Die nDSG-Konformität Ihrer Videoüberwachung hängt weniger von der Technologie selbst ab, als von der lückenlosen, beweisbaren Dokumentation jedes Prozesses.
- Die systematische Anonymisierung von Personen im Live-Bild ist der Goldstandard und demonstriert „Privacy by Default“.
- KI-gestützte Suchen sind zulässig, wenn sie einem klar definierten Zweck dienen und jede Abfrage protokolliert wird, um Missbrauch auszuschliessen.
- Die persönliche Haftung des Verwaltungsrats kann nur durch eine nachweisbare Ausübung der Sorgfaltspflicht (Weisungen, Protokolle, DSFA) minimiert werden.
Empfehlung: Konzentrieren Sie sich auf den Aufbau einer juristischen „Beweiskette“ für jede Phase der Datenverarbeitung – von der Interessenabwägung bis zur automatisierten und protokollierten Löschung.
Als Datenschutzbeauftragter oder Compliance-Manager in der Schweiz stehen Sie vor einer komplexen Herausforderung: Wie können Sie die legitimen Sicherheitsinteressen Ihres Unternehmens durch moderne Videoüberwachung wahren, ohne die strengen Vorgaben des neuen Datenschutzgesetzes (nDSG) zu verletzen? Viele Unternehmen glauben, mit der Installation von Kameras und einem Hinweisschild sei die Pflicht erfüllt. Doch die Realität ist eine andere. Das nDSG verlangt weit mehr als nur oberflächliche Massnahmen; es fordert Transparenz, Verhältnismässigkeit und vor allem eine nachvollziehbare Dokumentation.
Die üblichen Ratschläge kratzen oft nur an der Oberfläche. Sie warnen vor dauerhafter Überwachung am Arbeitsplatz oder betonen die Wichtigkeit von Löschfristen. Doch sie lassen die entscheidende Frage unbeantwortet: Wie setzen Sie diese Prinzipien technisch und organisatorisch so um, dass sie einer Prüfung durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) standhalten? Die wahre Kunst der Compliance liegt nicht darin, die Regeln zu kennen, sondern darin, ihre Einhaltung jederzeit beweisen zu können. Der Schlüssel liegt in der Schaffung einer lückenlosen juristischen „Beweiskette“.
Dieser Artikel geht bewusst einen Schritt weiter. Statt die bekannten Grundsätze zu wiederholen, fokussieren wir auf die konkrete, rechtssichere Implementierung. Wir betrachten die Videoüberwachung als einen durchgehenden Datenverarbeitungsprozess, bei dem jeder Schritt – von der Erfassung über die Analyse bis zur Löschung – dokumentiert und gerechtfertigt werden muss. Anhand praxisnaher Beispiele und konkreter Vorgaben zeigen wir Ihnen, wie Sie technische Möglichkeiten wie KI-Analyse und automatische Anonymisierung nicht als Risiko, sondern als Werkzeug für eine datenschutzfreundlichere und dennoch effektive Überwachung nutzen können. Wir führen Sie durch die kritischen Aspekte, von der korrekten Gestaltung des Hinweisschildes bis hin zur persönlichen Haftung des Verwaltungsrats.
Dieser Leitfaden ist strukturiert, um Ihnen eine klare und umsetzbare Roadmap für die nDSG-konforme Videoüberwachung zu bieten. Jede Sektion adressiert eine spezifische, praxisrelevante Fragestellung und liefert Ihnen die notwendigen juristischen und technischen Lösungsansätze.
Inhaltsverzeichnis: Ihr Weg zur nDSG-konformen Videoüberwachung
- Warum Sie Mitarbeiter und Passanten im Live-Bild unkenntlich machen müssen?
- Wie begründen Sie den Einsatz von KI-Kameras, ohne in den Verdacht der „Totalüberwachung“ zu geraten?
