Ausgewählte Bußgelder im Zusammenhang mit visueller Überwachung in der EU
Das Bild einer natürlichen Person ist zweifellos ein personenbezogenes Datum und unterliegt demselben rechtlichen Schutz wie nicht-visuelle Daten.
Jedes Unternehmen, das Videoüberwachung einsetzt, sollte die gesetzlichen Bestimmungen zum Schutz personenbezogener Daten kennen und einhalten. Verstöße gegen diese Gesetze, einschließlich der Nichtgewährleistung der Datensicherheit, werden mit hohen Bußgeldern und Strafen geahndet.
Daher hat sich die Arbeitsweise vieler Organisationen seit der Einführung der DSGVO-Verordnung im Jahr 2018 verändert. Heute müssen Banken, Geschäfte, Postämter, Sicherheitsunternehmen, Parkplätze, medizinische Einrichtungen und andere Arten von CCTV-Betreibern die neuen persönlichen Vorschriften einhalten Datenschutzbestimmungen und -anforderungen. Wie die in diesem Bericht beschriebenen Fälle zeigen, gibt es in dieser Hinsicht jedoch noch viel zu tun.
Datenschutzbehörden verzeichnen zunehmend Verstöße gegen Art. 15 DSGVO bei der Videoüberwachung
Artikel 15 der DSGVO lässt keinen Zweifel daran, dass jeder, dessen Bild sich in der Aufnahme oder dem Foto befindet, das Recht hat, auf diese Informationen zuzugreifen (wir besprechen dies ausführlich in unserem Blog). Eine solche Person kann auch eine Kopie der Daten (Aufzeichnung) anfordern, die ihre Bilder enthalten.
Selbstverständlich darf die Bereitstellung einer Kopie die Rechte anderer nicht beeinträchtigen. Glücklicherweise gibt es Möglichkeiten, die Privatsphäre anderer Personen zu schützen, die in der Aufzeichnung erscheinen. Eine davon ist die Methode zur Unkenntlichmachung von Gesichtern mittels Computer-Vision-Technologie (sog. KI-Anonymisierungssoftware).
Videoüberwachung und Risiko
Videoüberwachung ist eines der am häufigsten eingesetzten Sicherheitsinstrumente. Obwohl dies eine nützliche Lösung ist, bringt sie viele Herausforderungen und Einschränkungen mit sich, einschließlich der durch die DSGVO auferlegten Vorschriften zur Verarbeitung personenbezogener Daten.
Da sich die Gesellschaft derzeit ihrer Rechte bewusster ist, gibt es immer mehr Beschwerden über die Verweigerung der Bereitstellung von Materialien auf Anfrage der betroffenen Person. Daher verhängen die europäischen Datenschutzbehörden Bußgelder gegen Organisationen, die dieses Recht verletzen.
In diesem Bericht haben wir einige Beispiele für aktuelle Strafen bei Verstößen gegen Art. 15 und andere Bestimmungen der DSGVO zusammengestellt. Jedes Unternehmen, das in seinen Räumlichkeiten Videoüberwachung einsetzt, sollte es lesen, um zu verstehen, welche Praktiken gemäß den Bestimmungen dieser Verordnung zum Schutz personenbezogener Daten gemeldet und bestraft werden.
Liste ausgewählter DSGVO-Strafen und Bußgelder:
(GDPR Art.)
1. Ein Fall einer spanischen Supermarktkette
(GDPR Art.)
Mercadona S.A. ist eines der führenden spanischen Einzelhandels- und Online-Shopping-Unternehmen. Im Jahr 2022 erließ die spanische Datenschutzbehörde (Agencia Española de Protección de Datos – AEPD) eine Entscheidung, nach der der Supermarktkette eine Strafe wegen Verletzung von Rechten im Zusammenhang mit der DSGVO auferlegt wurde – das Unternehmen wurde mit einer Geldstrafe von 170.000 EUR belegt. Bei dem Bußgeld handelte es sich um einen Verstoß gegen die Artikel 12 und 15 der DSGVO durch die Nichtbeantwortung der Anfrage der betroffenen Person sowie gegen Artikel 6 durch die Entfernung des Videomaterials ohne Rechtsgrundlage.
In einem der videoüberwachten Mercadona-Supermärkte erlitt die betroffene Person einen Unfall. Mit dem Ziel, Schadensersatz zu fordern, hat die Person ihr Recht auf Zugang zum Bild der Überwachungskamera ausgeübt. Daraufhin forderte diese Person den Verantwortlichen auf, die Aufzeichnung des Unfalls aus dem Videoüberwachungssystem über das Antragsformular auf der Website des Verantwortlichen bereitzustellen. Die Kundin erhielt eine automatische Antwort, dass ihre Nachricht gesendet wurde. Der nächste Schritt der betroffenen Person bestand darin, beim Verantwortlichen per E-Mail eine Beschwerde über den Unfall einzureichen. Der Controller hat auf diese Nachricht geantwortet; Auf die Anfrage nach Zugang zu den Daten wurde jedoch mehr als einen Monat lang nicht reagiert.
