Der Europäische Datenschutzausschuss hat einen auf den 10. Juli 2019 datierten Entwurf von Leitlinien zur Videoüberwachung veröffentlicht („Guidelines 3/2019 on processing of personal data through video devices“). Der Entwurf war zur öffentlichen Konsultation bis am 9. September 2019 aufgelegt.
Die Leitlinien äussern sich u.a. zu folgenden Themen:
- sachliche Anwendbarkeit der DSGVO (nicht aber internationale Anwendbarkeit). Offen bleibt, wann die Aufnahme einer Menschenmasse zu Personendaten führt. In der Schweiz wäre diese Frage auf Basis der Logistep-Kriterien zu beantworten. Das EDPB geht wohl davon aus, dass es sich hier um Personendaten handelt.
- Rechtsgrundlage i.S.v. Art. 6 und 9 DSGVO (detaillierte Hinweise des EDPB)
- Weitergabe von Aufzeichnungen an Dritte, insbesondere auch an Behörden;
- Bearbeitung besonderer Kategorien von Personendaten.
- Willkommen ist die erneute Klarstellung, dass eine Aufnahme einer Person mit einer Brille oder selbst in einem Rollstuhl nicht per se eine besondere Kategorie von Personendaten darstellt, sondern erst dann, wenn die Aufnahmen dazu verwendet werden, entsprechende Erkenntnisse abzuleiten („if the video footage is processed to deduce special categories of data“). Das deckt sich mit der Haltung des EDÖB, dass die Qualifikation eines abstrakt heiklen Datums als besonders schätzenswert bzw. als Persönlichkeitsprofil auch vom Verwendungszusammenhang abhängig ist.
- Dasselbe gilt für biometrische Daten. Videoaufnahmen sind nicht per se biometrische Daten.
- Betroffenenrechte:
- Ausführungen zu den Betroffenenrechten; auch zu den Ausnahmegründen, bspw. dann, wenn sich auf Videoaufnahmen mehrere betroffenen Personendaten befinden und die Aufnahme daher u.U. nicht herausgegeben werden darf;
- Der EDPD bestätigt, dass eine „Löschung“ i.S.d. Löschanspruchs durch irreversibles Verpixeln erfolgen kann. (Das bestätigt im Übrigen auch die Ansicht, dass die Anonymisierung ein Löschäquivalent ist, d.h. rechtlich grundsätzlich einer Löschung entspricht).
- Transparenz, wobei der EDSA hier die Empfehlung wiederholt, mit mehreren Informationsebenen („layered approach“) zu arbeiten;
- Aufbewahrung und Löschung;
- Sicherheitsmassnahmen einschliesslich privacy by default und by design.