Datenschutz: Videoüberwachung – was man neu beachten muss
Das neue Datenschutzgesetz der Schweiz gilt seit 1. September 2023. Was bedeutet das für die Videoüberwachung? Rechtsanwalt Jürg Schneider sagt, was Sache ist.
Welche Auswirkungen hat das neue Datenschutzgesetz auf die Videoüberwachung?
Jürg Schneider, Dr. iur., Rechtsanwalt, Walder Wyss AG: Mit dem neuen Datenschutzgesetz (DSG) sind Personendaten besser geschützt. Das gilt selbstverständlich auch in Bezug auf die Videoüberwachung und umfasst alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Das DSG kommt bei der Bearbeitung von Daten zur Anwendung. Bearbeiten bedeutet jeglicher Umgang mit Personendaten: Sobald man auf einer Videoaufnahme eine Person identifizieren kann, handelt es sich um Personendaten. Selbst das Löschen oder Anonymisieren solcher Daten fällt unter den Begriff Bearbeitung von Personendaten. Im Zweifelsfall sollte man immer davon ausgehen, dass es sich um Personendaten handelt und deshalb das DSG zur Anwendung kommt.
Was hat es mit dem Begriff Bearbeitungsgrundsätze im neuen DSG auf sich?
Bearbeitungsgrundsätze verpflichten Unternehmen, aber auch Behörden, bereits ab Planung einer Videoüberwachungsanlage bestimmte Grundsätze wie beispielsweise Verhältnismässigkeit, Zweckbindung, Transparenz oder Datensicherheit zu beachten und deren Einhaltung sicherzustellen (siehe Kasten unten «Bestimmte Grundsätze einhalten»).
Was bedeutet die Informationspflicht im neuen DSG bezüglich Videoüberwachung?
Art. 19 DSG besagt, dass eine allgemeine Informationspflicht besteht und Verantwortliche die betroffenen Personen angemessen zu informieren haben, wenn ihre Personendaten bearbeitet werden. Um ein konkretes Beispiel zu nennen: Kann eine Person von einer Videoüberwachungsanlage erfasst werden, muss diese Person – in der Regel mittels Datenschutzerklärung – über diese Datenbearbeitung Informationen erhalten. In einem ersten Schritt erfolgt die Information durch den Betreiber der Anlage zum Beispiel mit einem Hinweisschild «Videoüberwachung» (vgl. Abbildung): Auf dem Schild müssen zwingend der Name des verantwortlichen Betreibers und der Zweck der Videoüberwachung aufgeführt werden. Für weiterführende Informationen ist auf dem Schild, sozusagen als zweiter Schritt, auf die Datenschutzerklärung auf der Website zu verweisen. In dieser Datenschutzerklärung sind die gemäss Art. 19 DSG notwendigen Informationen aufzuführen.
Was passiert, wenn ich nicht korrekt oder nicht rechtzeitig informiere?
Der eidgenössische Datenschutzbeauftragte könnte zum Beispiel eine Untersuchung einleiten. Das könnte dazu führen, dass man seine Informationen anpassen muss. Wer vorsätzlich falsch, unvollständig oder nicht informiert, kann auf Antrag strafrechtlich sanktioniert werden. Die verantwortliche Person beziehungsweise die verantwortlichen Personen im Unternehmen riskiert respektive riskieren dabei eine Busse bis zu 250 000 Franken. Fazit: Es empfiehlt sich, die datenschutzrechtlichen Informationspflichten ernst zu nehmen – gerade auch im Zusammenhang mit Videoüberwachungsanlagen.
Was muss eine Sicherheitsfirma beachten, wenn sie für einen Dritten eine Videoüberwachungsanlage installiert und betreibt?
Wenn eine Sicherheitsfirma für einen Endkunden eine Videoüberwachungsanlage installiert und diese für die Zwecke des Endkunden in dessen Auftrag betreibt und Zugriff auf Personendaten erhält, ist die Sicherheitsfirma gemäss DSG ein sogenannter Auftragsbearbeiter. In diesem Fall ist zwischen dem Endkunden und der Sicherheitsfirma zwingend ein sogenannter Auftragsdatenbearbeitungsvertrag abzuschliessen (auch Data Processing Agreement oder DPA genannt). In diesem DPA ist klar zu regeln, welche Weisungen und Sicherheitsanforderungen des Endkunden die Sicherheitsfirma zu befolgen hat, was die Sicherheitsfirma mit den Personendaten machen darf und wo die Grenzen der Bearbeitung liegen. Fehlt ein Auftragsbearbeitungsvertrag, so kann dies auf Antrag ebenfalls strafrechtlich sanktioniert werden.
Welche Besonderheit gilt es bezüglich Videoüberwachung zu beachten?
Wer eine Anlage betreibt und 250 oder mehr Mitarbeitende angestellt hat, muss ein sogenanntes Bearbeitungsverzeichnis erstellen und führen. Aus diesem wird beispielsweise ersichtlich, welche Kategorien von Personendaten zu welchem Zweck bearbeitet werden und an wen Daten allenfalls weitergegeben werden. Das Bearbeitungsverzeichnis muss in gewissen Fällen auch bei weniger als 250 Mitarbeitenden geführt werden, und zwar wenn in grossem Umfang besonders schützenswerte Personendaten bearbeitet werden oder wenn ein sogenanntes Profiling mit hohem Risiko durchgeführt wird. Ein weiterer wichtiger Punkt ist die Datenschutz-Folgenabschätzung (Art. 22 DSG). Sie ist zu erstellen, wenn die Bearbeitung der Personendaten ein hohes Risiko für die Persönlichkeit oder die Grundrechte mit sich bringen kann. Ein solches Risiko gilt zum Beispiel im Fall der Videoüberwachung in öffentlichen Bereichen, wie etwa in einer Bahnhofshalle, sofern dabei Personendaten bearbeitet werden.
