Archives:

Prüfzeichen oder Prüfsiegel sind grafische oder schriftliche Markierungen an Produkten oder Unternehmen, die die Einhaltung bestimmter Sicherheits- oder Qualitätskriterien anzeigen. Je nach Rahmenbedingung werden sie nach einmaliger oder regelmäßiger Prüfung ausgestellt.

Welche Prüfsiegel wir für sie bereitstellen lesen sie hier.

Bedrohungen wie Viren, Datenpannen, Systemausfälle und Hackerangriffe sind Herausforderungen den sich moderne Unternehmen mit ihrer IT-Infrastruktur heute stellen müssen. Ein IT-Sicherheitskonzept beschreibt dabei wie sie systematisch ihre Sicherheit im Unternehmen gewährleisten.

 Überblick

  • Ein IT-Sicherheitskonzept ist nach entsprechender Risikobetrachtung ist für Unternehmen die die DSGVO umsetzen notwendig.
  • Es beschreibt die Vorgehensweise zur Einführung neuer Dienste & Services.
  • Mit dem IT-Sicherheitskonzept werden Risiken und Gefahren der geplanten Informationsverarbeitung ermittelt, benötigte Schutzniveau ermittelt und angemessene Sicherheitsmaßnahmen festgelegt.

In diesem Beitrag erfahren sie alles über Bedeutung, Umsetzung und Verantwortlichkeiten zu einem IT-Sicherheitskonzept im Sinne der DSGVO

Weiterführende Hinweise zur Videoüberwachung enthält die Orientierungshilfe Videoüberwachung durch bayerische öffentliche Stellen – Erläuterungen zu Art. 24 Bayerisches Datenschutzgesetz des Bayerischen Landesbeauftragten für den Datenschutz. Diese ist auf dessen Homepage (https://www.datenschutz-bayern.de) unter der Rubrik Datenschutzreform 2018, Unterrubrik Orientierungs- und Praxishilfen, frei abrufbar. Dort finden sich auch Formulare für einen Prüfbogen für eine Videoüberwachung durch eine bayerische öffentliche Stelle sowie für eine Vorfallsdokumentation für eine Videoüberwachung durch eine bayerische öffentliche Stelle.

Personenbezogene Daten können auch mit Hilfe optisch-elektronischer Einrichtungen verarbeitet werden (Videoüberwachung). Eine Videoüberwachung an Schulen ist mit Blick auf den erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung der betroffenen Personen restriktiv zu handhaben. Ob eine Videoüberwachung durch öffentliche Stellen zulässig ist, regelt das Bayerische Datenschutzgesetz (Art. 24 BayDSG). Konkretisierungen hierzu werden in der Bayerischen Schulordnung getroffen (Anlage 2 Nr. 6 zu § 46 BaySchO).

Eine personalvertretungsrechtliche Mitbestimmungspflichtigkeit bleibt von den Regelungen zur Videoüberwachung in der BaySchO und dem BayDSG unberührt (Art. 75a Abs. 1 Nr. 1 BayPVG).

1. Voraussetzungen der Videoüberwachung

Die Videoüberwachung muss im Rahmen der Erfüllung öffentlicher Aufgaben oder in Ausübung des Hausrechts im konkreten Fall

  • zum Schutz von Leben, Gesundheit, Freiheit oder Eigentum von Personen, die sich im Bereich der Schule oder in deren unmittelbarer Nähe aufhalten (Art. 24 Abs. 1 Nr. 1 BayDSG) oder
  • zum Schutz der baulichen Anlagen öffentlicher Schulen oder der unmittelbar in ihrer Nähe befindlichen Sachen (Art. 24 Abs. 1 Nr. 2 BayDSG)erforderlich sein.

Aus der Gesetzesformulierung ergibt sich, dass die Videoüberwachung der Abwehr von Gefahren dient, also präventiven Zwecken. Die Aufklärung von Straftaten oder Ordnungswidrigkeiten ist lediglich eine beiläufige Komponente der Videoüberwachung.

