Der Europäische Datenschutzausschuss (EDSA/EDPB) hat nach dem Entwurf nun die definitive Fassung seiner Leitlinien zur Videoüerwachung (Guidelines 3/2019 on processing of personal data through video devices) mit Datum vom 29. Januar 2020 verabschiedet (vorerst nur auf Englisch verfügbar). Die Leitlinien erläutern auf knapp 30 Seiten u.a. die Zulässigkeit der Videoüberwachung (Rechtsgrundlagen), die Bekanntgabe an Dritte, die Verarbeitung besonderer Kategorien von Personendaten, die Betroffenenrechte im Zusammenhang mit Videoaufnahmen, die Information der Betroffenen, die Aufbewahrung der Aufnahmen, die erforderlichen Sicherheitsmassnahmen und Datenschutz-Folgenabschätzungen.
Verhältnismässigkeit
Der EDSA legt Gewicht auf die Verhältnismässigkeit der Massnahmen, was jeweils eine Einzelfallprüfung verlangt. Er stellt ausserdem relativ hohe Anforderungen an das konkrete berechtigte Interesse des Verantwortlichen, sofern sich dieser auf Art. 6 Abs. 1 lit. f DSGVO stützt (vgl. dazu EuGH, Rs. C‑708/18).
Besonders schützenswerte Personendaten
Interessant sind die Ausführungen zu besonders schützenswerten Personendaten. Der EDSA bestätigt hier die allgemeine Auffassung, dass Aufnahmen, die potentiell besonders heikle Merkmale zeigen (z.B. eine Brille als potentielles Gesundheitsdatum, nicht per se besonders schützenswert sind. Erst wenn den Aufnahmen diese heiklen Aussagen entnommen werden, werden besonders schützenswerte Personendaten bearbeitet:
However, if the video footage is processed to deduce special categories of data Article 9 applies.
Das gilt nicht nur für Gesundheitsdaten, sondern auch andere Kategorien:
Video surveillance capturing a church does not per se fall under Article 9.
Allerdings sind potentiell besonders schützenswerte Personendaten heikel, weshalb der Verhältnismässigkeitsgrundsatz hier besondere Bedeutung hat.
Biometrische Daten
Ebenfalls bemerkenswert sind die Ausführungen zu biometrischen Daten. Biometrische Daten i.S.v. Art. 4 Nr. 14 DSGVO werden nur bearbeitet, wenn
- Daten sich auf physische, physiologische oder verhaltenstypische Merkmale beziehen,
- die mit speziellen technischen Verfahren gewonnenen werden und die
- verwendet werden, um eine Person eindeutig zu identifizieren.
Daran fehlt es bspw., wenn eine Kamera in einem Ladenlokal automatisch erkennt, welches Geschlecht etwa Alter eine Person hat, solange das System keine Identifikation vornehmen kann.
Allerdings: Wenn das System ein biometrisches Template erstellt und speichert, um eine bestimmte Person wiederzuerkennen, soll dies eine Bearbeitung biometrischer Daten darstellen – auch dann, wenn die betreffende Person nicht namentlich bekannt ist; mit der Folge, dass Art. 9 DSGVO anwendbar ist. Hier stützt sich der EDSA – ohne dies zu sagen – auf das Konzept der Singularisierung, die einer Identifizierung hier offenbar gleichkommen soll:
If a controller wishes to detect a data subject re-entering the area or entering another area (for example in order to project continued customized advertisement), the purpose would then be to uniquely identify a natural person, meaning that the operation would from the start fall under Article 9. This could be the case if a controller stores generated templates to provide further tailored advertisement on several billboards throughout different locations inside the shop. Since the system is using physical characteristics to detect specific individuals coming back in the range of the camera (like the visitors of a shopping mall) and tracking them, it would constitute a biometric identification method because it is aimed at recognition through the use of specific technical processing.
Der EDSA vertritt allerdings eine noch strengere Auffassung: Biometrische Daten nicht nur für diejenigen Personen bearbeitet, für die ein Template erstellt worden ist, sondern auch für all jene Personen, deren Merkmale mit dem Template abgeglichen werden. Wenn in einem Hotel bspw. Gesichtsmerkmale von VIPs gespeichert werden, damit sie beim Einchecken sofort wiedererkannt werden, ist nicht nur die Einwilligung der VIPs erforderlich, sondern auch jene aller anderen Gäste, deren Gesicht gescannt wird, obwohl diese Gäste mangels eigenen Templates gar nicht identifiziert werden können:
A hotel uses video surveillance to automatically alert the hotel manager that a VIP has arrived when the face of the guest is recognized. These VIPs have priory given their explicit consent to the use of facial recognition before being recorded in a database established for that purpose. These processing systems of biometric data would be unlawful unless all other guests monitored (in order to identify the VIPs) have consented to the processing according to Article 9 (2) (a) GDPR.
Der EDSA äussert sich weiter zur Freiwilligkeit der erforderlichen Einwilligung und zur Datenminimierung bei biometrischen Systemen.
Betroffenenrechte
Auch bei Videoaufnahmen besteht ein Auskunftsrecht. Allerdings soll der Verantwortliche nicht unbedingt gezwungen sein, Kopien von Aufnahmen zu übergeben, wenn darin auch Dritte abgebildet sind. Der Verantwortliche ist jedenfalls nicht gehalten, Systeme bspw. zur Verpixelung anderer Personen anzuschaffen. Auf welche Weise er in diesem Fall Auskunft erteilen soll, lässt der EDSA letztlich offen; in Frage kommen v.a. (redigierte) Standbilder (vgl. dazu die Leitlinien der irischen Aufsichtsbehörde). Weiter spricht der EDSA das Thema der Identifizierung des Auskunftstellers und die weiteren Betroffenenrechte an.
Transparenz
Für die Information der betroffenen Personen empfiehlt der EDSA recht ausführlich ein gestuftes Vorgehen mit einem Hinweis bei den Kameras und den weiteren Informationen bspw. an einem Empfang o.ä. Der EDSA empfiehlt folgendes Hinweisschild:
Speicherdauer
Videoaufnahmen sind zu löschen, wenn sie nicht länger benötigt werden. Der EDSA empfiehlt bei Sicherheitssysteme eine Aufbewahrung von 1 – 2 Tagen, weil bspw. Vandalenakte i.d.R. nach 1 oder 2 Tagen entdeckt werden. Bei längerer Dauer ist die Notwendigkeit der Speicherung zu begründen:
Taking into consideration the principles of Article 5 (1) (c) and(e) GDPR, namely data minimization and storage limitation, the personal data should in most cases (e.g. for the purpose of detecting vandalism) be erased, ideally automatically, after a few days. The longer the storage period set (especially when beyond 72 hours), the more argumentation for the legitimacy of the purpose and the necessity of storage has to be provided.