Der Anwalt der betroffenen Person hat dem Datenschutzbeauftragten des Verantwortlichen eine E-Mail bezüglich des Auskunftsantrags geschickt. Die eingegangene Antwort lautete, dass dem Datenschutzbeauftragten keine Kenntnis von einer Zugriffsanfrage bekannt sei und dass das Video bereits gelöscht worden sei. Nach dieser negativen Antwort reichte eine Einzelperson eine Beschwerde bei der Datenschutzbehörde ein.
Die spanische Datenschutzbehörde ergriff weitere Maßnahmen und verhängte schließlich ein Bußgeld gegen den Supermarkt wegen Verstoßes gegen die oben genannten DSGVO-Bestimmungen.
Lesen Sie die vollständige Entscheidung (nur auf Spanisch verfügbar).
2. Kleine Geldstrafe für griechisches Telekommunikationsunternehmen
(GDPR Art.)
Ein weiterer Fall eines Verstoßes gegen Artikel 15 der DSGVO ereignete sich im Jahr 2022 in Griechenland. Das griechische Telekommunikationsunternehmen WIND Ελλάς Τηλεπικοινωνίες ΑΕΒΕ stellte der betroffenen Person die Überwachungsaufzeichnung nicht zur Verfügung. Aus diesem Grund verhängte die griechische Datenschutzbehörde ein Bußgeld in Höhe von 2.000 EUR gegen das Unternehmen.
Die betroffene Person besuchte die Kundendienststelle, um den Telefonvertrag zu verlängern. Während der Erneuerung des Vereinbarungsprozesses haben die Mitarbeiter von WIND den Abonnenten nicht um einen Identitätsnachweis gebeten. Wie sich später herausstellte, bestätigten die Mitarbeiter aufgrund der langjährigen Zusammenarbeit mithilfe von A.F.M. die Identität der betroffenen Person. Darüber hinaus erhielt die betroffene Person kein Dokument zum Unterschreiben. Die Mitarbeiter legten lediglich ein Formular mit leeren Kundenunterschriftsfeldern, deren Unterschrift und dem Firmensiegel vor. Aufgrund eines Systemproblems konnte der Abonnent nicht signieren. Mitarbeiter versicherten der betroffenen Person jedoch, dass dies für eine Vertragsverlängerung ausreichen würde.
Am selben Tag richtete die betroffene Person eine E-Mail sowohl an die Kundendienststelle als auch an den Datenschutzbeauftragten. Der Abonnent beantragte Zugriff auf das von den WIND-Kameras aufgezeichnete Videomaterial. Er erhielt jedoch keine Antwort. In einer E-Mail an den Datenschutzbeauftragten beschwerte sich der Abonnent über eine Sicherheitslücke im Prozess der Vertragsverlängerung und über die Nichteinhaltung des Rechts auf Datenauskunft. Erst nach Intervention der Datenschutzbehörde antwortete der Inhaber der Kundendienststelle, dass der Zugriffsantrag nicht gewährt werden könne, da das registrierte Material gelöscht worden sei. Die Datenschutzbehörde betrachtete dies als einen Verstoß gegen Artikel 15 und verhängte eine Geldstrafe gegen das griechische Unternehmen.
Weitere Details zu diesem Fall finden Sie hier. Das Material ist auf Griechisch verfügbar.
3. Geldstrafe gegen griechisches Seehafenmanagement
(GDPR Art.)
Die DPA befasste sich mit dem Fall eines privaten Autobesitzers, der keinen Zugang zu den von den Kameras der Heraklion Port Authority A.E. aufgenommenen Überwachungsaufnahmen erhielt. Infolgedessen verhängte die griechische Datenschutzbehörde gegen das Unternehmen eine Geldstrafe von 30.000 EUR wegen Verstoßes gegen Artikel 12(1), 12(2) und 15 der DSGVO.
Hier finden Sie eine detailliertere Beschreibung des Falles. Im Gebiet der Heraklion Port Authority A.E. war die betroffene Person mit einer anderen Person in einen Verkehrsunfall verwickelt. Ein von der Organisation betriebenes Videoüberwachungssystem zeichnete den Unfall auf. Daraufhin reichte die betroffene Person per E-Mail eine Anfrage mit der Bitte um das Überwachungsmaterial ein. Das Unternehmen weigerte sich jedoch, das Material zur Verfügung zu stellen, mit der Begründung, dass es dies auf ausdrücklichen Wunsch der Staatsanwaltschaft tun werde. Die betroffene Person wiederholte die Anfrage und wies darauf hin, dass die Aufnahmen der Überwachung notwendig seien, um die Schuld der anderen am Autounfall beteiligten Person nachzuweisen. Er erhielt jedoch keine Antwort.
Die betroffene Person wandte sich wegen einer Verletzung des Auskunftsrechts an die Daten an die HDPA. Die HPA begründete dies damit, dass sie das Material nicht freigegeben habe, da die betroffene Person den Antrag 37 Tage nach dem Vorfall gestellt habe. Die Organisation verwies auf eine Anweisung, dass Daten nach 15 Tagen nicht mehr freigegeben werden dürfen. Darüber hinaus teilte die HPA mit, dass die Daten gelöscht worden seien.
