th share video content contact download event event-wifi cross checkmark close icon-window-edit icon-file-download icon-phone xing whatsapp wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin Google-plus facebook pinterest skype vimeo snapchat arrow-up arrow-right arrow-left arrow-down calendar user home icon-gallery icon-flickr icon-youtube icon-instagram

EU-Datenschutz-Grundverordnung (DSGVO): Bildverarbeitung/Videoüberwachung

Obwohl im österreichischen Datenschutzgesetz (DSG) ein eigener Abschnitt zur „Bildverarbeitung“ enthalten ist, hat das Bundesverwaltungsgericht (BVwG) in mehreren Entscheidungen ausgesprochen, dass dafür keine Öffnungsklausel innerhalb der DSGVO (Datenschutz-Grundverordnung) besteht und diese Bestimmungen daher nicht anzuwenden sind. Eine höchstgerichtliche Entscheidung dazu ist jedoch ausständig.

Die österreichische Datenschutzbehörde hat aus den Entscheidungen des BVwG den Schluss gezogen, dass sie die Bestimmungen des DSG nicht mehr anwenden, sondern Bildverarbeitungen im privaten Bereich ausschließlich auf Basis der DSGVO prüfen wird (siehe dazu Newsletter 1/2020 der Datenschutzbehörde).[1]

Aus diesem Grund wird die Bildverarbeitung im Folgenden auf Basis der relevanten Artikel der DSGVO dargestellt. 

Zulässigkeit der Bildverarbeitung

Die DSGVO findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Aus diesem Grund sieht die österreichische Datenschutzbehörde Urlaubsfotos oder -filme, die nicht auf die identifizierende Erfassung unbeteiligter Personen hinauslaufen ebenso als zulässig an, wie die Aufnahmen von Skiabfahrten mit einer Helmkamera.  

Eine im Rahmen der DSGVO relevante Bildverarbeitung (z.B. Videoüberwachung von Geschäftsräumlichkeiten) erfüllt nur dann die Voraussetzungen der DSGVO, wenn sie zumindest auf eine Rechtmäßigkeitsgrundlage gestützt werden kann.

Als Rechtsgrundlage für die Verarbeitung personenbezogener Bilddaten kommt insbesondere das berechtigte Interesse des Verantwortlichen in Betracht.  

Die österreichische Datenschutzbehörde nennt drei Gründe, die den Einsatz einer Videoüberwachung rechtfertigen können: 

  • Schutz des Lebens von Personen
  • Schutz der Gesundheit und der körperlichen Unversehrtheit von Personen
  • Schutz des Eigentums (beispielsweise des Eigenheimes)

Nach Ansicht der österreichischen Datenschutzbehörde sowie des Europäischen Datenschutzausschusses (Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Rz 24)[2] sollten Videoüberwachungsmaßnahmen nur dann gewählt werden, wenn der Zweck der Verarbeitung nach vernünftigem Ermessen nicht durch andere, gelindere Mittel (z.B. Sperrsysteme, Sicherungssysteme, Einsatz von Sicherheitspersonal) erreicht werden kann. 

Bei der Verarbeitung von personenbezogenen Daten aufgrund des berechtigten Interesses dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Die hierbei durchgeführte Interessensabwägung ist regelmäßig eine Einzelfallentscheidung. 

In Einzelfällen kann anstelle des berechtigten Interesses auch die Einwilligung der betroffenen Person als Rechtsgrundlage herangezogen werden.  

Einhaltung der Grundsätze der DSGVO bei der Bildverarbeitung

Darüber hinaus sind die Grundsätze für die Verarbeitung personenbezogener Daten einzuhalten. Der Verantwortliche muss daher 

  • die Videoüberwachung geeignet kennzeichnen um seinen datenschutzrechtlichen Informationspflichten nachzukommen (z.B. durch Schilder oder Aufkleber),
  • die Videoüberwachung zeitlich und örtlich auf das für die Zwecke der Verarbeitung notwendige Maß beschränken,
  • geeignete Datensicherheitsmaßnahmen ergreifen und dafür sorgen, dass der Zugang zur Bildaufnahme und eine nachträgliche Veränderung durch Unbefugte ausgeschlossen ist,
  • aufgenommene personenbezogene Daten löschen, wenn sie für den Zweck, für den sie ermittelt wurden, nicht mehr benötigt werden und keine andere gesetzliche Aufbewahrungspflicht besteht. Von Seiten der Datenschutzbehörde wird eine Speicherdauer von bis zu 72 Stunden in der Regel als zulässig erachtet. 

