Tag Archives: Videoüberwachung

Welcome to the State of Emergency!

Wenn Angela Merkel am 13. März 2017 in die USA reist, betritt sie ein Land im Ausnahmezustand. Im Ausnahmezustand sind die USA nicht erst seit dem Amtsantritt Donald Trumps, sondern seit dem 11. September 2001, dem Datum der terroristischen Anschläge auf New York und Washington. Am 14. September 2001 ermächtigten Senat und Repräsentantenhaus den US-Präsidenten in einem nur sechzig Worte umfassenden Gesetz, mit „notwendiger und angemessener Gewalt“ gegen Länder, Organisationen und Personen vorzugehen, „welche die Terrorangriffe angezettelt, geplant, autorisiert, begangen, unterstützt und durchgeführt haben oder solchen Personen Zuflucht gewährt haben.“ Am selben Tag erklärte Präsident Bush rückwirkend ab dem 11. September den Ausnahmezustand („state of emergency“).  und daran anknüpfende militärische Anordnungen. Diese Ermächtigungen gelten bis heute. Sie statteten den US-Präsidenten mit zusätzlicher Macht aus, über seine ohnehin schon weitreichenden Befugnisse in „normalen Zeiten“ hinaus.

Viele der Überwachungsmaßnahmen, von denen die Welt erst im Jahr 2013 durch die Enthüllungen Edward Snowdens Kenntnis genommen hat (auch wenn es entsprechende Hinweise schon sehr viel früher gab), basieren auf diesen Notstandsbefugnissen. Genauso wie das Gefangenenlager auf Guantanamo Bay, wo den Gefangenen im „Global War on Terror“ nicht nur jeglicher Rechtsschutz verweigert wird, sondern auch der Status von Kriegsgefangenen nach der Genfer Konvention. Auch die „extralegalen Tötungen“ – man könnte auch sagen: Morde – mittels Drohnenangriffen in Staaten, mit denen die USA nicht im Krieg sind, werden fortgesetzt und vieles spricht dafür, dass in Deutschland gelegene Kommandozentralen des US-Militärs dabei eine wichtige Rolle spielen.

Nicht nur George W. Bush hat die ihn eingeräumten Notstandsbefugnisse genutzt, sondern auch sein Nachfolger Barrack Obama und auch der jetzige Präsident Donald Trump. Seinen „Muslim Ban“ – die Einreisesperre gegen Menschen aus verschiedenen Ländern mit moslemischer Mehrheit – hat Trump als wichtige Maßnahme gegen den Terrorismus gekennzeichnet. Genauso rechtfertigt übrigens der türkische Präsident Recep Tayyip Erdoğan sein rabiates Vorgehen gegen Journalisten und andere Kritiker mit dem „Kampf gegen den Terrorismus“ – nach seinen Maßstäben ist sogar der Bürgermeister der baden-württembergischen Stadt Gaggenau, der ein Wahlkampfveranstaltung eines türkischen Ministers aus Sicherheitsbedenken untersagte, ein Terrorhelfer.

In Frankreich gilt der Ausnahmezustand (état d’urgence) seit November 2015, als die Regierung auf die koordinierten islamistischen Anschläge auf Restaurants und die Konzerthalle Bataclan in Paris reagierte. Die Türkei und Frankreich haben für die Dauer des Ausnahmezustands die Europäische Menschenrechtscharta „suspendiert“. Verhaftungen, Durchsuchungen, Demonstrationsverbote und andere Grundrechtseingriffe sind währenddessen auch ohne richterliche Genehmigung zulässig.

Wird also Angela Merkel mit Präsident Trump darüber sprechen, dass der Ausnahmezustand und die damit verbundenen Grundrechtseinschränkungen und Menschenrechtsverletzungen mit dem westlichen Verständnis von Rechsstaatlichkeit und Demokratie unvereinbar sind? Eher nicht, denn auch Deutschland hat auf terroristische Bedrohungen seit mehr als 15 Jahren mit immer tieferen Grundrechtseinschränkungen reagiert: Polizei und Geheimdienste wurden mit immer weiter gehenden zusätzlichen Befugnissen ausgestattet, sie haben Zugang zu vielfältigen Daten – bei Banken, Reisebüros, Telefongesellschaften. Unsere Telekommunikationsdaten werden auf Vorrat gespeichert, wir reisen mit Pässen und Personalausweisen, in denen biometrische Merkmale gespeichert werden.

Die Aufrüstung des Sicherheitsapparats geht weiter: Nach dem Anschlag auf den Berliner Weihnachtsmarkt am 19. Dezember 2016 hat die Bundesregierung im Schnelldurchgang weitere Gesetze beschlossen. Die Videoüberwachung in „großflächigen Anlagen und im öffentlichen Personenverkehr“ soll ausgeweitet werden. Es soll ein umfassender Datenverbund zwischen den Polizeibehörden des Bundes und der Länder geschaffen werden, bestehende Zweckbegrenzungen für bestimmte Dateien mit besonders sensiblen Daten werden aufgehoben. Fluggesellschaften, Buchungszentralen und Reisebüros müssen zukünftig eine Vielzahl von Passagierdaten an eine neu einzurichtende „Fluggastdatenzentralstelle“ übermitteln, wo die Daten nach verdächtigen „Mustern“ abgeglichen werden. Das Bundesamt für Migration soll den Zugriff auf die informationstechnischen Systeme immer dann verlangen können, wenn sich der zuständige Sachbearbeiter davon nützliche Erkenntnisse“ über den Asylbewerber verspricht, weil sie „für die Feststellung seiner Identität und Staatsangehörigkeit von Bedeutung sein können“. Eine richterliche Anordnung dieses tiefen Eingriffs in die Grundrechte der Asylbewerber ist nicht vorgesehen.

Der Ausnahmezustand ist also längst zum Normalzustand geworden, nicht nur in den USA, sondern auch bei uns. Das ist der eigentliche Grund, warum Angela Merkel den Ausnahmezustand in den USA mit seinen fatalen Folgen wohl nicht mit Donald Trump besprechen wird.

Wird Deutschland zum Schlusslicht beim Europäischen Datenschutz?

Das Bundesministerium des Innern (BMI) hat am 23. November 2016 den Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) – zitiert als E-BDSG – an die Verbände versandt. Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) wird innerhalb der kurzen für das Anhörungsverfahren vorgesehenen Frist bis zum 7. Dezember zu dem Entwurf offiziell Stellung nehmen. Der vorliegende Beitrag ist insofern eine vorläufige Einschätzung, die allein vom Autor verantwortet wird.

Nachdem bereits Ende August ein Vorentwurf bekannt geworden war, der zu erheblicher Kritik Anlass gab (vgl. etwa meinen Blogpost), hat das BMI zwar einige der gröbsten handwerklichen Fehler abgemildert. Bereits eine erste Durchsicht des umfangreichen Gesetzentwurfs offenbart aber eine Reihe von inhaltlichen und formalen Schwachpunkten und Mängeln, von denen zu hoffen ist, dass sie im weiteren Gesetzgebungsverfahren (Ressortabstimmmung, Beratung im Deutschen Bundestag und im Bundesrat) ausgebessert und beseitigt werden.

Das E-BDSG weicht in verschiedenen Feldern von den Vorgaben der Datenschutzgrundverordnung (DSGVO) ab, und zwar nicht nur dort, in denen der europäische Gesetzgeber Raum für nationale Regelungen gelassen hat, etwa beim Schutz von Beschäftigtendaten oder bei den Vorschriften zu den betrieblichen Datenschutzbeauftragten.

In zentralen Punkten – insbesondere bei den Betroffenenrechten – werden die Vorgaben der DSGVO aufgeweicht mit dem Ergebnis, dass deutsche Bürgerinnen und Bürger zukünftig weniger Datenschutzrechte haben als die übrigen Europäer.

Schließlich ist zu fragen, ob auf diesem Wege Regelungen, mit denen die Bundesregierung bei den Verhandlungen der Datenschutzreform im Rat und im Europaparlament keine Mehrheiten gefunden hat, nun auf dem Umweg eines „Datenschutzanpassungsgesetzes“ doch noch realisiert werden sollen – zum Schaden Europas.

 

EU-weites „level playing field“?