Die Untersuchung ergab, dass die HPA die Daten nicht löschte und kein Recht hatte, den Zugriff auf das Material zu verweigern. HDPA betonte, dass die 15-Tage-Frist der vom Unternehmen in Anspruch genommenen Richtlinie auf 30 Tage verlängert worden sei. Infolgedessen verhängte die griechische Datenschutzbehörde gegen die Organisation eine Geldstrafe wegen Verstoßes gegen Artikel 15 der DSGVO. Darüber hinaus verstieß das griechische Unternehmen gegen Artikel 12 Absätze 1 und 2 der DSGVO, indem es nicht einmal negativ auf eine Datenzugriffsanfrage reagierte.
Zusammenfassend verhängte die HDPA gegen das Unternehmen ein Bußgeld in Höhe von 30.000 Euro.
Hier finden Sie detaillierte Informationen auf Griechisch.
4. Kroatischer Tankstellenbetreiber mit Geldstrafe belegt
(GDPR Art.)
Im vorliegenden Fall handelt es sich um einen Verstoß gegen Art. 15 Sek. 3 der Datenschutz-Grundverordnung. Die kroatische Datenschutzbehörde verhängte gegen eine der Tankstellen des Energieunternehmens (deren Name derzeit nicht verfügbar ist) eine Geldstrafe von 940.000,00 HRK (124.245 EUR).
Schauen wir uns die Details dieses Falles an. Die betroffene Person nahm die Dienste einer Tankstelle in einer Niederlassung des Unternehmens in Anspruch. Der Kunde war mit der Messung des eingefüllten Kraftstoffs nicht zufrieden. Gemäß den Verbraucherschutzgesetzen hat die betroffene Person eine Beschwerde eingereicht. Anschließend forderte die betroffene Person eine Kopie des von den Überwachungskameras aufgezeichneten Materials unter Angabe des genauen Datums und der genauen Uhrzeit des Aufenthalts auf der Station an. Leider hat das Unternehmen dieser Anfrage aus folgenden Gründen nicht stattgegeben:
- Fehlen einer schriftlichen Anfrage der zuständigen Behörden nach einer Kopie der Aufzeichnung
- Ungerechtfertigter Zweck
- Der Erhalt einer Kopie würde die Rechte der Tankstellenmitarbeiter und Kunden, die sich zu diesem Zeitpunkt an der Tankstelle aufhielten, negativ verletzen
Nachdem der Kunde eine allgemeine Stellungnahme der Datenschutzbehörde erhalten hatte, teilte das Unternehmen mit, dass es das Überwachungsmaterial nicht veröffentlichen könne, da es nach sieben Tagen gelöscht worden sei. Die Datenschutzbehörde betrachtete dieses Verhalten als Verstoß gegen Artikel 15 des RODO. Darüber hinaus wurde festgestellt, dass das Unternehmen dadurch, dass es keinen Zugang zu den Überwachungsaufzeichnungen gewährte, indirekt einen materiellen Schaden vermieden hat, der ihm infolge eines Verbraucherrechtsstreits mit der betroffenen Person hätte entstehen können. Das Unternehmen entsorgte auch die Aufnahme, die in dem Fall als Beweismittel gedient hätte. Unter diesen Umständen erließ die kroatische Datenschutzbehörde am 8. März eine Entscheidung, mit der das Energieunternehmen wegen Verletzung des Rechts der betroffenen Person auf Zugang zu den Aufzeichnungen mit einer Geldstrafe von 940.000,00 HRK belegt wurde.
Weitere Einzelheiten zu diesem Fall finden Sie hier. Das Material ist auf Kroatisch verfügbar.
5. Kroatischer Tankstellenbetreiber mit Geldstrafe belegt
(GDPR Art.)
Im März 2022 wurde der rumänische Supermarkt Kaufland Rumänien SCS mit einer Geldstrafe von 2.000 Euro belegt. Die rumänische Datenschutzbehörde stellte fest, dass das Unternehmen gegen Artikel 15 der DSGVO verstößt.
Obwohl es sich um einen eher geringen Bußgeldfall handelt, ist es erwähnenswert, dass Kaufland Rumänien SCS allein im Jahr 2022 mindestens dreimal mit einer Geldstrafe belegt wurde.
Lassen Sie uns die Einzelheiten dieses speziellen Falles untersuchen. Aufgrund einer Beschwerde der betroffenen Person leitete die Datenschutzbehörde ein Verfahren ein. Der Administrator kam der Bitte der betroffenen Person, Zugang zu den Überwachungsaufzeichnungen zu gewähren, nicht nach. Obwohl die Aufnahmen zum gewünschten Datum verfügbar waren, schickte der Administrator keine vollständige Kopie der von der Kamera registrierten Materialien. Die Nichtbereitstellung der Daten gegenüber der betroffenen Person stellt einen Verstoß gegen Art. 15 DSGVO dar. Die rumänische Datenschutzbehörde verhängte daher ein Bußgeld in Höhe von 2.000 Euro gegen den Supermarkt. Darüber hinaus wurden Korrekturmaßnahmen gegen den Administrator ergriffen. Der rumänische Supermarkt sollte der betroffenen Person alle angeforderten Bilder zur Verfügung stellen, sofern welche verfügbar waren. Damit das geteilte Material die Rechte anderer Personen nicht beeinträchtigt, sollte der Administrator natürlich Bilder verwischen, die zu ihrer Identifizierung führen.