Selbstverständlich sind die allgemeinen Regelungen der Datenschutz-Grundverordnung ebenfalls zu beachten (siehe z.B. Datenschutzerklärung/Informationspflichten, Verarbeitungsverzeichnis) und ist gegebenenfalls eine Datenschutz-Folgenabschätzung durchzuführen: 

Im Rahmen einer Datenschutz-Folgenabschätzung sollen die Auswirkungen und Risiken einer Datenverarbeitung für die Rechte und Freiheiten der Betroffenen analysiert und die Folgen der vorgesehenen Datenverarbeitungen für den Datenschutz abgeschätzt und geeignete Abhilfemaßnahmen ergriffen werden.

Zur Einschätzung des Risikos können zwei von der österreichischen Datenschutzbehörde erlassene Verordnungen („white list“ für Fälle, in denen keine Datenschutz-Folgenabschätzung erforderlich ist und „black list“ für Fälle, in denen auf jeden Fall eine Datenschutz-Folgenabschätzung durchzuführen ist) herangezogen werden.

Im Bereich der Bildverarbeitung sind aufgrund der „white list“ unter den dort genannten Voraussetzungen folgende Datenverarbeitungstätigkeiten von einer verpflichtenden Durchführung einer Datenschutz-Folgenabschätzung ausgenommen:

  • Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)
  • Bild- und Akustikdatenverarbeitung in Echtzeit
  • Bild- und Akustikverarbeitungen zu Dokumentationszwecken 
Achtung: Die näheren Voraussetzungen dafür finden Sie in der „white list“: DSFA-A09 Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung), DSFA-A10 Bild- und Akustikdatenverarbeitung in Echtzeit sowie DSFA-A11 Bild- und Akustikverarbeitungen zu Dokumentationszwecken.  

Die „black list“ enthält jene Verarbeitungsvorgänge, in denen jedenfalls eine Datenschutz-Folgenabschätzung durchzuführen ist (vgl. insbesondere § 2 Abs 2 Z 3 und Z 6 DSFA-V sowie § 2 Abs 3 DSFA-V).

Tipp: Ermitteln Sie mit dem elektronischen Ratgeber, ob eine Datenschutz-Folgenabschätzung in Ihren konkreten Fall durchzuführen ist.

Geldstrafen

Je nachdem welche Pflichten im Zusammenhang mit der Datenschutz-Grundverordnung verletzt werden, sind Geldbußen bis zu 20 Mio EUR oder im Falle eines Unternehmens von
bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen
Geschäftsjahres möglich (siehe dazu Strafbestimmungen).

Relevante Artikel der DSGVO: Art 5, Art 6, Art 12, Art 35

Relevante Erwägungsgründe: 39ff


[1] Der Oberste Gerichtshof hat die §§ 12 und 13 DSG – neben den Bestimmungen der DSGVO – auch nach den ersten entsprechenden Entscheidungen des BVwG weiterhin zur Beurteilung der Zulässigkeit einer Bildverarbeitung herangezogen (siehe 6 Ob 150/19f vom 27.11.2019).

[2] Der Europäische Datenschutzausschuss (EDSA) ist eine unabhängige europäische Einrichtung, die zur einheitlichen Anwendung der Datenschutzvorschriften in der gesamten Europäischen Union beiträgt und die Zusammenarbeit zwischen den EU-Datenschutzbehörden fördert. Diese Gruppe verfasst und beschließt u.a. Leitlinien für die Umsetzung der DSGVO, um eine möglichst einheitliche Anwendung der DSGVO in der EU zu gewährleisten. Auch wenn diese Leitlinien „lediglich“ empfehlenden Charakter aufweisen, haben sie in der Praxis eine große Bedeutung, weshalb sich deren Berücksichtigung empfiehlt.

Stand: