Show Less
Open access

Smarte private Videoüberwachung

Die Zulässigkeit intelligenter Videoüberwachung durch nicht öffentliche Stellen im öffentlich zugänglichen Raum gemäß § 6b BDSG

Series:

Julia Kristina Krumm

Das Buch behandelt die Frage des zulässigen Einsatzes sogenannter intelligenter Videoüberwachungssysteme durch Private im öffentlichen Raum am Maßstab des §6b BDSG a.F. . Die Autorin befasst sich hierzu mit der systemkonformen Auslegung anhand des Grundgesetzes, der Charta der Grundrechte der Europäischen Union, der EMRK und der DSRL 95/46/EG sowie der Rechtsprechung der jeweiligen Verfassungsgerichtsbarkeiten. Sie zeigt auf, dass in einem Gefüge komplexer Wertentscheidungen angesichts des betroffenen Rechts auf informationelle Selbstbestimmung und der grundgesetzlichen Diskriminierungsverbote differenzierte Einzelfallabwägungen entlang eines aufgestellten Kriterienkataloges zu treffen sind. Das zu § 6b BDSG a. F. entwickelte Ergebnis besteht auch vor § 4 BDSG n. F. und der EU-DSGVO.

Show Summary Details
Open access

H. § 6b BDSG und die Europäische Datenschutz-Grundverordnung

←210 | 211→

H. § 6b BDSG und die Europäische Datenschutz-Grundverordnung

Der Datenschutz auf EU-Ebene ist im Bereich der automatisierten Verarbeitung personenbezogener Daten maßgeblich durch die Datenschutzrichtlinie 95/46/EG geprägt. Ihr Zweck besteht darin, den europäischen Datenschutz zu harmonisieren. Da sie jedoch von den Mitgliedstaaten in unterschiedlicher Weise umgesetzt wurde, entstanden voneinander abweichende Schutzniveaus und Rechtsunsicherheit.1210 Um den Datenschutz in der Europäischen Union zu vereinheitlichen und zu verbessern,1211 wurde am 27. April 2016 die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Europäische Datenschutz-Grundverordnung) verabschiedet.1212 Die Europäische Datenschutz-Grundverordnung (DSGVO) soll außerdem den Herausforderungen der Digitalisierung begegnen1213 und das Recht auf Datenschutz bei der Verarbeitung personenbezogener Daten nach Art. 8 Abs. 1 GRCh und Art. 16 Abs. 1 AEUV gewährleisten.1214

Die folgenden Ausführungen beschränken sich, angepasst an den Untersuchungsgegenstand und die Komplexität der Datenschutz-Grundverordnung, nach einem kurzen Überblick über den Entstehungsprozess (I.), die Kritik (II.) und die Besonderheiten der gewählten Rechtsaktform (III.), auf einen Vergleich zwischen § 6b BDSG und den Regelungen der Verordnung, die die Videoüberwachung betreffen (IV.). Abschließend erfolgt ein Einblick in die Regelungen durch das neue Bundesdatenschutzgesetz (V.).

←211 | 212→

I. Entstehung der Datenschutz-Grundverordnung

Die auf die Kompetenz aus Art. 16 Abs. 2 AEUV gestützte1215 Datenschutz-Grundverordnung wurde erstmals am 25. Januar 2012 von der damaligen EU-Justizkommissarin Reding vorgestellt. Nachdem das Gesetzgebungsvorhaben in das Europäische Parlament eingebracht wurde, bildeten die aus den Beratungen resultierenden Änderungsvorschläge sowie der am 8. Januar 2013 veröffentlichte Berichtsentwurf die Grundlage des anschließenden Trilogs mit dem Ministerrat und der Kommission. Im Anschluss gab die Article 29 Data Protection Working Group (Article 29 WP)1216 bekannt, dass sich der LIBE-Ausschuss1217 mit dem Entwurf der Datenschutz-Grundverordnung befasst hatte. Dieser einigte sich am 21. Oktober 2013 trotz zahlreicher Änderungsvorschläge1218 auf einen gemeinsamen Standpunkt (EP-E).1219 Diesen bestätigte das EU-Parlament am 12. März 2014. Parallel fanden die Beratungen der Mitgliedstaaten statt, die mit der allgemeinen Ausrichtung des Rates (Rats-E)1220 im Juni 2015 endeten. Der im Rahmen des Trilogs zwischen Kommission, Rat und Parlament gefundene Kompromiss durchlief letztlich das europäische Gesetzgebungsverfahren und die Datenschutz-Grundverordnung wurde verabschiedet. Sie gilt gemäß Art. 99 Abs. 2 DSGVO ab dem 25. Mai 2018 in den Mitgliedstaaten.

←212 | 213→

II. Kritik an der Datenschutz-Grundverordnung

Sowohl der Entwurf der Europäischen Datenschutz-Grundverordnung als auch der letztlich verabschiedete Rechtsakt ernteten Kritik.

1. Vor Inkrafttreten

Im Anschluss an die Vorstellung der geplanten EU-Reform zu Beginn des Jahres 2012 wurde das Konzept auf europäischer und nationaler Ebene kontrovers diskutiert.1221 Neben der US-Administration, die die neuen Schutzinstrumente der Verordnung durch eine informal note kritisierte,1222 äußerte sich die Article 29 WP zum Entwurf der Datenschutz-Grundverordnung. Sie sollte zu einem Europäischen Datenschutzausschuss ausgebaut werden und begrüßte die Vorschläge der EU-Kommission zur EU-Datenschutzreform im Grundsatz. Sie schlug allerdings vor, die ihr zugedachte Alleinzuständigkeit zu einer Hauptverantwortlichkeit abzuschwächen und diese bei rein nationalen datenschutzrechtlichen Sachverhalten gänzlich unangewendet zu lassen.1223 Die Datenschutzbeauftragten des Bundes und der Länder forderten den Erhalt eines hohen Datenschutzniveaus.1224 Hinterfragt wurde auch die zunehmende Kompetenz der Kommission, was als institutionelle Verschiebung auf europäischer Ebene empfunden wurde.1225 Die Kompetenzfülle böte zwar die Chance, mithilfe delegierter Rechtsakte und Durchführungsrechtsakte dem technologischen Fortschritt durch einheitliche EU-Regelungen Rechnung zu tragen,1226 überdehne aber ←213 | 214→Art. 290 Abs. 1 AEUV, da nicht nur unwesentliche Vorschriften entstünden. Das Kohärenzverfahren1227 mit der Kommission als unabhängigem Datenschutzkontrollgremium sei außerdem eine wenig positive Entwicklung. Es ergebe sich „eine in ihrer Weite unangemessene, primärrechtlich problematische und (…) systemwidrige Befugnisfülle.“1228

Der Kritik hielt Justizkommissarin Reding entgegen, dass die Befugnis der EU-Kommission delegierte Rechtsakte zu erlassen, der Kompetenzübertragung aus Art. 290 AEUV entspreche und auf eine Initiative des Europäischen Parlaments zurückzuführen sei. Durch die Zustimmungspflichtigkeit sei eine ausreichende Kontrolle gegen missbräuchliche oder zu weitgehende Rechtsakte gesichert.1229 In der Einrichtung eines Europäischen Datenschutzausschusses und der zentralen Zuständigkeit einer einzigen Datenschutzbehörde sah Reding die Chance zur Verbesserung der Rechtssicherheit, der Rechtseinheitlichkeit und der Wettbewerbsgleichheit in der Europäischen Union.1230 Das Kohärenzverfahren sei deshalb für die zuverlässige und schnelle Zusammenarbeit bei grenzüberschreitenden Sachverhalten das richtige Instrument.1231

2. Nach Inkrafttreten

Trotz jahrelanger Diskussionen, Forderungen nach Verbesserungen1232 und Änderungen, stößt die Datenschutz-Grundverordnung auch nach ihrer Verabschiedung auf Kritik.1233 Als problematisch wird betrachtet, dass sie das ←214 | 215→hochkomplexe und kleinteilig ausgebildete deutsche Datenschutzrecht durch ihre abstrakten und unbestimmten Regelungen nicht ausreichend abbilden und hinreichend regeln könne.1234 Auch die Öffnungsklauseln werden nicht nur als Gewinn betrachtet. Es wird befürchtet, dass sie die rechtliche Situation verkomplizieren und ein hohes Maß an Rechtsunsicherheit schaffen.1235 Zudem wird bemängelt, dass die Datenschutz-Grundverordnung durch die Informations- und Dokumentationspflichten Unternehmen übermäßig belasten und die Wirtschaft ausbremsen werde.1236

III. Bedeutung des gewählten Rechtsaktes

Die Europäische Datenschutz-Grundverordnung gilt als Verordnung im Sinne des Art. 288 Abs. 3 AEUV grundsätzlich in all ihren Teilen und unmittelbar in jedem Mitgliedstaat der Europäischen Union. Sie wird Bestandteil der nationalen Rechtsordnungen, der Europäische Gerichtshof besitzt die Auslegungshoheit über sie und ihr Datenschutzniveau darf durch die Mitgliedstaaten weder unter- noch überschritten werden.1237 Aufgrund des Anwendungsvorrangs des Unionsrechts1238 und der Pflicht zur loyalen Zusammenarbeit nach Art. 4 Abs. 3 AEUV1239 müssen zudem die Bundes- und Landesdatenschutzgesetze sowie die Datenschutzrichtlinie 95/46/EG prinzipiell unangewendet bleiben, wenn sie der Verordnung widersprechen.1240

