Text

GZ: 2021-0.024.862 vom 2. Februar 2021 (Verfahrenszahl: DSB-D485.007)

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet aufgrund des von der A** Verkehrsbetriebe GmbH (Verantwortliche), vertreten durch N** Rechtsanwälte GmbH, am 10. Dezember 2020 eingeleiteten Verfahrens gemäß Art. 36 DSGVO betreffend eine beabsichtige Datenverarbeitung („Testbetrieb Anpralldetektion bei Brücken“) wie folgt:Die Datenschutzbehörde entscheidet aufgrund des von der A** Verkehrsbetriebe GmbH (Verantwortliche), vertreten durch N** Rechtsanwälte GmbH, am 10. Dezember 2020 eingeleiteten Verfahrens gemäß Artikel 36, DSGVO betreffend eine beabsichtige Datenverarbeitung („Testbetrieb Anpralldetektion bei Brücken“) wie folgt:

- Der Antrag auf vorherige Konsultation nach Art. 36 DSGVO wird abgewiesen. - Der Antrag auf vorherige Konsultation nach Artikel 36, DSGVO wird abgewiesen.

Rechtsgrundlagen: Art. 5, 6, 13, 14, 35 und 36 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; Rechtsgrundlagen: Artikel 5,, 6, 13, 14, 35 und 36 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 Sitzung 1;

BEGRÜNDUNG

A. Vorbringen der Verantwortlichen:

1. Mit Schreiben vom 10. Dezember 2020 leitete die Verantwortliche ein Verfahren gemäß Art. 36 DSGVO ein und führte dazu wie folgt aus:1. Mit Schreiben vom 10. Dezember 2020 leitete die Verantwortliche ein Verfahren gemäß Artikel 36, DSGVO ein und führte dazu wie folgt aus:

Die Verantwortliche beabsichtige eine „Anpralldetektion bei Brücken“ zur Erkennung und Video-Dokumentation von Schadensfällen - die durch den Zusammenprall eines Fahrzeugs mit einer Brücke der Verantwortlichen verursacht werden - zu errichten. Die Datenschutz-Folgenabschätzung komme zu dem Ergebnis, dass hinsichtlich der beurteilten Verarbeitungstätigkeit ein hohes (Rest-)Risiko verbleibe bzw. nicht ausgeschlossen werden könne. Dem Antrag war die „Datenschutz-Folgenabschätzung-Testbetrieb Anpralldetektion bei Brücken“ der Verantwortlichen beigelegt.

2. Die Verantwortliche konkretisierte – über Aufforderung der Datenschutzbehörde – mit Stellungnahme vom 7. Jänner 2021 ihren Antrag dahingehend, dass sie das hohe Risiko für die Datenschutzrechte der betroffenen Personen darin erkenne, dass aufgrund der konkreten Umstände der Verarbeitung zwar eine tragfähige Rechtsgrundlage für die Datenverarbeitung bestehe, allerdings eine zuverlässige Information der betroffenen Personen über die Datenverarbeitung nicht sichergestellt werde. Denn die Verantwortliche habe keinen direkten Kontakt mit den Lenkern und Beifahrern herannahender Fahrzeuge, welche eine Information sicherstellen könne. Auch gebe es keine empirischen Nachweise, dass die angebrachten Hinweisschilder von betroffenen Personen „im Vorbeifahren“ auch wahrgenommen werden. Die Verantwortliche sei zudem nicht Erhalterin der betreffenden Autostraßen, sondern lediglich der überführenden Eisenbahnbrücken, welches den zur Verfügung stehenden Raum für Informationsschilder einschränken könne.

Aus den konkreten Umständen der Verarbeitung resultiere daher das Risiko, dass die betroffenen Personen von der Datenverarbeitung in Form einer Videoüberwachung in ihrem privaten oder beruflichen Lebensbereich erfasst werden, ohne über die Tatsache der Verarbeitung und/oder die Identität des Verantwortlichen informiert zu sein. Darin manifestiere sich ein hohes Risiko für die Datenschutzrechte der betroffenen Personen, insbesondere für das durch Art. 5 Abs. 1 lit. a DSGVO geschützte Recht, dass personenbezogene Daten nur in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Aus den konkreten Umständen der Verarbeitung resultiere daher das Risiko, dass die betroffenen Personen von der Datenverarbeitung in Form einer Videoüberwachung in ihrem privaten oder beruflichen Lebensbereich erfasst werden, ohne über die Tatsache der Verarbeitung und/oder die Identität des Verantwortlichen informiert zu sein. Darin manifestiere sich ein hohes Risiko für die Datenschutzrechte der betroffenen Personen, insbesondere für das durch Artikel 5, Absatz eins, Litera a, DSGVO geschützte Recht, dass personenbezogene Daten nur in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden.

Die vorliegende Datenschutz-Folgenabschätzung komme daher zu dem Ergebnis, dass die geplanten technischen und organisatorischen Maßnahmen alleine nicht ausreichen können, diese Risiken gänzlich auszuschließen.

B. Sachverhaltsfeststellungen

Die Verantwortliche beabsichtigt eine videobasierte „Anpralldetektion bei Brücken“, deren Erhaltung in ihrem Verantwortungsbereich liegt, zu errichten. Die geplante Anwendung ist als Teststellung bestehend aus einem Sensor- und Videoaufnahmesystem konzipiert, welches im Bereich von Eisenbahnbrücken der Verantwortlichen angebracht wird, die über öffentliche Verkehrsflächen verlaufen. Das System dient der Erkennung und Video-Dokumentation von Schadensfällen, die durch den Zusammenprall eines Fahrzeugs mit einer Brücke der Verantwortlichen verursacht werden.

Die Datenschutz-Folgenerklärung gestaltet sich auszugsweise wie folgt (Formatierung nicht 1:1 wiedergegeben):

„1. ABSCHNITT: BESCHREIBUNG UND ABGRENZUNG DER VERARBEITUNGSVORGÄNGE

[…]

1.2 Funktionale Beschreibung der Anwendung

[…]

Detaillierte Darstellung der geplanten Verarbeitungsvorgänge

Im Bereich von ausgewählten Eisenbahnbrücken der Verantwortlichen, welche über öffentliche Verkehrsflächen verlaufen, werden digitale, fix justierte Videokameras installiert. Zusätzlich werden im Bereich der Eisenbahnbrücken Laserlichtschranken als sog. "Anlass-Trigger" installiert, welche anschlagen (triggern), sobald ein Fahrzeug passiert, welches die zulässige Gesamthöhe überschreitet (Anprallanlass). Für das Kamerasystem sind zwei verschiedene Kameraperspektiven vorgesehen, welche jeweils unterschiedliche Aufnahmezwecke erfüllen:

(i) Aufnahme der Tragwerksuntersicht zur Erkennung und Dokumentation von allfälligen optischen Veränderungen des Tragwerks sowie zur genaueren Analyse des Aufpralls (Beschaffenheit des Fahrzeugteils, das in Kontakt mit dem Brückentragwerk gekommen ist, Geschwindigkeit beim Anprall udgl.). Dabei erfolgt die Ausrichtung der Kameralinse derart, dass keine öffentlichen Verkehrsflächen (zB Straße, Fußweg, Radweg) erfasst werden.

