Speicherungsdauer bei Videoüberwachung

Wie lange dürfen die Daten von einer Videoüberwachung gespeichert werden? Wann müssen laut Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) Videoaufnahmen gelöscht werden? Wie sehen die Datenschutz-Aufsichtsbehörden und deutsche Gerichte die Speicherungsdauer bei der Videoüberwachung? Ein Überblick.

Speichern und Löschen von Videodaten

Die Datenschutz-Grundverordnung benennt in Art. 35 Abs. 3 lit. c DSGVO bzw. Erwägungsgrund 91 DSGVO Videoüberwachung als „systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen“. Sofern eine solche Überwachung erfolgt, ist aufgrund des hohen Risikos für die Rechte und Freiheiten der Betroffenen grundsätzlich die Durchführung einer Datenschutz-Folgenabschätzung erforderlich. Darüber hinaus macht die DSGVO keine konkreten Angaben zur Speicherdauer bzw. zu Löschfristen für Daten einer Videoüberwachung.

Im BDSG finden sich vor allem Angaben dazu, wann Überwachungsdaten gelöscht werden müssen. Die ehemalige Regelung in § 6b Abs. 5 BDSG (a. F.) schrieb vor, dass die Daten unverzüglich zu löschen sind, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. Genau dies ist auch im aktuellen deutschen Datenschutzrecht in § 4 Abs. 5 BDSG normiert.

Noch nicht abschließend ist jedoch geklärt, ob und in welchem Umfang diese nationale Regelung aufgrund des Anwendungsvorrangs der europäischen Norm angewendet werden kann. Dies bleibt einer Entscheidung im jeweiligen konkreten Einzelfall vorbehalten.

Wann ist die Speicherung von Videodaten zulässig?

Da das Gesetz keine verbindlichen Fristen nennt, sollte sich an folgenden Voraussetzungen orientiert werden.

  • Die Speicherung oder Verwendung von Daten ist zulässig, wenn sie erforderlich ist, um den verfolgten Zweck zu erreichen. Gleichzeitig dürfen keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.
  • Sofern die Daten zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen, sind die Daten unverzüglich zu löschen.
  • Sofern Videodaten gespeichert werden, muss die Begründung für die Speicherung dokumentiert werden. Diese Begründung muss sich auf den Aufnahmezweck beziehen.
  • Für andere Zwecke als den ursprünglichen darf der Verantwortliche Videoüberwachungsdaten nur weiterverarbeiten, soweit dies erforderlich ist, um Gefahren für die staatliche und öffentliche Sicherheit abzuwehren sowie um Straftaten zu verfolgen.
  • Es muss zudem ein technisches Verfahren eingesetzt werden, mit dem die Speicherdauer von Videodaten konkret begrenzt wird, wie z. B. eine automatisierte periodische Löschung oder das Selbstüberschreiben zurückliegender Aufnahmen.

Welche Speicherdauer ist für Videodaten angemessen?

Grundsätzlich gilt also, dass die Speicherdauer für Videodaten

  1. dem Zweck entsprechen,
  2. notwendig und verhältnismäßig sowie
  3. derart begrenzt sein muss, dass die Risiken für Betroffene eingedämmt werden.

Die Datenschutzkonferenz (DSK) der unabhängigen Datenschutzbehörden des Bundes und der Länder vertritt die Meinung, dass grundsätzlich innerhalb von ein bis zwei Tagen geklärt werden kann, ob das Videomaterial einer Sicherung bedarf (um die Aufnahmen z. B. vor Gericht verwerten zu können). Auch die Einhaltung der datenschutzrechtlichen Grundsätze der Datenminimierung und Speicherbegrenzung (vgl. Artikel 5 Abs. 1 lit. c und e DSGVO) gebietet, dass die Daten von Videoüberwachung wie bisher grundsätzlich nach 48 Stunden gelöscht werden (Kurzpapier Nr. 15 der DSK).

