Der Bayerische Landesbeauftragte für den Datenschutz hat sich in seinem aktuellen Tätigkeitsbericht mit der Frage befasst, unter welchen Voraussetzungen eine Videoüberwachung in Einrichtungen der kritischen Infrastruktur zulässig ist. Anlass war eine Anfrage einer solchen Einrichtung, die die Überwachung eines Serverraums plante.
Rechtsgrundlage der Videoüberwachung
Die Verarbeitung personenbezogener Daten durch Videoüberwachung öffentlicher Stellen bedarf stets einer gesetzlichen Grundlage. Für bayerische Behörden ergibt sich diese aus Art. 24 BayDSG. Technische Richtlinien wie das IT-Grundschutz-Kompendium des BSI können zwar wichtige Hinweise zur IT-Sicherheit geben, ersetzen jedoch keine Rechtsgrundlage im Sinne der DSGVO.
Gefahrensituation als Voraussetzung
Videoüberwachung darf nur bei Vorliegen einer konkreten Gefahrensituation eingesetzt werden. Diese ist anhand einer Prognose zu bewerten – in der Regel auf Basis einer Vorfallsdokumentation, also einer systematischen Erfassung früherer Sicherheitsvorfälle.
Auch ohne dokumentierte Vorfälle kann eine Überwachung zulässig sein, wenn eine atypische Gefährdungslage besteht, etwa bei drohendem gravierendem Schaden. Allerdings reicht ein allgemeines Unsicherheitsgefühl nicht aus – die Gefahr muss tatsächlich nachvollziehbar und dokumentierbar sein.
Kritische Infrastruktur als besonderer Kontext
Die Einstufung einer Einrichtung als „kritische Infrastruktur" kann bei der Bewertung der Gefahrensituation eine Rolle spielen. Da deren Ausfall zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen könnte, kann das Ausmaß eines möglichen Schadens eine niedrigere Eintrittswahrscheinlichkeit teilweise ausgleichen. Dennoch bleibt eine Einzelfallprüfung zwingend erforderlich.
Verhältnismäßigkeit der Maßnahme
Auch wenn eine Gefahr festgestellt wird, darf die Überwachung nur insoweit erfolgen, wie sie verhältnismäßig ist. Eine flächendeckende Überwachung aller Räume wäre z. B. unzulässig, wenn sich die Gefahr ausschließlich auf einen Serverraum beschränkt.
Die Videoüberwachung sollte immer Teil eines umfassenden Sicherheitskonzepts sein, das auch alternative Maßnahmen wie Zugangskontrollen oder Alarmanlagen berücksichtigt.
Für kritische Infrastruktureinrichtungen gelten dieselben datenschutzrechtlichen Anforderungen wie für andere öffentliche Stellen. Ihre besondere Bedeutung kann die Bewertung einer Gefährdung beeinflussen, ersetzt aber keine sorgfältige Prüfung.
Eine bloße Behauptung einer Gefahrenlage reicht nicht aus, um eine Videoüberwachung zu rechtfertigen – sie muss nachvollziehbar, dokumentiert und verhältnismäßig sein.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz