. Art. 4 Nr. 14 DSGVO wer­den nur bear­bei­tet, wenn

  • Daten sich auf phy­si­sche, phy­sio­lo­gi­sche oder ver­hal­tens­ty­pi­sche Merk­ma­le bezie­hen,
  • die mit spe­zi­el­len tech­ni­schen Ver­fah­ren gewon­ne­nen wer­den und die
  • ver­wen­det wer­den, um eine Per­son ein­deu­tig zu iden­ti­fi­zie­ren.

Dar­an fehlt es bspw., wenn eine Kame­ra in einem Laden­lo­kal auto­ma­tisch erkennt, wel­ches Geschlecht etwa Alter eine Per­son hat, solan­ge das System kei­ne Iden­ti­fi­ka­ti­on vor­neh­men kann.

Aller­dings: Wenn das System ein bio­me­tri­sches Tem­pla­te erstellt und spei­chert, um eine bestimm­te Per­son wie­der­zu­er­ken­nen, soll dies eine Bear­bei­tung bio­me­tri­scher Daten dar­stel­len – auch dann, wenn die betref­fen­de Per­son nicht nament­lich bekannt ist; mit der Fol­ge, dass Art. 9 DSGVO anwend­bar ist. Hier stützt sich der EDSA – ohne dies zu sagen – auf das Kon­zept der Sin­gu­la­ri­sie­rung, die einer Iden­ti­fi­zie­rung hier offen­bar gleich­kom­men soll:

If a con­trol­ler wis­hes to detect a data sub­ject re-ente­ring the area or ente­ring ano­t­her area (for examp­le in order to pro­ject con­ti­nued cus­to­mi­zed adver­ti­se­ment), the pur­po­se would then be to uni­que­ly iden­ti­fy a natu­ral per­son, mea­ning that the ope­ra­ti­on would from the start fall under Arti­cle 9. This could be the case if a con­trol­ler stores gene­ra­ted tem­pla­tes to pro­vi­de fur­ther tailo­red adver­ti­se­ment on several bill­boards throughout dif­fe­rent loca­ti­ons insi­de the shop. Sin­ce the system is using phy­si­cal cha­rac­te­ri­stics to detect spe­ci­fic indi­vi­du­als com­ing back in the ran­ge of the came­ra (like the visi­tors of a shop­ping mall) and tracking them, it would con­sti­tu­te a bio­me­tric iden­ti­fi­ca­ti­on method becau­se it is aimed at reco­gni­ti­on through the use of spe­ci­fic tech­ni­cal pro­ces­sing.

Der EDSA ver­tritt aller­dings eine noch stren­ge­re Auf­fas­sung: Bio­me­tri­sche Daten nicht nur für die­je­ni­gen Per­so­nen bear­bei­tet, für die ein Tem­pla­te erstellt wor­den ist, son­dern auch für all jene Per­so­nen, deren Merk­ma­le mit dem Tem­pla­te abge­gli­chen wer­den. Wenn in einem Hotel bspw. Gesichts­merk­ma­le von VIPs gespei­chert wer­den, damit sie beim Ein­checken sofort wie­der­erkannt wer­den, ist nicht nur die Ein­wil­li­gung der VIPs erfor­der­lich, son­dern auch jene aller ande­ren Gäste, deren Gesicht gescannt wird, obwohl die­se Gäste man­gels eige­nen Tem­pla­tes gar nicht iden­ti­fi­ziert wer­den kön­nen:

A hotel uses video sur­veil­lan­ce to auto­ma­ti­cal­ly alert the hotel mana­ger that a VIP has arri­ved when the face of the guest is reco­gni­zed. The­se VIPs have prio­ry given their expli­cit con­sent to the use of facial reco­gni­ti­on befo­re being recor­ded in a data­ba­se estab­lished for that pur­po­se. The­se pro­ces­sing systems of bio­me­tric data would be unlaw­ful unless all other guests moni­to­red (in order to iden­ti­fy the VIPs) have con­sen­ted to the pro­ces­sing accord­ing to Arti­cle 9 (2) (a) GDPR.

Der EDSA äussert sich wei­ter zur Frei­wil­lig­keit der erfor­der­li­chen Ein­wil­li­gung und zur Daten­mi­ni­mie­rung bei bio­me­tri­schen Syste­men.

Betrof­fe­nen­rech­te

Auch bei Video­auf­nah­men besteht ein Aus­kunfts­recht. Aller­dings soll der Ver­ant­wort­li­che nicht unbe­dingt gezwun­gen sein, Kopien von Auf­nah­men zu über­ge­ben, wenn dar­in auch Drit­te abge­bil­det sind. Der Ver­ant­wort­li­che ist jeden­falls nicht gehal­ten, Syste­me bspw. zur Ver­pi­xelung ande­rer Per­so­nen anzu­schaf­fen. Auf wel­che Wei­se er in die­sem Fall Aus­kunft ertei­len soll, lässt der EDSA letzt­lich offen; in Fra­ge kom­men v.a. (redi­gier­te) Stand­bil­der (vgl. dazu die Leit­li­ni­en der iri­schen Auf­sichts­be­hör­de). Wei­ter spricht der EDSA das The­ma der Iden­ti­fi­zie­rung des Aus­kunftstel­lers und die wei­te­ren Betrof­fe­nen­rech­te an.

Trans­pa­renz

Für die Infor­ma­ti­on der betrof­fe­nen Per­so­nen emp­fiehlt der EDSA recht aus­führ­lich ein gestuf­tes Vor­ge­hen mit einem Hin­weis bei den Kame­ras und den wei­te­ren Infor­ma­tio­nen bspw. an einem Emp­fang o.ä. Der EDSA emp­fiehlt fol­gen­des Hin­weis­schild:

Spei­cher­dau­er

Video­auf­nah­men sind zu löschen, wenn sie nicht län­ger benö­tigt wer­den. Der EDSA emp­fiehlt bei Sicher­heits­sy­ste­me eine Auf­be­wah­rung von 1 – 2 Tagen, weil bspw. Van­da­len­ak­te i.d.R. nach 1 oder 2 Tagen ent­deckt wer­den. Bei län­ge­rer Dau­er ist die Not­wen­dig­keit der Spei­che­rung zu begrün­den:

Taking into con­si­de­ra­ti­on the princi­ples of Arti­cle 5 (1) (c) and(e) GDPR, name­ly data mini­miz­a­ti­on and sto­rage limi­ta­ti­on, the per­so­nal data should in most cases (e.g. for the pur­po­se of detec­ting van­da­lism) be era­sed, ide­al­ly auto­ma­ti­cal­ly, after a few days. The lon­ger the sto­rage peri­od set (espe­cial­ly when beyond 72 hours), the more argu­men­ta­ti­on for the legi­ti­ma­cy of the pur­po­se and the neces­si­ty of sto­rage has to be pro­vi­ded.