←215 | 216→

Die Datenschutz-Grundverordnung enthält aber Regelungen, die den Mitgliedstaaten gesetzgeberischen Spielraum einräumen, sog. Öffnungsklauseln.1241 Diese erlauben es ihnen, zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder bestehende Regelungen aufrechtzuerhalten.1242 Die Ziele und Grundsätze der Datenschutzrichtlinie 95/46/EG besitzen nach Erwägungsgrund Nr. 9 DSGVO außerdem nach wie vor Gültigkeit. Durch diese Instrumente und Vorgaben wird der Schutzstandard der Datenschutz-Grundverordnung verändert1243 und es werden Ausnahmen von ihren verbindlichen Vorgaben geregelt. Dies widerspricht auf den ersten Blick dem prinzipiellen Regelungsgehalt einer EU-Verordnung nach Art. 288 Abs. 3 AEUV. Ein Motiv für die Integration der Öffnungsklauseln war jedoch das Verlangen, „die Möglichkeit [zu eröffnen], durch einzelstaatliches Recht weitergehende Regelungen zu treffen“1244. Ziel dieser Forderung war es, die entsprechend der jeweiligen Rechtstradition ausgeformten Grundrechte abzusichern und Raum für innovative Rechtsfortbildung zu schaffen.1245 Denn auf Unionsebene fehlt die Möglichkeit der Verfassungsbeschwerde und der Europäische Gerichtshof hat den Grundrechtsschutz im Bereich des allgemeinen Persönlichkeitsrechts1246 bislang nicht in der elaborierten Form ausgestaltet, wie es das Bundesverfassungsgericht getan hat.1247 Durch die Öffnungsklauseln sollen außerdem der Grundsatz der begrenzten Einzelermächtigung sowie die Verhältnismäßigkeits- und Subsidiaritätsprinzipien aus Art. 4 Abs. 3 AEUV und Art. 5 Abs. 3 AEUV sowie Art. 5 Abs. 4 AEUV respektiert werden.1248 Dies gelingt, da es aufgrund der Öffnungsklauseln keinen zwingenden Anpassungsbefehl gibt, weshalb kein Anpassungszwang besteht.1249 Die Verordnung ist deshalb ein „Hybrid zwischen Richtlinie und Verordnung“1250.

←216 | 217→

IV. Vergleich von § 6b BDSG mit den Regelungen zur Videoüberwachung in der Datenschutz-Grundverordnung

Um festzustellen, ob im Bereich der Videoüberwachung ein Anwendungsvorrang besteht, muss untersucht werden, inwiefern die Verordnung eine Regelung enthält, die unmittelbar auf diesen Sachverhalt anwendbar ist. Diese muss zudem hinreichend bestimmt und unbedingt formuliert sein, sodass eine weitere gesetzliche Konkretisierung zur Berechtigung oder Verpflichtung des Normadressaten unnötig ist.1251 Um herauszufinden, ob der Rechtsanwender für die Prüfung der Zulässigkeit intelligenter Videoüberwachung künftig statt auf das Bundesdatenschutzgesetz auf die Europäische Datenschutz-Grundverordnung zurückgreifen muss, wird im Folgenden untersucht, ob die Verordnung auf die intelligente Videoüberwachung anwendbar ist (1.). Denn solange der Anwendungsbereich nicht eröffnet ist, besteht kein Anwendungsvorrang. Anschließend werden § 6b BDSG und diejenigen Regelungen der Datenschutz-Grundverordnung, die für eine Beurteilung der intelligenten Videoüberwachung infrage kommen, überblicksartig verglichen (2.6.), da eine ausführliche Prüfung der Zulässigkeit intelligenter Videoüberwachung nach der Datenschutz-Grundverordnung nicht Gegenstand dieser Arbeit ist.

1. Eröffnung des Anwendungsbereichs der Datenschutz-Grundverordnung für die intelligente Videoüberwachung

Die Zulässigkeit intelligenter Videoüberwachung durch nicht öffentliche Stellen im öffentlich zugänglichen Raum ist in der Datenschutz-Grundverordnung nicht ausdrücklich geregelt. Sie enthält auch keine explizite Regelung zur herkömmlichen Videoüberwachung.

a) Regelungsadressat

Die Verordnung regelt gemäß Art. 1 DSGVO den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Hierzu verpflichtet sie keine öffentliche oder nicht öffentliche Stelle, sondern „Verantwortliche“ oder „Auftragsverarbeiter“1252. Dies sind nach Art. 4 Nr. 7 und Nr. 8 DSGVO unter anderem natürliche oder juristische Personen, die allein oder gemeinsam mit ←217 | 218→anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden oder personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Regelungsadressat der Datenschutz-Grundverordnung ist also der Adressatenkreis, der auch als „nicht öffentliche Stelle“ im Sinne von § 2 Abs. 4 S. 1 BDSG von § 6b Abs. 1 BDSG erfasst wird.1253 Die Datenschutz-Grundverordnung ist damit auf die in dieser Untersuchung betrachteten Verantwortlichen grundsätzlich anwendbar.

b) Sachlicher Anwendungsbereich

Die Verarbeitung umfasst nach Art. 2 Abs. 1 DSGVO und Art. 4 Nr. 2 DSGVO die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Zur Verarbeitung zählen nach Art. 4 Nr. 2 DSGVO auch die Vorgänge des Erhebens, des Erfassens, der Organisation, der Speicherung, des Auslesens und der Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung sowie der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Diese sind auch bei der intelligenten Videoüberwachung relevant. Der Schutz der personenbezogenen Daten ist nach Erwägungsgrund Nr. 15 zudem technologieneutral, sodass automatisierte Videoüberwachungstechnik wie die intelligente Videoüberwachung grundsätzlich der DSGVO unterfällt.

Art. 1 Abs. 1 DSGVO und Art. 2 DSGVO verlangen für die Eröffnung des Anwendungsbereichs der Verordnung einen Personenbezug. Da beim Einsatz intelligenter Videotechnik keine permanente Bildübertragung und dauernde Bildüberwachung nötig sind, ist die Bewertung, ab welchem Verarbeitungszeitpunkt personenbezogene Daten vorliegen, schwierig.1254 Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Erfasst werden sämtliche Informationen über ein Individuum, unabhängig vom Bezug zum Privatleben, zum Beruf oder zur Freizeitgestaltung.1255 Unklar ist, ob die Norm einen absoluten oder relativen Personenbezug regelt.1256 Der erste Halbsatz von Art. 4 Nr. 1 DSGVO könnte aufgrund des Begriffs „identifizierbar“ als Hinweis auf einen absoluten Personenbezug gelesen werden.1257 Art. 4 Nr. 1 DSGVO ←218 | 219→bestimmt auch im zweiten Halbsatz, dass „als identifizierbar eine natürliche Person angesehen [wird], die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“. Derartige Informationen stehen unter Umständen nicht nur der die intelligente Videoüberwachung einsetzenden nicht öffentlichen Stelle, sondern auch beliebigen Dritten zur Verfügung. Erwägungsgrund Nr. 26 DSGVO, wonach „alle Mittel berücksichtigt werden [sollten], die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden“, macht aber deutlich, dass nicht ein allumfassender Wissensbegriff gemeint ist. Vielmehr ist auf das dem menschlichen Operator im Einzelfall frei zugängliche, jedoch noch ohne unverhältnismäßigen Zeit- und Arbeitsaufwand verfügbare Wissen abzustellen.1258 Der Personenbezug innerhalb der DSGVO ist also relativ1259 und entspricht damit dem bereits im Rahmen des § 6b BDSG angenommenen.1260 Grundsätzlich ist er gegeben, sobald eine Identifikation des Überwachten durch den Betreiber möglich ist.1261

c) Räumlicher Anwendungsbereich

Für den räumlichen Anwendungsbereich der Datenschutz-Grundverordnung ist nach Art. 3 Abs. 1 DSGVO ausreichend, dass der für die intelligente Videoüberwachung Verantwortliche eine Niederlassung in der Europäischen Union hat, unabhängig davon, ob die Verarbeitung in der Union oder in dieser Niederlassung stattfindet.1262 Außerdem bestimmt Art. 3 Abs. 2 DSGVO nach dem sog. Marktortprinzip, dass die Verordnung auch anwendbar ist, wenn keine europäische Niederlassung vorliegt, aber personenbezogene Daten von Betroffenen verarbeitet werden, die sich in der Union aufhalten.1263 Damit weicht die Europäische Datenschutz-Grundverordnung von Art. 4 Abs. 1 Buchstabe a DSRL ←219 | 220→und seiner Umsetzung durch § 1 Abs. 5 BDSG ab. Denn bislang wird mitgliedstaatliches Recht auf Verarbeitungen personenbezogener Daten durch den Verantwortlichen angewendet, die im Rahmen der Tätigkeit seiner Niederlassung mit Sitz im Hoheitsgebiet des Mitgliedstaates ausgeführt wurden.

