Am 26.07.2022 hat Barbara Thiel, die Landesdatenschutzbeauftrage Niedersachsens öffentlich gemacht, dass gegen die Volkswagen AG ein Bußgeld in Höhe von 1,1 Mio. EUR verhängt wurde. (Die Pressemitteilung finden Sie hier).
Kurz und knapp, was war geschehen? Ein Erprobungsfahrzeug von VW wurde 2019 durch die österreichische Polizei für eine Verkehrskontrolle angehalten. Wie sich dabei herausstellte, waren an dem Fahrzeug mehrere Kameras installiert worden, welche das Verkehrsgeschehen aufnahmen. Ziel der Aufnahmen war, die Funktionsfähigkeit eines Fahrassistenzsystems zur Vermeidung von Verkehrsunfällen zu testen und zu analysieren. Die Kameras waren dabei unter anderem für die Fehleranalyse dieses Systems eingesetzt worden. Für die Durchführung dieser Forschungsfahrten war von VW ein Unternehmen beauftragt worden.
Klingt doch nach einem wichtigen und sinnvollen Tool, wo lag also das Problem? Die Erhebung und Weiterverarbeitung der durch die Aufnahmen entstandenen personenbezogenen Daten wurden seitens der Landesdatenschutzbeauftragten nicht beanstandet. Dennoch gab es vier datenschutzrechtliche Verstöße, welche im Folgenden etwas genauer thematisiert werden.
1. Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person, Art. 13 DSGVO
Werden personenbezogene Daten direkt bei den betroffenen Personen erhoben, so sind diese zum Zeitpunkt der Erhebung über die Verarbeitung ihrer Daten zu informieren, Art. 13 Abs. 1 DSGVO. Welche Informationen ein Datenschutzhinweis hätte beinhalten müssen, thematisierten wir bereits in unserem Blog, z. B. hier.
Eine solche Information wäre auch hier erforderlich gewesen, da das Erprobungsfahrzeug Aufnahmen von den Verkehrsteilnehmenden bzw. dem Verkehrsgeschehen erstellte und diese für die oben genannten Zwecke weiterverarbeitete. VW hätte folglich als verantwortliches Unternehmen die Betroffenen vor oder während der Erstellung der Aufnahmen über die Verarbeitung informieren müssen. Als 2019 die Forschungsfahrt stattfand, gab es einen solchen Hinweis jedoch nicht. Ein sonst verwendetes Hinweisschild mit dem Piktogramm einer Kamera sowie weiteren Informationen fehlte bei der Verkehrskontrolle. Dies stellt einen Verstoß nach Art. 83 Abs. 5 lit. b DSGVO dar und kann je nach Ausmaß des Verstoßes Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens bis zu 4 % des weltweit erzielten Jahresumsatzes bedeuten.
2. Auftragsverarbeiter, Art. 28 DSGVO
Findet die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter statt, so hat dies auf Grundlage eines Vertrages oder eines anderen Rechtsinstruments zu erfolgen, Art. 28 Abs. 3 DSGVO. Damit soll ein Mindestniveau an Datenschutz sichergestellt werden, wenn die Verarbeitung personenbezogener Daten auf Dritte übertragen wird. Insbesondere hat der Auftraggeber einen Auftragsverarbeiter zu wählen, welcher hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen (TOMs) gegeben sind, sodass die Verarbeitung im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet, Art. 28 Abs. 1 DSGVO. Mehr Informationen dazu finden Sie hier.
Im vorliegenden Fall hat VW mit einem Unternehmen zusammengearbeitet, welches die Forschungsfahrten – und folglich die Datenerhebung durch die Kameras – im Auftrag von VW durchführte. Es wäre also der Abschluss eines Auftragsverarbeitungsvertrages (oder eines anderen Rechtsinstruments) notwendig gewesen, welcher die Zusammenarbeit der Unternehmen datenschutzrechtlich regelt. Einen Auftragsverarbeitungsvertrag hatte VW jedoch nicht mit dem Unternehmen abgeschlossen, was einen Verstoß nach Art. 83 Abs. 4 lit. a DSGVO darstellt.
