Die Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) gilt seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten (Art. 99 Abs. 2 DSGVO) und wird in Deutschland durch das BDSG ergänzt. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Verantwortlicher ist, wer über Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7); ein Auftragsverarbeiter verarbeitet im Auftrag des Verantwortlichen (Art. 4 Nr. 8) – relevant bei externen Sicherheitsdienstleistern.
Nach den Grundsätzen des Art. 5 Abs. 1 DSGVO gilt: Rechtmäßigkeit/Treu und Glauben/Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Eine Verarbeitung ist nur rechtmäßig, wenn mindestens eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO vorliegt (z. B. Einwilligung, Vertrag, rechtliche Verpflichtung oder berechtigtes Interesse). Im Sicherheitsgewerbe stützt sich die Videoüberwachung regelmäßig auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO), sofern nicht die Interessen oder Grundrechte der Betroffenen überwiegen.
Die Videoüberwachung öffentlich zugänglicher Räume ist nur zulässig, soweit sie zur Wahrnehmung des Hausrechts oder berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine überwiegenden schutzwürdigen Interessen entgegenstehen (§ 4 Abs. 1 BDSG). Beobachtung sowie Name und Kontaktdaten des Verantwortlichen sind durch ein Hinweisschild zum frühestmöglichen Zeitpunkt erkennbar zu machen (§ 4 Abs. 2 BDSG).
Sanktionen: Verstöße können mit Geldbußen geahndet werden – untere Stufe bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4), obere Stufe bis 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5), je nachdem, welcher Betrag höher ist.
1. Was sind nach der DSGVO 'personenbezogene Daten'?
Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen.
2. Seit welchem Zeitpunkt gilt die Datenschutz-Grundverordnung (DSGVO) unmittelbar in allen EU-Mitgliedstaaten?
Die DSGVO (Verordnung (EU) 2016/679) gilt seit ihrem Geltungsbeginn am 25. Mai 2018 unmittelbar in allen Mitgliedstaaten. (Art. 99 Abs. 2 DSGVO)
3. Ein Sicherheitsmitarbeiter notiert im Wachbuch Vorname, Nachname und Kfz-Kennzeichen eines Besuchers. Wie sind diese Angaben datenschutzrechtlich einzuordnen?
Name und Kfz-Kennzeichen lassen eine natürliche Person identifizieren und sind daher personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO.
4. Wer ist nach der DSGVO der 'Verantwortliche' für eine Datenverarbeitung?
Nach Art. 4 Nr. 7 DSGVO ist Verantwortlicher, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
5. Ein Unternehmen beauftragt einen externen Sicherheitsdienstleister, der personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Unternehmens verarbeitet. Welche Rolle nimmt der Sicherheitsdienstleister dabei ein?
Nach Art. 4 Nr. 8 DSGVO ist Auftragsverarbeiter, wer personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, was typisch für externe Sicherheitsdienstleister ist.
6. Auf welche Rechtsgrundlage stützt sich die Datenverarbeitung im Sicherheitsgewerbe (z. B. Videoüberwachung) regelmäßig, wenn keine Einwilligung vorliegt?
Nach Art. 6 Abs. 1 lit. f DSGVO stützt sich die Verarbeitung im Sicherheitsgewerbe regelmäßig auf das berechtigte Interesse, sofern nicht überwiegende Interessen der Betroffenen entgegenstehen.
7. Welche Bedingung muss erfüllt sein, damit eine Verarbeitung personenbezogener Daten überhaupt rechtmäßig ist?
Nach Art. 6 Abs. 1 DSGVO ist eine Verarbeitung nur rechtmäßig, wenn mindestens eine Rechtsgrundlage (z. B. Einwilligung, Vertrag, rechtliche Verpflichtung oder berechtigtes Interesse) erfüllt ist.
8. Welche der folgenden Aufzählungen nennt ausschließlich Grundsätze für die Verarbeitung personenbezogener Daten nach der DSGVO?
Art. 5 Abs. 1 DSGVO nennt u. a. Zweckbindung, Datenminimierung und Speicherbegrenzung als Verarbeitungsgrundsätze.
9. Eine Videoanlage soll nur dem Schutz des Eingangsbereichs dienen, zeichnet jedoch dauerhaft auch den angrenzenden öffentlichen Gehweg in voller Auflösung mit auf. Gegen welchen Datenschutzgrundsatz verstößt dies in erster Linie?
Die Erfassung über den festgelegten Zweck hinaus verstößt gegen Zweckbindung und Datenminimierung nach Art. 5 Abs. 1 DSGVO.
10. Welches Recht steht einer betroffenen Person zu, um zu erfahren, ob und welche sie betreffenden Daten verarbeitet werden?