Die für die Videoüberwachung erforderliche Gefahrsituation ist anhand einer Einzelfallprognose zu beurteilen. Daher ist eine Gefährdungsanalyse vorzunehmen.

Allein die Möglichkeit einer Gefahr rechtfertigt grundsätzlich noch keine Videoüberwachung. Von einer relevanten Gefahr ist in der Regel nur auszugehen, wenn Erfahrungswerte aus der Vergangenheit oder Gegenwart vorliegen, die im Vorfeld der Entscheidung über die Einrichtung einer Überwachungsanlage in einer Vorfallsdokumentation festgehalten werden und den Schluss zulassen, dass eine Verletzung der genannten Schutzgüter in Zukunft hinreichend wahrscheinlich ist. Im Rahmen der Vorfallsdokumentation sind die tatsächlichen Indizien darzustellen, die Grundlage der Einzelfallprognose sind, insbesondere sind die einzelnen Vorfälle und ihre Auswirkungen auf die relevanten Schutzgüter (Art. 24 Abs. 1 Nr. 1 und Nr. 2 BayDSG) zu dokumentieren. Weiterhin sollten der Vorfallsdokumentation zum Nachweis der Vorfälle Belege beigefügt werden.

Beispiel:

In der Vergangenheit, insbesondere wiederholt, aufgetretene bedeutsame Fälle von  etwa Diebstahl, ,  Hausfriedensbruch oder Körperverletzung an der Schule können ein Indiz dafür sein, dass solche Vorfälle in Zukunft wieder auftreten werden. Bei einem einmaligen Vorfall müssen hingegen typischerweise weitere Umstände (z.B. glaubwürdige Drohungen o.ä.) hinzukommen (und dokumentiert werden), um überhaupt eine Wiederholung annehmen zu können. Zur Erleichterung der Gefahrenprognose sind die Vorfälle im Rahmen einer Vorfalldokumentation zu berücksichtigen, zeitlich und örtlich einzuordnen und zusammen mit ihren Auswirkungen auf Personen im Bereich der Schule oder in deren unmittelbaren Nähe oder ihren Auswirkungen auf öffentliche Anlagen bzw. in deren unmittelbaren Nähe befindlichen Sachen festzuhalten. Beigefügt werden sollten Nachweise wie polizeiliche Ermittlungsberichte, Anzeigen oder Beschwerden. An die Wahrscheinlichkeit eines Schadenseintritts können bei einer Gefahrenprognose im Hinblick auf Leben und Gesundheit von Menschen grundsätzlich geringere Anforderungen gestellt werden als im Hinblick auf Eigentumsschäden.

2. Entscheidung für Videoüberwachung (Verhältnismäßigkeitsgrundsatz)

Sind die unter 1. aufgeführten Voraussetzungen gegeben, hat die Entscheidung für eine Videoüberwachung nach pflichtgemäßem Ermessen des Verantwortlichen zu erfolgen. Die Entscheidung muss verhältnismäßig sein – insbesondere sind alle schutzwürdigen Belange der Beteiligten ihrer Bedeutung entsprechend zu berücksichtigen.

Die für die Entscheidung maßgeblichen Umstände sind aus Nachweisgründen zu dokumentieren.

a) Geeignetheit

Zunächst muss die Videoüberwachung geeignet sein, die gesetzlich genannten Interessen zu schützen (Art. 24 Abs. 1 Nr. 1 bzw. Nr. 2 BayDSG). Das heißt, vor einer Videoüberwachung ist nachvollziehbar darzulegen und zu dokumentieren, dass sie ein geeignetes Mittel zur Abwehr der prognostizierten Gefahr ist.

b) Erforderlichkeit

Vor einer Videoüberwachung ist weiterhin nachvollziehbar darzulegen und zu dokumentieren, dass die Videoüberwachung zur Abwehr der prognostizierten Gefahr erforderlich ist und andere – mildere, weniger eingreifende Aufsichts- und Überwachungsmaßnahmen – nicht in Betracht kommen, da sie die entsprechenden Rechtsgüter weniger effektiv schützen. Dabei muss nicht nur die Datenerhebung an sich erforderlich sein, sondern auch der Einsatz von Überwachungskameras als konkretes Mittel.