Obwohl es sich um einen eher geringen Bußgeldfall handelt, ist es erwähnenswert, dass Kaufland Rumänien SCS allein im Jahr 2022 mindestens dreimal mit einer Geldstrafe belegt wurde.
Unter diesem Link finden Sie alle Informationen zu diesem Fall auf Rumänisch.
6. Hohe Geldstrafe gegen Limerick City and County Council verhängt
(GDPR Art.)
Mit Beschluss vom 9. Dezember 2021 wurde der Stadt- und Kreisrat von Limerick mit einer Geldstrafe von 110.000 EUR belegt. Die Strafe wurde wegen Verstoßes gegen Folgendes verhängt:
- Artikel 13, der sich auf die Informationen bezieht, die bei der Erhebung von Daten bei der betroffenen Person bereitgestellt werden.
- Artikel 12, der sich mit der Prüfung dieser Informationen befasst.
- Artikel 15, der das Auskunftsrecht der betroffenen Person beschreibt.
Hier sind die Details des Falles. Nach einer Inspektion der Verarbeitung personenbezogener Daten stellte die irische Datenschutzbehörde fest, dass die Grafschaft Limerick gegen eine Reihe von Datenschutzgesetzen verstößt. Die Untersuchung ergab, dass der Einsatz von Überwachung illegal war. Nur 44 der 401 CCV-Kameras erfüllten die Datenschutzanforderungen. Die irische Datenschutzbehörde stellte fest, dass viele der installierten Kameras für andere als die vorgesehenen Zwecke verwendet wurden. Darüber hinaus wurden einige ohne entsprechende Genehmigung mit einer automatischen Kennzeichenerkennung ausgestattet.
Darüber hinaus veröffentlichte der Kreisrat auf seiner Website keine Informationen über CCTV-Kameras, die für das Verkehrsmanagement eingesetzt werden. Es verstoße somit gegen Art. 13 DSGVO. Der Rat versäumte es, diese Informationen auf transparente und leicht zugängliche Weise bereitzustellen, was einen Verstoß gegen Artikel 12 darstellt. Darüber hinaus verstieß der Kreisrat gegen Artikel 15, indem er Zugriffsanfragen im Zusammenhang mit der Datenverarbeitung im Verkehrsmanagementzentrum verweigerte. Aufgrund dieser Verstöße verhängte die irische Datenschutzbehörde eine Geldstrafe von 110.000 EUR gegen den County Council. Der Kommissar ordnete außerdem an, diese Kameras für bis zu 120 Tage abzuschalten. Insbesondere Kameras, die die Nummernschilder von Fahrzeugen lesen, die durch die Stadt fahren.
7. Das griechische kommunale Verkehrsunternehmen erleidet eine moderate Strafe
(GDPR Art.)
Die griechische Datenschutzbehörde erließ am 3. September 2021 eine Entscheidung, mit der gegen das städtische Verkehrsunternehmen RODA eine Geldstrafe von 8.000 EUR verhängt wurde. Der Administrator hat gegen die folgenden DSGVO-Artikel verstoßen:
- Artikel 5 Absatz 1 Buchstabe c in Bezug auf personenbezogene Daten, die angemessen, relevant und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt sein sollten.
- Kunst. Art. 12 Abs. 3 DSGVO Art. Art. 12 Abs. 3 DSGVO, der besagt, dass der Administrator der betroffenen Person unverzüglich Informationen über die im Zusammenhang mit der Anfrage ergriffenen Maßnahmen zur Verfügung stellen muss.
- Artikel 15 über das Auskunftsrecht der betroffenen Person.
Ehemalige Mitarbeiter des städtischen Verkehrsunternehmens RODA reichten Beschwerde gegen den Datenverantwortlichen ein. Diese Leute befanden sich in einem Rechtsstreit. In dem Fall ging es um angebliche Unterschlagung, die der Verwalter einem ehemaligen Mitarbeiter vorwarf. Infolgedessen forderte die betroffene Person eine Kopie der Aufzeichnungen des Busüberwachungssystems an dem Tag, an dem sich der Vorfall angeblich ereignete. Die Überwachungsaufnahmen sollten als Beweismittel für die Verteidigung in einem Strafverfahren verwendet werden. Leider reagierte der Verwalter des städtischen Verkehrsunternehmens nicht auf die Anfrage des ehemaligen Mitarbeiters und verstieß damit gegen Art. 12 und 15 der DSGVO. Die griechische Datenschutzbehörde hat gegen den Datenverantwortlichen eine Geldstrafe von 5.000 EUR verhängt. Darüber hinaus stellte der Administrator dem ehemaligen Mitarbeiter eine Bescheinigung aus, in der es hieß:
- die Art und Dauer der Beschäftigung
- den Grund für die Entlassung, bei der es sich angeblich um ein Verbrechen handelte.
Die griechische Behörde sah darin einen Verstoß gegen Art. 5 DSGVO und verhängte ein Bußgeld in Höhe von 3.000 Euro.
Hier ist die Entscheidung der griechischen Datenschutzbehörde.
8. Eine weitere Strafe für Kaufland in Rumänien
(GDPR Art.)
