Rechtliche Voraussetzungen für den Einsatz cloudbasierter KI-Videoanalyse in Europa

Die Kombination aus Videoüberwachung, Cloud-Technologie und Künstlicher Intelligenz eröffnet neue Möglichkeiten für Sicherheit, Effizienz und automatisierte Auswertung. Moderne Systeme erkennen Bewegungen, werten Muster aus oder melden Auffälligkeiten oft in Echtzeit und ortsunabhängig. Doch mit dieser technischen Weiterentwicklung steigen auch die Anforderungen an den Datenschutz. Insbesondere in Europa stellt die Datenschutz-Grundverordnung (DSGVO) klare Regeln auf, wenn personenbezogene Daten, wie es bei Videoaufnahmen regelmäßig der Fall ist, verarbeitet werden. Diese Einleitung beleuchtet, unter welchen rechtlichen Voraussetzungen die cloudbasierte KI-gestützte Videoanalyse innerhalb der EU zulässig ist, welche Rollen Cloud-Anbieter einnehmen, und welche technischen sowie organisatorischen Maßnahmen erforderlich sind, um eine datenschutzkonforme Umsetzung zu gewährleisten.

Ausgangslage und Problemstellung

Videoüberwachungsdaten, die in Deutschland erhoben wurden, sollen durch einen Cloud-Dienst in einem benachbarten EU-Mitgliedstaat verarbeitet und mithilfe Künstlicher Intelligenz (KI) ausgewertet werden. Die Speicherung und Analyse der Aufnahmen erfolgt somit ausgelagert bei einem externen Dienstleister innerhalb der Europäischen Union.

Datenschutzrechtlich sind mehrere Fragen zu klären: Unter welchen Voraussetzungen ist diese Verarbeitung nach der DSGVO zulässig? Welche Auflagen gelten für den Cloud-Dienstleister (Stichwort Auftragsverarbeitung)? Welche besonderen Schutzmaßnahmen erfordert der KI-Einsatz, etwa im Hinblick auf automatisierte Analysen und mögliche Risiken (z.B. Bias oder biometrische Erkennung)?

Zudem sind Orientierungshilfen der Datenschutzkonferenz (DSK) und Stellungnahmen von Aufsichtsbehörden zu berücksichtigen, ebenso wie erforderliche technische und organisatorische Maßnahmen (TOMs) zur Sicherung der Daten. Im Folgenden erfolgt eine ausführliche rechtliche Analyse unter Einhaltung dieser Gesichtspunkte.

Rechtsgrundlage: Zulässigkeit der Videoverarbeitung nach DSGVO

Personenbeziehbarkeit: Zunächst ist festzustellen, dass Videoaufnahmen regelmäßig personenbezogene Daten enthalten – etwa erkennbar abgebildete Gesichter oder identifizierbare Verhaltensmuster (Quelle: datenschutzkonferenz-online.de ). Sobald Personen auf den Bildern erkennbar sind, greift ihr Recht auf informationelle Selbstbestimmung, da Betroffene ab der Aufzeichnung nicht mehr kontrollieren können, was mit ihren Daten geschieht. Somit findet die DSGVO Anwendung, sofern nicht ausnahmsweise ein Haushaltsprivileg vorläge, was hier nicht der Fall ist).

Erläuterung Haushaltsprivileg: Das sogenannte Haushaltsprivileg gemäß Art. 2 Abs. 2 lit. c DSGVO besagt, dass die Verordnung keine Anwendung findet, wenn personenbezogene Daten ausschließlich zu persönlichen oder familiären Zwecken verarbeitet werden. In der Praxis bedeutet das: Wer beispielsweise im privaten Umfeld eine Überwachungskamera nutzt, um das eigene Wohnzimmer oder den Garten ohne Blick auf öffentliche Bereiche zu filmen, fällt nicht unter die Regelungen der DSGVO.

Sobald jedoch auch öffentlich zugängliche Flächen – etwa der Gehweg, die Straße oder das Nachbargrundstück – erfasst werden, greift das Privileg nicht mehr. In solchen Fällen handelt es sich nicht mehr um eine rein persönliche Datenverarbeitung, sodass sämtliche Anforderungen der DSGVO zu beachten sind. Das Haushaltsprivileg findet daher in der gewerblichen oder institutionellen Videoüberwachung, wie sie etwa über Cloud- und KI-Dienste erfolgt, grundsätzlich keine Anwendung.

Rechtsgrundlage nach Art. 6 DSGVO: Jede Verarbeitung personenbezogener Daten bedarf einer gesetzlichen Grundlage (Quelle: datenschutzkonferenz-online.de ). Für Videoüberwachung durch private Stellen ist typischerweise Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) einschlägig. Die Datenschutzkonferenz hält fest: „Eine Videoüberwachung ist rechtmäßig, wenn die Voraussetzungen des Art. 6 Abs. 1 S. 1 Buchst. f DSGVO eingehalten werden.“. Das bedeutet, die Überwachung ist zulässig, soweit (1) ein berechtigtes Interesse des Verantwortlichen oder eines Dritten vorliegt, (2) die Verarbeitung zur Wahrung dieses Interesses erforderlich ist und (3) kein überwiegendes entgegenstehendes Interesse der betroffenen Personen (insbesondere Grundrechte wie das Recht auf Privatsphäre) gegeben ist (Quelle: datenschutzkonferenz-online.de ).

• Berechtigtes Interesse: Der Zweck der Überwachung muss legitim und konkret sein. Zulässige Interessen können etwa der Schutz des Eigentums, die Prävention von Einbrüchen, Diebstahl oder Vandalismus sowie die Beweissicherung zur Rechtsverfolgung sein. So ist der Hausrechtsinhaber grundsätzlich befugt, präventive und repressive Maßnahmen zum Objektschutz zu ergreifen. Wichtig ist nur, dass das Interesse rechtmäßig, hinreichend klar und nicht rein spekulativ ist. Allgemeine Gefühle der Unsicherheit oder ein bloßer Abschreckungseffekt reichen nicht als Rechtfertigung aus.
  Die DSK betont ausdrücklich, dass eine vermeintlich abschreckende Wirkung von Kameras keinen anlasslosen Dauereingriff in die Datenschutzrechte rechtfertigt. Vielmehr sollten konkrete Umstände oder Vorfälle vorliegen (z. B. zurückliegende Diebstähle oder ein erhöhtes Risiko etwa bei besonders wertvollen Waren), welche die Maßnahme objektiv notwendig erscheinen lassen. Eine abstrakte Gefährdungslage genügt nur in Ausnahmefällen, z.B. generell höheres Risiko in bestimmten Branchen wie Juweliere oder Tankstellen, andernfalls besteht die Gefahr, dass Videoüberwachung uferlos zu Lasten der Betroffenen ausgedehnt wird.

