Suche
  • Digitales Hotelmanagement mit Valerie Wagner
  • mail@valerie-wagner.de
Suche Menü
DSGVO in der Hotellerie - Video -

DSGVO in der Hotellerie – Straftat: Videoüberwachung (3/5)

EP17

Wir haben in den letzten 2 Episoden über die analoge und digitale DSGVO gesprochen. Heute geht es um Videoüberwachung.
Hast du Kameras, also Videoüberwachung am Eingang zu deinem Hotel oder in der Lobby?
Dann bewegst du dich auf sehr dünnem Eis, wenn es nach der Datenschutzgrundverordnung geht. Denn die ist seit Inkrafttreten der DSGVO noch strenger reglementiert und vielleicht bewegst du dich bereits im Straftatbestand.

Ingo Busch von der Datenschutzberatung Köln hat sich freundlicherweise nochmal die Zeit genommen und steht als Datenschutzbeauftragter Rede und Antwort.

Ich möchte aber auch daraufhin weisen, dass weder Ingo noch ich Rechtsanwälte sind und das hier keine Rechtsberatung darstellt. Ich möchte dich bitten für deinen speziellen Fall zu dem Anwalt deines Vertrauens zu gehen. Ingo ist Datenschutzbeauftragter und deshalb spreche ich heute mit ihm.

Eine unendliche Geschichte: Die DSGVO

VW: Hallo Ingo, vielen Dank für deine Zeit. Klasse, dass wir uns heute nochmal über ein weiteres Thema – es erscheint ja unendlich – der DSGVO unterhalten können.

IB: Sehr gerne stehe ich dir und den Hörern oder Lesern heute wieder Rede und Antwort zum Datenschutz. Du hast vollkommen recht, dass man sich nahezu unendlich über den Datenschutz und auch über die DSGVO unterhalten kann. Aber es ist nun mal auch so, dass alltäglich bei fast allem, was wir tun, personenbezogene Daten verarbeitet werden.

VW: Oftmals an Ein- und Ausgängen oder auch in der Lobby in Hotels werden Kameras angebracht. Oder das Hotel hat Kameras vor dem Eingangsbereich des Hotels.

Ich meine, dass es schon immer so war, auf eine Videoüberwachung hinzuweisen. Hat sich das mit der DSGVO verschärft?

IB: Richtig. Es musste auch schon in der Vergangenheit auf eine Videoüberwachung hingewiesen werden. Das geschah mal besser und mal schlechter. Mit der DSGVO haben sich allerdings die Informationspflichten geändert. Das betrifft natürlich nicht nur die Videoüberwachung. Weil man nun den Betroffenen, also den Hotelgast, auch darüber informieren muss, welche Zwecke beispielsweise mit der Videoüberwachung verfolgt werden, müssen in den meisten Fällen die Hinweisschilder ausgetauscht werden.
Um deine Frage abschließend zu beantworten: Eine Video-Überwachung ist natürlich – wie alles im Datenschutz – streng reglementiert.

Bedeutet das, das man keine Kameras mehr verwenden darf?

IB: Nein.

Aber im Bundesdatenschutzgesetz – die DSGVO regelt zur Video-Überwachung sehr wenig konkret – sind die zulässigen Ausnahmen festgelegt.

Auf eine dieser Ausnahmen im Paragraph 4 wird sich vermutlich fast jeder Hotelier stützen können. Und das ist die Video-Überwachung zur Wahrnehmung des Hausrechts. Das würde ich auch grundsätzlich jedem empfehlen. Denn selbst wenn mir als Hotelier das berechtigte Interesse – was ebenfalls eine der Ausnahmen ist – durch eine Aufsichtsbehörde aberkannt würde, bliebe die Video-Überwachung weiterhin zulässig, weil ich eben mein Hausrecht wahrnehmen will.