Für die intelligente Videoüberwachung durch nicht öffentliche Stellen im öffentlich zugänglichen Raum ist insbesondere Art. 3 Abs. 2 Buchstabe b DSGVO zu beachten. Er eröffnet den Anwendungsbereich für die Beobachtung von Personen, deren Verhalten in der Union stattfindet. Nach Erwägungsgrund Nr. 24 DSGVO liegt eine Verarbeitung, die der Beobachtung des Verhaltens dient, vor, wenn die Internetaktivitäten des Betroffenen nachvollzogen werden. Erfasst werden außerdem die mögliche nachfolgende „Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.“ Der Wortlaut des Art. 3 DSGVO beschränkt den Anwendungsbereich entgegen des ersten Anscheins nicht auf das Internet. Denn die Verordnung strebt nach Art. 1 Abs. 1 DSGVO den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten an und begrenzt diesen nicht. Nach Wortlaut und Telos der Verordnung ist der Begriff der Beobachtung des Verhaltens weit zu verstehen und erfasst auch die intelligente Videoüberwachung. Denn bei deren Einsatz im öffentlich zugänglichen Raum wird das Verhalten von Personen beobachtet und analysiert. Der räumliche Anwendungsbereich der Datenschutz-Grundverordnung ist somit für die intelligente Videoüberwachung eröffnet.

2. Erlaubnistatbestände für die intelligente Videoüberwachung in der Datenschutz-Grundverordnung

Die Datenverarbeitung ist nach Art. 6 Abs. 1 DSGVO zulässig, wenn der von ihr Betroffene seine Einwilligung erteilt hat oder einer der genannten gesetzlichen Fälle vorliegt, zum Beispiel die Verarbeitung zur Wahrnehmung der berechtigten Interessen des Verantwortlichen nach Art. 6 Abs. 1 Buchstabe f DSGVO. Damit wird das aus der Datenschutzrichtlinie 95/46/EG bekannte – und in Deutschland in § 4 Abs. 1 BDSG umgesetzte – Prinzip des Verbots mit Erlaubnisvorbehalt beibehalten.1264

←220 | 221→

a) Einwilligung

Die Einwilligung setzt gemäß Art. 6 Abs. 1 Buchstabe a DSGVO voraus, dass der Betroffene den genau festgelegten Verarbeitungszweck im Einzelfall kennt. Sie muss nach Art. 4 Nr. 11 DSGVO und Erwägungsgrund Nr. 32 DSGVO freiwillig und in Kenntnis der Sachlage durch eine „unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“ erfolgen. Damit sollen Zweifelsfälle über die bewusste Erteilung einer Einwilligung ausgeräumt und es soll sichergestellt werden, dass der Betroffene weiß, worin er einwilligt.1265 Aus Erwägungsgrund Nr. 43 DSGVO ergeben sich Indizien für die Beantwortung der Frage, ob eine konkludente Einwilligung zur Zulässigkeit des Einsatzes der intelligenten Videoüberwachung nach der Datenschutz-Grundverordnung führen kann.

Die Einwilligung als Rechtsgrundlage wird nach Erwägungsgrund Nr. 43 DSGVO grundsätzlich verworfen, wenn ein erhebliches Ungleichgewicht zwischen Betroffenem und Verwender besteht. Dieser klassischerweise aus dem Arbeitsrecht bekannte Aspekt der Disparität ist auch beim Einsatz intelligenter Videoüberwachung im öffentlich zugänglichen Raum durch eine nicht öffentliche Stelle relevant. Denn die nicht öffentliche Stelle besitzt aufgrund ihrer Kenntnisse über die Programmierung der Algorithmen einen Wissensvorsprung und kann den Betroffenen im Falle eines Alarms und eines positiven Treffers vom Zugang zu ihren Geschäften ausschließen. Der Betroffene hat zudem keinen Einfluss auf seine Überwachung und kann diese nicht ablehnen. Eine konkludente Einwilligung kann deshalb auch nach der DSGVO keine Rechtsgrundlage für die Implementierung intelligenter Videoüberwachung sein.

b) Wahrnehmung berechtigter Interessen

Einen § 6b Abs. 1 Nr. 2 und Nr. 3 BDSG ähnlichen Regelungsgehalt weist Art. 6 Abs. 1 Buchstabe f DSGVO auf. Danach ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener ←221 | 222→Daten erfordern, überwiegen“. Diese Form der Interessenabwägung ist aus der Anwendung der Datenschutzrichtlinie 95/46/EG und des § 6b BDSG vertraut. Der Begriff der „berechtigten Interessen“ in Art. 6 Abs. 1 Buchstabe f DSGVO entspricht dem Wortlaut des § 6b Abs. 1 Nr. 3 BDSG. Er bleibt jedoch in der Datenschutz-Grundverordnung ebenso undefiniert wie im Bundesdatenschutzgesetz.

Erwägungsgrund Nr. 47 DSGVO erklärt, das berechtigte Interesse liege vor, „wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht“, und es sei zu prüfen, „ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird.“ Dies wird konkretisiert durch den Zusatz, dass die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang und zum Zwecke der Direktwerbung ein berechtigtes Interesse darstellen könne. Nach Erwägungsgrund Nr. 49 DSGVO stellt die Datenverarbeitung ein berechtigtes Interesse der „Anbieter von Sicherheitstechnologien und -diensten“ dar, wenn sie unbedingt notwendig ist, um Informationssicherheit zu gewährleisten. Der Wortlaut des Erwägungsgrundes erfasst zwar auf den ersten Blick lediglich die Zuverlässigkeit und Gewährleistung von Computerdiensten. Die intelligente Videoüberwachung ist jedoch ebenfalls eine Sicherheitstechnologie. Erwägungsgrund Nr. 49 DSGVO kann also mittelbar herangezogen werden, um den Begriff des berechtigten Interesses im Zusammenhang mit der Verwendung intelligenter Videoüberwachung zu bestimmen. Er dient als Anhaltspunkt für den Grad der Bedeutung, den das berechtigte Interesse des Verwenders einer Sicherheitstechnologie erreichen muss und zeigt, dass die automatisierte Datenverarbeitung auf Ausnahmefälle beschränkt sein soll.1266 Diese müssen erhebliches Gewicht haben und die automatisierte Datenverarbeitung muss geeignet sein, erhebliche Schäden oder konkrete Gefahren abzuwenden. Eine automatisierte Datenverarbeitung würde also, nach Maßgabe dieses Erwägungsgrundes, die schutzwürdigen Interessen des Betroffenen in der Regel unangemessen beeinträchtigen. Es könnte nur in Ausnahmefällen von einem Überwiegen der ←222 | 223→berechtigten Interessen des Verwenders der intelligenten Videoüberwachung ausgegangen werden.

Der in § 6b Abs. 1 Nr. 3 BDSG normierte unbestimmte Rechtsbegriff des berechtigten Interesses der nicht öffentlichen Stelle ist weiter gefasst als der in Erwägungsgrund Nr. 49 DSGVO. Das berechtigte Interesse der bundesdatenschutzgesetzlichen Vorschrift ist deshalb dem des Erwägungsgrundes Nr. 47 DSGVO vergleichbar, da jedes rechtliche, wirtschaftliche oder ideelle Interesse genügt. Mangels einer eindeutigen und generellen Aussage, wann berechtigte Interessen vorliegen, muss der unbestimmte Rechtsbegriff der „berechtigten Interessen“ allerdings auch bei Anwendung der DSGVO im Einzelfall geprüft und letztlich im Rahmen der verhältnismäßigen Interessenabwägung beurteilt werden.

3. Mustererkennung und Videotracking in der Datenschutz-Grundverordnung

Die Europäische Datenschutz-Grundverordnung erfasst Mustererkennungs- und Videotrackingtechnologien. Dies wird zum Beispiel am Wortlaut des Art. 4 Nr. 4 DSGVO deutlich, wonach „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person sind, die beispielsweise mithilfe von Gesichtsbildern deren eindeutige Identifizierung ermöglichen oder bestätigen. „Profiling“ erfasst gemäß Art. 4 Nr. 14 DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese Informationen verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere ihr Verhalten oder ihren Aufenthaltsort zu analysieren oder vorherzusagen. Diese Maßgaben entsprechen den in der vorliegenden Untersuchung der intelligenten Videoüberwachung zugeordneten technischen Möglichkeiten. Die Europäische Datenschutz-Grundverordnung legt für deren Einsatz einige Rechtmäßigkeitsanforderungen fest, um die dabei verarbeiteten besonderen Kategorien personenbezogener Daten zu schützen.

a) Biometrie

Knüpfen die Algorithmen der intelligenten Videoüberwachung bei der Verwendung einer Mustererkennungssoftware an Merkmale wie das Geschlecht, die Rasse oder das Alter an, ist Art. 9 Abs. 1 DSGVO zu beachten. Dieser verbietet unter anderem die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft hervorgeht, sowie die Verarbeitung von ←223 | 224→biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person. Allerdings enthält Art. 9 Abs. 2 Buchstabe a DSGVO Ausnahmen von diesem Verbot, beispielsweise aufgrund der Einwilligung des Betroffenen oder zur Sicherstellung zivilrechtlicher Ansprüche. Art. 9 Abs. 4 DSGVO öffnet die Verordnung zudem für zusätzliche mitgliedstaatliche Bedingungen, einschließlich Beschränkungen, soweit die Verarbeitung biometrischer Daten betroffen ist. Die Verarbeitung sensibler Daten durch nicht öffentliche Stellen im öffentlich zugänglichen Raum mithilfe von intelligenter Videoüberwachung durch biometrische Mustererkennung wird also weiterhin zulässig sein. Dies entspricht dem bisherigen Befund zu Art. 8 DSRL.1267

b) Profiling

Bei der automatisierten Verarbeitung besonderer Kategorien personenbezogener Daten mithilfe der Mustererkennungsalgorithmen der intelligenten Videoüberwachung ist darüber hinaus Art. 22 Abs. 1 DSGVO, der Art. 15 Abs. 1 DSRL entlehnt ist, zu berücksichtigen. Er normiert das Recht des Betroffenen, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, allerdings nur, wenn diese ihm gegenüber rechtliche Wirkung entfaltet oder ihn erheblich beeinträchtigt.1268 Profiling wird in Art. 4 Nr. 14 DSGVO definiert als ein Verfahren der automatisierten Datenverarbeitung, „das darin besteht, einer natürlichen Person ein ‚Profil‘ zuzuordnen, um insbesondere Entscheidungen in Bezug auf ihre Person zu treffen oder um ihre persönlichen Vorlieben, Verhaltensweisen und Einstellungen zu analysieren oder vorherzusagen“1269. Die Mustererkennungsalgorithmen der intelligenten Videoüberwachungstechnik ermöglichen es grundsätzlich, ein solches Profil im Sinne eines Datensatzes zu erstellen, „der ←224 | 225→eine bestimmte Gruppe von Menschen charakterisiert und auf eine Einzelperson angewendet werden soll“1270.