- Manuell oder Automatisch: Wie garantieren Sie, dass Aufnahmen nach 24/48h wirklich weg sind?
- Das Piktogramm reicht nicht: Was muss auf dem Hinweisschild zur Videoüberwachung wirklich stehen?
- Wann müssen Sie einem Mitarbeiter Einsicht in die Videoaufnahmen gewähren?
- Stundenlanges Spulen vs. Schlagwortsuche: Wie finden Sie den Täter mit „roter Jacke“ in Sekunden?
- Cloud oder On-Premise: Wo landen die Nutzungsdaten Ihrer Mieter?
- Wie schützen Sie sich als Schweizer Verwaltungsrat gemäss Art. 717 OR vor persönlicher Haftung bei Cyber-Vorfällen?
Warum Sie Mitarbeiter und Passanten im Live-Bild unkenntlich machen müssen?
Die permanente Sichtbarkeit von Mitarbeitern und unbeteiligten Dritten in einem Live-Monitor stellt einen erheblichen Eingriff in deren Persönlichkeitsrechte dar. Nach dem Grundsatz der Datenminimierung (Art. 6 Abs. 2 nDSG) dürfen Personendaten nur bearbeitet werden, wenn es für den Zweck erforderlich ist. Ein Sicherheitsmitarbeiter, der einen allgemeinen Bereich überwacht, benötigt in der Regel nicht die Identität jeder vorbeigehenden Person. Die permanente, anlasslose Identifizierbarkeit ist daher meist unverhältnismässig. Moderne Videosysteme, die eine dynamische oder permanente Verpixelung (Anonymisierung) von Personen in Echtzeit ermöglichen, sind die technische Antwort auf diese rechtliche Anforderung. Sie demonstrieren die Umsetzung von „Privacy by Default“, da der Schutz der Privatsphäre die Standardeinstellung ist und eine De-Anonymisierung nur im begründeten Einzelfall (z. B. nach einem Alarm) und nach einem klar definierten Prozess, idealerweise im Vier-Augen-Prinzip, erfolgt.
Diese technische Massnahme ist ein zentraler Baustein Ihrer Beweiskette. Sie belegt, dass Sie den Schutz der Persönlichkeitsrechte ernst nehmen und proaktiv Massnahmen ergriffen haben, um die Datenerfassung auf das absolut Notwendige zu beschränken. Die blosse Aufzeichnung ohne Live-Monitoring ist zwar ein milderes Mittel, doch auch hier bleibt die Frage der Verhältnismässigkeit der Speicherdauer. Grundsätzlich gilt eine kurze Aufbewahrungsdauer als verhältnismässig; so empfiehlt der Eidgenössische Datenschutzbeauftragte eine maximale Aufbewahrungsdauer von 24 Stunden, in begründeten Fällen bis zu 72 Stunden. Die Fähigkeit zur Anonymisierung im Live-Bild ist jedoch ein stärkeres Argument, um die Notwendigkeit einer permanenten Überwachung überhaupt erst zu rechtfertigen.
Wie begründen Sie den Einsatz von KI-Kameras, ohne in den Verdacht der „Totalüberwachung“ zu geraten?
Der Begriff „KI-Kamera“ löst oft Assoziationen mit permanenter Verhaltensanalyse und „Totalüberwachung“ aus. Juristisch entscheidend ist jedoch nicht die Technologie selbst, sondern ihr konkreter, zweckgebundener Einsatz. Anstatt KI als Instrument zur permanenten Kontrolle zu positionieren, sollten Sie deren Fähigkeit zur Datenminimierung und Effizienzsteigerung hervorheben. Eine gut dokumentierte Interessenabwägung ist hierbei Ihr wichtigstes Werkzeug. Darin legen Sie dar, warum der Einsatz von KI zur Erreichung eines legitimen Sicherheitsziels (z. B. Diebstahlprävention, Zutrittskontrolle zu sensiblen Bereichen) geeignet, erforderlich und verhältnismässig ist.