Im Januar 2021 hat die rumänische Datenschutzbehörde beschlossen, den Betreiber von Kaufland Rumänien SCS wegen Verstoßes gegen Artikel 15 der DSGVO zu bestrafen. Weil der Administrator gegen das Recht auf Datenzugriff verstoßen hatte, verhängte die Behörde gegen ihn eine Geldstrafe von 14.846,4 Lei (umgerechnet 3.000 Euro).
Beim Datenschutzbeauftragten wurde eine Beschwerde eingereicht, in der die betroffene Person angab, dass der Administrator von Kaufland Rumänien SCS ihr keine vollständige Kopie der Überwachungsaufzeichnung zur Verfügung gestellt habe. Laut Gesetz ist der Verantwortliche verpflichtet, der betroffenen Person die Überwachungsaufzeichnungen zur Verfügung zu stellen. Der Administrator ist außerdem verpflichtet, eine Reihe technischer und organisatorischer Maßnahmen zu ergreifen, um die Rechte anderer natürlicher Personen nicht zu verletzen. Daher sollten die Gesichter aller in der Aufnahme vorkommenden Personen unscharf sein. Gleiches gilt für Nummernschilder. Da der Administrator von Kaufland Rumänien SCS der betroffenen Person nicht die gesamte Aufzeichnung zur Verfügung stellte, wurde ihm eine Geldstrafe auferlegt. Bei Verstößen gegen die Bestimmungen der Kunst. 15 Sek. Sek. 3 verhängte die rumänische Datenschutzbehörde (ANSPDCP) eine Geldstrafe von 3.000 EUR.
Das Originalmaterial zu diesem Fall finden Sie hier.
9. Hohe Geldstrafe für örtlichen Ladenbesitzer in Ungarn
(GDPR Art.)
Am 23. Oktober 2020 beschloss die ungarische nationale Behörde für Datenschutz und Informationsfreiheit, ein Schuhgeschäft wegen Verstoßes gegen Bestimmungen im Zusammenhang mit der DSGVO zu bestrafen. Das Geschäft wurde mit einer Geldstrafe von 20.000.000 FT (54.800 EUR) belegt, weil es gegen die folgenden Artikel verstoßen hatte: Art. 12 DSGVO, Art. 15 DSGVO, Art. Art. 18 Abs. 1 lit. c DSGVO und Art. 25 DSGVO.
Am 26. Mai 2018 kaufte ein Kunde im Geschäft des Verwalters ein und erhielt kein Wechselgeld. Die betroffene Person forderte vom Unternehmen die Herausgabe einer Kopie der Videoüberwachungsaufzeichnung. Sie begründeten ihr Verlangen damit, dass sie nachweisen wollten, dass er nach der Zahlung kein Wechselgeld erhalten habe. Im Antrag verweist die betroffene Person unter Hinweis auf den Ausschluss aus Art. 18 Sek. 1 lit. c DSGVO forderte den Administrator auf, die betreffende Aufzeichnung nicht zu löschen. Das Unternehmen kam der Aufforderung jedoch nicht nach. Der Administrator weigerte sich, die Aufnahmen zur Verfügung zu stellen, und begründete dies damit, dass die Aufnahmen der Kamera auf Anfrage der Polizei zur Verfügung gestellt werden könnten. Dieses Vorgehen verstößt gegen Art. Darüber hinaus verstieß der Shop gegen die DSGVO, indem er das Video trotz ausdrücklichen Wunsches der betroffenen Person aus der Überwachung entfernte.
Die ungarische Datenschutzbehörde stellte außerdem fest, dass das Geschäft keine angemessenen organisatorischen Maßnahmen ergriffen hat, um das Auskunftsrecht der betroffenen Personen zu gewährleisten, was einen Verstoß gegen Art. 25 DSGVO. Darüber hinaus stellte die Behörde fest, dass das Geschäft gegen Art. Art. 12 DSGVO dadurch, dass er keine Auskunft über die Verweigerung der Bereitstellung der Aufzeichnung erteilt und nicht darlegt, warum die Aufzeichnung nicht über die übliche Speicherfrist hinaus gespeichert wurde.
Aufgrund dieser Verstöße verhängte die ungarische Datenschutzbehörde ein Bußgeld in Höhe von 54.800 Euro gegen das Schuhgeschäft.
Weitere Informationen zu diesem Fall finden Sie im verlinkten Material.
10. Wohngemeinschaft aus Spanien mit Geldstrafe belegt
(GDPR Art.)
Wegen eines Verstoßes gegen den Schutz personenbezogener Daten zahlte die Wohnungsbaugesellschaft ein Bußgeld in Höhe von 900 Euro. Der Verstoß betraf Art. 5 DSGVO. Hier sind die Details des Falles.
Die Datenschutzbehörde erhielt ein Dokument, das auf einen möglichen Verstoß gegen die Bestimmungen zum Schutz personenbezogener Daten durch die Installation eines Videoüberwachungssystems hinweist. Die Untersuchung ergab, dass es im Gebäude 57 Kameras gab, darunter eine deaktivierte in der Turnhalle. Einige Kameras erfassten jedoch öffentliche Räume. Die spanische Behörde sah darin einen Verstoß gegen Art. 5 DSGVO, also den Grundsätzen der Datensparsamkeit.
