Augen auf bei der EU-DSGVO: Gesetzliche Neuerungen im Bereich Videoüberwachung

So viel ist klar: Wenn im Mai 2018 die EU-DSGVO anwendbares Recht wird, drohen all denjenigen, die sich nicht an datenschutzrechtliche Vorgaben halten, empfindliche Bußgelder. Bei leichten Verstößen sind es zwei Prozent des weltweiten jährlichen Konzernumsatzes oder 10 Millionen Euro, bei schweren Zuwiderhandlungen vier Prozent oder maximal 20 Millionen Euro. Zum Vergleich: Aktuell werden bis zu 300.000 Euro fällig, erfüllt ein Betrieb nicht die gesetzlichen Anforderungen. Das Thema Videoüberwachung beispielsweise hält einige Aspekte bereit, mit denen es sich für Unternehmen lohnt, genau hinzusehen. Sonst kann es teuer werden.

EU-DSGVO

Die Datenschutz-Folgenabschätzung

Bisher regelt § 4 d Abs. 5 BDSG (Bundesdatenschutzgesetz) die Vorabkontrolle. Dabei handelt es sich um eine Prüfung von Datenverarbeitungsvorgängen, die bezüglich der Rechte und Freiheiten der Betroffenen ein hohes Risiko bergen. Aufsichts- oder betriebliche Datenschutzbehörden prüfen dabei die Voraussetzungen einer geplanten Überwachung auf ihre Rechtmäßigkeit. Die EU-DSGVO enthält einen vergleichbaren Passus – Artikel 35:Dort schreibt die neue Verordnung eine „Datenschutz-Folgenabschätzung“ vor. „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ Artikel 35 Absatz 3c führt aus, dass eine solche Abschätzung beispielsweise immer dann erforderlich ist, wenn systematisch und weiträumig öffentlich zugängliche Räume überwacht werden. Bei der Datenschutz-Folgenabschätzung unterliegen die Verantwortlichen außerdem einer umfassenden Dokumentationspflicht, bei der sie beispielsweise die identifizierten Risiken nachvollziehbar bewerten und die Verarbeitungsvorgänge systematisch beschreiben. In Zukunft ist also jedes Verfahren genau unter die Lupe zu nehmen. Nur so können die Verantwortlichen entscheiden, unter welchen Umständen eine Datenschutz-Folgenabschätzung nötig ist.

Wann ist eine Datenschutz-Folgenabschätzung angezeigt?

Während einige Fälle in Zukunft schwer einzuschätzen sind, gibt es dennoch einige Situationen, in denen eine Datenschutz-Folgenabschätzung höchstwahrscheinlich notwendig ist. Es ist derzeit noch nicht möglich, eine Garantie zu geben, unter welchen Umständen eine Datenschutz-Folgenabschätzung zwingend ist. Aufsichtsbehörden werden gemäß Art. 35 Abs. 4, 5 DSGVO ermächtigt, Listen mit Verarbeitungsvorgängen auszuarbeiten, für die eine Datenschutz-Folgenabschätzung unumgänglich ist. Ob diese Listen vor Mai 2018 erscheinen, ist noch unklar. Doch wenn auch ohne Gewähr, soviel sei gesagt: Die Artikel-29-Datenschutzgruppe   ̶  das unabhängige Beratungsgremium der Europäischen Kommission bei Datenschutzfragen   ̶  ist der Meinung, dass eine Datenschutz-Folgenabschätzung angebracht ist, wenn beispielsweise der Straßenverkehr intelligent überwacht wird und Autokennzeichen erfasst werden. Auch die Überwachung von Mitarbeitern in Unternehmen erfordert eine Datenschutz-Folgenabschätzung. Die beiden Beispiele können als Anhaltspunkte dienen, wann eine Datenschutz-Folgenabschätzung durchzuführen ist. Prinzipiell gilt: Im Moment ist es noch nicht möglich, eindeutige Aussagen darüber zu treffen, wie bestimmte Paragraphen der EU-DSGVO tatsächlich auszulegen sein werden. Die Praxis wird es zeigen.

Why Your Cybersecurity Should Get Physical for National Clean Out Your Computer Day

This week sees the 18th National Clean Out Your Computer Day, and while It may feel like awareness days are popping up everywhere, this is an important one to take notice of, especially if you value keeping your personal data private. After all, to a criminal your personal or work computer can be a gold mine. If a stranger were to get access to your PC, it is possible that they may even learn enough to steal your identity.

Most of the advice given around Clean Out Your Computer Day concerns a modern type of cleaning – however what is more important than a dust cloth and anti-bacterial screen wipes, is having a decent knowledge of data sanitisation. This includes how to clear your browser and download history, turn off the ‘remember me’ setting for your regular passwords and run anti-virus software to make sure your computer is free from malware.

Clean Out Your Computer Day

Continue reading “Why Your Cybersecurity Should Get Physical for National Clean Out Your Computer Day”