Wo liegt der Unterschied der Datenschutzregelung in der Schweiz und der EU?
Beim neuen Datenschutzgesetz in der Schweiz gilt grundsätzlich das Erlaubnisprinzip. Das heisst, die Bearbeitung von Personendaten ist erlaubt, ausser sie ist verboten. In der Datenschutz-Grundverordnung der EU (EU-DSGVO) ist der Ansatz genau umgekehrt: Die Bearbeitung von Personendaten ist verboten, ausser sie ist erlaubt. In der Praxis sind die Anforderungen in der Schweiz und der EU im Bereich des Datenschutzes jedoch sehr ähnlich, auch wenn der Ansatz unterschiedlich ist.
Was hat es mit dem sogenannten Rechtfertigungsgrund auf sich?
Im Fall der Videoüberwachung bedeutet der sogenannte Rechtfertigungsgrund Folgendes: Liegt seitens eines Unternehmens ein überwiegendes Interesse an der Videoüberwachung vor, gilt dies in der Regel als Rechtfertigungsgrund. Die Videoüberwachung ist in einem solchen Fall auch ohne Einwilligung einer betroffenen Person möglich. Als überwiegendes Interesse gilt demnach zum Beispiel die ¬Prävention von Straftaten (z.B. Diebstahl) beim Detailhändler oder im Uhren- und Schmuckgeschäft. Anmerken möchte ich noch, dass bei der Videoüberwachung von Mitarbeitenden – oder wenn bei der Videoüberwachung von Dritten ebenfalls Mitarbeitende aufgenommen werden – wie bis anhin zusätzliche Anforderungen des Arbeitsrechts zu beachten sind. Eine permanente Videoüberwachung von Mitarbeitenden am Arbeitsplatz ist in der Regel aus gesundheitlichen Gründen verboten.
Wie lange darf ein Betreiber Videoüberwachungsdaten speichern?
Hier ist wieder auf den bereits genannten Verhältnismässigkeitsgrundsatz zu verweisen sowie auf die Pflicht, Personendaten zu vernichten oder zu anonymisieren, sobald sie zum Zweck der Bearbeitung nicht mehr notwendig sind. Der Eidgenössische Datenschutzbeauftragte hat vor ein paar Jahren festgehalten, dass eine Videoaufzeichnung in der Regel nicht länger als 24 Stunden gespeichert werden soll. Doch das ist in der Praxis eine sehr kurze Frist, und der Verhältnismässigkeitsgrundsatz lässt sehr wohl auch eine längere Speicherung der Personendaten zu – gerade wenn es um die Straftatenprävention gilt und beispielsweise Videoaufzeichnungen nach einem Vandalenakt erst ausgewertet werden sollen.
Wer darf Zugriff auf die Videodaten haben?
Es dürfen grundsätzlich nur diejenigen Personen Zugriff auf die Videoüberwachungsdaten haben, die damit arbeiten müssen. Das sind in einem 500-köpfigen Betrieb vielleicht der Leiter Security und die Geschäftsleitung. Auch diese Regel kann aus dem Verhältnismässigkeitsgrundsatz abgeleitet werden – denn der Kreis von Personen, welche auf die Personendaten zugreifen können, ist so klein wie möglich zu halten.
Was passiert mit bestehenden Videoüberwachungsanlagen, die noch nicht mit dem neuen DSG konform sind?
Das neue Datenschutzgesetz ist seit 1. September 2023 in Kraft und muss ab diesem Zeitpunkt eingehalten werden. Es ist wichtig, bestehende Videoüberwachungsanlagen und deren Betrieb auf Konformität mit dem neuen Datenschutzgesetz zu überprüfen. Allfällige Defizite muss der Betreiber beheben. So sind zum Beispiel fehlende Hinweisschilder und Datenschutzerklärungen umgehend anzubringen und zu erstellen.
Bestimmte Grundsätze einhalten
Der Betreiber einer Videoüberwachungsanlage muss stets angemessene technische und organisatorische Schutzmassnahmen treffen. In Art. 6 und 8 des DSG sind die besagten Grundsätze ersichtlich:
Transparenz: Es muss erkennbar sein, dass man Personendaten beschafft.
Zweckbindung: Eine Bearbeitung von Personendaten muss für einen bestimmten Zweck erfolgen. Bei einer Videoüberwachungsanlage in einer Bijouterie kann das zum Beispiel die Prävention einer Straftat sein.
Verhältnismässigkeit: Eine Bearbeitung von Personendaten muss zur Erreichung des Zwecks stets geeignet und erforderlich sein.
Rechtmässigkeit: Dieser Grundsatz bezieht sich auf andere Rechtsbestimmungen, die bei einer Bearbeitung von Personendaten nicht verletzt werden dürfen – zum Beispiel Art. 179quater StGB, der unter anderem Aufnahmen von Tatsachen aus dem Geheimbereich einer Person ohne deren Einwilligung untersagt.
Datenrichtigkeit: Personendaten müssen stets richtig sein. Stellt man zum Beispiel fest, dass vorhandene Personendaten nicht (mehr) korrekt sind, müssen diese entsprechend korrigiert werden.
Datensicherheit: Der Betreiber einer Videoüberwachungsanlage hat zum Beispiel dafür zu sorgen, dass Personendaten nicht in falsche Hände geraten. Im Zeitalter von verstärkt auftretender Cyberkriminalität ist das Thema Datensicherheit von grosser Bedeutung.