Unter Berücksichtigung aller Umstände verhängte die Behörde gegen die Wohnungsbaugesellschaft ein Bußgeld in Höhe von 900 Euro. Erwähnenswert ist, dass die Behörden zunächst ein Bußgeld in Höhe von 1.500 Euro verhängten. Es wurde jedoch aufgrund freiwilliger Zahlung und Anerkennung der Verantwortung geändert.
Das Originalmaterial auf Spanisch ist unter diesem Link verfügbar.
11. Einem Hausbesitzer wurde eine Geldstrafe auferlegt, weil er den öffentlichen Raum außerhalb seiner privaten Räumlichkeiten aufgezeichnet hatte
(GDPR Art.)
Mit der Entscheidung vom 10. November 2022 bestrafte die spanische Datenschutzbehörde eine Privatperson, die gegen Artikel 5 der DSGVO verstoßen hat. Gegen die Person wurde eine Geldstrafe von insgesamt 300 Euro verhängt.
Während der Streife bemerkte die Zivilgarde eine Kamera im Fenster einer Privatperson, die den öffentlichen Raum störte. Die Person behauptete, dass die Kamera als Video-Gegensprechanlage zur Überwachung des Parkplatzes seines Fahrzeugs fungierte. Die Datenschutzbehörde sah darin jedoch einen Verstoß gegen Art. Art. 5 Abs. 1 lit. c DSGVO. Darin heißt es, dass personenbezogene Daten angemessen, relevant und auf das für die Zwecke ihrer Verarbeitung erforderliche Maß beschränkt sein müssen („Datenminimierung“). Bei der Installation einer Kamera ist es wichtig, Informationen über den Verwendungszweck und den Verantwortlichen für die Verarbeitung der erfassten personenbezogenen Daten bereitzustellen. Darüber hinaus sollten Einzelpersonen Kameras auf private Räume richten.
Infolgedessen verhängte die spanische Datenschutzbehörde gegen die Person eine Geldstrafe von 300 EUR. Darüber hinaus forderte die Datenschutzbehörde die Person auf, die Kamera innerhalb von 15 Arbeitstagen nach Erhalt des Verwaltungsakts zu entfernen.
Detaillierte Informationen auf Spanisch finden Sie unter diesem Link.
12. Bußgeld für ein spanisches Unternehmen, das gegen einige grundlegende Regeln zur Videoüberwachung verstößt
(GDPR Art.)
Die nächste Angelegenheit betrifft das spanische Unternehmen Lorent 2013 SL. Der Verantwortliche wurde von der spanischen Datenschutzbehörde wegen Verstoßes gegen das Gesetz der DSGVO mit einer Geldstrafe von 600 EUR belegt. Lorent 2013 SL hat gegen Artikel 5 der DSGVO verstoßen, der unter anderem den Grundsatz der Datenminimierung betrifft.
Der Stadtrat von Murcia schickte ein Schreiben, in dem er darauf hinwies, dass der Datenverantwortliche eine Videoüberwachung durchgeführt habe, ohne ausreichende Informationen bereitzustellen. Darüber hinaus werden CCV-Kameras ohne vorherige behördliche Genehmigung für eine solche Aktion auf einen öffentlichen Raum gerichtet.
Laut Gesetz muss die Videoüberwachung auf private Räume ausgerichtet sein. Es ist verboten, den öffentlichen Raum ohne triftigen Grund abzudecken. Darüber hinaus ist es für die CCTV-Überwachung obligatorisch, über einen gut sichtbaren Informationshinweis zu verfügen, in dem die Ziele und die Person angegeben sind, die für die Verarbeitung der betreffenden personenbezogenen Daten verantwortlich ist.
Das Verfahren ergab, dass Lorent 2013 SL gegen Artikel 5 (1) c) zur Datensparsamkeit verstoßen hat. Daher verhängte die spanische Datenschutzbehörde eine Strafe in Höhe von 600 EUR gegen das Unternehmen. Darüber hinaus war der Verantwortliche verpflichtet, ein Informationsplakat anzubringen, das darauf hinwies, dass es sich um einen Videoüberwachungsbereich handelte. Darüber hinaus erfasste die Deaktivierung der Kamera den öffentlichen Raum.
Weitere Informationen finden Sie unter diesem Link. Dies ist eine ursprüngliche Entscheidung der spanischen Datenschutzbehörde.
13. Bußgeld für die unbefugte Überwachungsinstallation einer Privatperson
(GDPR Art.)
Am 29. November 2022 wurde einer Privatperson durch die Entscheidung der spanischen Datenschutzbehörde ein Bußgeld in Höhe von 500 EUR auferlegt. In diesem Fall geht es um einen Verstoß gegen Artikel 5 der DSGVO.
Am 1. April 2022 erhielt die spanische Datenschutzbehörde eine Anfrage der Zivilgarde. Die Beschwerde richtete sich gegen eine Privatperson. Aus dem Brief ging hervor, dass die Person ein Videoüberwachungssystem installiert hatte, dessen Kameras den öffentlichen Raum abdeckten. Darüber hinaus verfügte die Privatperson über keine behördliche Befugnis. Darüber hinaus veröffentlichte der Verantwortliche das aufgezeichnete Video im sozialen Netzwerk Facebook. Ein Kontrolleur begründete die Installation der Kameras unter anderem mit der Situation der Tierquälerei.