Niemandem wäre damit gedient, wenn ab 25. Mai 2018, wenn die DSGVO wirksam wird – an die Stelle der 28 nationalen Datenschutzgesetze 28 neue, unterschiedliche „Ausführungsgesetze“ treten, wie es dem Ministerium offenbar vorschwebt: Mit verschiedenen Regelungen zur Datenerhebung, Speicherung und Verwendung, mit unterschiedlichen nationalen Vorgaben zu den Rechten auf Auskunft, Löschung und Widerspruch der Betroffenen, ergänzt um Sonderregelungen, die teils deutlich hinter dem EU-Recht zurückbleiben.

Die vorgesehenen Regelungen schaden auch den europäischen Unternehmen, die auf Basis des EU-Rechts gleichmäßige Bedingungen für grenzüberschreitende europaweite Geschäftsmodelle brauchen, um so auf Augenhöhe mit der internationalen Konkurrenz agieren zu können. Die vom Entwurf vorgesehenen zahlreichen Abweichungen konterkarieren das vom europäischen Gesetzgeber beabsichtigte Ziel, für alle Bürgerinnen und Bürgern der EU und für die im Europäischen Wirtschaftsraum tätigen Unternehmen einen gleichmäßigen wirksamen Datenschutz zu garantieren.

Große Unternehmen, die sich umfangreiche Rechtsabteilungen und teure Anwälte leisten können, werden auch in Zukunft mit einer solchen unübersichtlichen Situation umgehen können. Dies gilt aber nicht für kleinere und mittlere Unternehmen, die nicht über derartige Ressourcen verfügen. Neben den Bürgerinnen und Bürgern, deren Datenschutz ausgehöhlt wird, wären sie die Hauptleidtragenden des deutschen Sonderwegs.

 

Absenkung der Betroffenenrechte

Art. 23 DGSVO räumt den von der Datenverarbeitung betroffenen Personen ein Auskunftsrecht über die zu ihnen gespeicherten Daten ein. Nach Art. 14 DSGVO müssen Behörden und Unternehmen die Betroffenen informieren, wenn sie personenbezogene Daten verarbeiten.

Wenn es nach dem BMI geht, müssten davon abweichend gemäß § 32 i.V.m. § 31 E-BDSG öffentliche Stellen die Betroffenen nicht informieren bzw. ihnen keine Auskunft erteilen, wenn „die Information die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben“ gefährden oder „die Information die öffentliche Sicherheit oder  Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würden“. Eine solche Regelung überlässt es weitgehend den Behörden, welche Auskünfte gegeben werden, denn schließlich gibt es viele Gründe, weshalb die Informationsherausgabe die ordnungsgemäße Aufgabenerfüllung gefährden könnte. Unternehmen müssten keine Auskunft erteilen, wenn „die Information die Geschäftszwecke des Verantwortlichen erheblich gefährden würde“. Damit würden Geschäftsinteressen generell über den Schutz persönlicher Daten gestellt. Zudem müssten Unternehmen keine Auskunft erteilen, wenn „die zuständige öffentliche Stelle gegenüber dem Verantwortlichen (Unternehmen) festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde.“ Auch diese Bestimmung lässt viel Interpretationsspielraum.

Nach Art. 17 DSGVO haben die betroffenen Person das Recht, von Behörden und Unternehmen die Löschung von zu Unrecht gespeicherten oder nicht mehr benötigten Daten zu verlangen. In Deutschland soll jedoch kein Recht auf Datenlöschung bestehen, „wenn eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.“ (§ 33 E-BDSG) Eine solche Vorschrift wäre geradezu eine Einladung an Unternehmen und staatliche Stellen, ihre Daten so zu speichern, dass eine Löschung nur unter größerem Aufwand möglich ist. Sie müssten die Daten selbst dann nicht löschen, wenn ihre Speicherung rechtswidrig war.

Gemäß Art. 21 DSGVO haben die Betroffenen das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, wenn die Verarbeitung im Interesse einer verantwortlichen Stelle (Behörde bzw. Unternehmen)  oder eines Dritten erfolgt und keine ausdrückliche gesetzliche Regelung die Datenverarbeitung erlaubt. Der Gesetzentwurf schränkt dieses Widerspruchsrecht erheblich ein (§ 34 E-BDSG).

Die für die Absenkung der Betroffenenrechte angeführten Begründungen, das geringere Datenschutzniveau liege im öffentlichen Interesse oder diene dem Schutz der Freiheitsrechte anderer Personen (Art. 23 DSGVO), ist selbst bei wohlwollender Auslegung der Datenschutzgrundverordnung abwegig. Die Absenkung des Datenschutzniveaus unter das EU-Level ist mit dem deutschen Grundrecht auf informationelle Selbstbestimmung und dem durch Art. 8 der EU-Grundrechtecharta garantierten Grundrecht auf Schutz personenbezogener Daten nicht zu vereinbaren. Das BMI bleibt jede Begründung schuldig, warum Geschäftsinteressen etwa von Auskunfteien oder Inkassounternehmen schwerer wiegen als die Datenschutzrechte der betroffenen Bürgerinnen und Bürger.

 

Fallbeispiele

Ein Kunde verlangt von seiner Bank aussagekräftige Informationen über das zur automatisierten Bewertung seiner Kreditwürdigkeit verwendete Scoring-Verfahren.

Europa: Die Bank erteilt diese Auskünfte, denn sie ist dazu gem. Art. 15 der Datenschutzgrundverordnung (DSGVO) verpflichtet.

Deutschland: Die Bank lehnt die Auskunft zu den Details des Bewertungsverfahrens ab, denn nach § 32 E-BDSG würden die erfragten Information die eigenen Geschäftszwecke „erheblich gefährden“; sie seien zudem Betriebs- und Geschäftsgeheimnisse des Unternehmens.

Die Besucherin eines Einkaufszentrums erkundigt sich nach dem Umfang und der genauen Speicherungsdauer der Videoaufnahmen der installierten Überwachungskameras.

Europa: Der Betreiber teilt ihr mit, wo die Kameras installiert sind und dass die Aufnahmen nach drei Tagen gelöscht werden. So sieht es die EU-Datenschutzverordnung vor.

Deutschland: Der Betreiber verweigert die erbetene Informationen mit der Begründung, die zuständige Behörde sehe darin eine Gefährdung der öffentlichen Sicherheit und Ordnung.

Ein Versicherungsnehmer verlangt von der Versicherung die Löschung unzulässig gespeicherter Gesundheitsdaten.

Europa: Nach Art. 17 der EU-Datenschutzverordnung hat er ein Recht dazu. Die Versicherung muss die Daten löschen.

Deutschland: Die Versicherung lehnt die Löschung der Daten ab. Gemäß § 33 E-BDSG müsse sie die Daten nicht löschen, denn „wegen der besonderen Art der Speicherung“ sei die Löschung nur mit unverhältnismäßig hohem Aufwand möglich.

 

Exzessive Videoüberwachung

Europa- und verfassungsrechtlich nicht akzeptabel ist auch der deutsche Sonderweg bei der Videoüberwachung: Künftig soll hier – nicht nur für öffentliche Stellen, sondern auch im privatwirtschaftlichen Bereich – die Maxime gelten: Sicherheit geht vor Datenschutz.

Damit soll ein entsprechendes Vorhaben der Bundesregierung fortgeschrieben werden, das auch nach derzeitiger Rechtslage verfassungsrechtlich problematisch ist (vgl. Stellungnahme der EAID zum „Videoüberwachungsverbesserungsgesetz“ v. 6. November 2016)  Die in der Datenschutzgrundverordnung vorgesehene Interessenabwägung müsste so einseitig zu Lasten der Grundrechte erfolgen – ein klarer Verstoß gegen Art. 8 EU-Grundrechtecharta.

 

Beschäftigtendaten

Im Hinblick auf den Beschäftigtendatenschutz begnügt sich das E-BDSG mit einem Minimalprogramm, indem es den alten § 32 BDSG unverändert übernimmt.

Erhebliche Zweifel sind angebracht, ob diese Vorschrift den Vorgaben aus Art. 88 Abs. 2 DSGVO entspricht. Eine solche nationale Regelung soll nämlich „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz“ umfassen.

Davon findet sich nichts im BMI-Entwurf, der deshalb erneut nicht die Erwartungen an einen dringend erforderlichen modernen Beschäftigtendatenschutz erfüllt. Dies ist besonders bedauerlich, weil im Zuge der Digitalisierung der Arbeitswelt hier klare Grenzen der Datenerfassung und -verwendung immer dringlicher werden.