Unklar ist aber, ob Art. 22 Abs. 1 DSGVO auf eine voll automatisierte Datenverarbeitung im Sinne des Art. 15 DSRL und des § 6a BDSG Bezug nimmt oder die automatisierte Verarbeitung nach § 6b BDSG erfasst. Aus Art. 4 DSGVO oder Art. 22 DSGVO ergeben sich hierzu keine Anhaltspunkte. Erwägungsgrund Nr. 63 DSGVO erwähnt im Zusammenhang mit Profilingmaßnahmen die automatische Datenverarbeitung. Art. 35 Abs. 3 Buchstabe a DSGVO, der für risikobehaftete Datenverarbeitungen zur Durchführung einer Folgenabschätzung verpflichtet, nennt das Profiling hingegen im Zusammenhang mit automatisierter Verarbeitung. Art. 47 Abs. 2 Buchstabe e DSGVO bezeichnet es als Maßnahme einer ausschließlich automatisierten Verarbeitung. Nach Erwägungsgrund Nr. 70 DSGVO sollten die „automatisierte Entscheidungsfindung und [das] Profiling auf der Grundlage besonderer Kategorien von personenbezogenen Daten (…) nur unter bestimmten Bedingungen erlaubt sein.“ Art. 4 Nr. 4 DSGVO, der eine Legaldefinition des Profiling enthält, erfasst es als Art „der automatisierten Verarbeitung personenbezogener Daten“. Die gesetzessystematische Auslegung spricht damit für eine Auslegung, nach der mit „automatisierte Datenverarbeitung“ im Zusammenhang mit dem „Profiling“ im Sinne der Datenschutz-Grundverordnung eine automatische oder voll automatisierte Verarbeitung gemeint ist. Die intelligente Videoüberwachung, wie sie in der vorliegenden Arbeit untersucht wird, ist jedoch gerade kein automatisch oder voll automatisiert arbeitendes System. Sie trifft nicht selbstständig eine endgültige Entscheidung über die Kategorisierung einer Person, sondern dient als Mittel der Vorselektion und fällt damit nicht unter Art. 22 DSGVO.

4. Hinweispflicht, Zweckbindung, Speicherbegrenzung

Im Unterschied zu § 6b BDSG enthält Art. 6 DSGVO keine Regelungen zur Ausgestaltung der Videoüberwachung, wie beispielsweise konkrete Hinweis- oder Löschpflichten. Diese Grundsätze und Prinzipien der Datenverarbeitung sind vielmehr an verschiedenen Stellen der Datenschutz-Grundverordnung geregelt.

Art. 5 DSGVO enthält allgemeine Vorgaben für die automatisierte Verarbeitung personenbezogener Daten, wie die Zweckbindung, das Gebot der Transparenz und der Datenminimierung oder die Speicherbegrenzung. Diese ←225 | 226→werden an anderer Stelle der Verordnung ergänzt. Die Pflicht zur Löschung personenbezogener Daten ist zum Beispiel in Art. 17 DSGVO geregelt. Die Norm verpflichtet zur Löschung personenbezogener Daten, sobald sie für die ursprünglichen Zwecke nicht mehr notwendig sind oder der Betroffene seine nach Art. 6 Abs. 1 Buchstabe a DSGVO erteilte Einwilligung widerruft. Damit findet sich auch in der Europäischen Datenschutz-Grundverordnung eine bislang aus § 6b Abs. 5 BDSG bekannte Löschpflicht.

Das Gebot der Transparenz aus Art. 5 Abs. 1 Buchstabe a DSGVO wird insbesondere durch Art. 12 Abs. 1 DSGVO ergänzt, der regelt, dass die Informationen über die Erhebung und Verarbeitung personenbezogener Daten den Betroffenen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ übermittelt werden müssen. Die Information kann dabei schriftlich, mündlich oder wie von Art. 12 Abs. 7 DSGVO erlaubt, durch standardisierte Bildsymbole erfolgen.

Art. 13 Abs. 1 DSGVO verpflichtet dazu, über die Erhebung personenbezogener Daten zu informieren und dabei den Verantwortlichen, die Zwecke der Verarbeitung und deren Rechtsgrundlage sowie, insbesondere bei einer Verarbeitung nach Art. 6 Abs. 1 Buchstabe f DSGVO, die berechtigten Interessen zu benennen. Nach Art. 13 Abs. 2 DSGVO besteht außerdem die Pflicht, etwa durch Angaben zur Dauer der Datenspeicherung, eine „transparente Verarbeitung zu gewährleisten.“ Es müssen vor allem „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ erteilt werden. Dies ist für den Einsatz von heimlicher Videoüberwachung von Bedeutung. Denn der Wortlaut der Verordnung unterscheidet nicht zwischen einer verdeckten oder offenen Datenverarbeitung. Durch die Normierung von Transparenz- und Informationspflichten des für die Datenverarbeitung Verantwortlichen findet das Kriterium der Heimlichkeit aber Eingang in die Europäische Datenschutz-Grundverordnung. Eine intransparente Videoüberwachung hat damit weiterhin eine höhere Eingriffsqualität und ist ein Kriterium in der Interessenabwägung nach Art. 6 Abs. 1 Buchstabe f DSGVO.

5. Datenschutzfolgenabschätzung statt Vorabkontrolle

Erwägungsgrund Nr. 89 DSGVO enthält das Ziel, die bürokratischen und finanziell aufwendigen Meldepflichten abzuschaffen und durch wirksamere Verfahren zu ersetzen. Diese sollen sich nur noch mit Verarbeitungsvorgängen befassen, die aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen ←226 | 227→mit sich bringen, insbesondere durch den Einsatz neuer Technologien. Erreicht werden soll dies durch die in Art. 35 Abs. 3 Buchstabe c DSGVO normierte Datenschutzfolgenabschätzung. Diese löst die nach § 4d Abs. 5 BDSG erforderliche Vorabkontrolle bei der Videoüberwachung ab.1271 Nach dem Wortlaut des Art. 35 Abs. 3 Buchstabe a und Buchstabe c DSGVO ist eine Datenschutzfolgenabschätzung in der Regel bei systematischer, umfangreicher Bewertung persönlicher Aspekte aufgrund automatisierter Verarbeitung in öffentlich zugänglichen Bereichen erforderlich. Die Datenverarbeitung muss ihrerseits als Grundlage für Entscheidungen dienen, die Rechtswirkung gegenüber natürlichen Personen entfalten. Die unbestimmten Rechtsbegriffe „systematisch“ und „umfangreich“ werden jedoch nicht näher erläutert oder definiert. Dies eröffnet einen erheblichen Interpretationsspielraum.

Die intelligente Videoüberwachung ist eine Form automatisierter Datenverarbeitung. Der Einsatz von Mustererkennungs- und Videotrackingsoftware dient der systematischen Überwachung anhand der Klassifizierung und Vorselektion von Daten. Sie hilft dem menschlichen Operator bei seiner Entscheidung, die wiederum für die von der Datenverarbeitung betroffene natürliche Person Rechtswirkungen haben kann. Eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO muss deshalb künftig bei jedem Einsatz intelligenter Videoüberwachung erfolgen oder ihre Notwendigkeit mindestens geprüft werden. Diese Feststellung wird von Erwägungsgrund Nr. 91 DSGVO gestützt, der eine Datenschutzfolgenabschätzung „für die weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen“ für erforderlich erklärt. Der Begriff einer umfangreichen Datenverarbeitung meint nach Erwägungsgrund Nr. 91 DSGVO Vorgänge, „die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten (…), [bei denen] neue Technologie eingesetzt wird [und die] (…) ein hohes Risiko für die (…) Rechte und Freiheiten der betroffenen Person mit sich bringen“. Was genau „große Mengen“, „weiträumig“, „eine große Zahl“ oder „ein hohes Risiko“ sind, bleibt der Interpretation des Rechtsanwenders überlassen. Ausgenommen von einer zwingenden Datenschutzfolgenabschätzung ist nach Erwägungsgrund Nr. 91 DSGVO die Verarbeitung von Patienten- oder Mandantendaten durch einzelne Ärzte oder Rechtsanwälte. Allerdings variieren auch hier die Patienten- und Mandantenzahlen, sodass diese Einschränkung keine Klärung der Begriffe herbeizuführen vermag. Orientierungshilfe verspricht die von der ←227 | 228→Aufsichtsbehörde nach Art. 35 Abs. 4 DSGVO zu erstellende und zu veröffentlichende Liste der Verarbeitungsvorgänge, für die eine Datenschutzfolgenabschätzung durchzuführen ist.

