Zwar hat sich die Hektik, die in den Wochen unmittelbar vor und nach der Übergangsfrist der EU-DSGVO am 25. Mai 2018 herrschte, gelegt, doch auch gut ein halbes Jahr später gibt es noch viele offene Fragen. Zeit für eine Zwischenbilanz. Von Uwe Höppner
Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) in den Mitgliedsstaaten der EU anwendbar. Die neuen Regeln für die Verarbeitung personenbezogener Daten stärken die Verbraucherrechte erheblich. Mit weitreichenden Konsequenzen für private Unternehmen und öffentliche Stellen.
Die Rechte auf Auskunft, Löschung und Berichtigung werden nicht nur beträchtlich erweitert, es kommen auch neue Rechte hinzu. Zwar hat sich die Hektik, die in den Wochen unmittelbar vor und nach dem offiziellen Inkrafttreten herrschte, gelegt, doch auch gut ein halbes Jahr später gibt es noch viele offene Fragen. Zeit für eine erste grobe Bilanz, wie sich die DSGVO auf die Sicherheitsbranche auswirkt.
DSGVO versus BDSG-neu oder: Welche Regeln gelten?
Anders als der Name suggeriert, sorgt die DSGVO keineswegs für gleiche Standards innerhalb der EU. Es handelt sich um eine „Grundverordnung“ im Wortsinn, d. h. einen gesetzlichen Rahmen, der in vielen Punkten – den sogenannten Öffnungsklauseln – von den jeweiligen Mitgliedsstaaten durch eine eigene Gesetzgebung zu füllen ist.
Diese Klauseln sind teils fakultative, teils verpflichtende Vorgaben, die auf nationaler Ebene geregelt werden dürfen bzw. müssen – in Deutschland durch die Neufassung des Bundesdatenschutzgesetzes (BDSG-neu), die ebenfalls seit dem 25. Mai 2018 angewendet wird und die DSGVO ergänzt, konkretisiert und modifiziert.
So findet sich z. B. in der DSGVO selbst keine ausdrückliche Regelung zur Videoüberwachung. Sie regelt hierzulande §4 des BDSG-neu, wobei zum gegenwärtigen Zeitpunkt rechtlich umstritten ist, ob der Paragraph den DSGVO-Vorgaben entspricht. Befinden wir uns also in einer unklaren Rechtslage? Ja und nein. Denn klar ist, dass die DSGVO-Bestimmungen als geltendes EU-Recht in allen Auslegungsfragen den Vorrang vor den einschlägigen Gesetzen der Mitgliedstaaten haben.
Schulungen und technische Unterstützung
Nichtsdestotrotz ist die Rechtslage momentan zumindest unklar, gleichzeitig drohen Haftungsfallen und mit ihnen drakonische Bußgelder, die sich auf bis zu 4 % des Jahresumsatzes oder bis zu 20 Mio. Euro belaufen können. Dies erklärt den sprunghaft gestiegenen Beratungsbedarf und die starke Nachfrage nach praxisbezogenen Schulungen zum Thema DSGVO, wie sie auch VIDEOR im Rahmen der VIDEOR Academy regelmäßig anbietet.
Auch mit einer 3D-gestützen, detaillierten Projektplanung lassen sich potenzielle datenschutzrechtliche „Minen“ im Vorfeld der Installation identifizieren und nach Rücksprache mit einem Datenschutzbeauftragten DSGVO-konform entschärfen.
Der Transparenzgrundsatz der DSGVO (Stichwort Auskunftspflicht) hat zur Folge, dass die Kennzeichnungspflicht für die Videoüberwachung deutlich zugenommen hat, wie jeder Errichter weiß. Die neuen Hinweisschilder müssen die für die Videoüberwachung verantwortliche Person mit Kontaktdaten und den Zweck der Überwachung ausweisen und darüber informieren, wie das Recht zur Löschung gehandhabt wird, welches Interesse die Überwachung rechtfertigt und wie lange die Daten gespeichert werden. Gerade mit Blick auf diesen letztgenannten, besonders heiklen Punkt bieten einige Hersteller inzwischen Aufzeichnungsgeräte an, die Anwender bei einer DSGVO-konformen Verwaltung und Speicherung von Videodaten unterstützen, etwa durch die Festlegung der Speicherdauer für jeden einzelnen Videokanal: Ist der konkrete Zweck der Erhebung erfüllt, werden die Videodaten automatisch und rechtskonform gelöscht.
Um die Vertraulichkeit und Transparenz in der Behandlung der sensiblen Daten zu gewährleisten, erfordern neue Geräte für den Zugriff auf und/oder Export von Videodaten die Authentifizierung von zwei Personen gemäß dem Vier-Augen-Prinzip und unterstützen ein differenziertes Berechtigungsmanagement durch die Anlage verschiedener Benutzergruppen mit unterschiedlichen Berechtigungen. Anhand der Log-Einträge lässt sich so detailliert nachweisen, wer wann auf welche Daten zurückgegriffen hat.