Wie das Schaubild symbolisiert, geht es um die Herstellung einer Balance. Ein überzeugendes Argument ist, dass KI die Privatsphäre von Unbeteiligten sogar besser schützen kann. Statt dass Sicherheitspersonal stundenlang Videomaterial sichtet und dabei zwangsläufig zahlreiche Personen ohne Anlass beobachtet, ermöglicht eine KI-gestützte Objektsuche den direkten Sprung zum relevanten Ereignis. Dies reduziert den sogenannten „Beifang“ an gesichteten Personendaten drastisch.
Praxisbeispiel: Dokumentierte Interessenabwägung für KI-Einsatz
Der EDÖB selbst betont, dass KI-gestützte Objektsuche die Privatsphäre sogar besser schützen kann als manuelle Sichtung. Der entscheidende Punkt ist die Minimierung der Exposition unbeteiligter Personen. Anstatt dass Sicherheitsmitarbeiter stundenlang Aufnahmen durchsehen, um ein Ereignis zu finden, ermöglicht die KI den direkten Zugriff auf die relevanten wenigen Sekunden. Dieser Vorteil muss in der Verhältnismässigkeitsprüfung klar dokumentiert werden. Die Dokumentation muss nachvollziehbar darlegen, wie die KI-Funktion konkret zur Zweckbindung und Datenminimierung beiträgt und welche Massnahmen eine Zweckentfremdung (z. B. zur Leistungskontrolle) verhindern.
Die Rechtfertigung muss also proaktiv erfolgen. In Ihrer Datenschutz-Folgenabschätzung (DSFA) müssen Sie klar definieren: Welches spezifische Problem löst die KI? Warum sind mildere Mittel (z. B. eine einfache Kamera ohne Analyse) nicht ausreichend? Und welche technischen und organisatorischen Massnahmen (TOM) verhindern eine unzulässige Nutzung, wie z.B. die systematische Verhaltensüberwachung von Mitarbeitern?
Manuell oder Automatisch: Wie garantieren Sie, dass Aufnahmen nach 24/48h wirklich weg sind?
Die Einhaltung von Löschfristen ist eine der zentralen Anforderungen des nDSG. Eine blosse Behauptung, man lösche die Daten regelmässig, reicht im Streitfall nicht aus. Sie müssen die Einhaltung der Fristen nachweisen können. Hier stossen manuelle Prozesse schnell an ihre Grenzen. Sie sind fehleranfällig, hängen von einzelnen Personen ab und sind schwer zu protokollieren. Vergessene Löschungen, kranke Mitarbeiter oder unzureichend dokumentierte Prozesse stellen ein erhebliches Compliance-Risiko dar.
Die Lösung liegt in der Automatisierung. Ein modernes Videosystem muss so konfiguriert sein, dass es Aufnahmen nach Ablauf der definierten Frist (z. B. 24, 48 oder 72 Stunden) automatisch und unwiederbringlich überschreibt oder löscht. Entscheidend ist, dass dieser Vorgang vom System selbst protokolliert wird. Ein solcher Audit-Trail dient als stichhaltiger Beweis gegenüber dem EDÖB, dass Sie Ihrer Löschpflicht systematisch nachkommen. Dies gilt explizit auch für allfällige Backups, die oft in manuellen Prozessen vergessen werden.
Die folgende Gegenüberstellung verdeutlicht die Überlegenheit eines automatisierten Prozesses für Ihre juristische Beweiskette.
| Kriterium | Manuelle Löschung | Automatisierte Löschung |
|---|---|---|
| Beweiskraft vor EDÖB | Schwer nachweisbar | Protokolliert und nachvollziehbar |
| Fehleranfälligkeit | Hoch (menschlicher Faktor) | Gering (systemgesteuert) |
| Compliance-Nachweis | Aufwändige Dokumentation nötig | Automatischer Audit-Trail |
| Löschung von Backups | Oft vergessen | In Prozess integrierbar |
Wie der EDÖB in seinem Merkblatt zur Videoüberwachung durch Private festhält, ist die Beweislast entscheidend:
Eine automatisierte, protokollierte Löschung durch das System selbst dient als stichhaltiger Beweis der Einhaltung der Aufbewahrungsfristen.
