Meldepflicht bei Datenpannen mit Videoüberwachungsaufnahmen

Deutsche Rahmenbedingungen

Die DSGVO verpflichtet Verantwortliche, Datenpannen der zuständigen Aufsichtsbehörde (in Deutschland das jeweilige Landesamt für Datenschutz) gemäß Art. 33 DSGVO zu melden und in bestimmten Fällen auch die Betroffenen nach Art. 34 zu informieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht Empfehlungen zur Absicherung von Videoüberwachungssystemen. Die Datenschutzkonferenz (DSK) hat Orientierungshilfen zum Einsatz von Videoüberwachungstechnik veröffentlicht. Bußgelder bei Nichtmeldung können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen.

Schlüsselbegriffe

Datenpanne (Data Breach)

Eine Verletzung der Datensicherheit, die zu unbefugtem Zugriff, Zerstörung, Verlust oder Veränderung von personenbezogenen Daten führt. Schließt Videoüberwachungsaufnahmen ein.

Meldepflicht gegenüber der Aufsichtsbehörde

Pflicht, eine Datenpanne innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde zu melden, sofern ein Risiko für Betroffene besteht.

Benachrichtigungspflicht der Betroffenen

Pflicht, Betroffene zu informieren, wenn die Datenpanne ein hohes Risiko für ihre Rechte und Freiheiten darstellt (Art. 34 DSGVO).

Verzeichnis von Datenpannen

Interne Dokumentationspflicht aller Datenpannen, auch solcher, die nicht der Behörde gemeldet wurden. Enthält Fakten, Folgen und Abhilfemaßnahmen.

Risikobewertung

Beurteilung des Schweregrads einer Datenpanne zur Entscheidung über Melde- und Benachrichtigungspflichten. Berücksichtigt Art der Daten, Anzahl Betroffener und Missbrauchspotenzial.

Was das Gesetz verlangt

Sie müssen eine Datenpanne mit Videoüberwachungsaufnahmen innerhalb von 72 Stunden bei der zuständigen Landesdatenschutzbehörde melden, wenn ein Risiko für die Rechte und Freiheiten der gefilmten Personen besteht. Beispiele: Ein Rekorder wird mit erkennbaren Personenaufnahmen gestohlen, ein Angreifer erhält Zugriff auf das VMS und kann Aufnahmen herunterladen, oder ein Mitarbeiter teilt Aufnahmen über Messenger-Dienste. Das Risiko steigt mit der Sensitivität der Aufnahmen – Bilder aus Umkleidekabinen oder medizinischen Einrichtungen wiegen schwerer als eine Parkhaus-Übersicht.

Wenn die Datenpanne ein hohes Risiko darstellt, müssen Sie auch die Betroffenen informieren. Dies ist der Fall, wenn Aufnahmen für Identitätsbetrug, Erpressung oder Rufschädigung missbraucht werden könnten. Bei einem Angriff auf das Kamerasystem, bei dem erkennbare Mitarbeiteraufnahmen entwendet wurden, ist eine Benachrichtigung der Betroffenen in der Regel erforderlich.

Führen Sie ein Datenpannen-Verzeichnis, in dem Sie alle Vorfälle dokumentieren, einschließlich derjenigen, die nicht der Behörde gemeldet wurden. Vermerken Sie pro Vorfall: Art der Panne, betroffene Daten, Anzahl der Betroffenen, Folgen und Abhilfemaßnahmen. Stellen Sie sicher, dass der Incident-Response-Prozess klar beschrieben ist: Wer stellt die Panne fest, wer beurteilt die Meldepflicht, wer erstattet die Meldung bei der Behörde und wer informiert die Betroffenen?