Dokumentationspflichten bei Videoüberwachung unter der DSGVO

Deutsche Rahmenbedingungen

Die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) wird von den deutschen Datenschutzaufsichtsbehörden aktiv durchgesetzt. Bei Prüfungen fordern die Behörden das Verarbeitungsverzeichnis, die DSFA, das Videoüberwachungskonzept und den Nachweis der Informationspflicht gegenüber Betroffenen an. Das Fehlen dieser Dokumentation stellt eine eigenständige Ordnungswidrigkeit dar. Der Bundesdatenschutzbeauftragte (BfDI) und die Landesdatenschutzbehörden haben Checklisten für Videoüberwachung veröffentlicht. GEFMA-Richtlinien empfehlen die Integration datenschutzrechtlicher Dokumentationspflichten in das FM-Qualitätsmanagement.

Schlüsselbegriffe

Rechenschaftspflicht

DSGVO-Pflicht, nachzuweisen, dass personenbezogene Daten gesetzeskonform verarbeitet werden. Die Beweislast liegt beim Verantwortlichen.

Verarbeitungsverzeichnis (VVT)

Pflichtgemäße Dokumentation aller Verarbeitungstätigkeiten personenbezogener Daten, einschließlich Videoüberwachung. Enthält Zweck, Rechtsgrundlage, Kategorien Betroffener und Speicherfrist.

DSFA (Datenschutz-Folgenabschätzung)

Pflichtgemäße Risikobewertung bei systematischer Videoüberwachung nach Art. 35 DSGVO. Beschreibt Notwendigkeit, Verhältnismäßigkeit, Risiken und Schutzmaßnahmen.

Datenschutzhinweis

Dokument zur Erfüllung der Informationspflicht gegenüber Betroffenen gemäß Art. 13 DSGVO. Muss leicht zugänglich und verständlich sein – etwa als Hinweisschild.

Auftragsverarbeitungsvertrag (AVV)

Vertrag nach Art. 28 DSGVO mit Parteien, die Zugang zu Aufnahmen haben: externe Leitstelle, Wartungsdienstleister oder Sicherheitsdienst.

Was das Gesetz verlangt

Die Dokumentation umfasst mindestens fünf Bestandteile. Erstens das Verarbeitungsverzeichnis (VVT): eine Pflichtdokumentation, die die Videoüberwachung als Verarbeitungstätigkeit beschreibt, mit Angaben zu Zweck, Rechtsgrundlage, Kategorien personenbezogener Daten, Empfängern, Speicherfrist und Sicherheitsmaßnahmen. Organisationen mit mehr als 250 Mitarbeitern müssen dieses Verzeichnis führen, aber auch kleinere Organisationen, die systematische Videoüberwachung betreiben.

Zweitens die DSFA: bei umfangreicher oder systematischer Videoüberwachung nach Art. 35 DSGVO verpflichtend. Drittens das Videoüberwachungskonzept: das interne Richtliniendokument mit Kameraübersicht, Zugriffsprotokoll, Speicherfristen und Verfahren für Bildanfragen. Viertens die Hinweisschilder an den Zugängen und die Datenschutzhinweise auf dem Intranet oder der Website. Fünftens der Auftragsverarbeitungsvertrag mit Parteien, die Zugang zu den Aufnahmen haben: externe Leitstelle, Wartungsdienstleister oder Wachdienst.

Halten Sie diese Dokumentation aktuell. Jede Änderung am Kamerasystem – eine neue Kamera, eine geänderte Position, ein Software-Update, das Analysefunktionen aktiviert – kann Auswirkungen auf die DSFA und das Konzept haben. Benennen Sie einen Verantwortlichen für das Dokumentationsmanagement und planen Sie eine jährliche Überprüfung. Bei einer behördlichen Prüfung müssen Sie diese Unterlagen unverzüglich vorlegen können.