– EDÖB, Merkblatt Videoüberwachung durch Private
Investieren Sie daher in ein System, das „Privacy by Design“ umsetzt und die automatisierte, protokollierte Löschung als Kernfunktion anbietet. Dies wandelt eine potenziell aufwändige manuelle Aufgabe in einen automatisierten und beweisbaren Compliance-Prozess um.
Das Piktogramm reicht nicht: Was muss auf dem Hinweisschild zur Videoüberwachung wirklich stehen?
Die Informationspflicht gemäss Art. 19 nDSG ist eine der grundlegendsten Pflichten bei der Videoüberwachung. Ein simples Piktogramm einer Kamera genügt diesen Anforderungen bei Weitem nicht. Das Gesetz verlangt eine aktive, klare und vollständige Information der betroffenen Personen, bevor sie den überwachten Bereich betreten. Das Hinweisschild ist die erste Stufe dieser Information und muss die wichtigsten Angaben direkt enthalten. Ziel ist es, jeder Person eine informierte Entscheidung zu ermöglichen, ob sie den Bereich betreten möchte oder nicht. Das Schild muss so platziert sein, dass es vor dem Erfassen durch die Kamera gut sichtbar ist.
Die Qualität des Hinweisschildes ist ein direktes Aushängeschild Ihrer Datenschutz-Compliance. Für eine vollständige Information, die über die Basisangaben hinausgeht (z.B. Rechtsgrundlagen, genaue Speicherdauer, Betroffenenrechte), hat sich die Verwendung eines QR-Codes als Best Practice etabliert. Dieser Code verlinkt auf eine detaillierte Datenschutzerklärung auf Ihrer Webseite, wo alle weiteren vom nDSG geforderten Informationen bereitgestellt werden. Dies kombiniert eine prägnante Information vor Ort mit der geforderten Vollständigkeit.
Ihr Aktionsplan: Das rechtssichere Hinweisschild
- Identität des Verantwortlichen: Geben Sie den vollständigen Firmennamen und die Adresse des für die Datenverarbeitung verantwortlichen Unternehmens an.
- Genauer Verarbeitungszweck: Formulieren Sie präzise, wofür die Aufnahmen verwendet werden, z.B. „Schutz vor Einbruch und Vandalismus in den Aussenbereichen“ und nicht nur „Sicherheit“.
- Empfängerkategorien: Listen Sie auf, wer potenziell Zugriff auf die Daten erhält, z.B. „Polizei im Ereignisfall“, „Externer Sicherheitsdienst“, „IT-Administration“.
- Ausland-Bekanntgabe: Fügen Sie einen Hinweis hinzu, falls die Daten (z.B. bei Cloud-Speicher) in Länder ohne adäquaten Datenschutz gemäss Bundesratsliste übermittelt werden.
- Link zur Detailinformation: Integrieren Sie einen gut lesbaren QR-Code, der direkt auf Ihre vollständige Datenschutzerklärung zur Videoüberwachung auf Ihrer Website verweist.
Wann müssen Sie einem Mitarbeiter Einsicht in die Videoaufnahmen gewähren?
Jede Person, einschliesslich Ihrer Mitarbeiter, hat nach Art. 25 nDSG ein grundsätzliches Auskunftsrecht darüber, ob Daten über sie bearbeitet werden. Dies schliesst Videoaufnahmen explizit mit ein. Ein Mitarbeiter kann also verlangen, Aufnahmen einzusehen, auf denen er zu sehen ist. Dieses Recht ist jedoch nicht absolut und kollidiert oft mit den Persönlichkeitsrechten anderer Personen, die ebenfalls auf dem Video zu sehen sind. Sie können und dürfen das Auskunftsbegehren daher nicht mit der Herausgabe des unbearbeiteten Originalvideos erfüllen.