• Erforderlichkeit und Datenminimierung: Die Videoüberwachung muss geeignet und erforderlich sein, um das berechtigte Interesse zu erreichen. Gibt es mildere Mittel (z.B. mehr Personal, Beleuchtung, Alarmanlagen), sind diese vorzuziehen. Zudem ist der Überwachungsumfang so gering wie möglich zu halten (Datensparsamkeit). Die DSK verlangt eine klar abgegrenzte Überwachungszone, die sich auf das Nötige beschränkt.
  Beispielsweise sollte nur das eigene Gelände gefilmt werden; öffentliche Bereiche oder Nachbargrundstücke dürfen nicht unbeabsichtigt erfasst werden. Falls technisch möglich, sind irreversible Verpixelung oder Ausblendung nicht relevanter Zonen einzusetzen, um Unbeteiligte auszuschließen. Auch die Auflösung der Kameras ist so zu wählen, dass gerade noch der Zweck erreicht wird, ohne unnötig viele Details aufzuzeichnen. Diese Vorkehrungen entsprechen dem Prinzip Datenschutz durch Technikgestaltung (Art. 25 DSGVO) und minimieren die Risiken für die Rechte der Betroffenen.

• Interessenabwägung: Selbst bei berechtigtem Zweck und Erforderlichkeit muss eine Abwägung zugunsten des Verantwortlichen ausfallen. Dabei sind insbesondere Intensität und Umfang der Überwachung gegen das Schutzbedürfnis der Beobachteten abzuwägen. Relevante Faktoren sind z.B.: Wird ein öffentlich zugänglicher Raum überwacht (höhere Eingriffsintensität) oder ein begrenzter nicht-öffentlicher Bereich? Erfolgt die Überwachung verdeckt oder offen mit Hinweisschild (Transparenz mildert Eingriff)? Wie lange werden die Aufnahmen gespeichert? Werden auch Tonaufnahmen gemacht oder andere invasive Techniken (z.B. Zoom auf Gesichter) genutzt?
  Je stärker der Eingriff, desto gewichtiger müssen die Interessen des Verantwortlichen sein. Besonders schutzwürdige Personen (Kinder, Besucher öffentlicher Räume) genießen erhöhten Schutz (Quelle: datenschutzkonferenz-online.de ). Insgesamt gilt: Die Maßnahme muss verhältnismäßig sein. Beispielsweise könnte eine permanente Rund-um-die-Uhr-Überwachung eines ganzen öffentlich zugänglichen Platzes für allgemeine Sicherheit unverhältnismäßig sein, während die zeitlich begrenzte Überwachung eines Lagers mit konkreter Diebstahlgefahr eher zu rechtfertigen ist. Wichtig ist auch, die Abwägung regelmäßig zu überprüfen: Die DSK fordert, periodisch zu prüfen, ob die Videoüberwachung noch erforderlich und angemessen ist; fällt die Rechtfertigung weg, ist der Betrieb einzustellen.

• Einwilligung als Alternative? Theoretisch könnte auch Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) als Rechtsgrundlage dienen, doch in der Praxis ist das bei Videoüberwachung kaum umsetzbar. Eine gültige Einwilligung setzt Freiwilligkeit und Informiertheit voraus, was im öffentlichen Raum oder gegenüber Kunden/Besuchern nicht realistisch zu erreichen ist (Quelle: edpb.europa.euedpb.europa.eu ).
  Die Aufsichtsbehörden stellen klar, dass bei systematischer Überwachung eine Einwilligung nur in Ausnahmefällen wirksam sein kann, weil typischerweise ein Abhängigkeitsverhältnis oder Druck besteht (vgl. Erwägungsgrund 43 DSGVO). Das bloße Betreten eines überwachten Bereichs gilt nicht als konkludente Einwilligung, da es meist an einer echten Wahlmöglichkeit fehlt (Quelle: edpb.europa.euedpb.europa.eu ). Folglich stützen sich Verantwortliche in der Regel auf das berechtigte Interesse statt auf Einwilligungen.

Besondere Datenkategorien (Art. 9 DSGVO): Ein kritischer Punkt ist, ob durch die KI-Analyse sensible Daten verarbeitet werden. Biometrische Daten – etwa zur Identifizierung von Personen durch Gesichtserkennung – fallen unter besondere Kategorien nach Art. 9 Abs. 1 DSGVO. Solche Verarbeitung ist grundsätzlich verboten, sofern nicht eine Ausnahmeregelung des Art. 9 Abs. 2 greift (z.B. ausdrückliche Einwilligung aller Betroffenen, oder eine gesetzliche Erlaubnis für wichtige öffentliche Interessen).

Bei Videoüberwachung durch private Unternehmen ist keine spezielle Gesetzesgrundlage für biometrische Identifikation ersichtlich, sodass praktisch nur die ausdrückliche Einwilligung bliebe. Die Datenschutzaufsichtsbehörden betonen, dass der Einsatz von Videoüberwachung mit biometrischer Erkennungsfunktion im privaten Sektor in den meisten Fällen eine vorherige ausdrückliche Einwilligung aller erfassten Personen erfordert. So führt der Europäische Datenschutzausschuss (EDPB) in seinen Leitlinien ein Beispiel an: Möchte ein Ladenbesitzer per Kamera Kunden gesichtserkennen, um Werbung zu personalisieren, so muss er „die ausdrückliche und informierte Einwilligung aller betroffenen Personen einholen, bevor er dieses biometrische System einsetzt“ (Quelle: edpb.europa.eu ). Anderenfalls wäre die Verarbeitung unzulässig. In der Praxis ist es nahezu unmöglich, von jeder vorbeilaufenden Person eine solche Einwilligung einzuholen, daher gilt faktisch ein de-facto Verbot solcher KI-gestützter Gesichtserkennung im öffentlichen Raum durch Private. Auch andere besondere Kategorien (z.B. ethnische Herkunft, Gesundheitsdaten) könnten durch KI-Analyse berührt werden, etwa wenn aus den Videos Rückschlüsse hierauf gezogen würden.