Gemäß den gesetzlichen Bestimmungen ist es Privatpersonen, außer in gesetzlich zulässigen Fällen, verboten, Videoüberwachungssysteme zu installieren, die darauf abzielen, Bilder von öffentlichen Bereichen zu erhalten. In dem Verfahren wurde nachgewiesen, dass der Verantwortliche Bilder des öffentlichen Raums erwirbt, Daten von Dritten verarbeitet und diese in sozialen Netzwerken verbreitet.
Die spanische Datenschutzbehörde sah darin einen Verstoß gegen den Grundsatz der Datenminimierung (Art. 5 (1)c)). Daher verhängte es gegen die Privatperson ein Bußgeld in Höhe von 500 Euro.
14. Bußgeld wegen Nichteinhaltung mehrerer DSGVO-Artikel in Ungarn
(GDPR Art.)
Am 18. Dezember 2018 verhängte NAIH gegen einen Verantwortlichen ein Bußgeld in Höhe von 3.200 EUR. Diese Strafe wurde verhängt wegen Verstößen gegen:
- Art. 12 Abs. 4 DSGVO dadurch verletzt, dass die betroffene Person nicht über ihre Fähigkeit, eine Beschwerde beim zuständigen Organ einzureichen, informiert wird.
- Art. 13 DSGVO stellt der betroffenen Person bei der Erhebung personenbezogener Daten nicht alle Informationen zur Verfügung.
- Art. 15 DSGVO, indem die Überwachungsaufzeichnungen der betroffenen Person nicht zugänglich gemacht werden.
- Artikel 18 (1) c), indem es die Aufzeichnungen nicht für eine spätere Verwendung durch die betroffene Person speichert.
Die ungarische Datenschutzbehörde (NAIH) hat eine Anfrage erhalten, dass der Verantwortliche den Aufforderungen zur Ausübung der Rechte der betroffenen Person nicht nachgekommen ist. Die Person wandte sich persönlich an den Verantwortlichen, um Zugang zur Audioaufzeichnung der Hauptversammlung zu erhalten. Darüber hinaus hat die betroffene Person darum gebeten, die Aufzeichnungen der Kameras nicht zu löschen. Sie erklärten, dass der Verantwortliche die Aufzeichnungen sperren und Kopien davon für das Gerichtsverfahren und den Rechtsstreit über den rechtlichen Status der Wertpapiere bereitstellen müsse. Der Verantwortliche kam jedoch keiner der Aufforderungen nach. In diesem Zusammenhang reichte die betroffene Person eine Beschwerde beim NAIH ein. Die Untersuchung ergab, dass der Verantwortliche gegen die DSGVO-Rechte verstoßen hat. Daher wurde ihm eine Geldstrafe von insgesamt 1.000.000 FT, umgerechnet 3.200 Euro, auferlegt.
Einzelheiten zu diesem Fall können dieser Entscheidung entnommen werden.
15. Lokale Bank mit Geldstrafe belegt, weil sie keinen Zugang zu Audio- und Videoaufzeichnungen gewährt
(GDPR Art.)
Am 21. Mai 2019 erließ die ungarische Datenschutz- und Informationsfreiheitsbehörde einen Beschluss, mit dem eine Geldbuße in Höhe von 2.000 EUR gegen eine lokale Bank verhängt wurde. Der Verantwortliche hat gegen folgende DSGVO-Artikel verstoßen: Art. Art. 12 Abs. 3, 4, 5 DSGVO, Art. Art. 15 DSGVO und Art. 18 DSGVO.
Bei der betroffenen Person handelte es sich um einen Kunden einer örtlichen Bank. Sie baten um Erlaubnis, Aufzeichnungen von Telefongesprächen und Überwachungsaufnahmen ansehen zu dürfen. Der Verantwortliche stellte sowohl Kopien der Telefonanrufaufzeichnungen als auch die Möglichkeit zur Verfügung, die CCTV-Aufzeichnungen vor Ort anzusehen. Obwohl die Bank vor Ort Einsicht in die Aufnahmen gewährte, weigerte sie sich, eine Kopie des Materials herauszugeben. Der Verantwortliche begründete seine Weigerung damit, dass die Aufzeichnung personenbezogene Daten Dritter enthalte. Es sollte erwähnt werden, dass dies nicht legal ist, da die Daten anderer Personen gelöscht werden können. Folglich stellte die NAIH fest, dass dies einen Verstoß gegen Art. 15 DSGVO. Darüber hinaus habe die Bank auch gegen Art. 12, da es nicht rechtzeitig geantwortet hat, sowie Art. 18 durch Verletzung des Rechts auf Einschränkung der Datenverarbeitung.
Unter Berücksichtigung all dieser Verstöße verhängte das NAIH gegen die Bank eine Geldstrafe in Höhe von 2.000 EUR.
Einzelheiten zu diesem Fall finden Sie unter diesem Link.
16. Lokale Bank mit Geldstrafe belegt, weil sie keinen Zugang zu Audio- und Videoaufzeichnungen gewährt
(GDPR Art.)
Die Ungarische Nationale Behörde für Datenschutz und Informationsfreiheit (NAIH) erließ eine Entscheidung, mit der ein Bußgeld in Höhe von 5.800 EUR verhängt wurde. Der Administrator hat gegen Art. verstoßen. 6 und Kunst. 15 DSGVO.