Ihre Pflicht ist es, dem anfragenden Mitarbeiter eine Kopie der Aufnahme zur Verfügung zu stellen, auf der alle anderen identifizierbaren Personen unkenntlich gemacht sind (z.B. durch Schwärzung oder Verpixelung). Dies stellt eine erhebliche technische Anforderung an Ihr Videosystem dar. Es muss nicht nur die gezielte Suche nach Ereignissen, sondern auch die Bearbeitung und den Export von manipulierten Videoclips ermöglichen. Jeder dieser Schritte – vom Zugriff auf das Originalmaterial bis zur Erstellung der geschwärzten Kopie – muss zudem lückenlos protokolliert werden, um Missbrauch zu verhindern.
Praxis-Urteil: Auskunftsbegehren nach Art. 25 nDSG
In seiner Praxis stellt der EDÖB klar, dass bei Auskunftsbegehren von Mitarbeitern die Rechte Dritter gewahrt werden müssen. Das bedeutet konkret: Bevor eine Aufnahme an den anfragenden Mitarbeiter herausgegeben wird, müssen alle anderen erkennbaren Personen auf dem Video geschwärzt oder verpixelt werden. Eine wichtige Ausnahme besteht, wenn die Ausübung des Auskunftsrechts im Rahmen eines bereits hängigen Verfahrens (z.B. eines Strafverfahrens) erfolgt. In diesem Fall gelten die spezifischen Verfahrensgrundsätze der Schweizerischen Strafprozessordnung (StPO), welche dem allgemeinen Datenschutzrecht vorgehen können.
Die Verweigerung der Auskunft ist nur unter sehr strengen Voraussetzungen möglich, etwa wenn überwiegende private Interessen Dritter oder überwiegende öffentliche Interessen dies erfordern. Eine solche Verweigerung muss schriftlich und detailliert begründet werden. Die technische Fähigkeit zur Schwärzung ist daher keine Option, sondern eine Notwendigkeit, um dem Auskunftsrecht datenschutzkonform nachkommen zu können.
Stundenlanges Spulen vs. Schlagwortsuche: Wie finden Sie den Täter mit „roter Jacke“ in Sekunden?
Nach einem Sicherheitsvorfall, wie einem Diebstahl, beginnt die eigentliche Arbeit: die Sichtung des Videomaterials. Traditionell bedeutet dies stundenlanges, manuelles Durchspulen von Aufnahmen – ein Prozess, der nicht nur ineffizient, sondern auch aus Datenschutzsicht hochproblematisch ist. Jeder Meter Film, den ein Sicherheitsmitarbeiter sichtet, führt zur Verarbeitung von Personendaten unzähliger unbeteiligter Personen. Dies widerspricht dem Grundsatz der Zweckbindung und Datenminimierung. Die Bearbeitung ist nur zur Aufklärung des spezifischen Vorfalls zulässig, nicht zur allgemeinen Beobachtung des Betriebsgeschehens.
Moderne, KI-gestützte forensische Suchfunktionen revolutionieren diesen Prozess. Anstatt das gesamte Material zu sichten, kann der Operator gezielt nach Merkmalen suchen, z.B. „Person mit roter Jacke im Lagerbereich zwischen 14:00 und 14:15 Uhr“. Das System springt direkt zu den wenigen relevanten Sequenzen. Dies schützt nicht nur die Privatsphäre der unbeteiligten Mitarbeiter und Kunden massiv, sondern dient auch als starkes Argument in Ihrer Interessenabwägung. Sie können belegen, dass Sie technische Massnahmen ergriffen haben, um den Eingriff in die Persönlichkeitsrechte auf das absolute Minimum zu reduzieren.
