Datenschutz und Videoüberwachung im betrieblichen und öffentlichen Bereich

im betrieblichen und öffentlichen Bereich 27. Und 28.09.2017 / 13:45-14:30 Uhr VIDEOR Infotage 2017 in Frankfurt am Main Gerd Schmidt / DSB (GDDCert.) / ISIS12-Berater (zert.) Datenschutz Schmidt GmbH & Co. KG www.datenschutzschmidt.de www.datenschutzassistent.de

Was erwartet Sie? Was gibt es Neues im EU-Datenschutz / DS-GVO Ausgangslage / Bewusstseinswandel Rechtliche Hintergründe bei VÜW Sichtweise der Aufsichtsbehörden bei Videoüberwachung (VÜW) Exkurs: Videoüberwachung heute und morgen Videoüberwachung und betrieblicher Bereich Videoüberwachung und öffentlicher Bereich Lösungswege und Prozessablauf / Vorabkontrolle Lösungsvorschlag von der Aufsichtsbehörde Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Was bleibt? Was ist zu tun bei Videoüberwachung? Was ist zu tun bei der DS-GVO? 27./28.09.2017 Seite 2

Was gibt es Neues im EU-Datenschutz? Fotolia 114564214 News of the European Union Andrei Korzhyts 27./28.09.2017 Seite 4

Die gute Nachricht Richtlinie 95/46/EG (Datenschutzrichtlinie) und BDSG (alt) entfällt ab 24. Mai 2018 Fotolia 135930494 - Construction Européenne Europe Drapeaux d_e_r_i_c Fotolia 63674313 - Landkarte von Deutschland mit Bundesländern und Landesfarben Visions-AD Fotolia 139530561 - Businessman using law protection right 3D rendering sdecoret 27./28.09.2017 Seite 5

DS-GVO - seit 25. Mai 2016 als unmittelbar anwendbares Recht in Kraft wirksam ab 25. Mai 2018 Fotolia 41934157 - europarecht_11 benqook / Fotolia 139420038 Businessman using law protection right 3D rendering sdecoret 27./28.09.2017 Seite 6

Was gibt s Neues? Videoüberwachungsverbesserungsgesetz BDSG (alt) vom 21.12.2016 EU-Datenschutz-Grundverordnung (DS-GVO) / EU 2016/679 BDSG (neu) aktuelle Fassung vom 27. April 2017 27./28.09.2017 Seite 7

Was erwartet uns? DS-GVO: 99 Artikel und 173 Erwägungsgründe + DSAnpUG-EU = BDSG (neu) mit 85 / und voraussichtlich Novellierung der 16 Landesdatenschutzgesetze u. w. Foto: G.Schmidt 27./28.09.2017 Seite 8 /

DS-GVO Erwägungsgrund 91.Gleichermaßen erforderlich ist eine Datenschutz- Folgenabschätzung für die weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen, oder für alle anderen Vorgänge, bei denen nach Auffassung der zuständigen Aufsichtsbehörde die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. 27./28.09.2017 Seite 9

Beispiel: Datenschutz / Informationsschutz und IT- Sicherheit gemäß DS-GVO BSI-These Nr. 7: Informationssicherheit soll ein wichtiger Faktor werden, sodass jeder für die eigenen Daten bestimmen kann, wer was mit diesen Daten macht. Quellen: Verlag DATAKONTEXT DS-GVO im Überblick / 2. Auflage 2017 / und Sieben Thesen für eine sichere Informationsgesellschaft BSI vom 21.04.2016 / 27./28.09.2017 Seite 10

Wesentliche Anforderungen der DS-GVO Quelle: Broschüre Datenschutz-Grundverordnung im Überblick / GDD und DATAKONTEXT / Zweite Auflage 2017 27./28.09.2017 Seite 11 /

DS-GVO-Zielsetzung: Entwicklung von Managementsystemen in Unternehmen und Behörden Datenschutz- und Informationssicherheits- Management-Systeme sind Prozesse! 27./28.09.2017 Seite 12