 

Europarechtsbruch mit Ansage

Schließlich wiederholt der Entwurf an vielen Stellen die Vorgaben der Datenschutzgrundverordnung (DSGVO) und wandelt diese Bestimmungen teils in schwer nachvollziehbarer Weise ab. Damit verstößt der Entwurf gegen das europarechtliche Wiederholungsverbot bei direkt anwendbaren EU-Verordnungen, das Abweichungen des nationalen Rechts von EU-rechtlichen Vorgaben verhindern soll.

Als Randnote sei darauf hingewiesen, dass das neue BDSG am 25. Mai 2018 in Kraft treten soll, dem Datum des Wirksamwerdens der Datenschutzgrundverordnung. Da das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ aber auch die Richtlinie für die Bereiche Justiz und Polizei umsetzen soll, deren Umsetzung bis zum 6. Mai 2018 zu erfolgen hat (Art. 63 Abs. 1 RL (EU) 2016/680), handelt es sich sozusagen um einen Europarechtsverstoß mit Ansage – ein ziemlich einmaliger Vorgang.

Datenschutzkonferenz lehnt geplante Ausweitung der Videoüberwachung ab

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat auf ihrer 92. Konferenz am 9. November 2016 gefordert, den vom Bundesinnenministerium vorgelegten Entwurf eines „Videoüberwachungsverbesserungsgesetzes“ zurückzuziehen. In der Entschließung, die bei Enthaltung der für die Bundesgesetzgebung zuständigen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit beschlossen wurde, bezweifelt die Datenschutzkonferenz, dass sich irrational handelnde Einzeltäter, die ihren eigenen Tod bei Anschlägen bewusst in Kauf nehmen, von ihren Taten durch Videokameras abschrecken ließen.

Die Betreiber von Videoüberwachungsanlagen seien bereits  heute meist nicht in der Lage, ein Live-Monitoring durchzuführen und die Bilder der vielen Kameras durch ihr eigenes Personal auszuwerten. Deshalb könne schon jetzt bei Gefahren nicht direkt und schnell eingegriffen werden. In der Praxis  bleibe die Bedeutung der Kameras daher auf eine Speicherung auf Vorrat und für die spätere Strafverfolgung beschränkt. Die mögliche Erhöhung eines faktisch ungerechtfertigten subjektiven Sicherheitsgefühls könnte  Grundrechtseingriffe aber nicht rechtfertigen.

Auch der Verlagerung der Verantwortung für die Gewährleistung der öffentlichen Sicherheit auf die privaten Betreiber von Einkaufszentren und öffentlichem Personennahverkehr stehen die Datenschutzbeauftragten kritisch gegenüber. Die Gewährleistung der Sicherheit der Bevölkerung obliege den Sicherheitsbehörden, die über ausreichende landes- und bundesgesetzliche Grundlagen sowohl für die Gefahrenabwehr
als auch für die Strafverfolgung verfügen.

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) hat am 4. November 2016 zu dem vom BMI vorgelegten „Videoüberwachungsverbesserungsgesetz“ ähnlich kritisch Stellung genommen.

Wortlaut des Gesetzentwurfs des BMI

Stellungnahme der EAID zum Referentenentwurf eines „Videoüberwachungsverbesserungsgesetzes“

Die Europäische Akademie für Informationsfreiheit und Datenschutz bewertet den vom Bundesministerium des Innern (BMI) vorgelegten Gesetzentwurf zur Ausweitung der Videoüberwachung kritisch.

In der Stellungnahme äußert die EAID erhebliche Zweifel daran, ob die mit dem Gesetzentwurf beabsichtigte systematische Höhergewichtung der öffentlichen Sicherheit gegenüber dem Grundrecht auf informationelle Selbstbestimmung dem verfassungsrechtlichen Grundsatz der Verhältnismäßigkeit entspricht. Zweifelhaft sei schon, inwieweit die zusätzliche Videoüberwachung sich überhaupt zur Abwehr von Terroraschlägen eigne. Es sei nicht erkennbar, wie dadurch Anschläge wie in Ansbach und München im Sommer 2016 verhindert werden könnten, wie das BMI erwarte.