Allerdings birgt diese mächtige Funktion auch Missbrauchspotenzial. Eine unkontrollierte Nutzung könnte zur verbotenen Leistungs- oder Verhaltenskontrolle von Mitarbeitern führen. Deshalb ist die Protokollierung jeder einzelnen Suchanfrage unerlässlich. Ihre System-Policy muss festhalten: Wer hat wann nach was gesucht und aus welchem legitimen Grund (z.B. „Aufklärung Diebstahl, Aktenzeichen XY“). Diese Protokolle sind ein zentraler Teil Ihrer Beweiskette. Die folgende Tabelle zeigt zulässige und unzulässige Anwendungsfälle.
| Suchanfrage | Zweck | Rechtliche Bewertung |
|---|---|---|
| Person mit roter Jacke am Tatort | Aufklärung Diebstahl | Zulässig (Zweckbindung eingehalten) |
| Mitarbeiter verlässt Gebäude um 16:55 | Arbeitszeitkontrolle | Unzulässig (Verhaltenskontrolle) |
| Unbefugte Person im Tresorbereich | Sicherheit | Zulässig (berechtigtes Interesse) |
| Häufigkeit Raucherpausen Mitarbeiter X | Leistungskontrolle | Unzulässig (Verstoss gegen ArGV 3) |
Cloud oder On-Premise: Wo landen die Nutzungsdaten Ihrer Mieter?
Die Entscheidung, ob Videodaten lokal auf einem Server im eigenen Unternehmen (On-Premise) oder bei einem externen Anbieter in der Cloud gespeichert werden, hat weitreichende datenschutzrechtliche Implikationen. Während On-Premise-Lösungen eine maximale Kontrolle über die physische Sicherheit der Daten bieten, erfordern sie einen hohen internen Wartungs- und Sicherheitsaufwand. Cloud-Lösungen bieten Skalierbarkeit und oft eine höhere Ausfallsicherheit, doch sie bedeuten eine Datenbekanntgabe an einen Dritten. In diesem Fall agiert der Cloud-Anbieter als Auftragsverarbeiter, was den Abschluss eines rechtssicheren Auftragsverarbeitungsvertrags (AVV) nach Schweizer Recht zwingend erforderlich macht.
Der entscheidende Faktor bei Cloud-Lösungen ist der Serverstandort. Werden die Daten in einem Land gespeichert, das gemäss der Liste des Bundesrates über ein adäquates Datenschutzniveau verfügt (dazu gehören die EU/EWR-Staaten und weitere), ist die Übermittlung relativ unproblematisch. In diesem Kontext ist relevant, dass die EU bestätigte am 15. Januar 2024, dass das Datenschutzniveau der Schweiz weiterhin als gleichwertig zur DSGVO angesehen wird, was den Datenaustausch erleichtert. Problematisch wird es, wenn der Anbieter die Daten in einem unsicheren Drittland wie den USA speichert. In diesem Fall müssen zusätzliche Garantien wie die Vereinbarung der Standardvertragsklauseln (SCC) sowie eine vorgängige Prüfung der lokalen Rechtslage (Transfer Impact Assessment) vorgenommen werden, um den Schutz der Daten sicherzustellen.
Als datenschutzrechtlich Verantwortlicher müssen Sie eine umfassende Due-Diligence-Prüfung des Cloud-Anbieters durchführen und dokumentieren. Dazu gehört die genaue Prüfung der technischen und organisatorischen Massnahmen (TOM) des Anbieters, die vertragliche Zusicherung von Weisungsrechten und Kontrollmöglichkeiten sowie eine klare Regelung zur Datenlöschung nach Vertragsende. Die Wahl des Anbieters ist somit eine strategische Entscheidung, die direkt in Ihre Risikobewertung und Ihre Beweiskette für die nDSG-Konformität einfliesst.
