Ist es zulässig, bei einer Videoüberwachung im öffentlichen Bereich personenbezogene Daten per Stream in Echtzeit zu übermitteln?

Konkretisierung der Fragestellung:
In einem öffentlichen Bereich, sagen wir in einer Flughafenabfertigungshalle oder einem Bahnsteig, kontrolliert eine Kamera die Szenerie.

Die Kamera ist dabei so programmiert, dass sie Gegenstände detektierten kann, die vorher nicht anwesend waren und über einen längeren Zeitraum sich nicht mehr bewegt haben.

Als Beispiel hierfür seien Rücksäcke oder Koffer genannt. Bei einer Detektion wird ein Alarm ausgelöst.

Der Stream der Kamera wird dabei nicht aufgezeichnet und auch nicht an einem Monitor dargestellt. Der Stream befindet sich nur für einen kurzen Zeitraum zur Bildauswertung in einem flüchtigen RAM-Speicher.

Unabhängig von den zwar erfassten Personen, die aber nicht gespeichert werden, ist die Auflösung der Kamera so gut, dass Adressaufkleber mit personenbezogenen Daten, ausgelesen werden könnten.

Abwägungsfrage!

Ist der Anwendungsbereich der DSGVO eröffnet?

Der Anwendungsbereich der DSGVO ist nach Art. 2 Abs.1 DSGVO sachlich u.a. wie folgt eröffnet:

Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Was sind personenbezogene Daten?

Art. 4 Ziff. 1 DSGVO:

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; …“

Entscheidend ist, ob eine Angabe einer bestimmten Person zugeordnet werden kann, bzw. wenn der Betroffene mit Referenzdaten ermittelt werden kann. Erst bei absoluter Unmöglichkeit, einen Zusammenhang zwischen einem Datum und einer natürlichen Person herzustellen, fehlt es an der Bestimmbarkeit. Problematisch ist einerseits die Frage, ob auch eine „praktische Irrelevanz“ hierzu ausreicht, andererseits aber jene, ob von einer solchen angesichts der technischen Verknüpfungsmöglichkeiten, die moderne Computersysteme bieten, überhaupt noch gesprochen werden kann., vgl. Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13

Ab wann ist bei der automatisierten Verarbeitung von Daten kein Personenbezug mehr gegeben?

Braucht es also konkretes Zusatzwissen, damit man von einem Personenbezug sprechen kann? (Beispiel IP-Adresse: nur Provider können sie meist ohne Weiteres einem Nutzer zuordnen, alle anderen hingegen nicht).

EuGH (EuGH ZD 2017, 24 Rn. 46 ff): bei einem gesetzlichen Verbot oder einer praktischen Undurchführbarkeit aufgrund unverhältnismäßigem Aufwands ist das Risiko einer Identifizierung vernachlässigbar. (Aber: schon bei einem Anbieter von Onlinediensten in Bezug auf dynamische IP-Adressen ist ein solches Hindernis nicht gegeben), Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13

Die Verwendung des Begriffs „indirekt“ durch den Unionsgesetzgeber deutet darauf hin, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht. Rn 41

Mehr Infos

Was ist „Verarbeitung“ im Sinne der DSGVO?

Art. 4 Ziff. 2 DSGVO:

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Hierzu Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 20:

Verarbeitung (processing) meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben (collection), das Erfassen (recording), die Organisation (organisation), das Ordnen (structuring), die Speicherung (storage), die Anpassung (adaption) oder Veränderung (alteration), das Auslesen (retrieval), das Abfragen (consultation), die Verwendung (use), die Offenlegung durch Übermittlung (disclosure by transmission), Verbreitung (dissemination) oder eine andere Form der Bereitstellung (otherwise making available), den Abgleich (alignment) oder die Verknüpfung (combination), die Einschränkung (restriction), das Löschen (erasure) oder die Vernichtung (destruction). Der Begriff ist letztlich (ohne materielle Folgen) weiter, als es der Verarbeitungsbegriff des BDSG aF war. Die in der Definition aufgezählten Begriffe dürften sich zudem zumindest teilw. überschneiden.

Zum Erfassen (recording) nach Art. 4 Ziff. 2 DSGVO: Die Dauer der Speicherung spielt keine Rolle. Auch die flüchtige Speicherung im Arbeitsspeicher stellt eine Verarbeitung im DSGVO-rechtlichen Sinne dar.

Ergebnis:

Bei einer Videoüberwachung im öffentlichen Bereich, bei der personenbezogene Daten per Stream in Echtzeit übermittelt und nur  nur flüchtig im RAM-Speicher abgelegt werden, ist der Anwendungsbereich der DSGVO eröffnet.

Es müssen damit die datenschutzrechtlichen Vorgaben eingehalten werden, z.B. Rechtsgrundlage (wahrscheinlich Art. 6 Abs.1 S. 1 lit.f. DSGVO), einen Zweck, die Erfüllung von Informationspflichten etc.. Praktisch ist das in sicherheitssensiblen öffentlichen Bereichen (z.B. Abfertigungshalle Flughafen) gut umsetzbar.

Stand: 26.10.2022