Als mildere Mittel, die weniger intensiv in die Rechte der betroffenen Personen eingreifen, kommen z.B. Folgende in Betracht: Hinweise an die Schülerschaft, Wertgegenstände nicht unbeaufsichtigt im Flur zu belassen; Einsatz von graffitiabweisender Wandfarbe; Einbau von bruchsicherem Fensterglas; Sicherung des Schulgeländes gegen unberechtigten Zugang, insbesondere durch bauliche Maßnahmen; Verstärkung der Schul-/Pausenaufsicht; Verstärkung der Zugangskontrolle (Pförtner); aufklärende bzw. erzieherische Schulprojekte (etwa gegen Gewalt) usw.

Weiterhin muss die konkrete Umsetzung der Videoüberwachung räumlich, zeitlich und technisch erforderlich sein. Die BaySchO trifft hier für den schulischen Bereich in der BaySchO konkrete Vorgaben (Anlage 2 Nr. 6 zu § 46 BaySchO). Demnach ist eine Videoüberwachung typischerweise nur dann räumlich und zeitlich erforderlich, wenn sie nur Personen betrifft,  die sich im Eingangsbereich der Schule aufhalten oder sich zwischen 22:00 Uhr und 6:30 Uhr außerhalb von schulischen oder sonstigen von der Schule zugelassenen Veranstaltungen auf dem Schulgelände befinden sowie Personen, die sich außerhalb von schulischen oder sonstigen von der Schule zugelassenen Veranstaltungen an Feiertagen, Wochenenden oder in den Ferien auf dem Schulgelände befinden. Maßnahmen, die den in Anlage 2 Nr. 6 aufgeführte Rahmen der Videoüberwachung überschreiten, können nur in Ausnahmefällen verhältnismäßig sein und bedürfen einer gesonderten Begründung.

c) Angemessenheit:

Es dürfen keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der betroffenen Personen beeinträchtigt werden (Art. 24 Abs. 1 BayDSG). Das heißt, das Interesse der Schule an der Videoüberwachung ist mit den Interessen der betroffenen Personen abzuwägen. Hierfür sind die Interessen der Beteiligten herauszuarbeiten und zu gewichten. Seitens der Schule besteht in der Regel das Interesse am Schutz der im Gesetz genannten Rechtsgüter (Art. 24 Abs. 1 Nr. 1 bzw. Nr. 2 BayDSG). Auf der Seite der betroffenen Personen ist insbesondere das Recht auf informationelle Selbstbestimmung schützenswert, also das Recht, unbeobachtet zu bleiben. Nach der Gewichtung der einzelnen Interessen hat die Schule sodann genau darzulegen, welchen Interessen sie im konkreten Fall aus welchen Gründen den Vorrang einräumt.

3. Videobeobachtung oder Videoaufzeichnung

Ob eine Videobeobachtung oder eine Videoaufzeichnung eingesetzt werden soll, ist im Rahmen der Entscheidungsfindung (siehe oben unter 2.) zu berücksichtigen. Bei der Videobeobachtung werden die bewegten Bilder in Echtzeit auf einen Monitor übertragen. Dagegen wird das Bildmaterial bei einer Videoaufzeichnung gespeichert. Grundsätzlich stellt eine Videobeobachtung im Vergleich zur Videoaufzeichnung das mildere, datensparsamere Mittel dar. Allerdings kann – statt oder zusätzlich zur bloßen Beobachtung – auch die Speicherung des Bildmaterials und damit eine Videoaufzeichnung zulässig sein, wenn der konkrete Einsatz verhältnismäßig ist. Insbesondere ist also darzulegen, wieso sich die Ziele der Überwachung im konkreten Fall nur durch eine Speicherung des Bildmaterials verwirklichen lassen.