Solche Fälle würden ebenso strenge Anforderungen auslösen (Art. 9 Abs. 2 DSGVO). Der Verantwortliche muss daher sicherstellen, dass die KI-Auswertung keine unzulässige Verarbeitung sensibler Merkmale vornimmt. Ist die KI nur dazu da, Szenen oder Bewegungen auszuwerten, ohne Personen individuell zu identifizieren, liegt kein Art. 9-Datensatz vor – dann bleibt es bei den allgemeinen Regeln des Art. 6. Dennoch ist hier Vorsicht geboten: Wenn die Software z.B. Verhaltensmuster analysiert (etwa „auffälliges Verhalten“ erkennen) oder Personen kategorisiert (Alter, Geschlecht), kann dies als Profiling gelten und muss datenschutzkonform ausgestaltet sein.

Ergebnis zur Zulässigkeit: Die Videoanalyse in der Cloud ist nach DSGVO also möglich, aber nur unter strengen Voraussetzungen. In aller Regel wird Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage dienen, was eine sorgfältige Interessenabwägung und Notwendigkeitsprüfung erfordert. Eine pauschale oder vorsorgliche Überwachung ohne konkrete Gefährdungslage wäre unzulässig. Besonders eingriffsintensive Funktionen (Zoom, Tonaufnahme, biometrische Identifikation) sind nur bei hoher Rechtfertigung – meistens gar nicht – erlaubt. Sobald die KI-Technologie ins Spiel kommt, sind zusätzliche Anforderungen (siehe unten) zu beachten. Im nächsten Schritt geht es um die Rolle des Cloud-Dienstleisters als Auftragsverarbeiter.

Cloud-Dienst im EU-Ausland als Auftragsverarbeiter: DSGVO und datenschutzrechtliche Anforderungen

Wird ein externer Cloud-Service zur Verarbeitung der Videoaufnahmen eingesetzt, liegt datenschutzrechtlich in der Regel eine Auftragsverarbeitung vor. Der deutsche Verantwortliche (die Stelle, die die Kameras betreibt) gibt dem Cloud-Dienstleister personenbezogene Daten zur Verarbeitung „im Auftrag“ nach Art. 4 Nr. 8 DSGVO. Damit gelten die Vorgaben des Art. 28 DSGVO: Der Verantwortliche muss nur solche Auftragsverarbeiter einsetzen, die hinreichende Garantien für Datenschutz und Datensicherheit bieten, und er muss mit ihnen einen schriftlichen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen (Quelle: datenschutzkonferenz-online.de ). Die DSK führt aus: Wenn ein Unternehmen mit Betrieb oder Wartung der Videoanlage beauftragt wird (hier: der Cloud-Dienst), ist es „i.d.R. als Auftragsverarbeiter zu betrachten“, weshalb insbesondere ein Auftragsverarbeitungsvertrag abzuschließen ist (vgl. Art. 28 DSGVO). Dieser Vertrag muss die in Art. 28 Abs. 3 DSGVO aufgelisteten Punkte enthalten, u.a.:

• Weisungsbindung: Der Auftragsverarbeiter darf die Video- und Analysedaten nur nach dokumentierter Weisung des Verantwortlichen verarbeiten. Zweck und Mittel der Verarbeitung bestimmt allein der Verantwortliche; der Cloud-Dienst darf die Daten nicht für eigene Zwecke nutzen. Insbesondere darf der Anbieter die Aufnahmen nicht eigenmächtig zu KI-Trainingszwecken oder Analysen außerhalb des Auftrags verwenden. Die DSK weist darauf hin, dass bei Cloud-KI-Lösungen das Risiko besteht, dass eingegebene Daten vom Anbieter für andere Zwecke weiterverarbeitet oder Dritten offengelegt werden, dies muss vertraglich ausgeschlossen sein (Quelle: datenschutzkonferenz-online.de und datenschutzkonferenz-online.de ).

• Vertraulichkeit und Datensicherheit: Der Dienstleister muss sich zur Vertraulichkeit verpflichten (z.B. alle Mitarbeiter, die Zugriff auf die Aufnahmen haben, unterliegen dem Datengeheimnis). Er muss geeignete technische und organisatorische Maßnahmen zum Schutz der Daten umsetzen (siehe dazu eigenständigen Abschnitt „Technische und organisatorische Maßnahmen“ unten). Der Vertrag sollte konkrete Sicherheitsanforderungen festlegen (etwa Verschlüsselung, Zugangskontrollen, regelmäßige Sicherheitsupdates etc., vgl. Art. 32 DSGVO). Wichtig ist auch, dass der Cloud-Anbieter Unterauftragsverarbeiter nur mit Zustimmung des Verantwortlichen einschalten darf und diese ebenfalls vertraglich gebunden sein müssen (Art. 28 Abs. 2 und 4 DSGVO).

• Rechenschaft und Unterstützung: Der Auftragsverarbeiter muss dem Verantwortlichen helfen, dessen Pflichten zu erfüllen z.B. bei Betroffenenanfragen (Auskunft, Löschung) oder Sicherheitsverletzungen (Meldung von Datenpannen). Außerdem muss er die Einhaltung der vereinbarten Maßnahmen nachweisen können und Kontrollen/Audits durch den Verantwortlichen ermöglichen (Quelle: datenschutzkonferenz-online.de ). Fehlen solche vertraglichen Regelungen oder hält der Dienstleister sie nicht ein, drohen dem Verantwortlichen Sanktionen (Verstöße gegen Art. 28 können mit Bußgeld geahndet werden (Quelle: datenschutzkonferenz-online.de ).

Datentransfer innerhalb der EU: Alle EU-Mitgliedstaaten unterliegt vollumfänglich der DSGVO. Daher stellt die Verarbeitung der in Deutschland erhobenen Daten in einer belgischen Cloud keine „Drittlandübermittlung“ im Sinne der DSGVO dar. Vielmehr garantiert die DSGVO einen einheitlichen Datenschutzstandard und den freien Verkehr personenbezogener Daten im EU-Binnenmarkt (Quelle: datenschutzbeauftragter-dsgvo.com ). „Personenbezogene Daten dürfen und sollen ungehindert zwischen den Mitgliedstaaten der Europäischen Union fließen“, solange die Verarbeitung auf einer gültigen Rechtsgrundlage beruht (Quelle: datenschutzbeauftragter-dsgvo.com ).