Das Sicherheitspersonal der Bar griff die betroffene Person an und verursachte leichte gesundheitliche Schäden. Das Ereignis wurde von den im Gebäude installierten Kameras festgehalten. Folglich beantragte die betroffene Person, die Aufzeichnungen aufzubewahren, bis die Polizei weitere Maßnahmen ergreife. Sie forderten auch Zugang zu Überwachungsvideos. Sie erhielten jedoch keine Antwort. Darüber hinaus behauptete die betroffene Person, dass die Kameras öffentliche Plätze illegal überwachten. Bei der Untersuchung stellte der Administrator fest, dass die Aufnahmen gesperrt worden waren. Die Wahrheit ist, dass er niemanden darüber informiert hat. Da der Sachbearbeiter weder von der Polizei noch von der betroffenen Person eine Aufforderung zum weiteren Vorgehen erhielt, entfernte er die zuvor gesperrten Aufnahmen. Der Administrator löschte die Aufzeichnungen nach dreißig Tagen, basierend auf den damals geltenden Vorschriften. Er hat die betroffene Person über diesen Umstand informiert.
Der Administrator begründete außerdem, dass die Kameras den Eingang zum Gebäude überwachen und Teile des öffentlichen Raums nicht vollständig sichtbar seien.
Bei der Untersuchung betrachtete das NAIH es als mildernden Umstand, dass im fraglichen Zeitraum noch Regeln in Kraft waren, die nicht im Einklang mit der Datenschutz-Grundverordnung standen, und dass der Administrator noch nie zuvor wegen Verstößen gegen die DSGVO bestraft worden war .
Letztendlich verhängte NAIH eine Geldstrafe von 5.800 EUR wegen Verstößen gegen:
- Kunst. 15 DSGVO: Der Administrator hat der betroffenen Person die Aufzeichnungen nicht zur Verfügung gestellt.
- Kunst. 6 der DSGVO: Der Administrator konnte nicht nachweisen, dass die Datenverarbeitung rechtmäßig ist.
Weitere Informationen zu diesem Thema finden Sie hier.
17. Eine kleine Geldstrafe gegen die Wohnungseigentümergemeinschaft in Spanien
(GDPR Art.)
Durch die Entscheidung der spanischen Datenschutzbehörde (AEPD) vom 3. Dezember 2022 wurde einer Wohnungseigentümergemeinschaft ein Bußgeld von 300 EUR wegen Verletzung von Rechten im Zusammenhang mit der DSGVO auferlegt. Der Verantwortliche hat gegen Art. 5 Abs. 1 lit. c DSGVO zur Datenminimierung verstoßen.
Im Mai 2022 erhielt die Generaldirektion Datenkontrolle (SGID) einen Brief. Die betroffene Person hat angegeben, dass der Vorsitzende dieser Gemeinde in den öffentlichen Bereichen des Gebäudes, in dem sie wohnt, eine Videoüberwachungskamera installiert hat. Die Person fügte außerdem hinzu, dass die Überwachung nicht ordnungsgemäß gekennzeichnet sei.
Die Untersuchung ergab, dass die CCTV-Überwachung einen öffentlichen Bereich abdeckt. Darüber hinaus wurde zwar ein Informationsplakat über die Überwachung angebracht, dieses enthielt jedoch keine Informationen über den für die Datenverarbeitung Verantwortlichen und die Art und Weise der Ausübung der Rechte gemäß der geltenden DSGVO. Die spanische Datenschutzbehörde sah darin einen Verstoß gegen den Grundsatz der Datenminimierung. Infolgedessen verhängte es unter Berücksichtigung aller Umstände ein Bußgeld in Höhe von 300 EUR. Darüber hinaus war der Verantwortliche verpflichtet, das Informationsplakat zu ändern und der Datenschutzbehörde diesbezüglich Beweise vorzulegen.
Weitere Informationen finden Sie im ursprünglichen Beschluss. Der Link ist hier.
Schlussfolgerungen
Da unser Team nur über begrenzte Kenntnisse und Ressourcen verfügt, war es unmöglich, alle in den vergangenen Jahren verhängten Bußgelder im Zusammenhang mit der Videoüberwachung abzudecken. Vielleicht sind dies einige repräsentative Beispiele, und es gibt noch viele weitere. Wir werden die neuesten Entwicklungen weiterhin beobachten und den Bericht erweitern, sobald weitere Fälle von Verstößen auftreten.
Einige Überlegungen, die man im Hinterkopf behalten sollte, sind, dass sich die Regulierungsbehörden erst vor relativ kurzer Zeit für den Schutz des Bildes von Personen interessiert haben, die in Bildmaterialien im Zusammenhang mit der Verarbeitung personenbezogener Daten registriert sind.
Es ist mit einer Weiterentwicklung der Gesetzgebung zu rechnen, die die Rechte des Einzelnen immer besser schützt, Verarbeitungsstellen mehr Befugnisse einräumt und Verstöße immer härter strafrechtlich verfolgt.
Es ist davon auszugehen, dass die Zahl und Härte der Strafen in den kommenden Jahren nur noch zunehmen wird. Für Videoüberwachungsbetreiber gibt es kein „Business-as-usual“ mehr.