1,1 Mio. Euro Bußgeld wegen Datenschutzverstößen bei Forschungsfahrten

Aufgrund von vier festgestellten Datenschutzverstößen im Rahmen von Tests bei Assistenzsystemen für neue Automodelle der Volkswagen Aktiengesellschaft, verhängte die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen ein Bußgeld in Höhe von 1,1 Millionen Euro.

Hintergrund des Bußgeldes

Im Rahmen einer Erprobungsfahrt durch einen von Volkswagen AG (VW) beauftragten Dienstleister stellte sich bei einer Verkehrskontrolle durch die österreichische Polizei heraus, dass am Testfahrzeug Kameras zur Fehleranalyse angebracht waren. Grund für den Einsatz des Fahrzeuges war, die Funktionsfähigkeit eines Fahrassistenzsystems zur Vermeidung von Verkehrsunfällen zu testen und zu trainieren. Dabei wurde das Verkehrsgeschehen um das Fahrzeug herum aufgezeichnet.

In der Folge stellte die niedersächsische Landesdatenschutzbeauftragte für den Datenschutz, Barbara Thiel, vier Datenschutzverstöße fest:

VW akzeptiere das Bußgeld, kooperierte und hob unverzüglich alle benannten Mängel auf, so die Landesdatenschutzbeauftragte. Sie führte zudem aus, dass die eigentlichen Forschungsfahrten als datenschutzrechtlich unbedenklich zu qualifizieren sind, da der Verarbeitungszweck in der Verhinderung von Unfällen und der Sicherheit des Straßenverkehrs liegt.

Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!

Datenschutzrechtliche Einschätzung

Von VW wurden offensichtlich grundlegende Prinzipien der Datenschutz-Grundverordnung (DSGVO) missachtet. In diesem von der Landesdatenschutzbeauftragten Niedersachsen geahndeten Fall wurden die insgesamt vier Datenschutzverstöße allerdings mit dem jeweils niedrigstem Schweregrad bewertet.

Fehlende Informationen im Hinblick auf die Aufzeichnung der anderen Verkehrsteilnehmer

Sobald Verantwortliche personenbezogene Daten erheben und verarbeiten wollen, müssen sie die Betroffenen darüber informieren. Nach Art. 13 DSGVO hat der Verantwortliche zum Zeitpunkt der Erhebung von personenbezogenen Daten seinen umfassenden Informationspflichten nachzukommen. Vorliegend hätte VW dieser Pflicht nachkommen können, indem es am jeweiligen Testfahrzeug Kamerasymbole angebracht und das jeweilige Informationsschreiben beispielsweise über einen QR-Code zugänglich gemacht hätte.

Der Inhalt eines solchen Informationsschreibens umfasst unter anderem die Speicherdauer, den Zweck der Aufnahmen, die Rechtsgrundlage und die Kontaktangaben des Verantwortlichen.

Lesen Sie hier, wie Sie Ihren DSGVO-Informationspflichten nachkommen und nutzen Sie unseren praktischen Generator, um ein Videoüberwachungs-Hinweisschild mit Informationsschreiben aufzusetzen.

Fehlender Auftragsverarbeitungsvertrag mit dem Unternehmen, das die Fahrten durchführte

Art. 28 DSGVO erfordert, dass ein Verantwortlicher (Auftraggeber) mit einem eingesetzten Dienstleister (Auftragnehmer) zur Verarbeitung von personenbezogenen Daten einen sogenannten Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen muss. Wenn ein solcher Vertrag nicht abgeschlossen wurde, darf grundsätzlich keine Datenübermittlung vom Auftraggeber an den Auftragnehmer erfolgen.

Der vorliegende Fall verdeutlicht, dass Behörden auf den Abschluss von AV-Verträgen achten und der Nichtabschluss ein erhöhtes Bußgeldrisiko birgt. Auch sollte immer darauf geachtet werden, dass der Mindestinhalt eines AV-Vertrags sich an den Voraussetzungen des Art. 28 DSGVO orientiert. Einige der deutschen Datenschutz-Aufsichtsbehörden prüfen derzeit die von großen Anbietern eingesetzten Verträge zur Auftragsverarbeitung mittels dieser Checkliste.

Unzureichende Dokumentation nach Art. 30 DSGVO

Eines der wichtigsten datenschutzrechtlichen Dokumente für ein Unternehmen ist das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Ein Unternehmen ist demnach verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten entsprechend den Mindestvorgaben zu erstellen. Nach Art. 30 Abs. 1 lit. g) DSGVO ist in dem Verzeichnis auch eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO vorzunehmen oder auf ein entsprechendes zentrales Dokument zu verweisen.

Keine durchgeführte Datenschutzfolgenabschätzung nach Art. 35 DSGVO zur Risikoeinschätzung vor Verarbeitungsbeginn

Nach Art. 35 DSGVO ist bei einer Datenverarbeitung, welche ein hohes Risiko für die jeweiligen Betroffenen birgt, vor Beginn der Verarbeitung eine Datenschutzfolgenabschätzung (DSFA) vorzunehmen. Eine DSFA muss immer dann durchgeführt werden, wenn die beabsichtigte Datenverarbeitung

  • ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat oder
  • einem der Regelbeispiele des 35 Abs. 3 DSGVO unterfällt oder
  • nach 35 Abs. 4 DSGVO auf einer Blacklist der Aufsichtsbehörde aufgeführt ist.

Vorliegend hätte VW eine DSFA aufgrund des Regelbeispiels nach Art. 35 Abs. 3 lit. c) DSGVO durchführen müssen. Durch die Aufzeichnung der Umgebung im Rahmen der Testfahrten lag zumindest eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche vor.

Fazit

Dass der vorliegende Bußgeldbescheid einen verhältnismäßig geringen Betrag – gemessen am Jahresumsatz von VW – vorsieht, ist nicht selbstverständlich. Dies liegt darin begründet, dass die Behörde den Verstößen einen niedrigen Schweregrad zugeordnet hat, die Fahrten selbst datenschutzrechtlich nicht zu beanstanden waren und VW die Handlungen sofort eingestellt hat.

Der vorliegende Fall veranschaulicht aber auch, wie wichtig die Beachtung der allgemeinen Grundsätze der DSGVO ist und wie teuer ein mangelhaft aufgestelltes Datenschutz-Managementsystem einem Unternehmen zu stehen kommen kann.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.