Millionen-Bußgeld gegen VW
In einer am 26.07.2022 veröffentlichten Pressemitteilung teilte die niedersächsische Landesbeauftragte für Datenschutz mit, dass aufgrund mehrerer Datenschutzverstöße ein Bußgeld in Höhe von 1.1 Millionen Euro gegen VW verhängt wurde.
Aufgefallen waren die Verstöße bei einer routinemäßigen Verkehrskontrolle im österreichischen Salzburg im Jahr 2019. Bei der Begutachtung des Testfahrzeugs sind den Polizisten mehrere Kameras aufgefallen, die am Fahrzeug verbaut waren. Diese zeichneten das Verkehrsgeschehen um das Fahrzeug herum auf und ermöglichten so eine Analyse und Verbesserung der im Fahrzeug verbauten Assistenzsysteme.
Grundsätzlich werden diese Art von Aufzeichnungen, die unter anderem der Verbesserung der Verkehrssicherheit und der Prävention von Unfällen dienen, von Datenschutzbehörden nicht beanstandet. Allerdings nur, wenn und soweit die datenschutzrechtlichen Vorschriften eingehalten werden. Im Fall von VW erkannte die Landesbeauftragte für Datenschutz vor allem vier leichte Verstöße, die ein Bußgeld begründen:
Der erste Verstoß stellt die nicht ausreichende Kennzeichnung des Testfahrzeugs dar. Dieses hätte mit magnetischen Informationsschildern versehen werden müssen, um die anderen Verkehrsteilnehmer auf die Aufzeichnung hinzuweisen. Weiterhin hätten auf den Informationsschildern die in Art. 13 DS-GVO genannten Informationen enthalten sein müssen. Dadurch soll der Verkehrsteilnehmer über den Namen des Verantwortlichen, den Zweck der Aufzeichnung sowie ein etwaiges Widerspruchsrecht aufgeklärt werden.
Ebenfalls hätte VW mit dem Unternehmen, das die Fahrten durchführte, einen Auftragsverarbeitungsvertrag schließen müssen. Darin werden die Rechte und Pflichten im Umgang mit den gesammelten Daten festgelegt.
Weiterhin muss bei Erprobung neuer Technologien (in diesem Fall etwa umfangreiche Kameratechnik und Sensorik des Fahrzeugs) gem. Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung durchgeführt werden. Hierbei sollen die Risiken, die bei Einsatz der Technik für personenbezogene Daten bestehen, abgewogen und eingedämmt werden.
Schließlich war auch das Verarbeitungsverzeichnis nach Art. 30 DS-GVO fehlerhaft. Hierbei handelt es sich um ein firmeninternes Dokument, in dem sämtliche Verarbeitungsprozesse unter Verwendung personenbezogener Daten festgehalten werden müssen. Zusätzlich sollen hier auch Schutzmaßnahmen notiert werden, um einen Missbrauch der gesammelten Daten zu verhindern.
VW hat zwar bei der Aufklärung der Vorwürfe zwar umfassend mit den Datenschutzbehörden kooperiert, dennoch wurde ein Bußgeld in Höhe von 1.1 Millionen Euro verhängt. Diese Summe kommt aufgrund der Bußgeldberechnungsmethode des Art. 83 DS-GVO zustande.
Darin ist festgelegt, dass bestimmte Verstöße abhängig vom Vorjahresumsatz (im Fall der Volkswagen AG sind dies 250 Milliarden Euro) sanktioniert werden sollen. Dadurch können Datenschutzverstöße auch für große Unternehmen sehr schnell teuer werden.
Der Fall zeigt auch die Wichtigkeit von Auftragsverarbeitungsverträgen, Verarbeitungsverzeichnis und Datenschenschutzfolgeabschätzungen in der Praxis sind.
Sollten Sie zu den Themen Fragen haben, steht Ihnen unser Partner Thomas Hertl gerne zur Verfügung.