6. Zwischenergebnis

Die intelligente Videoüberwachung mithilfe von Mustererkennungs- und Videotrackingtechnik durch nicht öffentliche Stellen im öffentlich zugänglichen Raum wird von der Europäischen Datenschutz-Grundverordnung erfasst. Art. 6 Abs. 1 Buchstabe f DSGVO ersetzt künftig § 6b Abs. 1 Nr. 2 und Nr. 3 sowie Abs. 3 S. 1 BDSG, denn die Verordnung bewirkt, dass die nationalen Regelungen zur Zulässigkeit der Videoüberwachung nicht mehr anwendbar sind.1272 Die unbestimmten und in der DSGVO zum Teil nicht konkretisierten oder nicht definierten Rechtsbegriffe, wie die „berechtigten Interessen“ in Art. 6 Abs. 1 Buchstabe f DSGVO, bergen die Gefahr von Rechtsunsicherheit. Der Rechtsanwender muss sie nach europäischem Recht autonom auslegen oder der Gesetzgeber sie über die Öffnungsklauseln anhand des nationalen Rechts präzisieren.1273

Zwar ist § 6b BDSG auf die intelligente Videoüberwachung durch nicht öffentliche Stellen in öffentlich zugänglichen Räumen ab Geltung der DSGVO nicht mehr anwendbar. Das bislang bekannte Prüfschema zu § 6b BDSG kann aber als gedankliche Ausgangsbasis für die Entscheidung der Frage dienen, ob eine vergleichbare Maßnahme zulässig ist.1274 Denn die Verordnung enthält im Wesentlichen die Begriffe und Prinzipien der Datenschutzrichtlinie 95/46/EG,1275 die für die Videoüberwachung in § 6b BDSG aufgenommen wurden. Sie behalten ebenso Geltung wie die zur Anwendung und Auslegung von § 6b BDSG entwickelten Grundsätze, sodass der Rechtsanwender hier Orientierung findet.1276 Dies entspricht den Zielen der Verordnung.1277 Sie will nicht ein abschließendes ←228 | 229→Regelwerk für den Datenschutz sein, sondern vereinheitlichend wirken,1278 um ein gleichmäßiges Datenschutzniveau zu gewährleisten, wie dies in den Erwägungsgründen Nr. 10 DSGVO und Nr. 13 DSGVO zum Ausdruck kommt. Weitere Klarheit und Hilfestellung könnte der nationale Gesetzgeber bringen, wenn es ihm gelingt, die nicht mehr anwendbaren Regelungen des Bundesdatenschutzgesetzes aufzuheben oder neue Normen zu schaffen, um die Datenschutz-Grundverordnung zu präzisieren.1279 Unterstützen könnte dabei der nach Art. 68 DSGVO einzurichtende Europäische Datenschutzausschuss, der nach Art. 70 Abs. 1 DSGVO unter anderem durch die Bereitstellung von Leitlinien, Empfehlungen sowie bewährten Verfahren die einheitliche Anwendung der Verordnung sicherstellen soll.

V. Anpassungen des nationalen Datenschutzrechts an die Europäische Datenschutz-Grundverordnung

Die Europäische Datenschutz-Grundverordnung (DSGVO) enthält Öffnungsklauseln und Regelungsaufträge an die Mitgliedstaaten. Mit dem Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) vom 30. Juni 2017, das am 25. Mai 2018 in Kraft getreten ist, hat der Gesetzgeber dem Anpassungsbedarf und der Umsetzungspflicht entsprochen.1280 Bereits durch das Videoüberwachungsverbesserungsgesetz vom 28. April 20171281 hatte er § 6b BDSG a. F. ergänzt. Auch diese Erweiterung hat durch § 4 BDSG-neu Eingang in das neue Bundesdatenschutzgesetz gefunden, welches das alte Bundesdatenschutzgesetz abgelöst hat. § 4 BDSG-neu entspricht im Wesentlichen § 6b BDSG a. F. und schreibt diesen fort.1282

←229 | 230→

1. Gesetzgebungskompetenz und Vereinbarkeit des neuen Bundesdatenschutzgesetzes mit dem Recht der Europäischen Union

Der Bund stützte sich bei der Schaffung des neuen Bundesdatenschutzgesetzes auf seine Gesetzgebungskompetenzen aus Art. 73 GG bis Art. 74 GG und Art. 23 GG sowie, speziell für nicht öffentliche Stellen im Bereich des Datenschutzes, auf die Annexkompetenz aus Art. 74 Abs. 1 Nr. 11 GG.1283 Die Gesetzgebungskompetenz aus Art. 72 Abs. 2 GG begründete er mit der Notwendigkeit einer bundesgesetzlichen Regelung zur Wahrung der Rechtseinheit im Bundesgebiet und der Vermeidung gesamtwirtschaftlicher Nachteile oder Wettbewerbsverzerrungen und Schranken für die länderübergreifende Wirtschaftstätigkeit.1284 Die Vereinbarkeit des neuen Bundesdatenschutzgesetzes mit der DSGVO folgerte der Gesetzgeber aus dem Charakter des EU-Rechtsaktes als Grund-Verordnung, die zwar das Ziel vorgebe, das Datenschutzrecht in der Europäischen Union zu vereinheitlichen, dies jedoch nicht selbstständig erreiche und deshalb ergänzungsbedürftig sei.1285 Denn durch die Öffnungsklauseln beschränke die Verordnung ihre unmittelbare Wirkung selbst.1286

Der Gesetzgeber stützt seine Ansicht u. a. auf Erwägungsgrund Nr. 8 DSGVO, wonach Wiederholungen zulässig sind, wenn sie im sachlichen Zusammenhang mit Verordnungsbestimmungen stehen, die dem Mitgliedstaat die Möglichkeit nationaler Präzisierungen oder Einschränkungen einräumen, und wenn sie erforderlich sind, um Kohärenz zu wahren und die nationalen Vorschriften verständlicher zu machen.1287 Diese Voraussetzungen seien gegeben, sodass, ohne gegen das europäische Wiederholungsverbotzu verstoßen, punktuell der Wortlaut der ←230 | 231→DSGVO wiedergeben und Verweisungen in das neue Bundesdatenschutzgesetz aufgenommen werden könnten.1288 Ergänzend bezieht sich der Gesetzgeber auf die Rechtsprechung des Europäischen Gerichtshofs, nach der es Ausnahmen vom Wiederholungsverbot gibt: Wiederholungen seien rechtlich zulässig, wenn sie sich im Rahmen von Öffnungsklauseln und Regelungsaufträgen halten, wenn durch eine Wiederholung die Bestimmungen einer Verordnung nicht lediglich übernommen, sondern inhaltlich verändert werden, oder wenn die punktuelle Wiederholung eines Normtextes zur Verständlichkeit notwendig ist.1289

2. Änderungen im Bereich der Videoüberwachung

§ 4 BDSG-neu regelt entsprechend § 6b BDSG a. F. die Zulässigkeit der Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen zur Aufgabenerfüllung öffentlicher Stellen nach Abs. 1 S. 1 Nr. 1 sowie zur Wahrnehmung des Hausrechts in Abs. 1 S. 1 Nr. 2 und zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke in Abs. 1 S. 1 Nr. 3.1290 Fallgestaltungen, die nicht unter § 4 BDSG-neu fallen, müssen nunmehr auf Art. 6 Abs. 1 Buchstabe f DSGVO „als allgemeine Rechtsgrundlage der Videoüberwachung durch Private“1291 gestützt werden.

In § 4 BDSG-neu beibehalten werden der Begriff „optisch-elektronische Einrichtungen“, das Stufenverhältnis zwischen Beobachtung nach Absatz 1 und Speicherung oder Verwendung nach Absatz 3, wobei der in § 6b BDSG a. F. verwendete Begriff „Nutzung“ ohne Bedeutungsänderung gegen den Begriff „Verwendung“ ausgetauscht wurde, um Art. 4 Nr. 2 EU-DSGVO zu entsprechen. Dieser definiert den Begriff „Verarbeitung“ als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“ ←231 | 232→Beibehalten werden auch die Pflichten zur Kennzeichnung, Information und Löschung von Daten und, in Absatz 3, die Zweckbindung.1292 Wie bislang muss die Videoüberwachung nach § 4 Abs. 1 S. 1 und Abs. 3 BDSG-neu erforderlich sein, und im Rahmen der Interessenabwägung dürfen die schutzwürdigen Interessen der Betroffenen nicht überwiegen. § 4 Abs. 4 BDSG-neu bezweckt wie § 6b Abs. 4 BDSG a. F., die weitere Verwendung personenbezogener Daten für die Betroffenen transparent zu machen, um ihnen die Überprüfung der Rechtmäßigkeit der Datenverarbeitung zu ermöglichen, und verweist deklaratorisch auf Art. 13 DSGVO und Art. 14 DSGVO.1293