4. Transparenzgebot
Die Videoüberwachung ist durch geeignete Maßnahmen erkennbar zu machen (Art. 24 Abs. 2 BayDSG). In der Regel müssen aussagekräftige und für die betroffenen Personen gut sichtbare Hinweisschilder angebracht werden. Hier kann insbesondere auf Hinweisschilder mit entsprechenden Piktogrammen zurückgegriffen werden. Dabei ist der Verantwortliche anzugeben, soweit dieser nicht aus den Umständen hervorgeht. Daneben ist es empfehlenswert, im Rahmen des Hinweisschildes auf die Datenschutzhinweise des Verantwortlichen hinzuweisen, z.B. durch einen Verweis auf entsprechende Datenschutzhinweise im Internetauftritt der Schule.

5. Zugriffsberechtigung und Zweckbindung
Nur die Schulleitung und von der Schulleitung beauftragte Angehörige des Lehr- und Verwaltungspersonals dürfen Zugriff auf die personenbezogenen Daten der Videoaufzeichnung haben (Anlage 2 Nr. 6 – Ziffer 4 zu § 46 BaySchO).

Die Daten dürfen nur dann für einen anderen Zweck als den ursprünglichen Erhebungszweck verarbeitet werden, soweit dies zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung oder zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten erforderlich ist (Art. 24 Abs. 3 BayDSG). Unter diesen Voraussetzungen ist insbesondere eine Übermittlung der Daten an die zur Verfolgung von Straftaten oder Ordnungswidrigkeiten zuständigen Stellen zulässig.

6. Löschungsfrist

Die gespeicherten Daten sind jeweils spätestens drei Wochen nach Aufzeichnung zu löschen, soweit sie nicht zur Verfolgung von Ordnungswidrigkeiten von erheblicher Bedeutung oder von Straftaten oder zur Geltendmachung von Rechtsansprüchen benötigt werden (Anlage 2 Nr. 6 – Ziff. 5 zu § 46 BaySchO).

7. Unterrichtung des behördlichen Datenschutzbeauftragten

Der örtliche Datenschutzbeauftragte der Schule muss rechtzeitig vor dem Einsatz einer Videoüberwachung informiert werden und die Möglichkeit zur Stellungnahme bekommen (Art. 24 Abs. 5 BayDSG). Der Datenschutzbeauftragte ist dabei über folgende Details der Videoüberwachung zu informieren: den Zweck, die räumliche Ausdehnung und Dauer der Videoüberwachung, den betroffenen Personenkreis, die geeigneten Maßnahmen zur Erkennbarkeit der Videoüberwachung (Art. 24 Abs. 2 BayDSG) und die vorgesehenen Auswertungen. Der Datenschutzbeauftragte muss so rechtzeitig vor dem Einsatz der Videoüberwachung informiert werden, dass es ihm möglich ist, den Sachverhalt umfassend einschätzen zu können.

Wird eine bestehende Videoüberwachung wesentlich geändert, ist dem Datenschutzbeauftragten ebenfalls Gelegenheit zur Stellungnahme zu geben (vgl. Art. 12 Abs. 1 S. 1 Nr. 2 BayDSG).

8. Wegfall des Gefährdungstatbestands

Während der Videoüberwachung ist regelmäßig zu überprüfen, ob der Gefährdungstatbestand, der die Überwachung rechtfertigt, noch vorliegt. Hierauf hat der Verantwortliche hinzuwirken. Für den Fall, dass der Gefährdungstatbestand, weswegen die Kameras angebracht wurden, nicht mehr vorliegt, ist die Videoüberwachung nicht mehr von den gesetzlichen Voraussetzungen gedeckt und damit nicht mehr zulässig (Art. 24 Abs. 1 BayDSG). Die Kameras sind daher auszuschalten. Bereits bei der Überlegung der Anschaffung einer Videoüberwachung ist mithin zu bedenken, dass die Videoüberwachung daher keine dauerhafte Einrichtung sein könnte.