Anders als bei Transfers z.B. in die USA sind keine zusätzlichen Transfergarantien, wie Standardvertragsklauseln oder Angemessenheitsbeschlüsse, erforderlich. Gleichwohl muss natürlich die Einhaltung der DSGVO insgesamt gewährleistet sein – der Ortswechsel entbindet nicht von den Pflichten. Praktisch bedeutet das: Der Verantwortliche sollte sicherstellen, dass die Daten in der belgischen Cloud nur innerhalb der EU gespeichert und verarbeitet werden. Sollte der Cloud-Dienstleister ein internationaler Konzern sein, ist darauf zu achten, dass kein Abfluss der Daten in unsichere Drittländer erfolgt (etwa durch Wartungspersonal in Nicht-EU-Staaten oder durch konzerninterne Zugriffe). Hier kann vertraglich vereinbart werden, dass sämtliche Daten in europäischen Rechenzentren verbleiben und z.B. Support-Zugriffe aus Drittstaaten ausgeschlossen oder nur nach DSGVO-konformen Garantien zulässig sind.

Aufsichtsrechtliche Hinweise: Deutsche Aufsichtsbehörden (insb. die DSK) haben generell hohe Anforderungen an Cloud-Dienste formuliert. Neben den genannten vertraglichen Punkten betonen sie u.a. die Transparenz: Der Verantwortliche muss im Datenschutzinfos offenlegen, dass ein externer Dienstleister die Daten in seinem Auftrag verarbeitet, und dessen Identität benennen (Art. 13 DSGVO). Zudem wird empfohlen, möglichst zertifizierte oder überprüfte Cloud-Anbieter zu wählen, die z.B. nach ISO 27001 oder einem Code of Conduct (z.B. dem EU Cloud Code of Conduct) nachweislich Datenschutzstandards einhalten. Insgesamt bleibt der Verantwortliche verantwortlich dafür, dass die Verarbeitung auch in der Cloud DSGVO-konform abläuft (Quelle: datenschutzkonferenz-online.de ). Er sollte die getroffenen Vorkehrungen dokumentieren und Risiken bewerten (Stichwort Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO) (Quelle: datenschutzkonferenz-online.de ).

KI-Einsatz: Datenschutz-Folgenabschätzung, Transparenz und Risikokontrolle

Die Einbindung von KI zur Videoanalyse bringt zusätzliche Datenschutzrisiken. Beispielsweise können automatisierte Auswertungen zu Fehlern (z.B. False Positives) oder Benachteiligungen führen. Außerdem bedeutet der Einsatz neuer Technologien einen potentiell hohen Eingriff, der oft eine Datenschutz-Folgenabschätzung (DSFA) erfordert. Auch die Datenschutzkonferenz und andere Behörden haben spezielle Orientierungshilfen zum KI-Einsatz veröffentlicht, die hier einschlägig sind. Im Folgenden die wichtigsten Anforderungen:

• Datenschutz-Folgenabschätzung (Art. 35 DSGVO): Bei Videoüberwachung mit KI ist davon auszugehen, dass eine DSFA durchzuführen ist. Art. 35 Abs. 1 DSGVO schreibt eine solche Risikoanalyse vor, wenn eine geplante Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten der Betroffenen birgt – was bei umfangreicher Videoüberwachung typischerweise der Fall ist. Tatsächlich nennt Art. 35 Abs. 3 lit. c DSGVO „umfangreiche regelmäßige Überwachung öffentlich zugänglicher Bereiche“ ausdrücklich als Beispiel, wo eine DSFA zwingend erforderlich ist (Quelle: edpb.europa.eu ). Videoüberwachung, gerade im öffentlichen Raum oder an öffentlich zugänglichen Orten, fällt hierunter.
  Die DSK betont: „Der Verantwortliche einer Videoüberwachungsanlage hat vorab eine Datenschutz-Folgenabschätzung durchzuführen, wenn […] Personen in öffentlich zugänglichen Bereichen systematisch beobachtet werden.“. Darüber hinaus lösen auch der Einsatz von neuen Technologien und die Verarbeitung besonderer Datenkategorien (Art. 35 Abs. 3 lit. a und b) eine DSFA-Pflicht aus – zum Beispiel, wenn biometrische Verfahren genutzt werden.
  In diesem Zusammenhang weist die DSK darauf hin, dass bereits die bloße Eignung von Videoaufnahmen für eine biometrische Analyse als Risikofaktor zu berücksichtigen ist (Quelle: datenschutzkonferenz-online.de ). Eine DSFA würde also z.B. auch thematisieren, dass aufgezeichnete Gesichter potentiell für Gesichtserkennung verwendet werden könnten, und entsprechende Schutzmaßnahmen einplanen.
  

Inhalt der DSFA

Der Verantwortliche muss die geplante KI-Videoverarbeitung systematisch beschreiben, die Notwendigkeit und Verhältnismäßigkeit bewerten und die Risiken für die Betroffenen analysieren (Art. 35 Abs. 7 DSGVO). Vor allem aber sind Maßnahmen zur Bewältigung der Risiken darzustellen (Quelle: datenschutzkonferenz-online.de ). Typische Risiken sind etwa: Fehlalarme der KI könnten zu ungerechtfertigten Konsequenzen für Personen führen; automatisierte Entscheidungen könnten ohne menschliche Prüfung getroffen werden; oder es könnten diskriminierende Tendenzen im Algorithmus stecken (siehe unten).
Die DSFA sollte Abhilfen vorschlagen wie z.B. organisatorische Prozesse für menschliche Überprüfung, strenge Zugriffsbeschränkungen, Pseudonymisierungstechniken, Verkürzung der Speicherdauer etc. Ließe sich ein identifiziertes hohes Risiko nicht durch Maßnahmen eindämmen, wäre vor Inbetriebnahme die Aufsichtsbehörde zu konsultieren (Art. 36 DSGVO). In der Praxis ist es essentiell, dass die DSFA vor dem Echtbetrieb erfolgt und fortlaufend aktualisiert wird, insbesondere wenn die KI oder der Umfang der Überwachung angepasst werden.