Bereits im Jahr 2014 konstatierte jedoch das Oberverwaltungsgericht Lüneburg in einem Urteil (Az.: 11 LC 114/12), dass eine zehntägige Speicherung der Daten aus einer Videoüberwachung durchaus zulässig sei. Das Bundesarbeitsgericht (BAG) entschied in seinem Urteil vom 23. August 2018 (Az.: 2 AZR 133/18) nun, dass es Arbeitgebern vorbehalten ist, mit der Auswertung von Videoaufzeichnungen so lange warten zu dürfen, wie dafür ein berechtigtes Interesse angenommen werden kann.

Daraus folgt, dass Arbeitgeber nicht dazu verpflichtet sind bspw. offen angebrachte Kameras in Geschäften täglich zu kontrollieren, um evtl. Zuwiderhandlungen von Mitarbeitern aufzudecken und somit längere Speicherfristen möglich sind. Dass der Richterspruch des BAG jedoch nicht als Freifahrtschein für unbegrenzte Speicherung von Videoüberwachungsmaterial verstanden werden sollte, zeigt unsere datenschutzrechtliche Einschätzung des Urteils.

Fazit: Zwei Tage Speicherdauer sind zu empfehlen

Aus Sicht des Datenschutzes sollte die Speicherdauer von Aufnahmen einer Videoüberwachung grundsätzlich auf 48 Stunden begrenzt werden. Ausnahmen davon lassen sich nur mit einem erhöhten Schutzbedarf sowie der Verfolgung eines Straftatverdachts von Mitarbeitern begründen. Immer gilt jedoch, dass die Aufzeichnung selbst DSGVO-konform erfolgt sein muss.

Dieser aktualisierte Artikel wurde zuerst am 12. Dezember 2014 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzkonforme Zufriedenheitsbefragung per Telefon

Wenn ein Unternehmen nach Beendigung eines Auftrages von seinem Kunden erfahren möchte, wie zufrieden dieser mit der erbrachten Leistung war, könnte man dies als ein zuvorkommendes Verhalten des Anbieters verstehen, der den Service für seine Kunden optimieren möchte. Rechtlich gesehen kann eine solche Handlung aber durchaus als unlautere Werbung gewertet werden, insbesondere wenn die Befragung telefonisch erfolgt.

Anrufe bei Kunden nur mit ausdrücklicher Einwilligung

Das Gesetz gegen den unlauteren Wettbewerb (UWG) geht bei einem Werbeanruf bei einem Verbraucher ohne dessen ausdrückliche Einwilligung von einer „unzumutbaren Belästigung“ aus (§ 7 Abs. 2 Nr. 2 UWG). Eine Zufriedenheitsabfrage nach Abschluss eines Auftrags wird in der Rechtsprechung als Werbung verstanden. So sieht es etwa das Oberlandesgericht Köln in mehreren Urteilen (Az. 6 U 41/08 und Az. 6 U 191/11).

Für die telefonische Kontaktaufnahme gelten zudem strengere Regeln als beispielsweise für ein postalisches Anschreiben, weil der Adressat sich einem Anruf schwerer entziehen kann. Seine Aufmerksamkeit wird sofort und direkt für das Anliegen des Anrufers gebunden. Wenn ein Adressat wenig interessiert ist, kann er einen Brief einfach beiseitelegen, wohingegen ein Callcenter-Mitarbeiter nachhaken und im direkten Gespräch vehementer versuchen kann, den Angerufenen von den Vorzügen seines Angebots zu überzeugen.

Deshalb ist bei der telefonischen Ansprache von Kunden mehr Fingerspitzengefühl gefragt. Dabei sollte immer bedacht werden, dass ein Anruf viel schneller als belästigend empfunden wird, als andere Formen der Ansprache. Nicht nur um eventuelle Abmahnungen zu vermeiden, sollte hier streng darauf geachtet werden, dass eine rechtskonforme Einwilligung vorliegt.