Da auch eine inaktive Kamera den Anschein einer Überwachung haben und dadurch das Verhalten der vermeintlich überwachten Personen beeinflussen kann, sind geeignete Maßnahmen zu ergreifen, um diese verhaltenslenkende Wirkung zu vermeiden. Eine solche Maßnahme ist in der Regel der Abbau der Kamera(s) einschließlich der zugehörigen Hinweisschilder, was aber – aus technischen und finanziellen Gründen und auch wegen einer Abstimmung mit dem Sachaufwandsträger – oft nicht ohne weiteres möglich ist. Je nach den örtlichen Gegebenheiten kann es auch Alternativen zu der Demontage einer Kamera geben, z.B. das Abdecken/Verhängen der Kamera. Im Ergebnis muss genauso zweifelsfrei und offensichtlich wie bei einer eine Demontage der Kamera erkennbar sein, dass eine Überwachung durch die betreffende Kamera nicht (mehr) stattfindet.

Es kommt immer wieder vor, dass Unternehmen oder sonstige öffentlichen Stellen, z.B. gesetzliche Krankenkassen, z.B. Bewerbungstrainings, Vorträge oder Seminare abhalten. Dabei wollen einige dieser Unternehmen personenbezogene Daten erheben, um ihnen Unterlagen, z.B. Ergebnisse der Veranstaltung oder Informationsmaterialien, zukommen zu lassen. Es ist auch nicht auszuschließen, dass einige Unternehmen die Möglichkeit nutzen um für sich zu werben.

Den Unternehmen ist die Weitergabe von Daten und Unterlagen über Mitarbeiterinnen und Mitarbeiter und Erziehungsberechtigte untersagt, es sei denn, die Weitergabe erfolgt zur Erfüllung der den Unternehmen durch Rechtsvorschriften jeweils zugewiesenen Aufgaben oder es besteht ein rechtlicher Anspruch auf die Herausgabe der Daten (Art. 85 Abs. 1 Satz 1 und Abs. 2 Satz 1 BayEUG). Diese Voraussetzungen liegen bei der Durchführung von Veranstaltungen, die Dritte gestalten (z.B. Krankenkassen), in der Regel nicht vor. Daher haben die Unternehmen dafür Sorge zu tragen, dass bei entsprechenden Veranstaltungen, diese Dritte keine personenbezogenen Daten der Mitarbeiterinnen und Mitarbeiter zu eigenen Zwecken verarbeiten. Insbesondere eine Übermittlung von Mitarbeiterdaten für Zwecke kommerzieller Werbung ist unzulässig.

Die vorgenannten Erwägungen gelten unabhängig davon, ob die Unternehmen die personenbezogenen Daten der Mitarbeiterinnen und Mitarbeitern selbst an Dritte weitergeben oder ob sie die Datenerhebung durch Dritte – z.B. im Zusammenhang mit Veranstaltungen in der Unternehmen – dulden.

Die neuen Informationspflichten nach der Datenschutz-Grundverordnung (DSGVO) verlangen eine Ergänzung der bisher schon erforderlichen Datenschutzerklärung im Internetauftritt von Schulen. In diesem Zusammenhang ist immer wieder die Sorge vor “Abmahnwellen” zu vernehmen.

Solche Abmahnungen sind in aller Regel mit Vorschriften aus dem Gebiet des Verbraucherschutzes oder des Wettbewerbsrechts begründet, die die Schulen nicht betreffen. Schulen müssen daher grundsätzlich derartige Abmahnungen nicht fürchten.

An der Notwendigkeit eines datenschutzkonformen Internetauftritts ändert das nichts! Wer die Vorgaben der DSGVO noch nicht umgesetzt hat, sollte das schnellstens nachholen – auch ohne Abmahnung.

Damit staatliche Schulen in Bayern ihren Informationspflichten nach Art. 13 DSGVO für die wesentlichen Verarbeitungen nachkommen können, stellt das Staatsministerium für Unterricht und Kultus ihnen ein verbindliches Muster für Datenschutzhinweise im Internetauftritt zur Verfügung (siehe Ausführungen unter Datenschutzhinweise im Internetauftritt staatlicher Schulen).