• Transparenz und Information der Betroffenen: KI-basierte Analysen ändern nichts daran, dass Betroffene umfassend zu informieren sind (Art. 12–14 DSGVO). Bereits bei der Videoüberwachung an sich gilt die Hinweispflicht: Es muss gut sichtbar ein Kamerahinweis angebracht werden, der wenigstens den Verantwortlichen, Zwecke der Überwachung und einen Verweis auf weitergehende Informationen nennt (Quelle: datenschutzkonferenz-online.de ). In Datenschutzhinweisen (z.B. auf der Website oder per Aushang) ist die Verarbeitung detailliert zu erläutern.
  Hierbei sollten Verantwortliche auch auf den KI-Einsatz hinweisen, sofern er für die Verarbeitung maßgeblich ist. D.h. die Betroffenen sollten erfahren, dass die Aufnahmen nicht nur gespeichert, sondern automatisiert durch eine KI ausgewertet werden – etwa zur Mustererkennung, Personenzählung, Vorfall-Detektion o.ä. Außerdem verlangt Art. 13 Abs. 2 f DSGVO, dass bei automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung die Betroffenen über die eingesetzte Logik und Tragweite informiert werden. Zwar führt die KI-Analyse nicht notwendigerweise zu einer vollautomatisierten Entscheidung im Sinne des Art. 22 DSGVO (dazu im nächsten Punkt mehr); dennoch ist aus Gründen der Fairness und Transparenz zu empfehlen, den Einsatz von KI offen zu legen. Die DSK betont die besonderen Transparenz-Herausforderungen durch KI: Verantwortliche müssen vom KI-Anbieter genug Informationen einholen, um Art. 12 ff. DSGVO gerecht werden zu können.
  Hersteller von KI-Systemen sind aufgefordert, entsprechende Dokumentationen bereitzustellen, damit der Verantwortliche z.B. Angaben über die Funktionsweise machen kann (Quelle: datenschutzkonferenz-online.de ). In der Praxis könnten solche Angaben sein: „Wir verwenden eine Software zur Bildanalyse, die automatisiert Bewegungen auswertet und bei Auffälligkeiten einen Alarm vorschlägt. Eine endgültige Bewertung erfolgt jedoch stets durch unser Sicherheitspersonal.“ – So erhalten Betroffene einen Eindruck der Verarbeitung. Wichtig ist auch, dass Betroffene weiterhin ihre Rechte ausüben können (Auskunft, Löschung, Widerspruch etc.), und der Verantwortliche organisatorisch sicherstellt, dass er etwaige Auskunftsanfragen auch hinsichtlich der KI-Auswertung beantworten kann (z.B. welche Daten einer Person durch die KI verarbeitet wurden, sofern gespeichert).

• Automatisierte Entscheidungen und menschliche Kontrolle: Werden KI-Systeme eingesetzt, besteht die Gefahr, dass Entscheidungen allein aufgrund automatisierter Auswertung getroffen werden, ohne menschliches Zutun. Art. 22 DSGVO untersagt jedoch solche vollautomatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung für die Person, sofern nicht eine Ausnahme greift (Einwilligung, Vertragserfüllung oder gesetzliche Erlaubnis) und angemessene Schutzmaßnahmen (z.B. humanes Eingreifen) vorgesehen sind.
  Im vorliegenden Fall könnte man fragen: Trifft die KI Entscheidungen über Personen? Beispielsweise, wenn die Software entscheidet, jemand sei „verdächtig“ und automatisch Zutritt verwehrt oder die Polizei gerufen wird, hätte das erhebliche Auswirkungen. Grundsätzlich gilt nach DSK: „Entscheidungen mit Rechtswirkung dürfen gemäß Art. 22 Abs. 1 DSGVO grundsätzlich nur von Menschen getroffen werden.“. KI kann zwar Vorschläge oder Vorhersagen liefern, doch das letzte Wort muss ein menschlicher Entscheider haben, der einen realen Ermessensspielraum hat. Eine lediglich formale Einbindung eines Menschen (der nur noch den KI-Output abnickt) reicht nicht aus. Im Klartext: Wenn die KI beispielsweise einen Alarm generiert („Eindringling erkannt“), darf nicht ohne Weiteres ein automatischer Maßnahmenvollzug erfolgen (etwa automatisches Türschließen oder Verfolgen der Person), ohne dass ein menschlicher Wächter dies prüft und bestätigt.
  Der Prozess ist so zu gestalten, dass kein unveränderbares negatives Ergebnis allein auf KI-Basis eintritt. Damit bewegt man sich außerhalb des Art. 22-Verbots, da letztlich ein Mensch die Entscheidung verantwortet. Natürlich sind Fälle denkbar, in denen keinerlei individuelle Entscheidungen fallen, etwa eine KI zählt nur Personenströme zu Statistikzwecken. Hier wäre Art. 22 nicht einschlägig, dennoch sollten die generellen Prinzipien (Transparenz, Fairness) beachtet werden.

• Qualität der KI-Ergebnisse (Accuracy und Bias): Ein oft diskutiertes Problem von KI ist die Treffsicherheit und eventuelle Voreingenommenheit der Algorithmen. Bei Videoanalysen könnte z.B. die Software bestimmte Personengruppen häufiger als „auffällig“ einstuften (etwa aufgrund ungünstiger Trainingsdaten) – dies würde Diskriminierungsrisiken bergen. Der Verantwortliche hat die Pflicht, solche Risiken zu minimieren.
  Die DSK fordert ausdrücklich, Ergebnisse von KI-Anwendungen auf sachliche Richtigkeit und auf mögliche Diskriminierung zu prüfen, bevor weiter darauf aufgebaut wird. „Unrichtige Ergebnisse können zu unzulässigen Verarbeitungen führen, so dass vor der Weiterverarbeitung eine Überprüfung erfolgen muss“. Ebenso können auch formal korrekte KI-Ergebnisse unzulässig sein, wenn sie etwa einen diskriminierenden Effekt haben. Ein Beispiel aus den DSK-Empfehlungen: Würde eine KI vorschlagen, nur männliche Bewerber einzuladen (basierend auf vergangenen Einstellungen), wäre die Anwendung dieses Ergebnisses unzulässig, da es Frauen diskriminiert und gegen das AGG verstößt. Übertragen auf unser Szenario: Wenn die KI z.B. bestimmte ethnische Merkmale als Kriterium für „Verdacht“ nähme, wäre das klar rechtswidrig.
  Der Verantwortliche muss also prüfen und dokumentieren, dass die KI-Analyse fair und nachvollziehbar erfolgt. Geeignete Maßnahmen sind etwa: regelmäßige Kontrolle der Fehlerraten, manuelle Überprüfung zufälliger Fälle, gegebenenfalls Anpassung oder Nachtraining des Systems, wenn systematische Verzerrungen erkannt werden. Wichtig ist, dass keine Entscheidung allein aufgrund eines potentiell fehlerhaften KI-Befunds getroffen wird, ohne menschliche Plausibilisierung (siehe oben). Sollten Betroffene durch ein KI-gestütztes Profiling benachteiligt werden, haben sie zudem ein Widerspruchsrecht (Art. 21 DSGVO) und ggf. Anspruch auf menschliches Eingreifen (Art. 22 Abs. 3 DSGVO).

