Der Euro­päi­sche Daten­schutz­aus­schuss hat einen auf den 10. Juli 2019 datier­ten Ent­wurf von Leit­li­ni­en zur Video­über­wa­chung ver­öf­fent­licht („Gui­de­lines 3/2019 on pro­ce­s­sing of per­so­nal data through video devices“). Der Ent­wurf war zur öffent­li­chen Kon­sul­ta­ti­on bis am 9. Sep­tem­ber 2019 aufgelegt.

Die Leit­li­ni­en äussern sich u.a. zu fol­gen­den Themen:

  • sach­li­che Anwend­bar­keit der DSGVO (nicht aber inter­na­tio­na­le Anwend­bar­keit). Offen bleibt, wann die Auf­nah­me einer Men­schen­mas­se zu Per­so­nen­da­ten führt. In der Schweiz wäre die­se Fra­ge auf Basis der Logi­step-Kri­te­ri­en zu beant­wor­ten. Das EDPB geht wohl davon aus, dass es sich hier um Per­so­nen­da­ten handelt.
  • Rechts­grund­la­ge i.S.v. Art. 6 und 9 DSGVO (detail­lier­te Hin­wei­se des EDPB)
  • Wei­ter­ga­be von Auf­zeich­nun­gen an Drit­te, ins­be­son­de­re auch an Behörden;
  • Bear­bei­tung beson­de­rer Kate­go­rien von Per­so­nen­da­ten.
    • Will­kom­men ist die erneu­te Klar­stel­lung, dass eine Auf­nah­me einer Per­son mit einer Bril­le oder selbst in einem Roll­stuhl nicht per se eine beson­de­re Kate­go­rie von Per­so­nen­da­ten dar­stellt, son­dern erst dann, wenn die Auf­nah­men dazu ver­wen­det wer­den, ent­spre­chen­de Erkennt­nis­se abzu­lei­ten („if the video foota­ge is pro­ce­s­sed to dedu­ce spe­cial cate­go­ries of data“). Das deckt sich mit der Hal­tung des EDÖB, dass die Qua­li­fi­ka­ti­on eines abstrakt heik­len Datums als beson­ders schät­zens­wert bzw. als Per­sön­lich­keits­pro­fil auch vom Ver­wen­dungs­zu­sam­men­hang abhän­gig ist.
    • Das­sel­be gilt für bio­me­tri­sche Daten. Video­auf­nah­men sind nicht per se bio­me­tri­sche Daten.
  • Betrof­fe­nen­rech­te:
    • Aus­füh­run­gen zu den Betrof­fe­nen­rech­ten; auch zu den Aus­nah­me­grün­den, bspw. dann, wenn sich auf Video­auf­nah­men meh­re­re betrof­fe­nen Per­so­nen­da­ten befin­den und die Auf­nah­me daher u.U. nicht her­aus­ge­ge­ben wer­den darf;
    • Der EDPD bestä­tigt, dass eine „Löschung“ i.S.d. Lösch­an­spruchs durch irrever­si­bles Ver­pi­xeln erfol­gen kann. (Das bestä­tigt im Übri­gen auch die Ansicht, dass die Anony­mi­sie­rung ein Lösch­äqui­va­lent ist, d.h. recht­lich grund­sätz­lich einer Löschung entspricht).
  • Trans­pa­renz, wobei der EDSA hier die Emp­feh­lung wie­der­holt, mit meh­re­ren Infor­ma­ti­ons­ebe­nen („laye­red approach“) zu arbeiten;
  • Auf­be­wah­rung und Löschung;
  • Sicher­heits­mass­nah­men ein­schliess­lich pri­va­cy by default und by design.

AI-generierte Takeaways können falsch sein.