Videoüberwachung: BDSG-Regelung europarechtswidrig
Von Timo Schutt 6. Juni 2019Regelung zur Videoüberwachung im neuen BDSG ist europarechtswidrig
Das Bundesverwaltungsgericht hat in einer jetzt veröffentlichten Entscheidung vom 27. März 2019 deutlich gemacht, dass die Videoüberwachung durch private Stellen ausschließlich am europäischen Datenschutzrecht zu messen ist und nicht an der Regelung im neuen Bundesdatenschutzgesetz (BDSG).
Worum ging es?
In dem zugrunde liegenden Fall ging es um eine Anordnung der Brandenburgischen Beauftragten für Datenschutz und für das Recht auf Akteneinsicht zur datenschutzkonformen Ausrichtung der Videoüberwachung in einer Zahnarztpraxis.
Nach Auffassung des Bundesverwaltungsgerichts regelt die Europäische Datenschutzgrundverordnung (DSGVO) die Videoüberwachung durch Private abschließend. Damit ist die nationale deutsche Bestimmung in § 4 Abs. 1 S. 1 BDSG europarechtswidrig und im Ergebnis unanwendbar. Private Videokameras können daher im Ergebnis nur auf der Rechtsgrundlage des Art. 6 Abs. 1 Buchstabe f DSGVO betrieben werden. Die danach zu erfolgende Güterabwägung ist nicht durch nationales Recht modifizierbar.
Welchen Hintergrund hat die Regelung ?
Die Einfügung des § 4 Abs. 1 BDSG im Zuge des damaligen Videoüberwachungsverbesserungsgesetzes war eine Reaktion auf den Amoklauf im Juni 2016 in einem Münchner Einkaufszentrum, bei dem neun Menschen erschossen wurden. Der damals zuständige Bundesinnenminister beabsichtigte, Betreiber von Einkaufszentren sowie etwa Sportstätten und Parkplätzen zu Helfern bei der originär staatlichen Aufgabe der Gewährleistung von Sicherheit und Ordnung machen. Er argumentierte, dass die Sicherheit öffentlicher Plätze bei der Abwägung gegenüber den datenschutzrechtlichen Interessen der Betroffenen vorrangig herzustellen sei. Diese Vorrangklausel könne einen Ausbau der Videoüberwachung durch private Stellen ermöglichen und müsse von Aufsichtsbehörden bei der datenschutzrechtlichen Prüfung berücksichtigt werden.
Das Gericht bestätigt mit der Entscheidung die Rechtsauffassung der deutschen Datenschutzbehörden, die schon im Jahr 2017 im Rahmen der Diskussion im Gesetzgebungsverfahren auf den Vorrang des Unionsrechts hingewiesen haben.
Hamburgischer Datenschutzbeauftragter nimmt Stellung
Eine Stellungnahme von Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit kann hier abgerufen werden:
https://datenschutz-hamburg.de/pressemitteilungen/2019/05/2019-05-31-videoueberwachungsgesetz
Meine Meinung
Nicht nur hier, sondern bei einigen anderen Regelungen im neuen BDSG auch ist der deutsche Gesetzgeber offenkundig über das Ziel hinaus geschossen: Denn es wurden Änderungen und Ergänzungen der DSGVO in das neue Gesetz geschrieben, die der deutsche Gesetzgeber wegen des Vorrangs des Europarechts und fehlender Öffnungsklauseln gar nicht hätte regeln dürfen. Die rechtliche Konsequenz ist die, das die Norm zwar im Gesetz steht, aber nicht zu beachten ist. Gerichte werden also künftig aufgrund dieser Entscheidung die private Videoüberwachung nur noch anhand der DSGVO prüfen.
Ein weiteres Beispiel für den Übereifer der Berliner Gesetzgebung ist § 43 Absatz 4 BDSG. Dort heißt es:
Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden.
Damit soll in erster Linie der Verantwortliche geschützt werden, der sich selbst an die Aufsichtsbehörde wendet, bspw. indem er die ihm obliegende Meldepflicht von Datenpannen erfüllt. Die Behörde soll solche Meldungen nicht zum Anlass nehmen darauf gründend ein Bußgeld zu verhängen.
Aber: Genau das ist bei dem ersten in Deutschland verhängten Bußgeld nach der DSGVO im Fall knuddels.de passiert. Knuddels meldete eine Datenpanne an den LfDI Baden-Württemberg. Dieser verhängte schließlich ein Bußgeld von 20.000 Euro.
Begründung des LfDI: § 43 Absatz 4 BDSG sei europarechtswidrig, da der deutsche Gesetzgeber keine Regelungskompetenz im Bereich der Sanktionierung nach DSGVO hat. Also wurde die Vorschrift nicht angewendet und die Sanktionierung vorgenommen.
Es steht zu erwarten, dass auf diese Art und Weise noch einige der Regelungen des BDSG gekippt werden.
Timo Schutt
Datenschutzberater
Fachanwalt für IT-Recht
DSGVO-Man