Art. 35 DSGVO verlangt, dass eine „DPIA“ durchgeführt wird, „wenn eine Art der Verarbeitung, insbesondere durch den Einsatz neuer Technologien, unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt“.
Art. 35 Abs. 3 DSGVO sieht zudem drei Fälle vor, in denen eine „DPIA“ besonders erforderlich ist. Einer dieser drei Fälle betrifft die „systematische großmaßstäbliche Überwachung eines öffentlich zugänglichen Gebiets“. In bestimmten Situationen könnte die Installation eines Videoüberwachungssystems in diesen Fall fallen.
Darüber hinaus werden in den Leitlinien für die Datenschutz-Folgenabschätzung (DPIA) der Europäischen[1] Arbeitsgruppe (G29) die neun Kriterien festgelegt, die bei der Beurteilung der Frage zu berücksichtigen sind, ob eine Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen kann und ob daher eine DPIA durchgeführt werden muss. Je nachdem, wo und in welchem Kontext Videoüberwachungskameras eingesetzt werden, könnten mehrere dieser Kriterien erfüllt sein, wie z. B. die Verarbeitung von „Daten schutzbedürftiger Personen“ (Arbeitnehmer, Kinder, ältere Menschen usw.), die großflächige Erhebung, die „systematische Überwachung“ oder das Kriterium der „innovativen Nutzung oder Anwendung technologischer oder organisatorischer Lösungen“.
Die CNPD möchte die Verantwortlichen auch auf die Leitlinien 3/2019 über die Verarbeitung personenbezogener Daten durch Videogeräte aufmerksam machen, in denen es heißt:
„Angesichts der üblichen Zwecke der Videoüberwachung (Schutz von Personen und Eigentum, Aufdeckung, Verhütung und Kontrolle von Straftaten, Beweiserhebung und biometrische Identifizierung von Verdächtigen) ist davon auszugehen, dass in vielen Fällen des Einsatzes von Videoüberwachung eine Datenschutz-Folgenabschätzung erforderlich sein wird. Daher ist es Sache der für die Verarbeitung Verantwortlichen, diese Dokumente sorgfältig zu konsultieren, um festzustellen, ob eine Folgenabschätzung erforderlich ist, und diese gegebenenfalls durchzuführen.
Das Ergebnis der durchgeführten Analyse sollte als Richtschnur für die Wahl des für die Verarbeitung Verantwortlichen in Bezug auf die getroffenen Datenschutzmaßnahmen dienen. »[2]
---------------------------------------------------------------------------------
[1] Leitlinien der Artikel-29-Datenschutzgruppe zur Datenschutz-Folgenabschätzung (DSFA) und zur Feststellung, ob die Verarbeitung für die Zwecke der Verordnung (EU) 2016/679 „mit hohem Risiko verbunden sein kann“ (WP 248 rev.01), abrufbar unter: https://ec.europa.eu/newsroom/article29/items/611236
[2] Ziffer 137 der Leitlinien 3/2019 des Europäischen Datenschutzausschusses zur Verarbeitung personenbezogener Daten durch Videogeräte. Abrufbar unter: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_de