Nun hat es auch den Automobilkonzern Volkswagen getroffen. Für verschiedene Datenschutzverstöße im Rahmen von Forschungsfahrten hat die Datenschutzbehörde Niedersachsen ein Bußgeld in Höhe von 1,1 Millionen Euro gegen den Wolfsburger Automobilkonzern verhängt. Das Bußgeld bezieht sich darauf, dass im Rahmen der Erprobung eines neuen Fahrerassistenzsystems zur Vermeidung von Verkehrsunfällen die Überwachungskameras bei einem VW-Erprobungsfahrzeug vom eingesetzten Dienstleister nicht ausreichend gekennzeichnet worden waren.
Im konkreten Fall wurde das auffällige Fahrzeug bereits im Jahr 2019 von der österreichischen Polizei im Raum Salzburg kontrolliert. Den Beamten waren an dem Fahrzeug „ungewöhnliche Anbauten“ aufgefallen, die nicht entsprechend gekennzeichnet waren. Es handelte sich dabei um Kameras, die (z.B. zu Zwecken der Fehleranalyse) das Verkehrsgeschehen rund um das Testfahrzeug aufzeichneten. An dem Fahrzeug waren keine der sonst üblichen Magnetschilder mit einem Kamerasymbol angebracht worden, die dazu notwendig sind, die anderen Verkehrsteilnehmer über die Überwachung zu informieren. Aufgrund des Art. 13 DSGVO (Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person) haben die datenschutzrechtlich Betroffenen das Recht über den Zweck der durchgeführten Datenverarbeitung und die Frist der Speicherung der personenbezogenen Informationen informiert zu werden. Dies wurde vom eingesetzten Dienstleister nicht beachtet, weshalb die Aufzeichnung der Daten unrechtmäßig erfolgte. Zusätzlich zu diesem Sachverhalt waren der Datenschutzbehörde Niedersachsen aber noch weitere DSGVO-Verstöße von Volkswagen aufgefallen, sodass Frau Barbara Thiel das Millionen-Bußgeld gegen das Unternehmen aussprach. Bei der nachfolgenden Untersuchung fiel z.B. auf, dass Volkswagen keinen AV-Vertrag nach Art. 28 DSGVO mit dem Dienstleister abgeschlossen hatte. Da in die Testfahrten eine Videoüberwachung integriert war, hätte außerdem im Vorfeld eine Datenschutzfolgenabschätzung (abgekürzt DSFA) nach Art. 35 DSGVO durchgeführt werden müssen. Hierbei handelt es sich um eine Art Risikobewertung, die insbesondere die Interessen, der von der Überwachung betroffenen Personen, betrachtet. Auch die Erstellung dieser DSFA wurde versäumt. Darüber hinaus fehlten im Verzeichnis der Verarbeitungstätigkeiten in der Spalte der „technisch organisatorischen Maßnahmen“ jegliche Angaben. Dies stellt einen weiteren Verstoß gegen die Dokumentationspflichten des Art. 30 DSGVO dar, insbesondere da diese Lücke bei einer einschlägigen Verarbeitung wie der Videoüberwachung von Verkehr bestand.
Die niedersächsische Datenschutzbehörde gibt an, dass Volkswagen die Strafe akzeptiert und die Mängel zeitnah behoben hat. Da der Fall grenzüberschreitenden Charakter hatte, wurden auch andere betroffene europäische Datenschutzaufsichtsbehörden in einem sogenannten „DSGVO-Kooperationsverfahren“ mit in die Entscheidung einbezogen.
Quellenangaben:
- Artikel „DSGVO-Verstoß: Volkswagen muss 1,1 Millionen Euro Bußgeld zahlen“, abgerufen am 26.07.2022 unter https://www.heise.de/news/DSGVO-Verstoss-Volkswagen-muss-1-1-Millionen-Euro-Bussgeld-zahlen-7190148.html