(ii) Aufnahme der Fahrbahn des herankommenden Straßenverkehrs in unmittelbarer Nähe zur gesicherten Eisenbahnbrücke zum Zwecke der Erfassung anprallender Fahrzeuge sowie deren KFZ-Kennzeichen und gegebenenfalls der Lenker von vorne.

Abhängig von den örtlichen Gegebenheiten wird die Anwendung entweder als "Anlassaufnahme-System" oder als "Anlassspeicherungs-System" implementiert, wobei im Sinne der Datenminimierung (Art 5 Abs 1 lit c DSGVO) vorrangig das Anlassaufnahme-System umzusetzen ist: Abhängig von den örtlichen Gegebenheiten wird die Anwendung entweder als "Anlassaufnahme-System" oder als "Anlassspeicherungs-System" implementiert, wobei im Sinne der Datenminimierung (Artikel 5, Absatz eins, Litera c, DSGVO) vorrangig das Anlassaufnahme-System umzusetzen ist:

(i) Anlassaufnahme-System: Sofern die örtlichen Gegebenheiten im Einzelfall eine entsprechende Positionierung der Laserlichtschranken auf dem Grund der Verantwortlichen (nicht auf Fremdgrund) im Vorfeld der gesicherten Brücke zulassen, erfolgen keine durchgehenden Aufnahmen durch die installierten Kameras, sondern werden diese erst bei Registrierung eines Anprallanlasses in Betrieb gesetzt, somit dann, wenn ein Fahrzeug, welches die zulässige Gesamthöhe überschreitet, eine der installierten Laserlichtschranken passiert (Anlassaufnahme).

(ii) Anlassspeicherungs-System: In allen anderen Fällen – dh wo kein geeigneter Grund der Verantwortlichen zur Installation der Laserlichtschranken im Vorfeld der Brücke zur Verfügung steht – werden die Laserlichtschranken an der Brücke selbst installiert. Diesfalls wäre es ohne eine gewisse Vorlaufzeit der Kameraaufnahme nicht möglich, allfällige Schädiger und deren Fahrzeuge durch reine Anlassaufnahmen zu identifizieren (die technisch notwendige „Vorlaufzeit“ zum Aktivieren des Kamerasystems kann sonst nicht gewährleistet werden). Es ist daher ein dauerhafter Betrieb der installierten Videokameras erforderlich.

Die kontinuierlich aufgenommenen Bilddaten werden allerdings nur temporär im Rahmen eines Ringspeichers gesichert und tourlich überschrieben. Die konkrete Speicherdauer hängt von der maximalen zu erwartenden Annäherungsgeschwindigkeit und der konkret einsehbaren Annäherungslinie ab. Als maximale Speicherdauer sind 10 Sekunden vorgesehen. Eine darüberhinausgehende Speicherung von erfassten Bilddaten erfolgt nur bei Registrierung eines Anprallanlasses, somit dann, wenn ein Fahrzeug, welches die zulässige Gesamthöhe überschreitet, eine der installierten Laserlichtschranken passiert. Diesfalls wird die Überschreibung von Bilddaten im Rahmen des Ringspeichers ausgesetzt bis eine entsprechende Beweissicherung erfolgt ist (Anlassspeicherung).

[…]

Die im Rahmen der Anlassaufnahme oder Anlassspeicherung gesicherten Bilddaten werden unverzüglich – jedenfalls aber innerhalb von 96 Stunden – von da zu berechtigten Personen der Verantwortlichen analysiert und bewertet. Diese Vorgänge werden protokolliert. Die weitere Verwendung und Speicherdauer der Bilddaten im Einzelfall ergibt sich sodann aus den ausgewiesenen Dokumentationszwecken unter Berücksichtigung der Grundsätze der Datenminimierung (Art 5 Abs 1 lit c DSGVO) und Speicherbegrenzung (Art 5 Abs 1 lit e DSGVO).Die im Rahmen der Anlassaufnahme oder Anlassspeicherung gesicherten Bilddaten werden unverzüglich – jedenfalls aber innerhalb von 96 Stunden – von da zu berechtigten Personen der Verantwortlichen analysiert und bewertet. Diese Vorgänge werden protokolliert. Die weitere Verwendung und Speicherdauer der Bilddaten im Einzelfall ergibt sich sodann aus den ausgewiesenen Dokumentationszwecken unter Berücksichtigung der Grundsätze der Datenminimierung (Artikel 5, Absatz eins, Litera c, DSGVO) und Speicherbegrenzung (Artikel 5, Absatz eins, Litera e, DSGVO).

[…]

Die verfolgten berechtigten Interessen (wenn Art 6 Abs 1 lit f DSGVO als Rechtsgrundlage verwendet wird)Die verfolgten berechtigten Interessen (wenn Artikel 6, Absatz eins, Litera f, DSGVO als Rechtsgrundlage verwendet wird)

Die von der Verantwortlichen durch die Anwendung verfolgten berechtigten Interessen lassen sich wie folgt zusammenfassen:

•             Erkennung und Analyse von Anprallvorfällen, um die Sicherheit und Funktionsfähigkeit der geschützten Infrastruktur gewährleisten zu können und allenfalls geeignete Abhilfemaßnahmen zu ergreifen (zB notwendige Reparaturarbeiten an von einem Anprall betroffenen Brückenteilen oder Sperre von Gleisen);

•             Informationsgewinnung zur laufenden Erfüllung der Instandhaltungs-und Verkehrssicherungspflichten der Verantwortlichen hinsichtlich ihrer Eisenbahnbrücken, insbesondere durch die bessere Erkennung und Einschätzung von Gefahrenlagen und deren pro-aktive Beseitigung bzw. Entschärfung;

•             Aufklärung von Anprallvorfällen einschließlich der Identifizierung des Verursachers und entsprechende Beweissicherung, wodurch insbesondere die Einleitung allfälliger (Verwaltungs-) Strafverfahren ermöglicht und die effektive Durchsetzung zivilrechtlicher Ansprüche der Verantwortlichen sichergestellt werden soll.