Das Wichtigste in Kürze
- Anonymisierung als Standard: Setzen Sie auf Technologien, die Personen im Live-Bild standardmässig unkenntlich machen (Privacy by Default), um die Verhältnismässigkeit zu wahren.
- Dokumentation ist alles: Jede Entscheidung – von der Interessenabwägung für eine KI-Kamera bis zur Löschung von Aufnahmen – muss schriftlich begründet und protokolliert werden, um eine lückenlose Beweiskette zu schaffen.
- Technik muss dem Recht folgen: Ihr Videosystem muss technisch in der Lage sein, rechtliche Anforderungen wie die gezielte forensische Suche, die Schwärzung von Dritten bei Auskunftsbegehren und die automatisierte Löschung umzusetzen.
Wie schützen Sie sich als Schweizer Verwaltungsrat gemäss Art. 717 OR vor persönlicher Haftung bei Cyber-Vorfällen?
Das neue Datenschutzgesetz hat die Verantwortlichkeit verschärft. Gemäss Art. 61 lit. a nDSG können vorsätzliche Verstösse gegen die Informations-, Auskunfts- oder Mitwirkungspflichten mit Bussen geahndet werden. Das Brisante daran: Die Busse richtet sich primär gegen die verantwortliche natürliche Person, also potenziell gegen den Geschäftsführer oder die Mitglieder des Verwaltungsrates. Laut einer Analyse von BDO können Verwaltungsräte persönlich mit Bussen bis zu CHF 250’000 haftbar gemacht werden. Dies unterstreicht die Notwendigkeit, der Sorgfaltspflicht nach Art. 717 Obligationenrecht (OR) auch im Bereich Datenschutz nachzukommen.
Die Sorgfaltspflicht verlangt vom Verwaltungsrat, alle notwendigen und zumutbaren Massnahmen zu treffen, um Schaden vom Unternehmen abzuwenden. Im Kontext der Videoüberwachung bedeutet dies, dass sich der VR aktiv mit der Thematik auseinandersetzen muss. Ignoranz schützt vor Strafe nicht. Der Verwaltungsrat muss sicherstellen, dass eine klare Governance für die Videoüberwachung etabliert ist. Dazu gehört die Verabschiedung einer Weisung, die klare Regeln zum Zweck, zu den Verantwortlichkeiten, zur Speicherdauer und zu den Betroffenenrechten festlegt. Die Durchführung und Abnahme einer Datenschutz-Folgenabschätzung (DSFA) für das Videosystem ist ein weiterer zentraler Baustein, um die Risiken systematisch zu erfassen und zu bewerten.
Wie BDO Schweiz in einer Publikation hervorhebt, ist das Bewusstsein für die persönliche Verantwortung entscheidend:
Der Verwaltungsrat muss sich bewusst sein, dass er für Verstösse gegen das Datenschutzgesetz persönlich haftbar gemacht werden kann.
– BDO Schweiz, Datenschutzgesetz: Verantwortlichkeiten des Verwaltungsrates
Die Beschlüsse und Diskussionen zum Thema Datenschutz und Videoüberwachung müssen zudem sorgfältig in den VR-Protokollen festgehalten werden. Diese Dokumente dienen im Ernstfall als Beweis dafür, dass der Verwaltungsrat seiner Oberleitungs-, Aufsichts- und Organisationspflicht nachgekommen ist. Die Ernennung eines kompetenten Datenschutzberaters entbindet den VR nicht von seiner Gesamtverantwortung, ist aber ein wichtiges Element zur Demonstration der ausgeübten Sorgfalt.
Um diese Grundsätze in die Praxis umzusetzen und Ihre persönliche Haftung zu minimieren, ist der nächste Schritt die Durchführung einer umfassenden Datenschutz-Folgenabschätzung (DSFA) für Ihr bestehendes oder geplantes Videosystem. Dies ist das zentrale Instrument, um Risiken systematisch zu identifizieren, zu bewerten und durch geeignete Massnahmen zu mitigieren.