Ist eine Datenerhebung bspw. in Form einer Videoüberwachung des Veranstaltungsgeländes erlaubt, wenn dadurch die Veranstaltungssicherheit erhöht werden kann? Anders gefragt: Welches Gewicht hat der Datenschutz im Verhältnis zur Besuchersicherheit?
Datenschutz vs. Besuchersicherheit
„Sicherheit“ ist alleine erstmal kein Argument, Daten von Besuchern, Mitarbeitern und Mitwirkenden zu erheben (z.B. mit einer Videoüberwachung oder für eine polizeiliche Zuverlässigkeitsüberprüfung). Da muss man sich schon etwas mehr Mühe geben, denn: Grundsätzlich ist die Datenerhebung erstmal nicht erlaubt. Nur wenn eine gesetzlich geregelte Rechtsgrundlage (siehe Art. 6 DSGVO) bejaht werden kann, ist die Datenerhebung ausnahmsweise erlaubt.
Bevor man sich also die Mühe macht zu überlegen, ob die Datenerhebung sinnvoll ist und zu mehr Sicherheit auf der Veranstaltung beiträgt, muss man prüfen, ob man die Daten überhaupt erheben darf. Letztlich hängen die Fragen aber zusammen:
Einwilligung in die Datenverarbeitung?
Die Verarbeitung ist bspw. rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben (Art. 6 Abs. 1 Buchstabe a DSGVO).
Eine Datenerhebung ist erlaubt, wenn der Betroffene einwilligt. Der Veranstalter könnte sich nun also die Einwilligung der Besucher und der Mitarbeiter einholen. Bei eigenen Mitarbeitern mag das noch funktionieren, aber bei fremden Mitarbeitern geht das auch nur so lange gut, wie der Mitarbeiter auch tatsächlich einwilligt.
Was aber, wenn er das nicht will? Denn: Die Einwilligung muss freiwillig erfolgen. Abgesehen davon, dass das Risiko besteht, dass die Einwilligungserklärung fehlerhaft vorformuliert wurde und damit die Rechtsgrundlage entfallen könnte.
Bei der Zuverlässigkeitsüberprüfung durch die Polizei sehen die Landespolizeigesetz eine Einwilligung in die Datenverarbeitung vor, also für die Prüfung der Zuverlässigkeit der zu akkreditierenden Mitarbeiter.
Bzgl. Besucher:
Es dürfte nicht realistisch sein, von einer größeren Anzahl von Besuchern die Einwilligung zu erhalten. Übrigens: Es genügt nicht, wenn ein Besucher sich anmeldet, und in den AGB nur formuliert ist: „Mit der Anmeldung erteilen Sie die Einwilligung, dass…“.
Aufgabe im öffentlichen Interesse?
Die Verarbeitung kann daneben auch rechtmäßig sein, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Absatz 1 Buchstabe e DSGVO).
Auf den erste Blick scheint diese Rechtsgrundlage im Kontext der Veranstaltungssicherheit zu passen, und tatsächlich habe ich auch schon öfter gesehen, dass diese sich in den Datenschutzhinweisen findet. Aber:
Nach Art. 6 Absatz 3 Satz 1 DSGVO muss die Rechtsgrundlage für die Verarbeitung durch Unionsrecht oder das Recht des Mitgliedstaates festgelegt werden, dem der verantwortliche Datenverarbeiter unterliegt. Die Vorschrift erfordert damit die Festlegung der öffentlichen Aufgabe und deren Übertragung auf den Verantwortlichen durch nationales Recht, sofern keine Aufgabenzuweisung durch Unionsrecht vorliegt. Und: Soweit die Datenverarbeitung auf dieser Grundlage durch einen privatwirtschaftlichen Veranstalter würde erfolgen sollen, muss ihm diese Aufgabe übertragen worden sein.
Solange der Gesetzgeber also keine Datenerhebung bei Besuchern oder für die Datenabfrage für Mitarbeiter zum Zweck der Veranstaltungssicherheit vorschreibt, kann man sich auch nicht auf diese Rechtsgrundlage – Art. 6 Absatz 1 Buchstabe e DSGVO – berufen.
Berechtigtes Interesse?
Die Verarbeitung kann rechtmäßig sein, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, … (Art. 6 Absatz 1 Buchstabe f DSGVO).
Es genügt nicht, dass der Veranstalter ein mutmaßlich berechtigtes Interesse an der Datenverarbeitung hat – sein Interesse an der Datenerhebung muss das Interesse des Besuchers bzw. des Mitarbeiters an der Nicht-Erhebung überwiegen.
Bspw. die Erhebung von Name und Vorname zu dem Zweck, dass der Mitarbeiter überhaupt vor Ort eingelassen wird, ist sinnvoll – jedenfalls dann, wenn die (fremden) Mitarbeiter ohne ihren Arbeitgeber einzeln in die Veranstaltungsstätte eingelassen werden wollen.