Dass die Videodokumentation von Schadensfällen im öffentlichen Straßenverkehr per se einem berechtigten Interesse des Verantwortlichen entspricht, ist unstrittig (vgl etwa VwGH Ro 2015/04/0011). Dass die Videodokumentation von Schadensfällen im öffentlichen Straßenverkehr per se einem berechtigten Interesse des Verantwortlichen entspricht, ist unstrittig vergleiche etwa VwGH Ro 2015/04/0011).

Die Verarbeitung ist zur Wahrung dieses berechtigten Interesses auch erforderlich, denn es besteht kein gelinderes Mittel, um die Lenker eines anprallenden Fahrzeuges zu identifizieren bzw. das KFZ-Kennzeichen und damit einen Rückschluss auf den Zulassungsinhaber zu eruieren. Die Erfassung per Video-Aufnahme ist zu diesem Zweck daher erforderlich, wobei von der Verantwortlichen (wie umseits beschrieben) umfangreiche Maßnahmen ergriffen werden, um das Ausmaß der Verarbeitung auf ein notwendiges Minimum zu beschränken.

Schließlich stehen der Verarbeitung auch keine überwiegenden Interessen der betroffenen Personen entgegen. Denn zunächst beschränkt sich die Verarbeitung auf eine wenige Sekunden dauernde Sequenz, in welcher betroffene Personen als Teilnehmer am öffentlichen Straßenverkehr bildlich erfasst werden können. Insbesondere werden keine höchstpersönlichen Lebensbereiche erfasst oder sensible Daten im Sinne von Art 9 DSGVO verarbeitet. Die Verarbeitung weist daher im Vergleich zu anderen Bildverarbeitungen eine relativ geringe Eingriffsintensität auf. Die Bildaufnahme erfasst ein öffentlich wahrnehmbares Verhalten der betroffenen Personen. Schließlich stehen der Verarbeitung auch keine überwiegenden Interessen der betroffenen Personen entgegen. Denn zunächst beschränkt sich die Verarbeitung auf eine wenige Sekunden dauernde Sequenz, in welcher betroffene Personen als Teilnehmer am öffentlichen Straßenverkehr bildlich erfasst werden können. Insbesondere werden keine höchstpersönlichen Lebensbereiche erfasst oder sensible Daten im Sinne von Artikel 9, DSGVO verarbeitet. Die Verarbeitung weist daher im Vergleich zu anderen Bildverarbeitungen eine relativ geringe Eingriffsintensität auf. Die Bildaufnahme erfasst ein öffentlich wahrnehmbares Verhalten der betroffenen Personen.

Vor allem aber ist im Rahmen dieser Interessenabwägung nach Erwägungsgrund 47 DSGVO auf die vernünftigen Erwartungen der betroffenen Personen abzustellen (vgl DSB-D550.084/0002-DSB/2018). In diesem Sinne ist für die gegenständliche Anwendung davon auszugehen, dass die betroffenen Verkehrsteilnehmer vernünftigerweise absehen können, dass im Bereich kritischer Infrastrukturen wie etwa auch Eisenbahnbrücken möglicherweise Bildaufnahmen erfolgen. So sind Videoüberwachungen in Österreich bereits auf gefährlichen Kreuzungen, in Tunnels, auf Autobahnen und Freilandstraßen sowie Rastplätzen, Bahnhöfen, Flughäfen, etc. weit verbreitet.Vor allem aber ist im Rahmen dieser Interessenabwägung nach Erwägungsgrund 47 DSGVO auf die vernünftigen Erwartungen der betroffenen Personen abzustellen vergleiche DSB-D550.084/0002-DSB/2018). In diesem Sinne ist für die gegenständliche Anwendung davon auszugehen, dass die betroffenen Verkehrsteilnehmer vernünftigerweise absehen können, dass im Bereich kritischer Infrastrukturen wie etwa auch Eisenbahnbrücken möglicherweise Bildaufnahmen erfolgen. So sind Videoüberwachungen in Österreich bereits auf gefährlichen Kreuzungen, in Tunnels, auf Autobahnen und Freilandstraßen sowie Rastplätzen, Bahnhöfen, Flughäfen, etc. weit verbreitet.

[…]

Laut DSB können Dashcams demnach insbesondere dann zulässig sein, wenn folgende Parameter eingehalten werden:

•             Die Datenverarbeitung erfolgt zum ausschließlichen Zweck der Dokumentation eines Unfallherganges. Die gegenständliche Anwendung erfüllt dieses Kriterium einwandfrei, da ausschließlich die ausgewiesenen Dokumentationszwecke verfolgt werden.

•             Die Aufnahme des öffentlichen Raumes (=Straße) wird auf das erforderliche Ausmaß beschränkt. Die umseits beschriebenen Datenminimierungsmaßnahmen der Verantwortlichen stellen auch die Erfüllung dieses Kriteriums sicher.

•             Im Falle einer Speicherung werden Daten nur im unbedingt erforderlichen zeitlichen Ausmaß gespeichert (Die konkrete Speicherdauer hängt von der maximalen zu erwartenden Annäherungsgeschwindigkeit und der konkret einsehbaren Annäherungslinie ab. Als maximale Speicherdauer sind 10 sek vor dem Unfallgeschehen bis wenige Sekunden danach vorgesehen, vgl Skizze1). Daten werden kontinuierlich überschrieben soweit es zu keinem Unfall gekommen ist. Die von der Verantwortlichen vorgesehene Kombination aus Ringspeicher und Anlass-Trigger durch Laserlichtschranken erfüllt auch diese Anforderung.•             Im Falle einer Speicherung werden Daten nur im unbedingt erforderlichen zeitlichen Ausmaß gespeichert (Die konkrete Speicherdauer hängt von der maximalen zu erwartenden Annäherungsgeschwindigkeit und der konkret einsehbaren Annäherungslinie ab. Als maximale Speicherdauer sind 10 sek vor dem Unfallgeschehen bis wenige Sekunden danach vorgesehen, vergleiche Skizze1). Daten werden kontinuierlich überschrieben soweit es zu keinem Unfall gekommen ist. Die von der Verantwortlichen vorgesehene Kombination aus Ringspeicher und Anlass-Trigger durch Laserlichtschranken erfüllt auch diese Anforderung.

