Der Shopblogger

Ab wann gilt ein Ladendiebstahl als aufgeklärt?

https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/PolizeilicheKriminalstatistik/2018/pks2018Richtlinien.pdf?__blob=publicationFile&v=3

"2.1.2 Aufgeklärter Fall [...] ist die Straftat, die nach dem polizeilichen Ermittlungsergebnis mindestens ein Tatverdächtiger begangen hat, von dem grundsätzlich die rechtmäßigen Personalien (z. B. mittels Ausweisdokument, ED-Behandlung etc.) bekannt sind."

Der Zweck, den Ladendiebstahl aufgeklärt zu haben, ist ja mit der Erfassung der Personalien erfüllt.

Jede Veröffentlichung und Speicherung nach der Aufklärung widerspricht also dem, was auf dem Schild propagiert wird.

Hmmm... ich frage mich, ob das Hochladen der Diebstahl-Videos auf YouTube gegen den "Speicherdauer"-Absatz verstösst...

Hmm... möglicherweise ist es durch die Verpixelung aber bereits wieder okay, weil es keine personenbezogenen Daten mehr sind, sondern lediglich personenbeziehbare Daten, d.h. ein Dritter kann erstmal nicht erkennen, um wen es sich handelt, sondern benötigt die (je nachdem tatsächlich bereits gelöschten) Originaldaten -- oder andere, nicht öffentlich verfügbare, Informationen -- zur Identifikation.

Dafür bin ich zu wenig Fachmann, um zu wissen, ob die Anforderungen bei personenbeziehbaren Daten hier weniger streng sind.

Stimmt, Zweckbindung vergessen ???????????


Dann müsste Björn das noch mit auf das Schild aufnehmen ???? oder alternativ unterschreiben lassen ????
Oder noch besser: Videoüberwachung für YouTube-Videos per Schild "genehmigen" lassen und dann die Weiterverarbeitung wie im zitierten Text, um Straftaten zu verfolgen. ????

Das ist absolut DSGVO-konform. Die Europäische Kommission (von dort kommt ja die DSGVO) schreibt auf Ihrer Website eindeutig:

"Der Verantwortliche entscheidet über die Zwecke und die Mittel der Verarbeitung personenbezogener Daten. Wenn Ihr Unternehmen/Ihre Organisation also entscheidet, „wofür“ und „wie“ die personenbezogenen Daten verarbeitet werden sollen, ist es/sie der Verantwortliche. Mitarbeiter, die innerhalb Ihrer Organisation personenbezogene Daten verarbeiten, tun dies, um Ihre Aufgabe als Verantwortlicher wahrzunehmen."

Es muss hier also nicht zwingend eine natürliche Person genannt werden.

Wo ist Deines Erachtens definiert, daß der "Verantwortliche" eine natürliche Person sein muss?

Ich zitiere aus Art. 13. DSGVO (Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person):

"Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; ..."

Dass der Verantwortliche eine natürliche Person sein muß, steht da nicht. Es ist zwar Dein gutes Recht, der Meinung zu sein, daß dort eine reine Firmierung (aka die Angabe des Unternehmens als Verantwortlicher) nicht ausreicht, aber eine valide Quelle, die Deine persönliche Rechtsauffassung teilt, wäre schön.

Das Video enthält keine personenbezogenen Daten mehr nach der Verpixelung, da keine "Personen" im sinne der DSGVO mehr zu sehen sind.

Entsprechend ist hier dann die DSGVO nicht mehr zuständig.

Die DSGVO regelt ja nicht generelle Videoaufzeichnungen, sondern die Aufnahnme, Speicherung von Daten natürlicher Personen. Ist keine mehr zu sehen -> Keine DSGVO-Frage.

Man könnte die Verpixelung aber auch quasi als "Entarbeitung" betrachten. Dabei wird ja nicht herausgestellt, geschärft, fokussiert und optimiert, sondern quasi entstellt.

Die "Verarbeitung" also das Anschauen erfolgt ja innerhalb der Zweckbestimmung, z.B. um zu schauen was der Täter macht e.t.c.

Das technische anschließende "Verpixeln", also ein technisches Anonymisieren von Daten ist meines Wissens nach jederzeit erlaubt da hier der "zweck" der Verarbeitung, das "Anonymisieren" von Daten ja gerade im sinne der DSGVO wirkt.

Ich muss ganz ehrlich sagen, du schreibst ja ne ganze menge zeug zu der DSGVO hier was in der Interpretation unserer Fachanwältin immer ganz anders klingt. Ich bin aber selber halt auch nur "Laie" hab mich aber schon etwas damit auseinandergesetzt.

Mir kommt das ehrlich gesagt sehr komisch vor. Du klingst wie jemand der ein Gesetz liest aber es 1:1 so interpretieren möchte wie es da steht.
Dabei werden gesetze durch anwälte, richter, e.t.c. in der tatsächlichen Rechtspraxis oft ganz anders betrachtet.
Ausserdem ignorierst du oft alles drumherum, ohne dir Gedanken zu machen wie "wertig" bestimmte teile sind gegenüber anderen teile die ggf. höherwertig sind. Auch hier kann man das als Laie kaum durchblicken.

Aus den Erwägungsgründen der DSGVO: "(26) Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke." (Hervorhebungen nicht im Original)

Bei der Verpixelung handelt es sich also bestenfalls um eine Pseudonymisierung, keine Anonymisierung (es ist z.B. über Datum und Uhrzeit möglich, den Täter doch zu identifizieren, auch Björn weiß, um wen es sich handelt, d.h. die Daten sind nicht anonym). Bei anonymisierten Daten würden die Regeln der DSGVO nicht greifen, bei pseudonymisierten Daten jedoch schon.

Bei uns ist das aber auch so, das als Verantwortlicher die Firma drin steht. Und so ist es auch bei anderen Geschäftspartnern. Von daher sollte das richtig sein.

Dafür gibt es das Schild! Wenn Du das nicht willst, geht nicht rein. Bei Fragen wende dich an die Marktleitung. Also ich finde das weder anonym noch versteckt.

Ich vermute mal das die Firmierung hier sogar "Plficht" ist da es darum geht wer _rechtlich_ verantwortlich ist, z.B. wenn man denkt das diese Aufzeichnung nicht gerechtfertigt ist und dies den Landesdatenschutzbeauftragten melden möchte, oder vill. sogar ein Gerichtsverfahren anstrebt.

Hier ist aber der "Privatmann Björn Harste" das falsche "Ziel" sondern halt die verantwortliche Firmierung. Gibt ja auch Firmen mit dutzenden Teilhabern (gut, nicht beim e.K.) - soll da dann jeder aufgeführt sein? Welcher Mehrwert ergibt sich daraus?

Um "Menschlich netter" geht es bei solch rechtlichen sachen nur am Rande und wurde hier mit "Bei der Marktleitung" doch recht Brauchbar umschifft. Habe ich einfach nur eine Frage weiß ich direkt an wen ich mich wenden kann.