Die Zeit läuft nur 34 Wochen! 27./28.09.2017 Seite 13

Datenschutz in der Presse Chef des BayLDA Thomas Kranig beunruhigt vielmehr, dass Privatleute die billig gewordenen Kameras deutlich häufiger einsetzen, um bei Nachbarstreitigkeiten die Gegenpartei zu beobachten Doch eines ist völlig klar: Die Haustüre seines Nachbarn zu beobachten, ist eindeutig illegal. 27./28.09.2017 Seite 15 Quelle: Nürnberger Nachrichten / Montag, 02. Januar 2017 / Seite 15

Datenschutz in der Presse Wir wollen keinen flächendeckenden Überwachungsstaat. Aber Datenschutz darf auch nicht zum Täterschutz führen. Quelle: Nürnberger Nachrichten / Montag, 03. Januar 2017 / Seite 9 27./28.09.2017 Seite 16

Allheilmittel Videoüberwachung? Videoüberwachung wird täglich als das beste und billigste Mittel zur Verhinderung von Unglücksfällen und Diebstählen angesehen. Quelle: Angelehnt an Chris Newiger / Chief Privacy Officier / GSE-AK / 19. Juni 2009 27./28.09.2017 Seite 17

Seit 2001 BDSG / seit 2008 BayDSG Regelungen versus Praxis BDSG BayDSG Videoüberwachung greift erheblich in die Persönlichkeitsrechte ein! STOP Die rechtliche Situation ist häufig weitgehend unbekannt! 27./28.09.2017 Seite 18

IT-System Videokamera Die Struktur einer CCTV (Closed-Circuit-Television) - Anlage Es wird jetzt nicht mehr von CCTV (Closed Circuit Television) sondern von VSS (Video Surveillance System) gesprochen. Quelle: Dr. Urban Brauer / BHE-Verband / Einheitliche Festlegungen für CCTV-Überwachungsanlagen / 2002 27./28.09.2017 Seite 19

Achtung Kamera -nicht alles Machbare ist erlaubt! Fotos: G.Schmidt 27./28.09.2017 20 Seite 20 14.02.2017

Schulungsmaterial zur VÜW Quelle: http://www.youngdata.de/videoueberwachung/videoueberwachung-im-alltag/ 27./28.09.2017 Seite 21

Datenschutz und Videoüberwachung 27./28.09.2017 Seite 23

Beispiele: Rechtlicher Rahmen für Persönlichkeitsrechte bei VÜW Artikel 8 der Grundrechte-Charta der EU (Recht auf Privatheit); Europäische Datenschutzrichtlinien; Grundgesetz (GG) (Artikel 2, Abs. 1 in Verbindung mit Artikel 1, Abs. 1); StGB und BGB; Arbeitsrecht und der Mitbestimmung (BetrVG); Bundesdatenschutzgesetz / BDSG (alt) / BDSG (neu) und vergleichbare Regelungen in Landesdatenschutzgesetzen (LDSG) Quellen: Veröffentlichung der Alcatel-Lucent-Stiftung Videoüberwachung und Recht Prof. Dr. Thomas Hoeren / 2010 - BHE-Broschüre Nr. 181 CCTV / Video Überwachungstechnik Rechtliche Zulässigkeit 27./28.09.2017 Seite 24

Beispiel: Rechtlicher Rahmen für Persönlichkeitsrechte bei VÜW 22 ff. Kunsturhebergesetz; Unfallverhütungsvorschriften (UVV) der Berufsgenossenschaften 6 BGV C3 und 6 BGV C9; 201, 201a, 202a-c Strafgesetzbuch (StGB); 1004 i.v. m. 823 Abs. 2 und 847 BGB; 75 Abs. 3 Nr. 17 Bundespersonalvertretungsgesetz (BPersVG) und 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG); 89 i.v. mit 148 Abs. 1 Nr. 1 Telekommunikationsgesetz (TKG) ggf. beim Einsatz von Funkkameras; Individual- und Kollektivarbeitsrecht gemäß BAG; Polizeirecht / Strafprozessrecht / Verfassungsrecht 27./28.09.2017 Seite 25