•             Wenn die dauerhafte Speicherung von Bilddaten (=Stopp der Überschreibung im Ringspeicher) von einer willentlichen Handlung des Verantwortlichen abhängig ist (z.B. Knopfdruck), wird im Zweifel die Unzulässigkeit der Verarbeitung anzunehmen sein. Zulässig ist hingegen die ausschließlich automatische Speicherung von Bilddaten (=Stopp des Überschreibungsprozesses) durch vordefinierte Impulse, ohne Möglichkeit einer manuellen Speicherung. Im Rahmen der gegenständlichen Anwendung wird der Überschreibungsprozess ausschließlich durch einen Anschlag des Laserlichtschrankens ausgesetzt bzw. im Falle der Anlassaufnahme die Videoaufnahme überhaupt erst in Betrieb gesetzt.

•             Gewährleistung von Integrität und Vertraulichkeit durch den Einsatz von Verschlüsselungstechniken und Zugriffsbeschränkungen. Auch dieser Anforderung wird die gegenständliche Anwendung der Verantwortlichen gerecht (siehe zu den implementierten Maßnahmen Punkt 5 unten).

Auch unter Berücksichtigung jener Kriterien, die die DSB zumindest im Falle der Bildverarbeitung durch Dashcams für maßgeblich erachtet hat, ist die Zulässigkeit der gegenständlichen Anwendung gemäß Art 6 Abs 1 lit f DSGVO daher zu bejahen. Dabei ist zusätzlich zu berücksichtigen, dass die Verwendung von Dashcams eine vergleichsweise sogar höhere Eingriffsintensität aufweist. Denn im Gegensatz zur gegenständlichen Überwachung von kritischer Infrastruktur entspricht es gerade nicht den vernünftigen Erwartungen der betroffenen Personen, dass diese mittels Dashcam von anderen Verkehrsteilnehmern gefilmt werden (vgl in diesem Sinne DSB-D550.084/0002-DSB/2018). Zudem handelt es sich bei der gegenständlichen Verarbeitungstätigkeit um eine stationäre Bildaufnahme, welche einen immer gleichen Bereich einer potentiellen Gefahrenstelle im Straßenverkehr erfasst und zudem im Gegensatz zu einer „beweglichen“, in einem Fahrzeug befindlichen Dashcam sichtbar gekennzeichnet werden kann.Auch unter Berücksichtigung jener Kriterien, die die DSB zumindest im Falle der Bildverarbeitung durch Dashcams für maßgeblich erachtet hat, ist die Zulässigkeit der gegenständlichen Anwendung gemäß Artikel 6, Absatz eins, Litera f, DSGVO daher zu bejahen. Dabei ist zusätzlich zu berücksichtigen, dass die Verwendung von Dashcams eine vergleichsweise sogar höhere Eingriffsintensität aufweist. Denn im Gegensatz zur gegenständlichen Überwachung von kritischer Infrastruktur entspricht es gerade nicht den vernünftigen Erwartungen der betroffenen Personen, dass diese mittels Dashcam von anderen Verkehrsteilnehmern gefilmt werden vergleiche in diesem Sinne DSB-D550.084/0002-DSB/2018). Zudem handelt es sich bei der gegenständlichen Verarbeitungstätigkeit um eine stationäre Bildaufnahme, welche einen immer gleichen Bereich einer potentiellen Gefahrenstelle im Straßenverkehr erfasst und zudem im Gegensatz zu einer „beweglichen“, in einem Fahrzeug befindlichen Dashcam sichtbar gekennzeichnet werden kann.

[…]

3. ABSCHNITT: BEWERTUNG DER NOTWENDIGKEIT UND VERHÄLTNISMÄSSIGKEIT DER VERARBEITUNGSVORGÄNGE IN BEZUG AUF DEN ZWECK

[…]

3.2 Angaben über die getroffenen bzw geplanten Maßnahmen zur Einhaltung der DSGVO insbesondere jener zur Gewährleistung der Notwendigkeit und Verhältnismäßigkeit

Zweckbindungsgrundsatz (Art 5 Abs 1 lit b: Erhebung für festgelegte, eindeutige und legitime Zwecke; Weiterverwendung?)Zweckbindungsgrundsatz (Artikel 5, Absatz eins, Litera b, :, Erhebung für festgelegte, eindeutige und legitime Zwecke; Weiterverwendung?)

Die Datenverarbeitung erfolgt ausschließlich für die ausgewiesenen Dokumentationszwecke. Eine Datenverarbeitung zu anderen Zwecken findet nicht statt. Dies wird durch interne Schulungen und Richtlinien sichergestellt. Ferner wurden alle mit der gegenständlichen Verarbeitungstätigkeit befassten Mitarbeiter der Verantwortlichen mittels einer gesonderten Erklärung zur Einhaltung des Datengeheimnisses gemäß § 6 DSG und der geltenden internen Bestimmungen zum Datenschutz und zur Informationssicherheit verpflichtet.Die Datenverarbeitung erfolgt ausschließlich für die ausgewiesenen Dokumentationszwecke. Eine Datenverarbeitung zu anderen Zwecken findet nicht statt. Dies wird durch interne Schulungen und Richtlinien sichergestellt. Ferner wurden alle mit der gegenständlichen Verarbeitungstätigkeit befassten Mitarbeiter der Verantwortlichen mittels einer gesonderten Erklärung zur Einhaltung des Datengeheimnisses gemäß Paragraph 6, DSG und der geltenden internen Bestimmungen zum Datenschutz und zur Informationssicherheit verpflichtet.

Grundsatz der Datenminimierung (Art 5 Abs 1 lit c: Wie wird sichergestellt, dass nur die jeweils erforderlichen Daten verarbeitet werden?)Grundsatz der Datenminimierung (Artikel 5, Absatz eins, Litera c, :, Wie wird sichergestellt, dass nur die jeweils erforderlichen Daten verarbeitet werden?)

Im Sinne der Datenminimierung erfolgt die Kameraausrichtung der Fahrbahnperspektive derart, dass ausschließlich die Fahrzeuge auf der Fahrbahn des herannahenden Verkehrs und zudem nur die relevanten Bereiche der herannahenden Fahrzeuge (Fahrer-und Beifahrersitz und KFZ -Kennzeichen) erfasst werden.

Die Dauer der aufgenommenen Sequenz und Kamerawinkel wird so gewählt, dass bei durchschnittlicher Geschwindigkeit ein anprallender LKW das Bild ausfüllt und daher möglichst keine anderen Verkehrsteilnehmer erfasst werden.