Die durch das Videoüberwachungsverbesserungsgesetz vom 28. April 2017 in § 6b BDSG a. F. ergänzend aufgenommene Regelung, wonach zum Schutz von Leben, Gesundheit oder Freiheit von Personen in Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs sowie in öffentlich zugänglichen großflächigen Anlagen der Einsatz von Videoüberwachung in höherem Maße als bisher erlaubt ist, wurde in § 4 Abs. 1 S. 2 BDSG-neu beibehalten.1294 Als großflächige Anlagen werden, nicht abschließend, Sport-, Versammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätze genannt. Nach Ansicht des Bundesministeriums des Inneren sind diese Orte, „die nach dem erkennbaren Willen des Betreibers von jedermann betreten oder genutzt werden können“1295, „von ihrer Größe her geeignet (…), eine größere Anzahl von Menschen aufzunehmen“1296 und weisen „einen entsprechenden Publikumsverkehr“ auf.1297 Nach § 4 Abs. 1 S. 2 BDSG-neu gilt der Schutz der abschließend aufgezählten Rechtsgüter in diesen hochfrequentierten Räumen als ein besonders wichtiges Interesse.1298 Diese „normative Gewichtungsvorgabe“1299 prägt die Abwägung der Interessen und lenkt sie in ←232 | 233→eine bestimmte Richtung.1300 Das Ziel der Änderung des § 6b BDSG a. F. war es, die Sicherheit an und in den genannten Orten und Räumen zu erhöhen und Anschläge zu verhindern.1301 Die den Einsatz der Videoüberwachung prüfenden Datenschutzaufsichtsbehörden der Länder, die in der Vergangenheit restriktiv geprüft haben, sollen die Sicherheitsbelange der Betreiber stärker in die Abwägungsentscheidung einbeziehen und entsprechend berücksichtigen.1302 Denn die Betreiber von Videoüberwachungsanlagen können nach dem Willen des Gesetzgebers durch den Einsatz der Videoüberwachungstechnik einen Beitrag zu mehr Sicherheit leisten, der auch im öffentlichen Interesse liegt und über ihre zivilrechtlichen Verpflichtungen hinausgeht.1303 Wenn potenzielle Täter und Straftaten frühzeitig erkannt und verhindert werden könnten, könne einerseits ein präventiver Beitrag zur Erhöhung der Sicherheit der Bevölkerung geleistet werden.1304 Andererseits würden durch einen verbreiteten Einsatz von Videoüberwachung die Strafverfolgungsbehörden bei ihrer Ermittlungstätigkeit unterstützt.1305 Die Videoüberwachung wird damit insgesamt privilegiert.

§ 4 Abs. 2 BDSG-neu verlangt, dass der Umstand der Beobachtung und der Name sowie die Kontaktdaten des Verantwortlichen durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar gemacht werden. Die Regelung konkretisiert die Vorgabe des § 6b Abs. 2 BDSG a. F., da sie verlangt, den Namen und die Kontaktdaten des Verantwortlichen zu nennen und nicht wie bislang nur „die verantwortliche Stelle“. Die intelligente Videoüberwachung muss damit weiterhin grundsätzlich offen durchgeführt werden, wobei eine Abstufung zur Informationspflicht aus § 6b Abs. 4 BDSG a. F.1306 und ein Unterschied zur Hinweispflicht aus § 6b Abs. 2 BDSG a. F. bestehen. Denn Kenntlichmachen bedeutet nicht, dass jedes Videogerät unmittelbar erkennbar zu sein hat1307 bzw. die Betroffenen aktiv auf ein solches Gerät hingewiesen und aufgeklärt werden müssen. Durch die Vorgabe, dass die Betroffenen „frühestmöglich“ durch „geeignete Maßnahmen“ erkennen können müssen, dass sie videoüberwacht werden, muss die Kenntlichmachung jedoch so weit außerhalb bzw. vor dem zu betretenden Raum und in einer auffälligen Art erfolgen, dass der Betroffene die Schilder oder ←233 | 234→Hinweistafeln ohne Weiteres wahrnehmen kann.1308 Nur so kann er sein Verhalten anpassen oder ggf. darauf verzichten, den Raum zu betreten – soweit dies möglich ist. Somit ergeben sich auch durch die Neuregelung in § 4 Abs. 2 BDSG-neu im Ergebnis keine Erleichterungen für die Offenlegung der Videoüberwachung im Vergleich zu § 6b Abs. 2 BDSG a. F.

3. Kritik

Bereits die ersten Entwürfe der Neufassung des Bundesdatenschutzgesetzes wurden kritisiert. Der Gesetzgeber wurde unter anderem aufgefordert, das Wiederholungsverbot ernst zu nehmen,1309 die Artikel der Datenschutz-Grundverordnung als rechtsverbindlich zu begreifen und diese als einzige Rechtsquelle für die rechtliche Beurteilung von Sachverhalten heranzuziehen, die durch sie abschließend geregelt werden.1310 Bezweifelt wurde, dass durch das neue Bundesdatenschutzgesetz mehr Rechtssicherheit entsteht.1311 Zwar sei die DSGVO komplex und teilweise durch unbestimmte Rechtsbegriffe offen gestaltet, doch würden vielschichtige nationale Gesetze mit einer Mischung aus eigenen Regelungen und Verweisen keine Abhilfe schaffen.1312 Besser sei es, diese Aufgabe den Gerichten und Aufsichtsbehörden zu überlassen, da sonst noch größere Unsicherheit und Unklarheit beim Rechtsanwender entstünden.1313

§ 4 BDSG-neu wurde insbesondere dahingehend kritisiert, dass Regelungen zur Beobachtung ohne Speicherung und zur Weiterverarbeitung zu anderen Zwecken fehlten oder nicht aus dem alten Bundesdatenschutzgesetz übernommen worden seien1314 und dass eine heimliche Videoüberwachung nicht verboten ←234 | 235→werde.1315 Dem begegnete der Gesetzgeber mit dem Argument der Technikneutralität der DSGVO und der Intention des Verordnungsgebers, Rechtsgrundlagen vornehmlich für bestimmte Informationstechnologien zu vermeiden, wodurch sich speziellere nationale Regelungen verbieten würden.1316 Bemängelt wurde auch, dass durch die Regelung in § 4 Abs. 1 S. 2 BDSG-neu, wonach der Schutz der aufgezählten Rechtsgüter als ein besonders wichtiges Interesse in der Abwägungsentscheidung gilt, die Prüfung zugunsten der Zulässigkeit des Einsatzes von Videoüberwachung beeinflusst werde. Es sei Aufgabe des Staates, für die Sicherheit der Bürger zu sorgen.1317 Dies dürfe er nicht Privaten übertragen.1318 Zudem sehe die DSGVO eine mitgliedstaatliche Vorentscheidung über das Abwägungsergebnis nicht vor.1319 Die Aufzählung in § 4 Abs. 1 S. 2 BDSG-neu nehme zudem typischerweise gefährliche Örtlichkeiten vom Anwendungsbereich aus, da eine großflächig bauliche Anlage gegeben sein muss. Dadurch würden beispielsweise Fußgängerzonen oder Parkanlagen trotz der Eigenart ihrer Nutzung und ihrer Attraktivität für mögliche Anschläge oder andere Straftaten nicht erfasst.1320

4. Auswirkungen des neuen Bundesdatenschutzgesetzes auf die intelligente Videoüberwachung durch nicht öffentliche Stellen in öffentlich zugänglichen Räumen

§ 4 BDSG-neu konkretisiert die technologieneutrale DSGVO1321 hinsichtlich der Zulässigkeit der intelligenten Videoüberwachung und schreibt § 6b BDSG a. F. fort, ohne dass sich für die Subsumtion der intelligenten Videoüberwachung unter die Regelung im neuen Bundesdatenschutzgesetz Wesentliches ändert. Die zu § 6b BDSG a. F. entwickelte bereichsspezifische Dogmatik bleibt ←235 | 236→weiterhin anwendbar.1322 § 4 BDSG-neu weitet durch die Ergänzung in Abs. 1 S. 2 die Zulässigkeit des Einsatzes der intelligenten Videoüberwachung aus und ermöglicht es, die Interessen der Betreiber in der Interessenabwägung stärker zu berücksichtigen. Dennoch darf § 4 Abs. 1 S. 2 BDSG-neu nicht pauschal und nicht vorschnell angewendet werden.1323 Stets zu beachten sind die Vorgaben der Art. 5 und 6 DSGVO.1324


1210 Europäische Kommission, SEC (2012) 73 final, S. 2, http://ec.europa.eu/justice/data-protection/document/review2012/sec_2012_73_en.pdf (abgerufen am 11.01.2017); Laue, ZD 2016, 463 (463); Härting, BB 2012, 459 (460).

1211 Schantz, NJW 2016, 1841 f.; Härting, BB 2012, 459.

1212 ABl. EU L 119 vom 4.5.2016, S. 1.

1213 Europäische Kommission, SEC (2012) 73 final, S. 3, http://ec.europa.eu/justice/data-protection/document/review2012/sec_2012_73_en.pdf (abgerufen am 11.01.2017); Härting, BB 2012, 459.

1214 Europäische Kommission, SEC (2012) 73 final, S. 4, http://ec.europa.eu/justice/data-protection/document/review2012/sec_2012_73_en.pdf (abgerufen am 11.01.2017); Wybitul/Fladung, BB 2012, 509; Reding, ZD 2012, 195 (196).

1215 Schantz, NJW 2016, 1841 f.; Wybitul/Fladung, BB 2012, 509 f.

1216 Die Article 29 Data Protection Working Group ist ein im Jahre 1996 gegründetes, unabhängiges Beratungsgremium zu Fragen des Datenschutzes und der Privatheit, das auf Grundlage von Art. 29 DSRL gegründet wurde und sich aus Vertretern der Datenschutzbehörden der Mitgliedstaaten, der Europäischen Kommission und des Europäischen Datenschutzbeauftragten zusammensetzt.

1217 Der LIBE-Ausschuss (Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres) ist für den Großteil der Rechtsvorschriften und für die demokratische Überwachung von politischen Maßnahmen im Bereich Justiz und Inneres zuständig. Er soll die uneingeschränkte Achtung der GRCh innerhalb der EU, die Einhaltung der EMRK und die Stärkung der europäischen Bürgerschaft überwachen.

1218 Forgó, ZD 2014, 57, spricht von einer „Kakofonie von Änderungsanträgen“.

1219 Legislative Entscheidung des EP v. 12.3.2014, COM (2012) 0011-C7-0025/2012-2012/0011 (COD).

1220 Rat der Europäischen Union, Interinstitutionelles Dossier: 2012/0011 (COD), Nr. 956/15. Eine allgemeine Ausrichtung ist eine politische Einigung des Rates, auf deren Grundlage dieser in Verhandlungen mit dem Europäischen Parlament eintreten kann, um zu einer Gesamteinigung über die neuen Datenschutzregeln der EU zu gelangen, siehe Rat der Europäischen Union, PM 450/15 v. 15.06.2015, http://www.consilium.europa.eu/press-releases-pdf/2015/6/40802199180_de.pdf (abgerufen am 01.04.2017).

1221 Schultze-Melling, ZD 2012, 97.

1222 Hornung, ZD 2012, 99.

1223 Art. 29 WP, PM v. 29.03.2012, wonach Klärungs- und Konkretisierungsbedarf hinsichtlich der Frage bestehe, wie der Hauptsitz eines multinationalen Unternehmens bestimmt werden soll, um die One-Stop-Shop-Idee effektiv umzusetzen. Nach dem One-Stop-Shop-Konzept sollte nur eine Datenschutzbehörde allumfassend die Aufsicht über den gesamten Datenschutz in der Union haben, http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2012/20120329_press_release_fop.pdf (abgerufen am 29.01.2017).

1224 Lepper (LDI NRW), 21. DB 2013, S. 32 f., https://www.ldi.nrw.de/mainmenu_Service/submenu_Berichte/Inhalt/21_DIB/DIB_2013.pdf (abgerufen am 29.01.2017), wonach die Ermächtigung der Kommission zu delegierten Rechtsakten weitgehend eingeschränkt werden sollte und ein Verlust der Unabhängigkeit der Datenschutzaufsicht sowie eine unnötige Bürokratisierung durch das geplante Kohärenzverfahren befürchtet wurde.

1225 Hornung, ZD 2012, 99 (104); Schild/Tinnefeld, DuD 2012, 312 (314).

1226 Tinnefeld, DuD 2012, 364; Härting, BB 2012, 459 (460).

1227 Das Kohärenzverfahren sollte eingeleitet werden, wenn in den Fällen des sog. One-Stop-Shop bei der zentralen Datenschutzbehörde am Unternehmenssitz keine Einigung zwischen der federführenden und der betroffenen nationalen Aufsichtsbehörde erzielt werden kann. In diesem Fall wird der Streit durch einen verbindlichen Beschluss des Europäischen Datenschutzausschusses (EDA) beigelegt; nunmehr geregelt in Art. 65 Abs. 1 Buchstabe a DSGVO.

1228 Hornung, ZD 2012, 99 (104 f.).

1229 Reding, Speech 12/316, http://europa.eu/rapid/press-release_SPEECH-12-316_en.htm (abgerufen am 29.01.2017).

1230 Reding, ZD 2012, 195 (197).

1231 Reding, ZD 2012, 195 (197).

1232 Ronellenfitsch, PM v. 26.08.2015, https://www.datenschutz.hessen.de/print.php?printpage_ID=632&printentry_ID=4487&printmode=entry&remember=no (abgerufen am 29.01.2017).

1233 Laue, ZD 2016, 463 (464). Roßnagel, DuD 2016, 561 (565), spricht von einem eklatanten Versagen und einer Verfehlung im Hinblick auf spezifische Grundrechtsrisiken durch die Möglichkeiten automatisierter Verarbeitung personenbezogener Daten. Hoeren bezeichnete die DSGVO auf dem Euroforum Datenschutzkongress als „größte Katastrophe des 21. Jahrhunderts“, siehe Krempl, http://www.heise.de/newsticker/meldung/Rechtsexperte-Datenschutz-Grundverordnung-als-groesste-Katastrophe-des-21-Jahrhunderts-3190299.html (abgerufen am 11.01.2017).

1234 Roßnagel, DuD 2016, 561 (564).

1235 Roßnagel, in: ders. (Hg.), DSGVO, 2017, S. 5.

1236 Rüße, PM BVDW v. 15.04.2016, http://www.bvdw.org/medien/bvdw-zur-eu-datenschutzreform-ueberregulierung-statt-rechtssicherheit?media=7645 (abgerufen am 18.01.2017).

1237 Roßnagel, in: ders. (Hg.), DSGVO, 2017, S. 67; Europäische Kommission, SEC (2012) 73 final, S. 5 f., http://ec.europa.eu/justice/data-protection/document/review2012/sec_2012_73_en.pdf (abgerufen am 11.01.2017); Tinnefeld/Schild, DuD 2012, 312 (313); Tinnefeld, DuD 2012, 364.

1238 EuGH, Urt. v. 09.03.1978, Simmenthal II, C-106/77, ECLI:EU:C:1978:49, Rn. 17 ff.; Urt v. 15.07.1964, Costa/ENEL, C-6/64, ECLI:EU:C:1964:66.

1239 EuGH, Urt. v. 26.04.1988, Kommission/Deutschland, C-74/86, ECLI:EU:C:1988:198, Rn. 11.

1240 Roßnagel, in: ders. (Hg.), DSGVO, 2017, S. 5.

1241 Roßnagel, in: ders. (Hg.), DSGVO, 2017, S. 5; Kühling et al., DSGVO, 2016, S. 1.

1242 So bspw. nach Art. 9 Abs. 4 DSGVO, soweit die Verarbeitung von genetischen oder biometrischen Daten und Gesundheitsdaten betroffen ist.

1243 Schantz, NJW 2016, 1841 (1842).

1244 Datenschutzbeauftragte des Bundes und der Länder, 83. Konferenz 2012, S. 1, https://datenschutz-ber-lin.de/attachments/864/Entschlie__ung_EU_Rechtsrahmen_83DSK.pdf?1332426505 (abgerufen am 14.01.2017).

1245 Datenschutzbeauftragte des Bundes und der Länder, 83. Konferenz 2012, S. 2, https://datenschutz-ber-lin.de/attachments/864/Entschlie__ung_EU_Rechtsrahmen_83DSK.pdf?1332426505 (abgerufen am 14.01.2017).

1246 Masing, NJW 2012, 2305.

1247 Kühling/Martini, EuZW 2016, 448 f.; Hornung, ZD 2012, 99 (100).

1248 Kühling et al., DSGVO, 2016, S. 3.

1249 Kühling et al., DSGVO, 2016, S. 3.

1250 Kühling et al., DSGVO, 2016, S. 1; ebenso Kühling/Martini, EuZW 2016, 448 (449).

1251 EuGH, Urt. v. 16.06.1996, Lütticke, C-57/65, ECLI:EU:C:1966:34.

1252 Siehe bspw. Erwägungsgründe Nr. 22 und Nr. 23 DSGVO.

1253 Siehe Kap. F. III. 2.

1254 Bretthauer/Krempel/Birnstill, CR 2015, 239 (241).

1255 Wybitul/Rauer, ZD 2012, 160 (161).

1256 Zur Unterscheidung schon oben Kap. F. III. 3. c).

1257 Pahlen-Brandt, DuD 2008, 34 (37 f.).

1258 Kühling/Klar, NJW 2013, 3611 (3616). Von einer Enttäuschung aufgrund des unklaren Wortlauts sprechen Schneider/Härting, ZD 2012, 199 ff.

1259 So auch Barlag, in: Roßnagel (Hg.), DSGVO, 2017, S. 111.

1260 Siehe Kap. F. III. 3. d).

1261 EuGH, Urt. v. 11.12.2014, František Ryneš, C-212/13, ECLI:EU:C:2014:2428, Rn. 22.

1262 EuGH, Urt. v. 13.05.2014, Google Spain und Google, C-131/12, ECLI:EU:C:2014:317; Barlag, in: Roßnagel (Hg.), DSGVO, 2017, S. 113.

1263 Barlag, in: Roßnagel (Hg.), DSGVO, 2017, S. 113 f.

1264 Siehe Kap. F. II. 1.

1265 Europäische Kommission, KOM(2012) 11 endgültig, S. 8, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:DE:PDF (abgerufen am 29.01.2017). Zur Einwilligung bei der intelligenten Videoüberwachung siehe Kap. F. II. 4. und für eine ausführliche Erörterung der Anforderungen der DSGVO an die Einwilligung siehe Nebel, in: Roßnagel (Hg.), DSGVO, 2017, S. 130.

1266 Committee on Civil Liberties Justice and Home Affairs, Draft Report, 2012/0011 (COD), http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387en.pdf (abgerufen am 28.01.2017); Bits of Freedom, A loophole in data processing, 2012, https://www.bof.nl/live/wp-content/uploads/20121211_onderzoek_legitimate-interests-def.pdf (abgerufen am 18.01.2017).

1267 Siehe Kap. F. IV. 3.

1268 Art. 22 Abs. 2 DSGVO normiert weitere Ausnahmen, die allerdings von Art. 22 Abs. 4 DSGVO eingeschränkt werden. Dieser verlangt, dass Profilingmaßnahmen nicht auf die in Art. 9 Abs. 1 DSGVO genannten Kriterien gestützt werden, solange keine Einwilligung des Betroffenen vorliegt oder eine Datenverarbeitung aufgrund einer Rechtsvorschrift des Mitgliedstaats aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist. Diese grundsätzliche Unzulässigkeit eines racial profiling entspricht dem hohen Datenschutzniveau, dem die DSGVO gerecht werden will, und garantiert den Schutz der Art. 7 GRCh und Art. 8 GRCh.