Beispiel: Rechtlicher Rahmen für Persönlichkeitsrechte bei VÜW 22 ff. Kunsturhebergesetz: Quelle: Vortrag BayLDA / Thomas Kranig / 10. Febr. 2015 / Museum für Kommunikation Nürnberg 26

Prüfungsfragen des BayLDA VÜW / BDSG (alt) 1. Welche Bereiche werden von den Videokameras erfasst? 2. Welchem Zweck dient die von Ihnen durchgeführte Videoüberwachung? 3. Wie rechtfertigen Sie die Videoüberwachung bei Berücksichtigung der Interessen der Betroffenen? 4. Weshalb sind keine anderen (milderen) Mittel zum Erreichen des Zweckes möglich? 5. Fertigen Sie Aufzeichnungen? Wenn ja: analog oder digital? 6. Wer hat unter welchen Bedingungen Zugriff auf die Aufzeichnungen? 7. Wann und wie erfolgt eine Löschung der Aufzeichnungen? 8. Werden auch Tonaufzeichnungen durchgeführt? 9. Haben Sie ein entsprechendes Hinweisschild angebracht? Darüber hinaus erfolgt die Anforderung von Aufnahmen vom Sichtbereich der Kameras an, um den tatsächlichen Umfang des Kamerabereiches sehen zu können. Quelle: 23.07.2011 / Sabine Stanik / Bayerisches Landesamt für Datenschutzaufsicht / Promenade 27 (Schloss) / 91522 Ansbach / Postfach 606 27./28.09.2017 Seite 28

Anfragen und Prüfungen des BayLDA / BDSG (alt) Videoüberwachung vom 2. Platz im 6. Tätigkeitsbericht (TB) 2013/2014 auf den 1. Platz im 7. TB 2015/2016 Quelle: 03.03.2017 / Pressemitteilung zum 7. Tätigkeitsbericht / Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 27 (Schloss) / 91522 Ansbach / Postfach 606 27./28.09.2017 Seite 29

Beispiele für VÜW-Bußgeldverfahren im betrieblichen Bereich BDSG (alt) Quelle: Übersicht Bußgeldverfahren aller Aufsichtsbehörden / 34. DAFTA / 11/2010 / Evelyn Seiffert / Hamburgischer DSB 27./28.09.2017 Seite 30

DS-GVO-Prüfungsaspekte und Sanktionspotential der Aufsichtsbehörden Quelle: IHK-Veranstaltung in Erlangen am 20.07.2017 / Die europäische Datenschutz-Grundverordnung - Was ist jetzt zu tun? Thomas Kranig / BayLDA 27./28.09.2017 Seite 31

DS-GVO-Prüfungsaspekte und Sanktionspotential der Aufsichtsbehörden Quelle: IHK-Veranstaltung in Erlangen am 20.07.2017 / Die europäische Datenschutz-Grundverordnung - Was ist jetzt zu tun? Thomas Kranig / BayLDA 27./28.09.2017 Seite 32

Regelungen im BDSG (alt) - 4d / 6b 4d, Abs.5 Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn 1. besondere Arten personenbezogener Daten ( 3 Abs. 9) verarbeitet werden oder 2.2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, (...). 6b Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (1) Die Beobachtung öffentlich zugänglicher Räume mit optischelektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie 1. zur Aufgabenerfüllung öffentlicher Stellen, 2. zur Wahrnehmung des Hausrechts oder 3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. (...). 27./28.09.2017 Seite 34

Videoüberwachung heute - Regelungen im BDSG (alt) - 4d / 6b und Anlage zu 9 Anlage 4d, Abs.5 Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen 6b aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn (.). Ab 25. Mai 2018 Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie 1. zur Aufgabenerfüllung öffentlicher Stellen, 2. zur Wahrnehmung des Hausrechts oder 3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. (...). Anlage zu 9 Satz 1 technisch / organisatorische Maßnahmen Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, - usw. gemäß Stand der Technik (...). 27./28.09.2017 Seite 35