• Einhaltung aufsichtsrechtlicher Leitlinien: Die deutschen Datenschutzbehörden haben diverse Positionspapiere zum KI-Einsatz veröffentlicht. So hat die DSK im Mai 2024 eine Orientierungshilfe zu KI und Datenschutz verabschiedet, die zahlreiche Prüfsteine enthält. Einige davon wurden hier schon adressiert (Transparenz, DSFA, keine rein automatischen Entscheidungen, Bias-Kontrolle). Besonders hervorzuheben ist der Hinweis auf die kommende EU-KI-Verordnung: Bestimmte KI-Einsatzfelder werden darin von vornherein als unzulässig eingestuft oder nur unter strengen Bedingungen erlaubt (Quelle: datenschutzkonferenz-online.de ).
  Dazu zählt etwa „biometrische Echtzeit-Überwachung öffentlicher Räume“, die – abseits eng begrenzter Ausnahmen etwa für Strafverfolgung – verboten werden soll (Quelle: datenschutzkonferenz-online.de ). Zwar ist diese Verordnung noch nicht in Kraft, doch zeigt sie die Richtung an: Der Gesetzgeber betrachtet gerade die Verknüpfung von Videoüberwachung und KI (insb. Gesichtserkennung in Echtzeit) als hochproblematisch. Unternehmen sollten sich daher schon jetzt sehr zurückhaltend zeigen, um nicht in verbotene Bereiche vorzustoßen. Auch ohne KI-Verordnung lässt sich argumentieren, dass derartige Eingriffe mit Art. 6 Abs. 1 f DSGVO kaum zu rechtfertigen sind, weil sie nahezu immer unverhältnismäßig wären.
  Die Landesdatenschutzbehörden haben in Vergangenheit wiederholt klar gemacht, dass intelligente Videoanalyse-Tools (z.B. Gesichtserkennung zur Kundenanalyse, Emotionserkennung, automatisierte Verhaltenserkennung) im nicht-öffentlichen Bereich sehr kritisch gesehen werden. So untersagte etwa der Hamburger Datenschutzbeauftragte einem Elektronikmarkt die Verwendung von Kameras zur Gesichtsanalyse von Kunden zu Marketingzwecken, da weder Einwilligungen wirksam eingeholt werden konnten noch ein berechtigtes Interesse hierüber stehen konnte (Verstoß gegen Grundsätze der DSGVO). Insgesamt sollte der KI-Einsatz bei Videoüberwachung auf das unbedingt Notwendige beschränkt werden – Funktionen wie Personenzählung oder Bewegungserkennung könnten je nach Kontext zulässig sein, biometrische Identifizierung oder Profiling jedoch in aller Regel nicht.

Technische und organisatorische Maßnahmen: Wie lassen sich Videoüberwachungsdaten schützen?

Unabhängig von der Rechtsgrundlage müssen bei Videoüberwachung mit KI in der Cloud hohe Sicherheitsstandards eingehalten werden. Art. 5 Abs. 1 lit. f DSGVO fordert Integrität und Vertraulichkeit der Daten, Art. 32 konkretisiert die Anforderungen an die Datensicherheit. Die DSK formuliert: „Bei einer Videoüberwachung ist mit technisch-organisatorischen Maßnahmen gem. Art. 24, 25 und 32 DSGVO nachweisbar sicherzustellen, dass eine Verarbeitung nach den Vorgaben der DSGVO erfolgt.“. Es ist also eine angemessene Sicherheitsarchitektur aufzubauen, um die spezifischen Risiken dieser Verarbeitung zu beherrschen. Wichtige TOM-Schwerpunkte sind:

• Zugriffsbeschränkung und Berechtigungsmanagement: Nur ein eng begrenzter Personenkreis darf Zugang zu den Rohvideos und Analyseergebnissen haben. Auf Seiten des Verantwortlichen sollten dies z.B. die Sicherheitsbeauftragten sein; auf Seiten des Cloud-Dienstleisters nur Administratoren, soweit unbedingt nötig zur Erfüllung des Auftrags (und auch diese unterliegen der Weisung und Kontrolle des Verantwortlichen). Role-Based Access Control ist umzusetzen, sodass jeder Nutzer nur die Daten sieht, die er benötigt. Zugriffe sind zu protokollieren und regelmäßig auszuwerten, um Missbrauch aufzudecken. Unbefugter Zugang – ob durch interne oder externe Personen – ist strikt zu verhindern (Quelle: datenschutzkonferenz-online.de und datenschutzkonferenz-online.de ).

• Verschlüsselung: Die Übertragung der Videoaufnahmen von Deutschland in ein benachbartes EU-Land sowie der Zugriff durch autorisierte Personen sollte stets durch eine Transportverschlüsselung abgesichert sein, beispielsweise mittels TLS/HTTPS oder über eine VPN-Verbindung. Ebenso sollten die Daten Ende-zu-Ende oder zumindest serverseitig verschlüsselt auf dem Cloud-Speicher liegen, sodass im Falle eines Datendiebstahls kein Klartext ausgelesen werden kann. Moderne Cloud-Dienste bieten Verschlüsselung der gespeicherten Daten an; idealerweise hält der Verantwortliche selbst die Schlüssel (Client-seitige Verschlüsselung), um vollen Zugriffsschutz zu gewährleisten. Bei der Verarbeitung (Analyse) der Bilder muss die Umgebung abgesichert sein ggf. in einer abgeschotteten virtuellen Umgebung innerhalb der Cloud.