Nach Art. 15 DSGVO hat die betroffene Person das Recht auf Auskunft über die Verarbeitung ihrer Daten, einschließlich Zwecken, Empfängern und Speicherdauer.
11. Was muss bei der Videoüberwachung öffentlich zugänglicher Räume durch ein Hinweisschild kenntlich gemacht werden?
Nach § 4 Abs. 2 BDSG sind der Umstand der Beobachtung sowie Name und Kontaktdaten des Verantwortlichen zum frühestmöglichen Zeitpunkt erkennbar zu machen. (§ 4 Abs. 2 BDSG (2018))
12. Unter welcher Voraussetzung ist die Videoüberwachung öffentlich zugänglicher Räume nach dem BDSG grundsätzlich zulässig?
Nach § 4 Abs. 1 BDSG ist die Videoüberwachung zulässig, soweit sie u. a. zur Wahrnehmung des Hausrechts oder berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine überwiegenden schutzwürdigen Interessen entgegenstehen. (§ 4 Abs. 1 BDSG (2018))
13. Ein Sicherheitsdienst installiert eine Videokamera am Kundeneingang eines öffentlich zugänglichen Einkaufszentrums, bringt aber keinerlei Hinweisschild an. Wie ist dies zu bewerten?
§ 4 Abs. 2 BDSG verlangt, dass der Umstand der Beobachtung und der Verantwortliche zum frühestmöglichen Zeitpunkt erkennbar gemacht werden; das fehlende Schild macht die Überwachung unzulässig. (§ 4 Abs. 2 BDSG (2018))
14. Ein Wachmann möchte eine Videokamera zusätzlich auf eine danebenliegende öffentliche Bushaltestelle ausrichten, die nicht zum bewachten Gelände gehört. Was ist datenschutzrechtlich richtig?
Die Videoüberwachung ist nur für konkret festgelegte, erforderliche Zwecke zulässig; das Miterfassen fremder öffentlicher Flächen ist nicht erforderlich und damit unzulässig (§ 4 BDSG, Art. 5 DSGVO). (§ 4 Abs. 1 BDSG (2018))
15. Welche Interessen müssen bei der Videoüberwachung öffentlich zugänglicher Räume gegen das berechtigte Interesse des Verantwortlichen abgewogen werden?
Nach § 4 Abs. 1 BDSG und Art. 6 Abs. 1 lit. f DSGVO dürfen keine überwiegenden schutzwürdigen Interessen bzw. Grundrechte der Betroffenen entgegenstehen. (§ 4 Abs. 1 BDSG (2018); Art. 6 Abs. 1 lit. f DSGVO)
16. Wann muss der Hinweis auf eine Videoüberwachung für die Betroffenen erkennbar sein?
§ 4 Abs. 2 BDSG verlangt die Kenntlichmachung der Beobachtung zum frühestmöglichen Zeitpunkt, damit Personen vor Betreten des Bereichs informiert sind. (§ 4 Abs. 2 BDSG (2018))
17. Eine Person bittet schriftlich um Auskunft, ob von ihr Videoaufnahmen gespeichert sind. Innerhalb welcher Frist muss der Verantwortliche grundsätzlich reagieren?
Nach Art. 12 Abs. 3 DSGVO ist dem Antrag unverzüglich, spätestens binnen eines Monats nachzukommen; die Frist kann bei Komplexität um zwei Monate verlängert werden.
18. Welche Informationspflicht trifft den Verantwortlichen, wenn er personenbezogene Daten direkt bei der betroffenen Person erhebt?
Nach Art. 13 DSGVO muss der Verantwortliche bei Erhebung bei der betroffenen Person u. a. über Identität, Zwecke und Rechtsgrundlage der Verarbeitung informieren.
19. Ein Kunde verlangt vom Sicherheitsdienst, ihm sämtliche Videoaufnahmen anderer erfasster Personen zur Einsicht zu geben. Wie ist mit diesem Auskunftsverlangen umzugehen?
Das Auskunftsrecht aus Art. 15 DSGVO erstreckt sich auf die den Antragsteller selbst betreffenden Daten; Rechte und Freiheiten Dritter dürfen dadurch nicht beeinträchtigt werden.
20. Wie lange dürfen Videoaufnahmen eines öffentlich zugänglichen Bereichs gespeichert werden?
Nach dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 DSGVO) dürfen Daten nur so lange gespeichert werden, wie es für den Zweck erforderlich ist.
