Ist das Erfassen von Objekten mit einem optischen Sensor datenschutzkonform?

Die DS-GVO schützt personenbezogene Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Art. 2 Abs. 1 DSGVO

Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Konkrete Frage:

Ist das Erfassen von Objekten mit einem optischen Sensor, der die Pixeldaten weder als Datei abspeichern noch an einem Monitor anzeigen kann, datenschutzkonform?

Beck-Kommentar hierzu: Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 2 Rn. 2-10:

Der Begriff Dateisystem (filing system), der im Vorentwurf noch „Datei“ hieß (so wie auch in Art. 2c DSRL), wird definiert in Art. 4 Nr. 6 (→ Art. 4 Rn. 52 ff.) als „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“. … Letztlich sind Dateisysteme idS Sammlungen personenbezogener Daten, die gleichartig aufgebaut und nach bestimmten Merkmalen zugänglich sind und ausgewertet werden können (vgl. Art. 2c DSRL).

Erwägungsgrund 15 zur DSGVO: Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen.

Das heißt: der Anwendungsbereich der DSGVO ist eröffnet, es handelt sich nicht um rein anonyme Daten oder Ähnliches.

Damit müssen alle Vorgaben der DSGVO eingehalten werden, vor allem Informationspflichten, Auskunftspflichten, etc. Wenn das der Fall ist, können auch optische Sensoren datenschutzkonform eingesetzt werden.

Die korrekte Fragestellung müsste jedoch lauten:

Paal/Pauly/Ernst DS-GVO Art. 2 Rn. 2-10:

Die DS-GVO gilt neben der ganz oder teilw. automatisierten Datenverarbeitung auch für die nicht automatisierte Verarbeitung personenbezogener Daten, wenn diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Der Schutz natürlicher Personen soll schließlich neben der automatisierten gleichermaßen auch die manuelle Verarbeitung von personenbezogenen Daten umfassen (ErwGr 15). Dies gilt allerdings nur dann, wenn diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen (ErwGr 15). Die nicht automatisierte Verarbeitung von Daten bezieht sich allein auf den analogen Bereich (insbes. auf Papier).

Das heißt: Speicherung in ein Dateisystem ist nur für die nichtautomatisierte Verarbeitung ein Kriterium. Für die automatisierte Verarbeitung (wie in unserem Fall) gilt die DSGVO auch dann, wenn keine klassische Speicherung in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Das heißt, die Frage muss lauten: Ist der Anwendungsbereich der DSGVO eröffnet, wenn Objekte mit einem optischen Sensor erfasst werden, der die Pixeldaten weder als Datei abspeichert noch an einem Monitor anzeigen kann?

Ab wann ist bei der automatisierten Verarbeitung von Daten kein Personenbezug mehr gegeben?

Was sind personenbezogene Daten?

Art. 4 Ziff. 1 DSGVO:

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; …“

Entscheidend ist, ob eine Angabe einer bestimmten Person zugeordnet werden kann, bzw. wenn der Betroffene mit Referenzdaten ermittelt werden kann. Erst bei absoluter Unmöglichkeit, einen Zusammenhang zwischen einem Datum und einer natürlichen Person herzustellen, fehlt es an der Bestimmbarkeit. Problematisch ist einerseits die Frage, ob auch eine „praktische Irrelevanz“ hierzu ausreicht, andererseits aber jene, ob von einer solchen angesichts der technischen Verknüpfungsmöglichkeiten, die moderne Computersysteme bieten, überhaupt noch gesprochen werden kann., vgl. Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13

Ab wann ist bei der automatisierten Verarbeitung von Daten kein Personenbezug mehr gegeben?

Inwieweit braucht es konkretes Zusatzwissen, damit man von einem Personenbezug sprechen kann? Beispiel IP-Adresse: für Provider kann sie ohne Weiteres einem Nutzer zuordnen. Das ist bei Speicherung durch Dritte nicht der Fall.

EuGH (EuGH ZD 2017, 24 Rn. 46 ff): bei einem gesetzlichen Verbot oder einer praktischen Undurchführbarkeit aufgrund unverhältnismäßigem Aufwands ist das Risiko einer Identifizierung vernachlässigbar. (Aber: schon bei einem Anbieter von Onlinediensten in Bezug auf dynamische IP-Adressen ist ein solches Hindernis nicht gegeben), Paal/Pauly/Ernst DS-GVO Art. 4 Rn. 8-13

Die Verwendung des Begriffs „indirekt“ durch den Unionsgesetzgeber deutet darauf hin, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht. Rn 41

Stand: 27.07.2022

Jemand hat an seinem Privathaus eine Kamera angebracht. Eine fremde Person hat den Gartenzaun durch ein Auto beschädigt. Die Video-Aufnahme wurde dann auf Social Media gepostet. Ist das erlaubt?