Die Ausrichtung der Tragwerkuntersicht erfolgt derart, dass durch diese Kameraaufnahmen überhaupt keine personenbezogenen Daten verarbeitet werden. Insbesondere werden Rad- oder Fußwege unterhalb des Tragwerks nicht erfasst.

Zusätzlich werden für die Zweckerreichung nicht relevante Aufnahmebereiche mit statischen Schwärzungen (digital masking) versehen (z.B. die Randbereiche, in denen Fußgänger erfasst werden könnten oder der sich von der Brücke entfernende Gegenverkehr). Die Schwärzung wird dabei fix in die Kameraansichten einprogrammiert, sodass der durch die Maske erfasste Bereich gar nicht aufgenommen wird, dh in den betreffenden Bereichen werden keine Bildpixel verarbeitet.

Durch den Einsatz des Laserlichtschrankens, welcher je nach Umsetzung entweder die Kamera erst in Betrieb setzt (Anlassaufnahme) oder die kontinuierliche Überschreibung vorhandener Aufnahmen im Rahmen des Ringspeichers aussetzt (Anlassspeicherung) wird der Zeitraum der Aufnahme auf ein zur Zweckerreichung notwendiges Mindestmaß reduziert. Wo die örtlichen Gegebenheiten dies zulassen wird stets das Anlassaufnahme-System implementiert.

Durch einen Anprallanlass werden jeweils nur jene Kameras in Betrieb gesetzt, die auf jene Fahrbahn gerichtet sind, auf welcher sich das anprallende Fahrzeug befindet.

Grundsatz der Speicherbegrenzung (Art 5 Abs 1 lit e: Speicherungsdauer nur solange als für den Zweck erforderlich)Grundsatz der Speicherbegrenzung (Artikel 5, Absatz eins, Litera e, :, Speicherungsdauer nur solange als für den Zweck erforderlich)

Im Rahmen des Anlassaufnahme-Systems werden Daten nur im Falle eines Anprallanlasses aufgenommen und gespeichert.

Im Rahmen des Anlassspeicherungs-Systems werden die kontinuierlich erfassten Bilddaten in einem Ringspeicher temporär gesichert und jeweils bereits nach Ablauf von wenigen Sekunden überschrieben und damit irreversibel gelöscht (Die konkrete Speicherdauer hängt von der maximalen zu erwartenden Annäherungsgeschwindigkeit und der konkret einsehbaren Annäherungslinie ab. Als maximale Speicherdauer sind 10 Sekunden vorgesehen). Eine darüber hinausgehende Speicherung von erfassten Bilddaten erfolgt nur bei Registrierung eines Anprallanlasses.

Die an einen Anprallanlass anschließende Datenspeicherung erfolgt jeweils so lange, wie dies für die ausgewiesenen Verarbeitungszwecke im Einzelfall erforderlich ist (Art 5 Abs 1 lit e DSGVO). Liegt kein legitimer Speicherungszweck vor – insbesondere wenn es zu keinem für die Verantwortliche nachteiligen Anprall gekommen ist – werden die Daten unverzüglich, jedenfalls aber nach Ablauf von 96 Stunden nach der Aufnahme gelöscht. Gleiches gilt für nicht relevante Bildsequenzen einer gespeicherten Aufnahme (z.B. die Erfassung unbeteiligter Verkehrsteilnehmer). Die an einen Anprallanlass anschließende Datenspeicherung erfolgt jeweils so lange, wie dies für die ausgewiesenen Verarbeitungszwecke im Einzelfall erforderlich ist (Artikel 5, Absatz eins, Litera e, DSGVO). Liegt kein legitimer Speicherungszweck vor – insbesondere wenn es zu keinem für die Verantwortliche nachteiligen Anprall gekommen ist – werden die Daten unverzüglich, jedenfalls aber nach Ablauf von 96 Stunden nach der Aufnahme gelöscht. Gleiches gilt für nicht relevante Bildsequenzen einer gespeicherten Aufnahme (z.B. die Erfassung unbeteiligter Verkehrsteilnehmer).

Angaben über die Einhaltung der Vorgaben der Datenübermittlung an Drittländer (oder internationale Organisationen)

Die Bildaufnahmen werden auf einem Server im Inland gespeichert. Es erfolgt keine Übermittlung an Drittländer oder internationale Organisationen.

[…]

3.3 Angaben über die getroffenen bzw geplanten Maßnahmen zur Berücksichtigung der Rechte der betroffenen Personen

Gewährleistung der Transparenz- und Informationspflichten (Art 12-14)Gewährleistung der Transparenz- und Informationspflichten (Artikel 12 -, 14,)

Die Aufnahmetätigkeit wird gut sichtbar im Bereich der gesicherten Brücken durch entsprechende Hinweisschilder gekennzeichnet. Wo die örtlichen Gegebenheiten dies zulassen, dh wenn entsprechender Grund der Verantwortlichen (nicht Fremdgrund) vorhanden ist, wird die Kennzeichnung für den herannahenden Verkehr gut sichtbar im Vorfeld der Brücke angebracht.

Das Hinweisschild enthält Hinweise auf die Höhenkontrolle, ein Piktogramm für Videoüberwachung, einen Hinweis auf die Verantwortliche sowie einen Link samt QR Code mit Verweis auf weiterführende Informationen in der Datenschutzerklärung der Verantwortlichen. Die Kennzeichnung entspricht im Wesentlichen Skizze 2.

In die Datenschutzerklärung der Verantwortlichen wird eine detaillierte Beschreibung der Verarbeitungstätigkeit gemäß Art 13 DSGVO aufgenommen. Die Datenschutzerklärung ist jederzeit auf der Website der Verantwortlichen abrufbar und kann am Firmensitz angefordert werden.In die Datenschutzerklärung der Verantwortlichen wird eine detaillierte Beschreibung der Verarbeitungstätigkeit gemäß Artikel 13, DSGVO aufgenommen. Die Datenschutzerklärung ist jederzeit auf der Website der Verantwortlichen abrufbar und kann am Firmensitz angefordert werden.

[…]

4. ABSCHNITT: IDENTIFIZIERUNG UND BEWERTUNG DER RISIKEN FÜR DIE RECHTE UND FREIHEITEN DER BETROFFENEN PERSONEN

[…]

[…]

5. ABSCHNITT: IDENTIFIZIERUNG VON ABHILFEMASSNAHMEN

5.1 Kontrolle 1: Technische und organisatorische Maßnahmen

[…]

Geeignete Kennzeichnung der Anwendung

Die Aufnahmetätigkeit wird gut sichtbar im Bereich der gesicherten Brücken durch entsprechende Hinweisschilder gekennzeichnet. Wo die örtlichen Gegebenheiten dies zulassen, dh wenn entsprechender Grund der Verantwortlichen (nicht Fremdgrund) vorhanden ist, wird die Kennzeichnung für den herannahenden Verkehr gut sichtbar im Vorfeld der Brücke angebracht.