Die Formulierung der konkreten Zwecke zur Begründung des berechtigten Interesses ist immer ein wenig tricky. In der Hotellerie ist aber durchaus denkbar, dass der Schutz der Hotelgäste vor Diebstählen ein konkreter Zweck ist.

Was muss der Hotelier tun, wenn er unbedingt eine Kamera braucht?

IB: Der Hotelier muss auf jeden Fall sicherstellen, dass die Kameras keinesfalls öffentlichen Raum, etwa den Bürgersteig vor dem Eingang mit erfassen. Das wäre nämlich illegal.
Dann ist die Anbringung der Hinweisschilder wichtig. Und zwar bevor der Erfassungsbereich der Kameras beginnt. Das bedeutet, dass ich im Falle eines mit überwachten Hotel-Parkplatzes eventuell schon an der Grundstücksgrenze ein Schild aufstellen muss. Zusätzlich würde ich auch noch ein Schild am Eingang anbringen, so dass auch die per Taxi angereisten Hotelgäste vor Betreten der video-überwachten Lobby informiert werden.

Wie lange dürfen die Video-Aufnahmen gespeichert werden?

IB: So lange, bis der Zweck erfüllt ist. Aber was bedeutet das in der Praxis? Da Diebstähle in der Regel bereits binnen 24 Stunden auffallen, würde ich eine Maximal-Speicherdauer von 72 Stunden empfehlen. Das war auch nach dem alten Datenschutzrecht eine übliche Dauer. Um die Weitergabe der Video-Daten an Strafverfolgungsbehörden, etwa bei einem Diebstahl, zu erleichtern, kann es sinnvoll sein, die bisherigen Video-Daten bei Bekanntwerden des Diebstahls einzufrieren und eine neue Aufzeichnung, die maximal 72 Stunden dauert, zu starten.

VW: Speicherdauer und Informationspflichten klingen danach, dass es sich mit Video-Überwachung wie mit allen anderen Prozessen zur Verarbeitung personenbezogener Daten verhält. Oder gibt es besondere Dinge hierbei zu beachten?

IB: Du hast recht. Bisher klingt alles noch sehr normal. Daher muss natürlich auch die Video-Überwachung in unser Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden.
Zusätzlich – und das ist der große Knackpunkt – muss zwingend eine Datenschutz-Folgenabschätzung durchgeführt werden.

Das ist sogar explizit im Artikel 35 der DSGVO gefordert. Da wird zwar etwas verschwurbelt von einer „systematischen und umfangreichen Überwachung öffentlich zugänglicher Bereiche“ geredet, aber im dazu gehörigen Erwägungsgrund 91 wird die Video-Überwachung konkret erwähnt.

Und diese Datenschutzfolgenabschätzung ist weitgehender als die Angaben, die schon im Verarbeitungsverzeichnis erfasst werden. Denn prinzipiell ist eine Datenschutz-Folgenabschätzung immer dann vorgesehen wenn ein Verarbeitungsvorgang ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Dazu gehört eine Bewertung der Notwendigkeit und der Verhältnismäßigkeit der Verarbeitung. Ebenfalls muss ich eine Risikoabschätzung durchführen und ganz genau festlegen wie der Schutz dieser personenbezogenen Daten gewährleistet wird.

Die Datenschutz-Folgenabschätzung

VW: Klingt nach Schreibarbeit. Ist es denn mit so einer Datenschutz-Folgenabschätzung getan? Oder muss ich noch weitere Dinge beachten?

IB: Ja, es ist Schreibarbeit. Und man sollte da auch sehr genau sein, damit die Aufsichtsbehörde bei einer eventuellen Überprüfung nichts zu beanstanden hat.

Leider hat die Datenschutz-Folgenabschätzung aufgrund einer Video-Überwachung weitere Konsequenzen für den Hotelier: Er muss zwingend einen Datenschutzbeauftragten haben! Denn laut dem deutschen Bundesdatenschutzgesetz ist unabhängig von der Unternehmensgröße ein Datenschutzbeauftragter zu bestellen, sofern das Unternehmen „Verfahren einsetzt, die einer Datenschutz-Folgenabschätzung bedürfen“.