1269 Ministerkommitee des Europarates, CM/Rec (2010) 13, Anhang zur Empfehlung, Ziff. 1. e), https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016805cdd0a (abgerufen am 01.04.2017).

1270 Ministerkommitee des Europarates, CM/Rec (2010) 13, Anhang zur Empfehlung, Ziff. 1. d), https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016805cdd0a (abgerufen am 01.04.2017).

1271 Marschall, in: Roßnagel (Hg.), DSGVO, 2017, S. 159 f.

1272 Roßnagel, DuD 2016, 561 (562).

1273 Nebel, in: Roßnagel (Hg.), DSGVO, 2017, S. 142.

1274 Nebel, in: Roßnagel (Hg.), DSGVO, 2017, S. 142, der befürchtet, dass sich dadurch bzgl. der Anwendung des Art. 6 Abs. 1 Buchstabe f DSGVO in den Mitgliedstaaten andere Rechtsanwendungen und unterschiedliche Spruchpraxen etablieren werden. Becker, in: Plath (Hg.), BDSG/DSGVO 2016, § 6b Rn. 1 konstatiert sogar, dass § 6b BDSG neben der DSGVO bestehen bleiben kann, da er die speziellere Regelung zur Videoüberwachung enthält.

1275 Roßnagel, in: ders. (Hg.), DSGVO, 2017, S. 51.

1276 Nebel, in: Roßnagel (Hg.), DSGVO, 2017, S. 142, meint die Grundsätze des § 6b BDSG könnten die Bewertung der Zulässigkeit anleiten.

1277 Dazu Roßnagel, in: ders. (Hg.), DSGVO, 2017, S. 50.

1278 Roßnagel, in: ders. (Hg.), DSGVO, 2017, S. 63, der diese Zielsetzung aber erheblich bezweifelt, wenn er der DSGVO Unterkomplexität konstatiert und sie als „Schweizer Käse“ bezeichnet, dessen Löcher von den Mitgliedstaaten unterschiedlich gefüllt werden, sodass kein einheitliches Datenschutzrecht entstehen werde (a. a. O., S. 62).

1279 Roßnagel, in: ders. (Hg.), DSGVO, 2017, S. 65.

1280 BT-Drs. 18/11325, S. 1; Kühling, NJW 2017, 1985.

1281 BGBl. Jahrgang 2017 Teil I Nr. 23, ausgegeben zu Bonn am 4. Mai 2017.

1282 Kühling, NJW 2017, 1985 (1987).

1283 BT-Drs. 18/11325, S. 70.

1284 BT-Drs. 18/11325, S. 70.

1285 BT-Drs. 18/11325, S. 73.

1286 BT-Drs. 18/11325, S. 73.

1287 Das sog. Wiederholungsverbot des EuGH setzt einer wiederholenden Wiedergabe von Teilen einer Verordnung Grenzen, um zu verhindern, dass deren unmittelbare Geltung verschleiert wird, weil die Normadressaten über den wahren Urheber des Rechtsaktes oder die Jurisdiktion des EuGH im Unklaren gelassen werden. Das Wiederholungsverbot ist Ausfluss der Regelung des Art. 267 AEUV und der alleinigen Kompetenz des EuGH zur Auslegung der Unionsrechtsakte, siehe EuGH, Urt. v. 22.10.1987, Foto Frost, C-314/85, ECLI:EU:C:1987:452; Urt. v. 10.10.1973, Variola, C-34/73, ECLI:EU:C:1973:101; Urt. v. 31.01.1978, Zerbone, C-94/77, ECLI:EU:C:1978:17; BT-Drs. 18/11325, S. 72; Kühling/Martini et al., DSGVO, 2016, S. 6 f.

1288 BT-Drs. 18/11325, S. 72 f.

1289 EuGH, Urt. v. 11.01.2001, Monte Arcosu, C-403/98, ECLI:EU:C:2001:6, Rn. 26, 28; Kühling et al., DSGVO, 2016, S. 6 f.; BT-Drs. 18/11325, S. 73.

1290 BT-Drs. 18/11325, S. 81.

1291 BMI, Referentenentwurf zum DSAnpUG-EU, S. 73, https://www.datenschutzverein.de/wp-content/uploads/2016/11/2016-11-11_DSAnpUG-EU-BDSG-neu_Entwurf-2_Ressortabstimmung.pdf (abgerufen am 20.10.2018).

1292 BT-Drs. 18/11325, S. 81.

1293 Frenzel, in: Paal/Pauly, DS-GVO BDSG, 2. Aufl 2018, § 4, Rn. 32.

1294 BT-Drs. 18/11325, S. 81; BT-Drs. 18/10941, S. 10.

1295 BMI, Referentenentwurf zum DSAnpUG-EU, S. 73, https://www.datenschutzverein.de/wp-content/uploads/2016/11/2016-11-11_DSAnpUG-EU-BDSG-neu_Entwurf-2_Ressortabstimmung.pdf (abgerufen am 20.10.2018).

1296 BMI, Referentenentwurf zum DSAnpUG-EU, S. 73, https://www.datenschutzverein.de/wp-content/uploads/2016/11/2016-11-11_DSAnpUG-EU-BDSG-neu_Entwurf-2_Ressortabstimmung.pdf (abgerufen am 20.10.2018).

1297 BMI, Referentenentwurf zum DSAnpUG-EU, S. 73, https://www.datenschutzverein.de/wp-content/uploads/2016/11/2016-11-11_DSAnpUG-EU-BDSG-neu_Entwurf-2_Ressortabstimmung.pdf (abgerufen am 20.10.2018).

1298 BT-Drs. 18/10941, S. 10.

1299 BT-Drs. 18/10941, S. 8.

1300 BT-Drs. 18/11325, S. 81; BT-Drs. 18/10941, S. 10.

1301 BT-Drs. 18/10941, S. 8.

1302 BT-Drs. 18/10941, S. 1.

1303 BT-Drs. 18/10941, S. 10.

1304 BT-Drs. 18/10941, S. 8.

1305 BT-Drs. 18/10941, S. 8.

1306 Frenzel, in: Paal/Pauly, DS-GVO BDSG, 2. Aufl 2018, § 4, Rn. 25.

1307 Frenzel, in: Paal/Pauly, DS-GVO BDSG, 2. Aufl 2018, § 4, Rn. 25.

1308 Frenzel, in: Paal/Pauly, DS-GVO BDSG, 2. Aufl 2018, § 4, Rn. 26.

1309 Albrecht/Wybitul, ZD 2016, 457; Müller (LfDI M.-V.), Stellungnahme des LfDI M.-V. zum DSAnpUG-EU v. 25.01.2017, S. 1, https://www.datenschutz-mv.de/serviceassistent/_php/download.php?datei_id=1589894 (abgerufen am 20.10.2018); Datenschutzbeauftragte des Bundes und der Länder, Eckpunkte S. 4, https://www.datenschutz-mv.de/static/DS/Dateien/Themen/Eckpunktepapier-Datenschutz-Anpassung.pdf (abgerufen am 20.10.2018).

1310 Albrecht/Wybitul, ZD 2016, 457 f.

1311 Roßnagel, in: ders. (Hg.), DSGVO, 2017, S. 65; Albrecht/Wybitul, ZD 2016, 457 (458).

1312 Albrecht/Wybitul, ZD 2016, 457 (458).

1313 Albrecht/Wybitul, ZD 2016, 457 f.

1314 Datenschutzbeauftragte des Bundes und der Länder, Eckpunkte S. 17, https://www.datenschutz-mv.de/static/DS/Dateien/Themen/Eckpunktepapier-Datenschutz-Anpassung.pdf (abgerufen am 20.10.2018).

1315 Müller (LfDI M.-V.), Stellungnahme des LfDI M.-V. zum DSAnpUG-EU v. 25.01.2017, S. 2, https://www.datenschutz-mv.de/serviceassistent/_php/download.php?datei_id=1589894 (abgerufen am 20.10.2018).

1316 BT-Drs. 18/10137, S. 9.

1317 Müller (LfDI M.-V.), Stellungnahme des LfDI M.-V. zum DSAnpUG-EU v. 25.01.2017, S. 2, https://www.datenschutz-mv.de/serviceassistent/_php/download.php?datei_id=1589894 (abgerufen am 20.10.2018).

1318 Müller (LfDI M.-V.), Stellungnahme des LfDI M.-V. zum DSAnpUG-EU v. 25.01.2017, S. 2, https://www.datenschutz-mv.de/serviceassistent/_php/download.php?datei_id=1589894 (abgerufen am 20.10.2018).

1319 Frenzel, in: Paal/Pauly, DSGVO BDSG § 4 Rn. 23.

1320 Frenzel, in: Paal/Pauly, DSGVO BDSG § 4 Rn. 24.

1321 Frenzel, in: Paal/Pauly, DSGVO BDSG, § 4 Rn. 3, 39.

1322 Frenzel, in: Paal/Pauly, DSGVO BDSG, § 4 Rn. 4.

1323 Frenzel, in: Paal/Pauly, DSGVO BDSG; § 4, Rn. 23.

1324 Frenzel, in: Paal/Pauly, DSGVO BDSG; § 4 Rn. 23.