Abhängig von den örtlichen Gegebenheiten kann dabei nicht in jedem Fall sichergestellt werden, dass die Informationserteilung durch diese Kennzeichnungen derart erfolgt, dass die potentiell betroffenen Personen der Anwendung noch durch das Wählen einer anderen Route ausweichen können. Aber sie können in der Regel noch vor der Brücke anhalten.

Dies ist aber kein zwingendes gesetzliches Erfordernis (vgl etwa DSB-D550.084/0002-DSB/2018, wonach die Möglichkeit des Ausweichens "tunlichst" bestehen soll). So werden etwa auch Dashcams als nicht per se unzulässig qualifiziert, obwohl bei diesen die Möglichkeiten der Informationserteilung sogar noch stärker bzw. zumindest in vergleichbarer Weise eingeschränkt sind (vgl VwGH Ro 2015/04/0011 oder Newsletter 1/2020 der DSB). Dies ist aber kein zwingendes gesetzliches Erfordernis vergleiche etwa DSB-D550.084/0002-DSB/2018, wonach die Möglichkeit des Ausweichens "tunlichst" bestehen soll). So werden etwa auch Dashcams als nicht per se unzulässig qualifiziert, obwohl bei diesen die Möglichkeiten der Informationserteilung sogar noch stärker bzw. zumindest in vergleichbarer Weise eingeschränkt sind vergleiche VwGH Ro 2015/04/0011 oder Newsletter 1/2020 der DSB).

Zusätzlich wird in die Datenschutzerklärung der Verantwortlichen eine detaillierte Beschreibung der Verarbeitungstätigkeit gemäß Art 13 DSGVO aufgenommen. Die Datenschutzerklärung ist jederzeit auf der Webseite der Verantwortlichen abrufbar. Zusätzlich wird in die Datenschutzerklärung der Verantwortlichen eine detaillierte Beschreibung der Verarbeitungstätigkeit gemäß Artikel 13, DSGVO aufgenommen. Die Datenschutzerklärung ist jederzeit auf der Webseite der Verantwortlichen abrufbar.

Diese Kontrolle verringert das beschriebene Risiko, kann es jedoch nicht gänzlich beseitigen. Es verbleibt ein Restrisiko.

[…]

6. ABSCHNITT: DOKUMENTATION DER LÖSUNG UND DES RESTRISIKOS

[…]

“

Die im Anhang 4 befindliche Skizze (SKIZZE 2) stellt sich wie folgt dar (Formatierung nicht 1:1 übernommen):

[Anmerkung Bearbeiter: die an dieser Stelle als grafische Datei (Screenshot) wiedergegebene Abbildung kann mit vertretbarem Aufwand nicht pseudonymisiert werden.]

Beweiswürdigung: Die getroffenen Feststellungen ergeben sich aus dem verfahrenseinleitenden Antrag, dessen Beilage und ergänzender Stellungnahme.

C. In rechtlicher Hinsicht folgt daraus:

C.1. Allgemeines

Gemäß Art. 36 Abs. 1 DSGVO konsultiert der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Art. 35 leg. cit. hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. Gemäß Artikel 36, Absatz eins, DSGVO konsultiert der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35, leg. cit. hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

Eine abschließende Definition des „hohen Risikos“ lässt sich der DSGVO nicht entnehmen. Allerdings ergibt sich aus ErwGr 89, dass zu Verarbeitungsvorgängen, die „hohe Risiken“ mit sich bringen, insbesondere solche gehören, bei denen neue Technologien eingesetzt werden oder die neuartig sind und bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat (König in Gantschacher†/Jelinek/Schmidl/Spanberger, Kommentar zur DSGVO [2017], Art. 36 Anm. 1).Eine abschließende Definition des „hohen Risikos“ lässt sich der DSGVO nicht entnehmen. Allerdings ergibt sich aus ErwGr 89, dass zu Verarbeitungsvorgängen, die „hohe Risiken“ mit sich bringen, insbesondere solche gehören, bei denen neue Technologien eingesetzt werden oder die neuartig sind und bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat (König in Gantschacher†/Jelinek/Schmidl/Spanberger, Kommentar zur DSGVO [2017], Artikel 36, Anmerkung 1).

Als Risikoquellen kommen sowohl interne als auch externe, potentielle wie tatsächliche Risiken infrage. Bei der Identifizierung aller potentiellen Risiken ist nicht weniger als eine Art „Streifzug durch die Anforderungen des Datenschutzrechts“ erforderlich (Trieb in Knyrim, DatKomm Art 35 DSGVO, Rz 113). Im Zuge der vom Verantwortlichen durchgeführten Risikoanalyse sind daher neben rein „technischen“ Risiken, all jene Risiken der Datenverarbeitung aufzugreifen, welche möglicherweise negative Auswirkungen auf eine betroffene Person haben können und sie sohin in ihrem durch die DSGVO vorgesehenen Schutzbereich beeinträchtigen. Hierzu zählt folglich auch die Rechtmäßigkeit der Verarbeitung im Sinne des Art. 6 DSGVO sowie die Einhaltung aller Grundsätze nach Art. 5 DSGVO. Als Risikoquellen kommen sowohl interne als auch externe, potentielle wie tatsächliche Risiken infrage. Bei der Identifizierung aller potentiellen Risiken ist nicht weniger als eine Art „Streifzug durch die Anforderungen des Datenschutzrechts“ erforderlich (Trieb in Knyrim, DatKomm Artikel 35, DSGVO, Rz 113). Im Zuge der vom Verantwortlichen durchgeführten Risikoanalyse sind daher neben rein „technischen“ Risiken, all jene Risiken der Datenverarbeitung aufzugreifen, welche möglicherweise negative Auswirkungen auf eine betroffene Person haben können und sie sohin in ihrem durch die DSGVO vorgesehenen Schutzbereich beeinträchtigen. Hierzu zählt folglich auch die Rechtmäßigkeit der Verarbeitung im Sinne des Artikel 6, DSGVO sowie die Einhaltung aller Grundsätze nach Artikel 5, DSGVO.