Hierzu führt die EAID aus: „Eine präventive Abschreckungswirkung dürfte von der Videoüberwachung und -aufzeichnung im Hinblick auf die terroristischen Anschläge jedenfalls nicht zu erwarten sein. Attentäter, die bewusst ihr eigenes Leben opfern („Selbstmordattentäter“) und die mit ihnen verbundenen Organisationen streben möglichst breite mediale Wirkung an. Videoaufzeichnungen und die Verbreitung der Aufnahmen sind insofern in ihrem Interesse. Im Hinblick auf die zur Begründung angeführten Anschläge in München und Ansbach sind keine Anhaltspunkte erkennbar, dass sich diese durch umfangreichere Videoüberwachung hätten verhindern, in ihren Auswirkungen begrenzen oder effektiver aufklären lassen.“

Bei der Videoüberwachung würden regelmäßig ganz überwiegend Personen erfasst, von denen keine Gefahr für die öffentliche Sicherheit ausgeht und die keine Straftaten begangen haben. „Eine dauerhafte, nicht anlassbezogene Videoüberwachung hat deshalb stets den Charakter einer Datenerhebung und -speicherung auf Vorrat“, die nach der Rechtsprechung des Bundesverfassungsgerichts und des Europäischen Gerichtshofs nur ausnahmsweise zulässig ist und jedenfalls einer nachprüfbaren und überzeugenden Begründung bedürfe, führt die EAID aus.

Selbst unter der Prämisse, dass sich die in der Gesetzesbegründung genannten Ziele durch vermehrte Videoüberwachung erreichen ließen, wäre deren verfassungsrechtliche Zulässigkeit auch im Hinblick auf die Vielzahl zusätzlicher Überwachungs- und Speicherungsbefugnisse zu beurteilen, die in den letzten Jahren eigeführt wurden oder die geplant sind, etwa die Vorratsdatenspeicherung von Telekommunikationsdaten, die umfassende Speicherung der Daten von Flugreisenden und das auf EU-Ebene geplante Ein- und Ausreiseregister. Eine solche, auch vom Bundesverfassungsgericht geforderte „Überwachungsgesamtrechnung“ verstärke die verfassungsrechtlichen Zweifel an dem Gesetzgebungsvorhaben.

EuGH setzt der Videoüberwachung Grenzen

Die Entscheidung der Europäischen Gerichtshofs (EuGH) zur Anwendbarkeit des Datenschutzrechts auf private Videoüberwachungsmaßnahmen (Rechtssache  C‑212/13 v. 11. Dezember 2014) ist über den eigentlichen Gegenstand hinaus bedeutsam. Der Europäische Gerichtshof hat nämlich klargestellt, dass das EU-Datenschutzrecht stets anwendbar ist, wenn die Datenverarbeitung sich auf den öffentlichen Raum erstreckt:

„Soweit sich eine Videoüberwachung wie die im Ausgangsverfahren in Rede stehende auch nur teilweise auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten auf diese Weise verarbeitet, kann sie nicht als eine ausschließlich „persönliche oder familiäre“ Tätigkeit im Sinne von Art. 3 Abs. 2 zweiter Gedankenstrich der Richtlinie 95/46 angesehen werden.“ Folglich seien in einem solchen Fall die Datenschutzbestimmungen anwendbar.

Dies bedeutet allerdings nicht, dass die Datenerhebung und -verarbeitung damit automatisch unzulässig würde. Vielmehr ist zu prüfen, ob – soweit keine Einwilligung des Betroffenen vorliegt – gesetzliche Regelungen die jeweilige Datenverarbeitung erlauben. So regelt etwa § 6b BDSG die Videoüberwachung im öffentlichen Raum. Mehrere Landespolizeigesetze und das Bundespolizeigesetz enthalten ebenfalls spezielle Vorschriften zur Videoüberwachung. Das Urteil bestätigt insofern auch die Praxis der deutschen Datenschutzbehörden, die eine Viodeoüberwachung des öffentlichen Raums nur unter engen Voraussetzungen für zulässig halten.

Bedeutsam ist das Urteil aber auch für Veröffentlichungen im Internet. Wer persönliche Informationen über Dritte erhebt, verarbeitet oder öffentlich zugänglich macht – dazu gehört etwa die Sammlung von Nutzungsdaten oder auch das Einstellen von Fotos -, braucht dafür eine rechtliche Grundlage. Oder er muss die Betroffenen fragen, ob sie damit einverstanden sind.
Mit freundlichen Grüßen

Peter Schaar