Videoüberwachung morgen - Regelungen in der DS-GVO Art. 6 und EW 91 / Art. 30 / 32 und 35 und im 4 BDSG (neu) Art. 6 Rechtmäßigkeit der Verarbeitung Abs. 1 lit f. / i.v. mit EW 91 Satz 3 Art. 6 / (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist..(. ). EW 91 / (.) - Gleichermaßen erforderlich ist eine Datenschutz-Folgenabschätzung für die weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen (. ). Art. 13 Abs. 1 Transparenzpflichten für betroffene Personen ( ). Art. 30 Verzeichnis der Verarbeitungsaktivitäten / 32 Sicherheit der Verarbeitung / Art. 35 Datenschutz-Folgenabschätzung Art. 30 / (1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen (.). Art. 32 / (1) Unter Berücksichtigung des Stands der Technik (.). Art. 35 / (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen (.). 4 Videoüberwachung öffentlich zugänglicher Räume 4 / (1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen Bei der Videoüberwachung von (.). 27./28.09.2017 Seite 36

Beispiel: Transparenzpflicht durch Kennzeichnung / BDSG (alt) Quelle: BHE-Broschüre Nr. 181 CCTV-(Video) Überwachungstechnik Rechtliche Zulässigkeit 27./28.09.2017 Seite 37

Datenschutz und Videoüberwachung Foto: Gerd Schmidt 27./28.09.2017 Seite 38

Beispiel: Transparenzpflicht durch Kennzeichnung / BDSG (neu) und DS-GVO Quelle: ULD Sommerakademie 2017 - Videoüberwachung - Daniel Keller - Lena Thies 27./28.09.2017 Seite 39

Zulässigkeit von Videoüberwachung Bei der Verhältnismäßigkeitsprüfung (Geeignetheit, Erforderlichkeit, Zumutbarkeit) sind zudem insbesondere folgende Punkte zu berücksichtigen: Zahl der unverdächtig Betroffenen Schutz von Intim-/Kernbereichen Keine Voll-/Dauerüberwachung Dauer der Maßnahme Art der Maßnahme ( Nur Beobachtung oder auch Speicherung; Kameraauflösung; Zoom-Möglichkeit; starres oder schwenkbares System etc.) IT-Technik: Analog oder digital! Heimliche Überwachung nur als letztes Mittel! (nur bei konkretem Verdacht - nur vorübergehend) 27./28.09.2017 Seite 40

Was erwartet Sie? Was gibt es Neues im EU-Datenschutz / DS-GVO Ausgangslage / Bewusstseinswandel Rechtliche Hintergründe bei VÜW Sichtweise der Aufsichtsbehörden bei Videoüberwachung (VÜW) Exkurs: Videoüberwachung heute und morgen Videoüberwachung und betrieblicher Bereich Videoüberwachung und öffentlicher Bereich Lösungswege und Prozessablauf / Vorabkontrolle Lösungsvorschlag von der Aufsichtsbehörde Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Was bleibt? Was ist zu tun? Fazit 27./28.09.2017 Seite 41

Videoüberwachung und betrieblicher Bereich - Beispiele Überwachung öffentlich zugänglicher Bereiche Zulässig abhängig vom Überwachungszweck; Leistungsüberwachung der Mitarbeiter grundsätzlich nicht zulässig; Überwachung der Mitarbeiter Ggf. Zulässig in Abhängigkeit von der Konkretisierung eines begründeten Anfangsverdachts Überwachung nicht öffentlich zugänglicher Bereiche Umstritten ggf. 32 BDSG und neuer Arbeitnehmerdatenschutz Fazit : Die Zulässigkeit ist überwiegend von dem verfolgten Zweck des Arbeitgebers abhängig bei Räumen mit Publikumsverkehr überwiegen i.d.r. z.b. zur Verhinderung von Straftaten die Arbeitgeberinteressen! Mitbestimmung / BetrVG beachten! Quelle: Veröffentlichung der Alcatel-Lucent-Stiftung Videoüberwachung und Recht Prof. Dr. Thomas Hoeren / 2010 27./28.09.2017 Seite 42