Zur Eindämmung des Risikos nennt die DSGVO beispielhaft drei verschiedene Arten von Abhilfemaßnahmen, nämlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO eingehalten wird. Maßgeblich sind somit technische, organisatorische wie juristische, insbesondere vertragliche Maßnahmen, die Abhilfe schaffen sollen (Trieb in Knyrim, DatKomm Art 35 DSGVO, Rz 116).Zur Eindämmung des Risikos nennt die DSGVO beispielhaft drei verschiedene Arten von Abhilfemaßnahmen, nämlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO eingehalten wird. Maßgeblich sind somit technische, organisatorische wie juristische, insbesondere vertragliche Maßnahmen, die Abhilfe schaffen sollen (Trieb in Knyrim, DatKomm Artikel 35, DSGVO, Rz 116).

C.2. In der Sache

1. Die Verantwortliche führt aus, dass ein hohes Risiko in Bezug auf die Erteilung der zuverlässigen Information an die betroffenen Personen über die Datenverarbeitung dahingehend gegeben ist, dass die betroffenen Personen von der Datenverarbeitung in Form einer Videoüberwachung in ihrem privaten oder beruflichen Lebensbereich erfasst werden, ohne über die Tatsache der Verarbeitung und/oder die Identität des Verantwortlichen informiert zu sein. Konkret definiert die Verantwortliche das Risiko im Rahmen ihrer Datenschutz-Folgenabschätzung als „Risik[o] für die Effektivität der Erfüllung der Informationspflichten durch Kennzeichnung“. Es handelt sich hierbei – in Hinblick auf die zuvor festgehaltenen Überlegungen – um ein „Risiko“ iSd Art. 35 DSGVO. 1. Die Verantwortliche führt aus, dass ein hohes Risiko in Bezug auf die Erteilung der zuverlässigen Information an die betroffenen Personen über die Datenverarbeitung dahingehend gegeben ist, dass die betroffenen Personen von der Datenverarbeitung in Form einer Videoüberwachung in ihrem privaten oder beruflichen Lebensbereich erfasst werden, ohne über die Tatsache der Verarbeitung und/oder die Identität des Verantwortlichen informiert zu sein. Konkret definiert die Verantwortliche das Risiko im Rahmen ihrer Datenschutz-Folgenabschätzung als „Risik[o] für die Effektivität der Erfüllung der Informationspflichten durch Kennzeichnung“. Es handelt sich hierbei – in Hinblick auf die zuvor festgehaltenen Überlegungen – um ein „Risiko“ iSd Artikel 35, DSGVO.

Da lediglich jene Verarbeitungen – die auch nach Vorsehen der im Zuge der Datenschutz-Folgenabschätzung definierten Abhilfemaßnahmen weiterhin hohe Risiken für natürliche Personen bergen – dem Konsultationsmechanismus unterzogen werden sollen (Trieb in Knyrim, Art 35, Rz 28 ff; Trieb in Knyrim, Art. 36 Rz 1), ist in einem nächsten Schritt zu prüfen, ob die Verantwortliche geeignete Maßnahmen zur Eindämmung des identifizierten Risikos getroffen hat. Da lediglich jene Verarbeitungen – die auch nach Vorsehen der im Zuge der Datenschutz-Folgenabschätzung definierten Abhilfemaßnahmen weiterhin hohe Risiken für natürliche Personen bergen – dem Konsultationsmechanismus unterzogen werden sollen (Trieb in Knyrim, Artikel 35,, Rz 28 ff; Trieb in Knyrim, Artikel 36, Rz 1), ist in einem nächsten Schritt zu prüfen, ob die Verantwortliche geeignete Maßnahmen zur Eindämmung des identifizierten Risikos getroffen hat.

2. Wie festgestellt, sieht die Verantwortliche eine „Kennzeichnung der Anwendung“ vor. Der überwachte Bereich soll hierbei gut sichtbar in der Nähe der gesicherten Brücken durch entsprechende Hinweisschilder (SKIZZE 2) gekennzeichnet werden. Das Hinweisschild enthält neben einem Piktogramm, welches eine Videokamera darstellt, einen QR-Code, welcher auf die – ebenso auf dem Hinweisschild angeführte – Webseite, auf welcher die Datenschutzerklärung der Verantwortlichen abzurufen ist, verweist. Wenn entsprechender Grund der Verantwortlichen vorhanden ist, soll die Kennzeichnung für den herannahenden Verkehr gut sichtbar im Vorfeld der Brücke angebracht werden.

Bei Bildverarbeitungen sehen die Leitlinien 3/2019 des Europäischen Datenschutzausschusses zur Verarbeitung personenbezogener Daten durch Videogeräte hinsichtlich der zu erteilenden Information ein Zwei-Stufen Modell vor.

Demnach soll die Information erster Ebene durch ein aussagekräftiges Hinweisschild erfolgen. Diese Informationen sollten so angebracht sein, dass die betroffene Person die Umstände der Überwachung leicht erkennen kann, bevor sie den überwachten Bereich betritt (etwa in Augenhöhe). Die Position der Kamera selbst muss nicht offengelegt werden, solange kein Zweifel daran besteht, welche Bereiche erfasst werden und die Umstände der Überwachung eindeutig beschrieben werden. Die betroffene Person muss in der Lage sein, einzuschätzen, welcher Bereich von einer Kamera erfasst wird, damit sie der Überwachung ausweichen oder ihr Verhalten erforderlichenfalls anpassen kann (vgl. dazu Rz 113).Demnach soll die Information erster Ebene durch ein aussagekräftiges Hinweisschild erfolgen. Diese Informationen sollten so angebracht sein, dass die betroffene Person die Umstände der Überwachung leicht erkennen kann, bevor sie den überwachten Bereich betritt (etwa in Augenhöhe). Die Position der Kamera selbst muss nicht offengelegt werden, solange kein Zweifel daran besteht, welche Bereiche erfasst werden und die Umstände der Überwachung eindeutig beschrieben werden. Die betroffene Person muss in der Lage sein, einzuschätzen, welcher Bereich von einer Kamera erfasst wird, damit sie der Überwachung ausweichen oder ihr Verhalten erforderlichenfalls anpassen kann vergleiche dazu Rz 113).

Die Informationen der ersten Ebene (Hinweisschild) sollten in der Regel die wichtigsten Informationen enthalten, z. B. Angaben zu den Zwecken der Verarbeitung, zur Identität des Verantwortlichen und zum Bestehen der Rechte der betroffenen Person sowie weitere Informationen mit hoher Bedeutung. Dazu können beispielsweise die berechtigten Interessen des Verantwortlichen (oder eines Dritten) und (gegebenenfalls) die Kontaktdaten des Datenschutzbeauftragten gehören. Sie müssen ferner auf die detailliertere zweite Informationsebene verweisen sowie darauf hinweisen, wo und wie sie zu finden ist (ebd. Rz 114).