 Anbringen von Videokameras auf privaten Grundstücken:

Hierzu auch BGH, Urteil vom 16. 3. 2010 - VI ZR 176/09 (LG Potsdam):

Nach Ansicht des erkennenden Senats kommt es insoweit auf die Umstände des Einzelfalls an. Die Befürchtung, durch vorhandene Überwachungsgeräte überwacht zu werden, ist dann gerechtfertigt, wenn sie auf Grund konkreter Umstände als nachvollziehbar und verständlich erscheint, etwa im Hinblick auf einen eskalierenden Nachbarstreit (vgl. OLG Köln, NJW 2009, NJW Jahr 2009 Seite 1827 = NZM 2009, NZM Jahr 2009 Seite 600) oder auf Grund objektiv Verdacht erregender Umstände. Liegen solche Umstände vor, kann das Persönlichkeitsrecht des (vermeintlich) Überwachten schon auf Grund der Verdachtssituation beeinträchtigt sein. Allein die hypothetische Möglichkeit einer Überwachung durch Videokameras und ähnliche Überwachungsgeräte beeinträchtigt hingegen das allgemeine Persönlichkeitsrecht derjenigen, die dadurch betroffen sein könnten, nicht. Deshalb ist die Installation einer Überwachungsanlage auf einem privaten Grundstück nicht rechtswidrig, wenn objektiv feststeht, dass dadurch öffentliche und fremde private Flächen nicht erfasst werden, wenn eine solche Erfassung nur durch eine äußerlich wahrnehmbare technische Veränderung der Anlage möglich ist und wenn auch sonst Rechte Dritter nicht beeinträchtigt werden.

Was, wenn Videokameras den öffentlichen Bereich mitumfassen?

Im vorliegenden Fall war die Videoaufzeichnung wohl zulässig, da es um den Schutz des Gartenzauns (Eigentum) ging

Darf die Videoaufzeichnung auf Social-Media gepostet werden?

Abwägungsfrage. Zum Beispiel bleiben auch rechtswidrig von Privaten erlangte Beweismittel grundsätzlich im Strafverfahren verwertbar. Das heißt: sogar wenn die Veröffentlichung des Videos so sehr gegen die Persönlichkeitsrechte des Täters verstoßen würde, dass eine Veröffentlichung datenschutzrechtlich unzulässig wäre, würde das Ergebnis der Suche zivil- und strafrechtlich verwertet werden dürfen.

Siehe hierzu auch BGH, Urteil vom 15.5.2018 – VI ZR 233/17

1. Die permanente und anlasslose Aufzeichnung des Verkehrsgeschehens ist mit den datenschutzrechtlichen Regelungen des Bundesdatenschutzgesetzes nicht vereinbar.

2. Die Verwertung von so genannten Dashcam-Aufzeichnungen, die ein Unfallbeteiligter vom Unfallgeschehen gefertigt hat, als Beweismittel im Unfallhaftpflichtprozess ist dennoch zulässig.

Stand: 22.06.2022

Ist bei Video-Embedding-Anwendungen auf einer Website ein Cookie Consent Tool erforderlich?

Ist zwangsläufig ein Cookie Consent Tool beim ersten Aufruf der Website erforderlich?

Grundsätzlich:

Aber:

Problematisch kann aber bereits das Laden von Skripten, Schriften und Trackern sein (insbesondere wird der DoubleClick Tracker von der Domäne doubleclick.net geladen, ohne dass das Video selbst angeklickt), wenn die Website aufgerufen wird. Auch diese brauchen nach § 25 TTDSG eine Einwilligung, wenn über sie eine Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, stattfindet. Dies geschieht wohl bereits beim Laden der Website an sich – und nicht erst des Videos.

Mehr dazu finden Sie hier.

Stand: 25.05.2022

Ist Zoom datenschutzkonform einsetzbar? 

Zoom ist datenschutzkonform einsetzbar.

Dienst wurde erheblich nachgebessert, v.a. nach Kritik des LfDI Baden-Württemberg zur fehlenden Verschlüsselung, der unklaren Beteiligung von Unternehmen aus Drittländern und der üblichen Kritik, dass die Server in den USA stehen.

Jetzt: LfDI Baden-Württemberg hat seine Warnung zurückgezogen.

Empfehlungen:

            von Zoom in die Datenschutzerklärung aufnehmen

Stand: 23.02.2022

Ist Microsoft-Teams datenschutzkonform einsetzbar?

Microsoft-Teams ist – unter Vorbehalt - datenschutzkonform einsetzbar.

Hauptkritikpunkt früher: Microsoft geht intransparent beim Anbieten von datenschutzrechtlich notwendigen Dokumenten (z.B. AV-Verträge) vor. Kritik kam vor allem von der Berliner und der Hessischen Aufsichtsbehörde, die Teams für nicht einsatzfähig erklärte.

Argument nicht valide, da

Bei Übertragung in die USA gibt es Bedingungen, die eingehalten werden müssen:

Stand: 23.02.2022

Brauchen Videokamera-Attrappen einen datenschutzrechtlichen Hinweis? 

Nein. Videokamera-Attrappen brauchen keinen datenschutzrechtlichen Hinweis, da keine personenbezogenen Daten verarbeitet werden.

Insbesondere fehlt die Aufzeichnungsfunktion.

Stand: 16.02.2022