Videoüberwachung und betrieblicher Bereich Best Practice: BHE und VDS-Broschüren Quelle: BHE 12/2012 www.bhe.de Quelle: 27.07.2011 / VdS-Richtlinien für Videoüberwachungsanlagen / VdS 2366: 2004-05 (01) Seite 28 ff. 27./28.09.2017 Seite 43

Videoüberwachung und öffentlicher Bereich Quelle: Nürnberger Nachrichten vom 24. August 2017 / Titelseite 27./28.09.2017 Seite 45

Informationsworkshop für Dallmeier-Management zu den Themen Datenschutz und Informationssicherheit Problemfeld VÜW und Transparenz zumal es für die Erfassung von Biodaten noch keine rechtliche Grundlage gebe Quelle: Nürnberger Nachrichten vom 13. September 2017 / Seite 11 27./28.09.2017 Seite 46

Informationsworkshop für Dallmeier-Management zu den Themen Datenschutz und Informationssicherheit Problemfeld VÜW und Transparenz Grund für die Kritik ist ein kleiner Transponder, der mehr kann als zunächst angegeben. Quelle: SZ Nr. 195 vom Freitag 25. August 2017 27./28.09.2017 Seite 47

Videoüberwachung und öffentlicher Bereich - Beispiele Überwachung von öffentlichen Plätzen und Straßen Zulässig jedoch nur bei konkretem Anlass und gegebener Verhältnismäßigkeit, d.h. geeignet und erforderlich; Überwachung öffentlicher Einrichtungen Zulässig jedoch nur bei konkretem Anlass und gegebener Verhältnismäßigkeit, d.h. geeignet und erforderlich; Fazit : Die Interessenabwägung wird i.d.r. zugunsten der Verletzung des Persönlichkeitsrechts entschieden werden, wenn kein konkreter Überwachungsanlass besteht und die Überwachung zeitlich und räumlich in keiner Weise eingeschränkt ist. Quelle: Veröffentlichung der Alcatel-Lucent-Stiftung Videoüberwachung und Recht Prof. Dr. Thomas Hoeren / 2010 27./28.09.2017 Seite 48

Videoüberwachung und öffentlicher Bereich - Beispiele Quelle: Hessisches LKA (HLKA) / Wiesbaden / Redaktion: Arbeitsgruppe VIDEOÜBERWACHUNG IM ÖFFENTLICHEN RAUM DES HLKA STAND: Juli 2017 Rechtsgrundlage: 14 Hessisches Gesetz über die öffentliche Sicherheit und Ordnung (HSOG) 27./28.09.2017 Seite 49

Analyse der Verhältnismäßigkeit und mehrstufiger Beurteilungsprozess 1. Geeignetheit 2. Erforderlichkeit 3. Zumutbarkeit Wird der definierte Zweck mit der Videoüberwachung überhaupt erreicht? Ist die Videoüberwachung die einzig mögliche Maßnahme, die zu der Erfüllung des Zwecks führt? Ist die Videoüberwachung für die Betroffenen zumutbar oder überwiegen deren schutzwürdige Interessen? Quelle: Angelehnt an Chris Newiger / Chief Privacy Officier / GSE-AK / 19. Juni 2009 27./28.09.2017 Seite 51

Ziel: Standardisierter Prozessablauf und nachhaltige Dokumentation für jede VÜW Überarbeitung Planung Antrag Verantwortliche Stelle und (IT)-Security Abteilung Verantwortliche Stelle und (IT)-Security Abteilung Ablehnung Keine Video- Überwachung! 1. Prüfung 2. Prüfung Realisierung und nachhaltige Dokumentation gemäß DS-GVO Datenschutzbeauftragte Vorabkontrolle BDSG (alt) / DS-GVO-Datenschutz-Folgenabschätzung Betriebsrat / Mitbestimmung Verantwortliche Stelle und IT-Security Abteilung Quelle: Angelehnt an Chris Newiger / Chief Privacy Officier / GSE-AK / 19. Juni 2009 27./28.09.2017 Seite 52