• Netzwerksicherheit und Systemhärtung: Falls die Kameras direkt mit dem Internet oder der Cloud verbunden sind (IP-Kameras), ist auf deren IT-Sicherheit zu achten. Die DSK fordert regelmäßige Firmware-Updates, starken Passwortschutz und Beschränkung von Netzwerkzugriffen für Kameras. Nicht benötigte Funktionen der Geräte (z.B. Audioaufzeichnung, WLAN-Modul, etc.) sollten deaktiviert werden. Die Cloud-Plattform selbst sollte auf aktuellen Sicherheitsstandards basieren und gegen Angriffe geschützt sein (Firewalls, Intrusion Detection, Monitoring).
  Außerdem muss ein Konzept zur Datensicherung (Backups) vorhanden sein, allerdings verschlüsselt, um selbst im Backup die Privatsphäre zu wahren. Der gesamte Datenfluss vom Kameraobjektiv bis zur KI-Auswertung im EU Nachbarland ist einer Gefahrenanalyse zu unterziehen: Typische Bedrohungen wie Datenverlust, unbefugte Offenlegung, Manipulation oder Zerstörung der Daten müssen adressiert werden. Das Schutzniveau muss dem Risiko angemessen sein (Art. 32 Abs. 1 DSGVO), hier also hoch, da Videoaufnahmen sehr eingriffsintensiv sind (sie könnten z.B. zur Persönlichkeitsprofilbildung missbraucht werden).

• Speicherbegrenzung und Löschkonzept: Ein essenzielles TOM im Videobereich ist die begrenzte Speicherdauer. Personenbezogene Videoaufnahmen dürfen nur so lange aufbewahrt werden, wie es für den Überwachungszweck nötig ist (Art. 5 Abs. 1 lit. e DSGVO). Sind die Aufnahmen ausgewertet und werden nicht mehr benötigt, müssen sie unverzüglich gelöscht werden. In vielen Fällen genügen wenige Tage: So empfehlen Aufsichtsbehörden regelmäßig eine Löschfrist von maximal 72 Stunden (3 Tage), sofern nicht ein konkretes Ereignis die längere Aufbewahrung erfordert (Quelle: datenschutzkonferenz-online.de und datenschutzkonferenz-online.de ).
  Die DSK führt aus, dass innerhalb von 72 Stunden etwaige Vorfälle normalerweise erkannt und geklärt werden können, daher ist eine Speicherung darüber hinaus nur in begründeten Ausnahmefällen zulässig (Quelle: datenschutzkonferenz-online.de und datenschutzkonferenz-online.de ). An Wochenenden oder Feiertagen kann die Frist im Einzelfall etwas verlängert werden, wenn z.B. erst am nächsten Werktag Kontrolle erfolgt (Quelle: datenschutzkonferenz-online.de ). Aber grundsätzlich gilt: so kurz wie möglich. Ein Lösch- und Überschreibungskonzept sollte implementiert sein (automatisches Überspielen alter Aufnahmen).
  Falls einzelne Sequenzen für Beweiszwecke benötigt werden (etwa zur Polizeiübergabe), sind diese Ereignisbezogen zu exportieren und getrennt zu speichern – nach Zweckerreichung aber ebenfalls zu löschen. Der Cloud-Dienstleister ist vertraglich zu verpflichten, gelöschte Daten auch tatsächlich physisch zu entfernen oder unbrauchbar zu machen und keine Kopien aufzubewahren (vgl. Art. 28 Abs. 3 lit. g DSGVO).

• Datenschutzfreundliche Voreinstellungen: Entsprechend Art. 25 DSGVO ist Privacy by Default umzusetzen. Konkret heißt das etwa: Die Voreinstellungen der Kameras und Software sollten auf maximale Privatsphäre ausgerichtet sein. Z.B. sollten Aufnahmen nicht länger als nötig laufen (Zeitschaltuhr für nur Geschäftszeiten), die Bildauflösung nicht höher als erforderlich sein, optionales Auslösen von Aufzeichnung nur bei Bewegung (statt Daueraufzeichnung) – sofern dies den Zweck nicht gefährdet. Standardmäßig könnten z.B. maskierte Bereiche eingerichtet sein (Privatzonen-Maskierung in der Kamera), die erst im Ereignisfall aufgehoben würden, falls nötig. Jede zusätzliche Funktion (Ton, Zoom, Gesichtserkennung) sollte explizit aktiviert werden müssen – und standardmäßig ausgeschaltet bleiben, solange kein spezifischer Bedarf besteht.

• Verbot besonders invasiver Funktionen: Einige Technologien sollten grundsätzlich vermieden werden. Die DSK nennt hier u.a. biometrische Erkennung, Verhaltenserkennung und Audioaufnahmen, die „in der Regel nicht zulässig“ sind. Audioüberwachung (Mikrofon) verletzt das Recht am gesprochenen Wort und ist in den meisten Fällen unzulässig, außer es gibt eine ausdrückliche gesetzliche Grundlage. Biometrische Identifikation und automatisierte Verhaltenserkennung (z.B. Person folgt „untypischer“ Route) gelten als unverhältnismäßig, sofern nicht außergewöhnliche Umstände dies erfordern.
  Derartige Features sollten daher auf dem System deaktiviert sein, es sei denn, es liegt im konkreten Fall eine rechtliche Zulässigkeit vor (was, wie oben analysiert, sehr unwahrscheinlich ist). Im Klartext: Die KI sollte keine Gesichtsdatenbank oder Ähnliches betreiben, solange nicht alle Betroffenen eingewilligt haben. Auch Schwenk/Neige/Zoom-Funktionen von Kameras sind möglichst fest einzustellen, damit nicht manuell auf benachbarte Bereiche geschwenkt werden kann (Stichwort: Missbrauchsgefahr). Diese Beschränkungen sind Teil der technischen Maßnahmen, um die Überwachung auf das Notwendige zu begrenzen.

• Protokollierung und Kontrolle: Alle relevanten Verarbeitungsschritte sollten protokolliert werden z.B. wer hat wann auf welche Videoaufnahmen zugegriffen, welcher KI-Algorithmus wurde ausgeführt, welche Parameter eingestellt. Solche Logs dienen der Überwachung der Verarbeitungstätigkeit und können im Falle einer Datenschutzbeschwerde nachweisen, dass alles ordnungsgemäß ablief (Accountability). Sie helfen auch, Angriffe oder Fehlgebrauch zu erkennen (z.B. unautorisierte Zugriffe).
  Zudem sollten Verantwortliche regelmäßig prüfen, ob die implementierten Maßnahmen noch ausreichend sind. Die DSK empfiehlt eine regelmäßige Überprüfung der Rechtmäßigkeitsvoraussetzungen und der Schutzmaßnahmen wenn sich z.B. das Risiko erhöht (neue Bedrohungen) oder die Notwendigkeit sinkt (weniger Vorfälle), muss die Videoüberwachung angepasst oder eingestellt werden.