Was macht eigentlich ein Datenschutzbeauftragter?

VW: Das bedeutet, dass theoretisch jede Tankstelle und jeder Kiosk, der eine Video-Überwachung installiert hat, einen Datenschutzbeauftragten benötigt?!

IB: Kurz und knapp: Ja! Klingt verrückt, ist aber so.

VW: Dann lass uns doch kurz über den Datenschutzbeauftragten reden. Dieser hat doch bestimmte Rechte und Pflichten, oder? Muss das immer ein Mitarbeiter sein oder kann ich als Inhaber des Hotels auch die Aufgaben des Datenschutzbeauftragten übernehmen?

IB: Um die zweite Frage zuerst zu beantworten: Nein, das darf er nicht. Denn er würde sich dann selbst kontrollieren. Aus demselben Grund kann auch nicht der IT-Leiter oder der Leiter der Personalabteilung Datenschutz-Beauftragter sein. Auch hier würde ein Interessenskonflikt vorliegen.

Ein Datenschutzbeauftragter hat die Aufgabe den Verantwortlichen, also den Hotelier, zu beraten. Und zwar hinsichtlich der Pflichten, die sich aus der DSGVO und des Bundesdatenschutzgesetzes ergeben. Er überwacht die Einhaltung der Datenschutzvorschriften und er ist auch für die Sensibilisierung und Schulung der Mitarbeiter zuständig.

Zur Erfüllung dieser Aufgaben muss er die berufliche Qualifikation und das notwendige Fachwissen besitzen. Daher muss ein Mitarbeiter, bevor er als Datenschutzbeauftragter eingesetzt wird, entsprechend ausgebildet werden. Also beispielsweise durch eine Fortbildung.

Besitzt der Mitarbeiter das notwendige Know-How muss der Arbeitgeber dem internen Datenschutzbeauftragten auch die nötigen Ressourcen zur Verfügung stellen. Dazu gehören neben genug Zeit zur Erfüllung der Aufgaben als Datenschutzbeauftragter auch die notwendige Fachliteratur und der Besuch von Weiterbildungsmaßnahmen zum Erhalt seines Fachwissens.

Ein interner Datenschutzbeauftragter genießt auch besonderen Kündigungsschutz. Er kann – außer fristlos aus wichtigem Grund gemäß Paragraph 626 BGB – nicht gekündigt werden. Er kann auch nicht von seiner Aufgabe als Datenschutzbeauftragter abberufen werden.

Da die Kosten für Fort- und Weiterbildung, Literatur etc. für ein kleineres Unternehmen recht hoch sein können, besteht auch die Möglichkeit einen externen Datenschutzbeauftragten zu bestellen. Mit diesem geht man zwar auch ein längerfristiges Vertragsverhältnis ein, jedoch kann man sich von diesem, zum Beispiel nach 24 Monaten, auch wieder trennen. Und dann einen anderen Datenschutzbeauftragten bestellen. Die 24 Monate sind übrigens das Minimum, was sich die Aufsichtsbehörden wünschen.

Wo finde ich denn einen solchen externen Datenschutzbeauftragten?

IB: Die meisten Datenschutzberater übernehmen auch die Aufgaben eines externen Datenschutzbeauftragten. Das mich und meine Kollegen können diese Aufgabe wahrnehmen. Sofern wir noch freie Kapazitäten haben. Denn die DSGVO hat uns auch reichlich Arbeit beschert und daher kenne ich Kollegen, die derzeit keine neuen Mandate übernehmen. Und das bis weit ins nächste Jahr hinein. Daher ist es auch nichts Ungewöhnliches, dass ein Unternehmen in der Pfalz auch einen Datenschutzbeauftragten hat, der in Thüringen sitzt.