Hilfsmittel für Datenschutzaudits und Dokumentation gemäß DS-GVO / Software Datenschutz Assistent 27./28.09.2017 Seite 53

Hilfsmittel für Datenschutzaudits und Dokumentation gemäß DS-GVO / Software Datenschutz Assistent SW-Lösung für das Verarbeitungsverzeichnis gemäß Artikel 30 DS-GVO 27./28.09.2017 Seite 54

Lesetipp: Weiterführende Hinweise zur DS-GVO aus Sicht der bayerischen Aufsichtsbehörde Quelle: https://www.lda.bayern.de/de/datenschutz_eu.html 27./28.09.2017 Seite 56

DS-GVO-Tipp von Herrn Andreas Sachs, Referatsleiter Technischer Datenschutz im BayLDA Quelle: Datenschutz PRAXIS WEKA-Verlag / Ausgabe Juli 2017 27./28.09.2017 Seite 57 G.Schmidt / 2017 / www.datenschutzschmidt.de

Tipp: DS-GVO-Veröffentlichungen der Aufsichtsbehörden lesen BayLDA - Datenschutz-Compliance Quelle: Datenschutz-Compliance nach der DS-GVO: Handlungshilfe für Verantwortliche inklusive Prüffragen für Aufsichtsbehörden Taschenbuch 20. März 2017 Thomas Kranig / Andreas Sachs / Markus Gierschmann 27./28.09.2017 Seite 58

Auszug aus dem Vorwort die Verzahnung des Datenschutzes in die Unternehmenskultur und ein datenschutzkonformer Umgang mit einer stark an Bedeutung zunehmender Digitalisierung wird zukünftig noch stärker davon abhängig sein, dass die Verantwortlichen in der Lage sind, die unterschiedlichen dafür notwendigen Disziplinen und Ressourcen (vor allem Juristen, Informatiker und Betriebswirte) an einen Tisch zu bekommen, um sich gemeinsam der Herausforderung Datenschutz zu stellen. Dabei handelt es sich aber nicht um eine einmalige Übung, sondern um einen dauerhaften und den sich ständig verändernden Umständen anpassenden Prozess. Quelle: Sachbuch Datenschutz-Compliance nach der DS-GVO / Verfasser: Kranig/Sachs/Gierschmann / Verlag Bundesanzeiger / Vorwort / Seite 8 27./28.09.2017 Seite 59

Tipp: 12 Schritte zur Erfüllung der Rechenschaftspflicht 1.Compliance mit der Datenschutz-Grundverordnung ist Chefsache * 2.Interdisziplinäres Team zusammenstellen * 3.Sich mit der Datenschutz-Grundverordnung vertraut machen * 4.Bestandsaufnahme * 5.Überarbeitung der Verzeichnisse der Verarbeitungsaktivitäten * 6.Überprüfung der Rechtsgrundlagen für die Verarbeitung 7.Überprüfung der Informations- und Mitteilungspflichten 8.Überprüfung der technischen und organisatorischen Maßnahmen 9.Überprüfung der Auftragsdatenverarbeitung * 10.Überprüfung der Übermittlung in Drittländer 11.Datenschutz prozessorientiert und risikobasiert betrachten 12.Die zuständige Aufsichtsbehörde konsultieren * Aktuelle Empfehlungen der Aufsichtsbehörden für erste Schritte zur DS-GVO Quelle: Sachbuch Datenschutz-Compliance nach der DS-GVO / Verfasser: Kranig/Sachs/Gierschmann / Verlag Bundesanzeiger / Kapitel 13.2. / Vorwort / Seite 207 27./28.09.2017 Seite 60

Was bleibt? Was ist zu tun bei Videoüberwachung? 1. Definition des Anlagenzwecks vor Errichtung der Videoüberwachungs-Anlage mit der verantwortlichen Stelle und der (IT)-Sicherheit 2. Frühzeitige Kontaktaufnahme zum Errichterbetrieb / Techniker (z.b. VdS- oder BHE-Standards anfordern) 3. Standardisierter Prozessablauf mit Prüfung auf Verhältnismäßigkeit und mit Schriftlicher Dokumentation und Transparenz 4. Periodische Risikoanalysen im Rahmen der Instandhaltung der VÜW-Anlage 27./28.09.2017 Seite 62

