Skip to main content
Datenschutzrecht

Aufsichtsbehörde verhängt Bußgeld wegen mangelnder Sorgfalt und Dokumentation

By 25. August 2022No Comments

Einleitung

Das Datenschutzrecht und die Umsetzung der Vielzahl an Anforderungen an rechtskonforme Datenverarbeitungsprozesse beschäftigen Verantwortliche wie auch Auftragsverarbeiter unablässig und sind zunehmend Gegenstand von Bußgeldverfahren, die insbesondere gegen größere Unternehmen geführt werden. Dies zeigt einmal mehr die unlängst gegen die Volkswagen Aktiengesellschaft verhängte Geldbuße in Höhe von 1,1 Millionen Euro. Anhand des aktuell veröffentlichten Falles wird sichtbar, wie wichtig neben der materiell-rechtlich fehlerfreien Datenverarbeitung die formal sorgfältige Durchführung und Dokumentation datenschutzrechtlich relevanter Maßnahmen ist. Dieser Beitrag soll das Bewusstsein für die Relevanz der Prüfungs- und Rechenschaftspflichten im Datenschutzrecht schärfen.

Gegenstand des Bußgeldverfahrens gegen Volkswagen

Ausgangssituation des Verfahrens der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen war der Stopp und die Kontrolle eines Testwagens des Volkswagen-Konzerns durch die österreichische Polizei. Dieser waren ungewöhnliche Anbauten an dem Fahrzeug aufgefallen, die sich bei der Kontrolle als Kameras herausstellten. Die Testfahrten dienten der Erprobung eines neuen Fahrassistenzsystems. Zu diesem Zweck waren an dem Pkw mehrere Videokameras installiert worden, die den Innen- sowie Außenbereich (die Straße und andere Verkehrsteilnehmer) gefilmt hatten.

Das Anbringen der Kameras und die Aufzeichnungen durch diese führten für sich genommen nicht zu der Verhängung des Millionenbußgelds. „Die eigentlichen Forschungsfahrten waren datenschutzrechtlich nicht zu beanstanden“, so das Urteil der Datenschutzaufsichtsbehörde.

Vielmehr waren die formale Durchführung der Verarbeitungsmaßnahme sowie die interne Dokumentation rechtsfehlerhaft und führten zu dem für VW nachteiligen Bescheid.

Die LfD Niedersachsen warf dem Konzern vier datenschutzrechtliche Verstöße vor:

1. Verstoß gegen die Informationspflichten wegen fehlender Hinweise am Testfahrzeug (Art. 13 DSGVO)

An dem gestoppten Pkw hatten die notwendigen Schilder mit einem Kamerasymbol und die erforderlichen Pflichthinweise zur Verarbeitung der Daten der anderen Verkehrsteilnehmer gefehlt.

2. Fehlen eines Auftragsverarbeitungsvertrages (Art. 28 DSGVO)

Volkswagen hatte die Fahrten nicht selbst durchgeführt, sondern sich hierfür eines Dienstleisters bedient. Es war versäumt worden, hierüber einen Auftragsverarbeitungsvertrag abzuschließen.

3. Mangelnde Dokumentation im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)

Die Forschungsfahrten waren nicht ordnungsgemäß im Verzeichnis der Verarbeitungstätigkeiten dokumentiert; insbesondere fehlte es an der Erläuterung der technischen und organisatorischen Schutzmaßnahmen für die Maßnahme.

4. Fehlen einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Es fehlte eine Datenschutz-Folgenabschätzung. Volkswagen hatte es also versäumt, die möglichen Risiken der mit den Testfahrten verbundenen Datenverarbeitung und deren Eindämmung vorab zu bewerten (oder jedenfalls dies ausreichend zu dokumentieren).

Volkswagen kooperierte nach eigenen Angaben der Aufsichtsbehörde von Anfang an mit dieser und stellte die Verstöße umgehend ab. Das Fehlen der Kamerahinweisschilder und Pflichtinformationen an dem Testwagen konnte VW nachweislich auf ein Versehen zurückführen. Diese Umstände führten zusammen mit der Tatsache, dass die vier Verstöße jeweils einen niedrigen Schweregrad hatten, zu einer für die Größe des VW-Konzerns vergleichsweise geringen Geldbuße. Das Unternehmen akzeptierte bereits den Bußgeldbescheid.

Lehren aus dem Bußgeldverfahren gegen Volkswagen

Anhand des dargestellten Falls wird wieder einmal deutlich, dass es nicht allein materiell-rechtlich darauf ankommt, dass eine Maßnahme über den Katalog der Rechtsgrundlagen in der DSGVO gerechtfertigt werden kann und ob sie die Interessen Betroffener besonders beeinträchtigt. Für die Umsetzung der datenschutzrechtlichen Vorgaben ist es ebenso wichtig, dass der Verantwortliche sein Vertragsmanagement im Griff hat und seine Überlegungen und Bewertungen im Hinblick auf eine Datenverarbeitungstätigkeit sorgfältig dokumentiert. Auch andere Verfahren, über die wir in der Vergangenheit bereits berichtet hatten, führten deshalb zu einem Bußgeld, weil die internen Prozesse von Prüfung, Bewertung und/oder Dokumentation, also letztlich die Organisationsstrukturen im Unternehmen unzureichend waren.

Elementarer Schritt jedes Unternehmens, das eine umfassende „Datenschutz-Compliance“ erreichen will, ist die Schaffung des Bewusstseins unter den Mitarbeitern für die Relevanz des Datenschutzrechts. Eine funktionierende Organisationsstruktur im Datenschutz setzt unter anderem die Zuweisung von Verantwortlichkeiten voraus, ebenso die Vorgabe von Kommunikations- und Meldewegen sowie die Schaffung guter Grundlagen für ein funktionierendes Vertragsmanagement und für die Erfüllung der Rechenschaftspflichten etwa durch die regelmäßige Pflege des Verzeichnisses der Verarbeitungstätigkeiten und der Dokumentation zu den technischen und organisatorischen Maßnahmen.

In den kommenden Jahren werden voraussichtlich zunehmend Modelle für umfassende Datenschutzmanagement-Systeme entwickelt werden. Bis dahin müssen Unternehmen ihre Prozesse weitgehend selbst zuschneiden und optimieren.

Hinweis

Wir möchten darauf hinweisen, dass die allgemeinen Informationen in diesem Newsletter eine Rechtsberatung im Einzelfall nicht ersetzen.