Regelungen der DSGVO zur telefonischen Werbung

Laut EU-Datenschutz-Grundverordnung (DSGVO) bedarf es – wie auch schon nach dem alten Bundesdatenschutzgesetz – für Werbung entweder einer ausdrücklichen Einwilligung oder einer gesetzlichen oder rechtlichen Vorschrift, die dies erlaubt bzw. anordnet. Insbesondere kommt hier die Generalklausel aus Art. 6 Abs. 1 lit. f DSGVO in Betracht, sofern die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist und nicht die Interessen oder Rechte der betroffenen Personen diesen entgegenstehen. Hierfür spricht insbesondere auch Erwägungsgrund 47 DSGVO:

„Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“

Praktische Umsetzung der neuen Informationspflichten

In der Praxis stellt sich allerdings das Problem, wie der Verantwortliche seinen Informationspflichten gemäß Art. 13 und Art. 14 DSGVO am Telefon nachkommen kann. Hiernach muss der Verantwortliche der betroffenen Person bereits bei Erhebung der Daten eine Fülle von Informationen mitteilen, etwa die Identität des Verantwortlichen, die Zwecke der Datenverarbeitung etc.

Eine einheitliche Lösung gibt es hierfür derzeit noch nicht. Die Artikel 29 Gruppe vertritt die Ansicht, dass beim telefonischen Kontakt ein Identitätsnachweis nicht eingeholt werden muss. Die gesetzlich vorgeschriebenen Informationen und für das Gespräch nicht relevanten Informationen müssen den Betroffenen auch nicht direkt am Telefon angesagt werden, sondern können durch vorab aufgezeichnete Aufnahmen oder auf einer Website bereitgestellt werden, um den Betroffenen nicht durch die Masse von Informationen zu belasten und die Möglichkeit anzubieten, die Informationen öfter abzurufen.

Dieser aktualisierte Artikel wurde zuerst am 14. November 2012 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Zukunft des EU-U.S. Privacy Shield unter Trump unsicher

Dass US-Präsident Donald Trump nicht viel vom Datenschutz hält, hat er schon mehrfach gezeigt. Zukünftig könnten auch Unternehmen innerhalb der EU davon betroffen sein. Denn ob das erst 2016 ausgehandelte EU-U.S. Privacy Shield unter Trump Bestand haben wird, ist derzeit sehr fraglich. Ohne dieses Abkommen ist eine Übertragung personenbezogener Daten in die USA aber juristisch (nahezu) unmöglich.

Was ist das EU-U.S. Privacy Shield?

Beim Privacy Shield handelt es sich um den Nachfolger des vom Europäischen Gerichtshof (EuGH) am 6. Oktober 2016 annullierten Safe-Harbor-Abkommens . Safe Harbor war gekippt worden, weil es den in Art. 8 der EU-Grundrechtecharta garantierten Schutz personenbezogener Daten nicht sicherstellen konnte.

Das EU-U.S. Privacy Shield soll nun den Datentransfer zwischen der EU und den USA ermöglichen. US-Unternehmen, die sich dazu verpflichten, bestimmte Prinzipien nach dem Privacy Shield einzuhalten und dieses durch eine Selbstzertifizierung belegen, können auf dieser Grundlage personenbezogene Daten aus der EU in die USA übermitteln. Denn personenbezogene Daten dürfen nur dann aus der Europäischen Union in ein anderes Land übermittelt werden, wenn dort ein sogenanntes angemessenes Datenschutzniveau vorherrscht, um einen zur EU gleichwertigen Schutz der personenbezogenen Daten zu gewährleisten. Einen solchen gleichwertigen Datenschutz hat die EU-Kommission am 12. Juli 2016 in ihrem Angemessenheitsbeschluss für das Privacy Shield konstatiert.

Die Datenschutz-Situation unter Obama

Die vorgenannte Entscheidung der EU-Kommission basiert grundlegend auf US-Recht, Zusicherungen der Obama-Administration und auf dem Judicial Redress Act 2015 (JRA), der im Februar 2016 vom US-Kongress gebilligt wurde. Grundsätzlich dürfen hiermit auch nicht-amerikanische Staatsbürger (wie EU-Bürger) sich an US-Behörden wenden, sofern sie meinen, dass ihre Daten durch US-Behörden unrechtmäßig verarbeitet wurden.

Zu beachten ist jedoch, dass der JRA den EU-Bürgern kein grundsätzliches Klagerecht einräumt. Ein solches ist von einer Anordnung des US-Justizministers (Attorney General) abhängig. Die Begründung hierfür ist, dass die Beschreitung des Rechtsweges regelmäßig ausgeschlossen ist, sofern es um Interessen der inneren Sicherheit geht.