Was bleibt? Was ist zu tun bei der DS-GVO? Regelung des Ob und Wie der Datenverarbeitung: Ob? Verbot mit Erlaubnisvorbehalt Erforderlichkeit Zweckbindung Transparenz Wie? Datenschutzmanagement (betrieblicher DSB, Verfahrensverzeichnis, Vorabkontrolle) Technisch- organisatorische Maßnahmen Regelungen für Auftragsdatenverarbeitung Ob? Rechtmäßigkeit der Verarbeitung Erforderlichkeit Zweckbindung Transparenz Wie? Datenschutzmanagement Stärkere Verantwortlichkeit von Datenverarbeiter & Auftragsdatenverarbeiter Datenschutzfreundliche Technik & Voreinstellung Vieles ist bekannt Manches ist zu schärfen (Informationspflichten, Prozesse Betroffenenrechte) Manches ist besser zu dokumentieren (Nachweis der getroffenen Maßnahmen) IT-Systeme sind auf DS-GVO-Tauglichkeit zu prüfen und ggf. anzupassen Quelle: Chris Newiger Konzerndatenschutzbeauftragte DB AG DAFTA 17.11.2016 / Köln 27./28.09.2017 Seite 64 Datenschutz schützt M

Veröffentlichungen der Datenschutzkonferenz (DSK) seit Juli 2017 Auslegungshilfen zur Datenschutz-Grundverordnung (DS-GVO). Auszug aus dem Maßnahmenplan gemäß DSK-Kurzpapier Nr. 8 Bestandsaufnahme der IT-gestützten Geschäftsprozesse in den Verantwortlichen Stellen (Unternehmen und Behörden) über das Verarbeitungsverzeichnis gemäß Artikel 30 DS-GVO durchführen Anpassung der Dienstleistungsbeziehungen durch die Überprüfung der Verträge zur Auftragsdatenverarbeitung ( künftig Auftragsverarbeitung gemäß Artikel 28 DS-GVO vornehmen Prozess für die künftige Datenschutz-Folgenabschätzung gemäß Artikel 35 DS-GVO entwickeln Quelle: https://www.lda.bayern.de/de/datenschutz_eu.html 27./28.09.2017 Seite 65

Beispiel: Veröffentlichungen der Bitkom, der GDD und der BfDI für die Handhabung der DSK-Empfehlungen gemäß Kurzpapier Nr. 8 Das Verarbeitungsverzeichnis https://www.bitkom.org/bitkom/publikationen/das- Verarbeitungsverzeichnis.html Praxishilfen zur DS-GVO u.a. Auftragsverarbeitung https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo Risk Assessment & Datenschutz-Folgenabschätzung https://www.bitkom.org/bitkom/publikationen/risk-assessment- Datenschutz-Folgenabschaetzung.html Kostenfreie DS-GVO-Broschüre der BfDI (auch in Papierform) https://www.bfdi.bund.de/shareddocs/publikationen/infobroschueren/info 6.html 27./28.09.2017 Seite 66

DS-GVO-Tipp für VÜ-Technik-Hersteller: Privacy by default und by design gemäß Art. 25 / Art. 32 und Art. 35 beachten! Quelle: Martin Niederweiser / SEC-Consult / 13.07.2017 / IHK-Nürnberg 27./28.09.2017 Seite 67

Gerd Schmidt Datenschutz Schmidt GmbH & Co. KG Aussiger Straße 8 91207 Lauf 09123 4654 09123 4657 info@datenschutzassistent.de www.datenschutzschmidt.de www.datenschutzassistent.de Vielen Dank für Ihr Interesse! Diese Hinweise und Ausführungen ersetzen keine persönliche Beratung. 27./28.09.2017 Seite 68