21. Wie hoch ist die höchste Bußgeldstufe bei schweren Verstößen gegen die DSGVO?
Nach Art. 83 Abs. 5 DSGVO beträgt die höchste Bußgeldstufe bis zu 20 Mio. EUR oder bis zu 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
22. Wie hoch ist die niedrigere Bußgeldstufe der DSGVO?
Nach Art. 83 Abs. 4 DSGVO beträgt die niedrigere Bußgeldstufe bis zu 10 Mio. EUR oder bis zu 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
23. Innerhalb welcher Frist ist eine Verletzung des Schutzes personenbezogener Daten (Datenpanne) grundsätzlich der Aufsichtsbehörde zu melden?
Nach Art. 33 Abs. 1 DSGVO ist eine Datenpanne unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden.
24. Einem Sicherheitsdienst wird ein USB-Stick mit unverschlüsselten Videodaten gestohlen. Was ist datenschutzrechtlich der richtige erste Schritt des Verantwortlichen?
Der Diebstahl unverschlüsselter personenbezogener Daten ist eine meldepflichtige Datenpanne, die nach Art. 33 Abs. 1 DSGVO möglichst binnen 72 Stunden der Aufsichtsbehörde zu melden ist.
25. Ab welcher Anzahl ständig mit automatisierter Datenverarbeitung beschäftigter Personen muss ein nicht-öffentliches Unternehmen in Deutschland einen Datenschutzbeauftragten benennen?
Nach § 38 Abs. 1 Satz 1 BDSG ist ein Datenschutzbeauftragter zu benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. (§ 38 Abs. 1 Satz 1 BDSG (2018))
26. Ein Sicherheitsunternehmen mit 25 ständig mit Videodaten beschäftigten Mitarbeitern hat keinen Datenschutzbeauftragten bestellt. Wie ist diese Situation zu bewerten?
Bei mindestens 20 ständig mit automatisierter Verarbeitung beschäftigten Personen besteht nach § 38 Abs. 1 Satz 1 BDSG die Pflicht zur Benennung; das Unternehmen verstößt mit 25 Personen ohne Benennung dagegen. (§ 38 Abs. 1 Satz 1 BDSG (2018))
27. Nach welchem Prinzip wird bei den DSGVO-Bußgeldobergrenzen zwischen dem festen Eurobetrag und dem prozentualen Umsatzanteil entschieden?
Sowohl Art. 83 Abs. 4 als auch Abs. 5 DSGVO bestimmen, dass der jeweils höhere Betrag (fester Eurobetrag oder Prozentsatz des Jahresumsatzes) maßgeblich ist. (Art. 83 Abs. 4 und Abs. 5 DSGVO)
28. Welche Art von Sanktion sieht die DSGVO bei Verstößen ausdrücklich vor?
Nach Art. 83 DSGVO können Verstöße mit Geldbußen geahndet werden, deren Höhe sich nach der Schwere des Verstoßes richtet.
29. Seit welchem Datum gilt die Datenschutz-Grundverordnung (DSGVO) unmittelbar in allen EU-Mitgliedstaaten?
Die DSGVO (Verordnung (EU) 2016/679) gilt nach Art. 99 Abs. 2 unmittelbar seit dem 25. Mai 2018. (Art. 99 Abs. 2 DSGVO)
30. Was versteht die DSGVO unter 'personenbezogenen Daten'?
Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
31. Welcher der folgenden Grundsätze gehört NICHT zu den Grundsätzen der Datenverarbeitung nach Art. 5 Abs. 1 DSGVO?
Art. 5 Abs. 1 DSGVO nennt u. a. Zweckbindung, Datenminimierung und Speicherbegrenzung; 'Gewinnmaximierung' ist kein datenschutzrechtlicher Grundsatz.
32. Der Grundsatz der 'Datenminimierung' nach Art. 5 DSGVO bedeutet, dass personenbezogene Daten ...
Datenminimierung verlangt, dass die Verarbeitung auf das für den Zweck notwendige Maß beschränkt wird. (Art. 5 Abs. 1 lit. c DSGVO)
33. Was besagt der Grundsatz der 'Zweckbindung' nach Art. 5 DSGVO?
Die Zweckbindung verlangt, dass Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in damit unvereinbarer Weise weiterverarbeitet werden. (Art. 5 Abs. 1 lit. b DSGVO)
34. Ein Sicherheitsunternehmen verarbeitet im Auftrag eines Kunden dessen Videodaten nach dessen Weisung. Welche Rolle nimmt das Sicherheitsunternehmen datenschutzrechtlich ein?
Wer personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet, ist nach Art. 4 Nr. 8 DSGVO Auftragsverarbeiter.
35. Eine Verarbeitung personenbezogener Daten ist nach Art. 6 Abs. 1 DSGVO nur rechtmäßig, wenn ...
Art. 6 Abs. 1 DSGVO verlangt für jede Verarbeitung mindestens eine Rechtsgrundlage (z. B. Einwilligung, Vertrag, rechtliche Verpflichtung, berechtigtes Interesse).