Informationen der zweiten Ebene müssen ebenfalls an einem für die betroffene Person leicht zugänglichen Ort zur Verfügung gestellt werden, z. B. als vollständiges Informationsblatt an einer zentralen Stelle (z. B. Informationsschalter, Empfang oder Kasse) oder auf einem leicht zugänglichen Plakat. Wie bereits erwähnt, muss der Warnhinweis der ersten Ebene eindeutig auf die Informationen der zweiten Ebene verweisen. Darüber hinaus ist es am besten, wenn die Informationen der ersten Ebene auf eine digitale Quelle (z. B. QR-Code oder Internetadresse) der zweiten Ebene verweisen. Die Informationen müssen jedoch auch auf nicht digitalem Wege leicht verfügbar sein. Es sollte möglich sein, auf die Informationen der zweiten Ebene zuzugreifen, ohne sich in den überwachten Bereich zu begeben, insbesondere wenn die Informationen digital bereitgestellt werden (beispielsweise über einen Link). Ein anderes geeignetes Mittel könnte eine Telefonnummer sein, die angerufen werden kann. Die Informationen müssen jedoch alle Angaben enthalten, die nach Art. 13 DSGVO obligatorisch sind (ebd. Rz 117).Informationen der zweiten Ebene müssen ebenfalls an einem für die betroffene Person leicht zugänglichen Ort zur Verfügung gestellt werden, z. B. als vollständiges Informationsblatt an einer zentralen Stelle (z. B. Informationsschalter, Empfang oder Kasse) oder auf einem leicht zugänglichen Plakat. Wie bereits erwähnt, muss der Warnhinweis der ersten Ebene eindeutig auf die Informationen der zweiten Ebene verweisen. Darüber hinaus ist es am besten, wenn die Informationen der ersten Ebene auf eine digitale Quelle (z. B. QR-Code oder Internetadresse) der zweiten Ebene verweisen. Die Informationen müssen jedoch auch auf nicht digitalem Wege leicht verfügbar sein. Es sollte möglich sein, auf die Informationen der zweiten Ebene zuzugreifen, ohne sich in den überwachten Bereich zu begeben, insbesondere wenn die Informationen digital bereitgestellt werden (beispielsweise über einen Link). Ein anderes geeignetes Mittel könnte eine Telefonnummer sein, die angerufen werden kann. Die Informationen müssen jedoch alle Angaben enthalten, die nach Artikel 13, DSGVO obligatorisch sind (ebd. Rz 117).

3. Die von der Verantwortlichen vorgesehene Kennzeichnung ist sowohl von der geplanten örtlichen Positionierung als auch vom Inhalt her eine geeignete Maßnahme, um das identifizierte Risiko zu minimieren. Sie entspricht dem Modell, welches in den oben genannten Leitlinien empfohlen wird. Dem Argument der Verantwortlichen, dass es nicht in jedem Fall – aufgrund örtlicher Gegebenheiten – möglich ist, die gewählte Maßnahme in gleicher Weise umzusetzen und das identifizierte Risiko in gleicher Weise zu minimieren und daher ein hohes Restrisiko verbleibe, ist zu entgegnen, dass nicht ausschließlich die - in der durch die Verantwortliche im Zuge der Datenschutz-Folgenabschätzung speziell dem identifizierten Risiko zugeordnete - Maßnahme, das konkrete Risiko auch hinreichend zu minimieren hat. Vielmehr hat die Bestimmung eines womöglich verbleibenden hohen Restrisikos unter Berücksichtigung aller für die gewünschte Verarbeitung vorgesehenen Eindämmungsmaßnahmen zu erfolgen. Bei der Beurteilung des verbleibenden Restrisikos sind daher alle geplanten Maßnahmen zur Gewährleistung einer DSGVO-konformen Verarbeitung miteinzubeziehen.

Begründen lässt sich dies durch einen Verweis auf den Wortlaut des Art. 35 DSGVO, welcher sich in Bezug auf das Risiko „auf die Rechte und Freiheiten der betroffenen Person“ bezieht.Begründen lässt sich dies durch einen Verweis auf den Wortlaut des Artikel 35, DSGVO, welcher sich in Bezug auf das Risiko „auf die Rechte und Freiheiten der betroffenen Person“ bezieht.

Dementsprechend hat auch für die Beurteilung des verbleibenden Risikos eine Gesamtschau aller getroffenen Maßnahmen und Vorkehrungen – im Sinne einer allumfassenden Interessensabwägung im Sinne des Art. 5 iVm Art. 6 DSGVO – zu erfolgen. Dementsprechend hat auch für die Beurteilung des verbleibenden Risikos eine Gesamtschau aller getroffenen Maßnahmen und Vorkehrungen – im Sinne einer allumfassenden Interessensabwägung im Sinne des Artikel 5, in Verbindung mit Artikel 6, DSGVO – zu erfolgen.

4. Aufgrund der von der Verantwortlichen in der Datenschutz-Folgenabschätzung vorgenommenen Beurteilung ist die Zulässigkeit der gegenständlichen Datenverarbeitung zu bejahen und hat die Datenschutzbehörde der Interessensabwägung der Verantwortlichen nichts entgegenzusetzen.

Das von der Verantwortlichen aufgeworfene „hohe Restrisiko“ wird jedenfalls durch die geplanten Aufnahme-, Auswertungs- und Löschmodalitäten derart stark reduziert, dass im Ergebnis kein hohes Restrisiko für Betroffene erkannt werden kann.

Entgegen der Ansicht der Verantwortlichen hat sie daher insgesamt unter Zusammenschau der dargelegten Maßnahmen nach Art. 35 Abs. 7 lit. d DSGVO das bestehende Risiko hinreichend eingedämmt. Entgegen der Ansicht der Verantwortlichen hat sie daher insgesamt unter Zusammenschau der dargelegten Maßnahmen nach Artikel 35, Absatz 7, Litera d, DSGVO das bestehende Risiko hinreichend eingedämmt.

Die Voraussetzungen für eine vorherige Konsultation gemäß Art. 36 DSGVO sind daher mangels hohem Risiko nicht gegeben und es war sohin spruchgemäß zu entscheiden.Die Voraussetzungen für eine vorherige Konsultation gemäß Artikel 36, DSGVO sind daher mangels hohem Risiko nicht gegeben und es war sohin spruchgemäß zu entscheiden.

European Case Law Identifier

ECLI:AT:DSB:2021:2021.0.024.862