Und falls du mir diese Eigenwerbung erlaubst: Ich habe noch freie Kapazitäten… Aber mit ein wenig Recherche findet man auch andere Kollegen, die noch freie Kapazitäten haben.

Muss ich den Datenschutzbeauftragten der Aufsichtsbehörde melden?

IB: Ja. Und zwar hätte man das schon bis zum 25. Mai machen müssen, sofern man einen Datenschutzbeauftragten benötigt. Die Aufsichtbehörden, also die Landesdatenschutzbeauftragten, haben diese Frist jedoch verlängert. Je nach Bundesland – zum Beispiel in Nordrhein-Westfalen – sogar bis Jahresende. Wer dann noch keinen Datenschutz-Beauftragten bestellt und gemeldet und dabei erwischt wird, muss dann mit einem Bußgeld rechnen. Daher sollte man sich – gerade wenn eine Video-Überwachung installiert ist – dem Thema dringend annehmen.

VW: Vielen Dank Ingo erneut für deine Zeit!

An dieser Stelle nochmal der Hinweis, dass es ich hier um keine Rechtsberatung handelt, sondern Ingo als Datenschutzbeauftragter einfach mehr weiss und zur DSGVO sagen kann. Bitte wende dich für dein Unternehmen an den Anwalt deines Vertrauens.

Und jetzt zu dir!

Verwendest du Videokameras?

Hast du Fragen zum Thema oder willst etwas zur DSGVO sagen, dann schreib es gerne in die Kommentare!

Ingo und ich wollen noch eine weitere Episode aufnehmen und deine Fragen darin beantworten!

Du willst bei deinen Fragen zur DSGVO lieber anonym bleiben? Dann mach hier mit bei der Umfrage!

Zur Umfrage DSGVO

Über den Interviewpartner: Ingo Busch, Datenschutzbeauftragter

Ingo Busch - freier Datenschutzberater

Ingo Busch ist gelernter Fachinformatiker und langjähriger IT-Projektleiter. Als freier Datenschutzberater unterstützt er Unternehmen bei der Umsetzung des Datenschutzes und ist auch als externer Datenschutzbeauftragter tätig. Nebenbei kümmert er sich als „Blog-Doktor“ um WordPress-Websites und Blogs diverser Blogger und Unternehmen. Auf seiner Website datenschutz-beratung-koeln.de bloggt er zu Datenschutzrelevanten Themen.

Für weitere Tipps abonniere meinen Newsletter. Der erscheint einmal im Monat.

Verwandte Artikel:

1 Kommentar Schreibe einen Kommentar

  1. Pingback: Podcast zur Videoüberwachung in der Hotellerie | Datenschutz-Beratung Köln

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.


Cookie-Einstellung

Bitte triff eine Auswahl. Weitere Informationen zu den Auswirkungen Deine Auswahl findest du unter Mehr Infos.

Treffe eine Auswahl um fortzufahren

Deine Auswahl wurde gespeichert!

Hilfe

Mehr Infos

Um fortfahren zu können,musst du eine Cookie-Auswahl treffen. Nachfolgend erhälst du eine Erläuterung der verschiedenen Optionen und ihrer Bedeutung.

  • Das Cookie von Google Analytics zulassen:
    Jedes Cookie wie z.B. Tracking- und Analytische-Cookies. Ich nutze auf dieser Website Google Analytics. Das hilft mir dabei meinen Blog auf die Wünsche meiner Besucher zu optimieren. Das bedeutet für dich als User, dass du mir mit Zulassung dieses Cookies hilfst, meine Seite zu bewerten. Zudem hilft es mir meinen Kooperationspartner die Erfolge ihrer Beiträge aufzuzeigen.
  • Nur First-Party-Cookies zulassen:
    Nur Cookies von dieser Webseite.
  • Keine Cookies zulassen:
    Es werden keine Cookies gesetzt.

Du kannst deine Cookie-Einstellung jederzeit hier ändern: Datenschutz. Impressum

Zurück