Im Rahmen dieser Zusicherungen bekannte sich der damalige US-Präsident Obama auch zur Presidential Policy Directive 28 (PPD-28) vom 17. Januar 2014. Diese regelt, dass Auslandsüberwachungen beschränkt werden und dass amerikanisches Recht dahingehend ausgelegt wird, dass datenschutzrechtliche Bestimmungen (sofern rechtlich zulässig) auch auf Daten von europäischen Bürgern angewendet werden.

Die Datenschutz-Situation unter Trump

Dies entfällt nun unter der Regierung Trumps. Am 25. Januar 2017 unterzeichnete der US-Präsident die Anordnung (excecutive order) zur „Verbesserung der öffentlichen Sicherheit“. Diese Anordnung schreibt u.a. vor, dass Behörden im Einklang mit dem anwendbaren Recht dafür Sorge zu tragen haben, dass ihre Datenschutzrichtlinien Personen, die nicht Staatsangehörige der Vereinigten Staaten sind oder gesetzlich ständige Einwohner, vom Schutz des Privacy Acts bezüglich ihrer personenbezogenen Daten nicht umfasst sind.

Die Anordnung richtet sich vornehmlich gegen die Millionen von Menschen, die sich ohne gültige Papiere in den USA aufhalten. Sie könnte aber auch gravierende Auswirkung auf den transatlantischen Datentransfer haben, wenn sie auf EU-Bürger angewendet wird.

Darüber hinaus wird befürchtet, dass die partiellen Sicherungen des Datenschutzes für Nicht-Amerikaner bei Überwachungsmaßnahmen des US-Geheimdienstes außer Kraft gesetzt werden. Ein solcher Schritt wird von Vertretern der US-Politik und -Wirtschaft kritisch gesehen. Grund hierfür ist, dass damit die US-Zusicherungen und demnach auch die Erklärung des US-Geheimdienstkoordinators im Rahmen der Privacy-Shield-Verhandlungen als hinfällig betrachtet werden müssen.

Handlungsbedarf der EU-Kommission & der Datenschutzbehörden

Die aktuellen Entwicklungen zeigen einen dringenden Handlungsbedarf der EU-Kommission an. Die Prüfung, ob die Voraussetzungen für den Angemessenheitsbeschluss zum Privacy Shield weiterhin vorliegen, sollte nicht erst bis zur regulären, für Sommer 2017 vorgesehenen Überprüfung warten.

Aber auch die Datenschutzbehörden sollten aktiv werden. Bereits in der Safe-Harbor-Entscheidung legte der EuGH  den Datenschutzbehörden nahe, nicht auf entsprechende Feststellungen der Kommission zu warten, sondern eigenverantwortlich Zweifeln an einem angemessenen Datenschutzniveau nachzugehen.

Schließlich ist auch die Resolution des EU-Parlaments vom 06. April 2017 dazu, dass die aktuelle Überwachung in den USA nicht mit dem EU-Recht zu vereinbaren ist, als ein politisches Zeichen zu deuten. Es ist allerdings unwahrscheinlich, dass sich die US-Regierung davon beeinflussen lässt.

Ausblick: Unternehmen sollten sich nach Alternativen umsehen:

Ein akuter Handlungsbedarf lässt sich aus der Anordnung von Trump derzeit (noch) nicht herleiten. So können EU-Bürger weiterhin US-amerikanische Dienste wie Facebook wie gewohnt nutzen. Gleiches gilt für europäische Unternehmen, jedoch sollte jetzt schon nach Alternativen gesucht werden. Denn für Unternehmen innerhalb der Europäischen Union zeichnen sich erhebliche Schwierigkeiten ab, zukünftig US-amerikanische Dienstleister einzusetzen. Die Erfahrung bzgl. des gescheiterten Safe-Harbor-Abkommens zeigt, dass jetzt umso mehr europäische Dienstleister eingesetzt werden sollten.

Aufgabe der EU-Kommission ist es, sich zukünftig noch mehr für den Schutz personenbezogener Daten der EU-Bevölkerung beim Datentransfer in die USA einzusetzen und somit das EU-U.S. Privacy Shield zu einem richtigen Schutzschild erstarken lassen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!