3. Datenschutz-Folgenabschätzung, Art. 35 DSGVO
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so hat der Verantwortliche eine Risikoabschätzung durchzuführen, Art. 35 DSGVO. Eine Legaldefinition für den Begriff „Risiko“ gibt die DSGVO nicht her, es kann jedoch der Erwägungsgrund 75 herangezogen werden, nach welchem darunter die Eintrittswahrscheinlichkeit eines Schadens verstanden wird. Um die Höhe des Risikos einzuschätzen, ist die Eintrittswahrscheinlichkeit sowie die Schwere des Schadens anhand von Faktoren wie der Art, dem Umfang, sowie der Umstände und Zwecke der Verarbeitung in Verhältnis zueinander zu setzen, ErwG 76. Potentielle Schäden für Betroffene wären nach der DSGVO zum Beispiel Verarbeitungen, welche zu einer Diskriminierung, einem Identitätsdiebstahl oder ‑betrug, einem finanziellen Verlust oder einer Rufschädigung führen könnten.
Die niedersächsische Aufsichtsbehörde sah in den Aufnahmen des Testfahrzeugs ein hohes Risiko für gegeben an. Die fehlende Datenschutz-Folgenabschätzung stellt demnach ebenfalls einen Verstoß nach Art. 83 Abs. 4 lit. a DSGVO dar.
4. Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DSGVO
Jeder Verantwortliche und ggfs. sein Vertreter hat ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen, die ihrer Verantwortung unterliegen, Art. 30 DSGVO. Durch die Dokumentation sämtlicher Verarbeitungsprozesse garantieren Verantwortliche Transparenz in Hinblick auf die Nutzung von personenbezogenen Daten sowie der Einhaltung der Verordnung. Darunter fällt auch eine allgemeine Beschreibung der bereits angesprochenen TOMs, welche Verantwortliche und Auftragsverarbeiter zu gewährleisten haben, Artt. 30, 32 Abs. 1 DSGVO. Unter technischen Maßnahmen sind Schutzmaßnahmen zu verstehen, die für die Sicherheit der eingesetzten IT-Systeme und für deren äußere Absicherung sorgen. Darunter fallen zum Beispiel Sicherungen von Türen und Fenstern, Alarmanlagen oder Maßnahmen, die in Soft- und Hardware umgesetzt werden, wie der Einsatz von Firewalls oder die Verschlüsselung und Pseudonymisierung von personenbezogenen Daten. Organisatorische Maßnahmen wiederum sind alle nichttechnischen Maßnahmen, welche zum Zwecke der Datensicherheit getroffen werden, zum Beispiel Mitarbeiterschulungen im Datenschutz oder die Aufstellung eines Berechtigungskonzeptes.
Im vorliegenden Fall gab es für diese Verarbeitungstätigkeit jedoch keine Beschreibung der TOMs, womit wir bei dem letzten Verstoß nach Art. 83 DSGVO angelangt sind.
Bei der Beschreibung hätten sowohl VW als auch sein Auftragsverarbeiter die Maßnahmen darstellen müssen, die getroffen wurden, um die personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Zerstörung usw. zu schützen.
Festlegung der Geldbuße
Bei der Festlegung der Geldbuße kam VW trotz der Vielzahl der Verstöße zugute, dass die Verarbeitungstätigkeit für ein Fahrassistenzsystem gebraucht wurde, welches die Verhinderung von Unfällen optimieren und die Sicherheit im Straßenverkehr erhöhen soll. Darüber hinaus kooperierte VW umfassend mit der Behörde und ergriff bereits während des Prüfverfahrens Maßnahmen, um die Mängel zu unterbinden. Es endete mit einem Bußgeld von 1,1 Mio. EUR, was in Anbetracht eines konzernweiten Jahresumsatz in 2021 von 250 Mrd. EUR, doch gar nicht mehr so hoch erscheint.
24. August 2022 @ 12:57
Eigentlich zeigt die Höhe des Bußgeldes bei der Anzahl der Verstöße und dem Konzernumsatz von VW doch nur, wie zahnlos DSGVO-Verstöße nach wie vor geahndet werden.