• Schulung und Sensibilisierung: Mitarbeiter, die mit den Videodaten arbeiten (etwa Sicherheitsmitarbeiter, IT-Administratoren), müssen im Datenschutz geschult sein. Sie sollten die rechtlichen Grenzen kennen (z.B. nicht mal eben Aufnahmen für private Zwecke nutzen, keine Weitergabe an Unbefugte) und die internen Richtlinien strikt befolgen. Die DSK rät, interne Vorgaben und Richtlinien zu erlassen, um die Einhaltung der TOMs zu unterstützen. Dazu zählt z.B. eine Arbeitsanweisung, wie bei Auskunftsersuchen oder Löschanfragen von betroffenen Personen zu verfahren ist. Ebenso sollten klare Prozesse bestehen, was im Fall einer Datenpanne zu tun ist (Meldung innerhalb 72 Stunden an die Behörde, Benachrichtigung der Betroffenen falls erforderlich, gemäß Art. 33/34 DSGVO).

Zusammengefasst fordert Art. 32 DSGVO ein angemessenes Schutzniveau. Angesichts der Sensibilität von Video-KI-Daten (potenziell sehr intime Einblicke in Verhalten von Personen) ist hier ein hohes Niveau angebracht – ähnlich wie bei besonderen Daten. Es sollten gängige Normen und Best Practices (BSI-Grundschutz, ISO 27000-Reihe) herangezogen werden. Werden diese technischen und organisatorischen Vorkehrungen beachtet, lassen sich die Risiken für die Rechte der Betroffenen minimieren und die DSGVO-Vorgaben nachweislich erfüllen.

Fazit: Balance zwischen Sicherheitsinteressen und Datenschutz

Die datenschutzrechtliche Bewertung ergibt: Eine Verarbeitung von in Deutschland erhobenen Videoüberwachungsdaten in einer belgischen Cloud mit KI-Analyse kann DSGVO-konform ausgestaltet werden – erfordert aber umfassende Maßnahmen und Vorkehrungen. Entscheidend ist, dass von der Planung bis zum Betrieb alle Datenschutzprinzipien gewahrt bleiben.
Die Zulässigkeit stützt sich meist auf ein berechtigtes Interesse (Schutz von Eigentum/Sicherheit), welches sorgfältig abgewogen und dokumentiert werden muss. Transparenz gegenüber den Beobachteten und Datenminimierung (räumlich, zeitlich, inhaltlich) sind Pflicht. Ein Auftragsverarbeitungsvertrag mit dem Cloud-Anbieter ist unabdingbar, da ansonsten bereits ein formaler DSGVO-Verstoß vorläge. Die Verarbeitung innerhalb der EU ist datenschutzrechtlich unproblematisch, sofern alle Beteiligten den einheitlichen DSGVO-Standard einhalten.

Der Einsatz von KI als Analysewerkzeug stellt besondere Anforderungen: Es muss eine Datenschutz-Folgenabschätzung erfolgen, um Risiken wie Diskriminierung oder Fehlentscheidungen zu identifizieren und abzumildern. Vollautomatisierte Entscheidungen dürfen nicht ohne Weiteres getroffen werden, es bedarf menschlicher Endkontrolle, um Art. 22 DSGVO zu genügen.
Die Orientierungshilfen der DSK betonen, dass invasive KI-Praktiken (biometrische Echtzeit-Erkennung, „intelligente“ Verhaltensanalyse) datenschutzrechtlich extrem kritisch sind und in der Regel unzulässig sein dürften (Quelle: datenschutzkonferenz-online.de und datenschutzkonferenz-online.de ). Mit anderen Worten: Je „intelligenter“ und eingriffsintensiver die Videoanalyse, desto höher die Hürden. Gelingt es nicht, eine solche Maßnahme verhältnismäßig und rechtmäßig auszugestalten, muss darauf verzichtet werden.

Schließlich sind robuste technische und organisatorische Maßnahmen umzusetzen – von Verschlüsselung über Zugriffskontrollen bis hin zu kurzen Löschfristen –, um die Daten gegen Missbrauch zu schützen und den Grundsatz „Security by Design“ zu verwirklichen. Werden all diese Punkte beachtet, spricht aus DSGVO-Sicht nichts Grundsätzliches dagegen, Videoüberwachungsdaten in einer belgischen Cloud KI-basiert analysieren zu lassen. Der Prozess ist jedoch mit erheblichen Compliance-Anforderungen verbunden. Unternehmen sollten dies gut vorbereiten, etwa durch Einbindung des Datenschutzbeauftragten und Konsultation der Aufsichtsbehörde im Zweifel. Unter Einhaltung der genannten Voraussetzungen kann eine solche Verarbeitung rechtmäßig erfolgen – sie bleibt aber ein datenschutzsensibles Vorhaben, das ständiger Überprüfung und Verantwortungsbewusstsein bedarf.

FAQ: Häufig gestellte Fragen zur rechtlichen Zulässigkeit cloudbasierter KI-Videoanalyse in Europa

Quellen:

Die obige Analyse stützt sich auf die DSGVO selbst, insbesondere Art. 5, 6, 9, 28, 32, 35, 44 ff., sowie auf offizielle Leitlinien und Stellungnahmen: u.a. Orientierungshilfe Videoüberwachung der DSK (Stand 2020) datenschutzkonferenz-online.de und  datenschutzkonferenz-online.de, DSK-Orientierungshilfe zum KI-Einsatz (2024) datenschutzkonferenz-online.de und datenschutzkonferenz-online.de, die EDPB-Leitlinien 3/2019 zur Videoüberwachung edpb.europa.eu, sowie Veröffentlichungen einzelner Aufsichtsbehörden. Diese Quellen unterstreichen die hier dargestellten Anforderungen und wurden im Text an den entsprechenden Stellen zitiert.

Disclaimer:

Die in diesem Artikel bereitgestellten Inhalte dienen ausschließlich der allgemeinen Information und stellen keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG) dar. Trotz sorgfältiger Recherche und Auswertung öffentlich zugänglicher Quellen kann keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität übernommen werden. Der Artikel ersetzt keine individuelle rechtliche Beratung durch eine fachkundige Stelle. Bei konkreten rechtlichen Fragestellungen oder Unsicherheiten wird empfohlen, einen qualifizierten Rechtsanwalt oder eine Datenschutzbehörde zu konsultieren.

NUTZUNG | HAFTUNG
Trotz sorgfältiger Kontrolle übernehmen wir keine Gewähr für die Richtigkeit und Vollständigkeit der Inhalte.