Ein sehr praktisches Problem thematisiert der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) in seinem 5. Tätigkeitsbericht (Ziffer 3.6) zum Datenschutz nach der DS-GVO und beschäftigt sich mit der Frage, wie Verantwortliche ihrer Darlegungslast im Hinblick auf Kameraattrappen nachkommen können. Das Problem ergibt sich bei Betrachtung zweier Aspekte, die für sich genommen, eher unproblematisch sind.
1. Rechenschaftspflicht
Diese sogenannte Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO bewirkt eine Darlegungs- und Beweislastumkehr zulasten des Verantwortlichen, sodass nicht der Betroffene oder die Aufsichtsbehörde eine Verletzung der Vorschriften der DS-GVO nachweisen muss, sondern der Verantwortliche die Einhaltung der Vorschriften (vgl. Heberlein in Ehmann/Selmayr DSGVO, 2. Auflage, Art. 5, Rn. 32).
2. Keine Zuständigkeit bei Kameraattrappen
Sofern es sich bei einer Videokamera tatsächlich um eine Attrappe handelt, findet keine Datenverarbeitung nach Art. 2 Abs. 1 in Verbindung mit Art. 4 Nrn. 1 und 2 DS-GVO statt. In diesem Fall ist der TLfDI mangels Anwendbarkeit der DS-GVO nicht zuständig und kann keine aufsichtsbehördlichen Maßnahmen ergreifen.
3. Beweislastumkehr
Wendet nun der vermeintlich Verantwortliche ein, er verwende lediglich eine Kameraattrappe, so muss er diese Behauptung gegenüber der Aufsichtsbehörde nachweisen können. Die oben erwähnte Rechenschaftspflicht führt dazu, dass der Verantwortliche die Funktionslosigkeit der Kamera hinreichend glaubhaft machen muss. • Wie kann nun in der Praxis glaubhaft gemacht werden, dass eine Kamera keine Daten verarbeitet? • Soll der Verantwortliche der Behörde ein leeres Speichermedium zusenden (viele Kameras speichern in der Cloud)? • Soll die Aufsichtsbehörde einen Mitarbeitenden zur Vor-Ort-Untersuchung an den vermeintlichen „Tatort“ schicken? • Welche Nachweise des Verantwortlichen hält die Behörde für geeignet, um zu belegen, dass es sich tatsächlich um eine Attrappe handelt?