LfD Niedersachsen verhängt Bußgeld in Höhe von 1,1 Millionen Euro
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat aufgrund von mehreren Datenschutzverstößen mit vergleichsweise geringem Schweregrad im Zusammenhang mit dem Einsatz eines Forschungsfahrzeugs gegen einen Automobilhersteller eine Geldbuße in Höhe von 1,1 Millionen Euro festgesetzt.
Gegenstand des Bußgeldverfahrens
Das Bußgeld geht auf eine Verkehrskontrolle zurück, in deren Rahmen der Polizei Kameras an einem Erprobungsfahrzeug des Automobilherstellers auffielen. Das Fahrzeug wurde eingesetzt, um die Funktionsfähigkeit eines Fahrassistenzsystems zur Vermeidung von Verkehrsunfällen zu testen und zu trainieren. Dabei wurde unter anderem zur Fehleranalyse auch das Verkehrsgeschehen um das Fahrzeug herum aufgezeichnet.
Bemängelt wurde die fehlende Information nach Art. 13 DS-GVO. Zudem wurde festgestellt, dass der Automobilhersteller keinen Auftragsverarbeitungsvertrag mit dem Unternehmen abgeschlossen hat, das die Fahrten durchführte. Ein solcher sei nach Art. 28 DS-GVO ersichtlich erforderlich gewesen. Hinzu kam, dass auch keine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchgeführt worden sei. Diese hätte vor Beginn einer solchen Verarbeitung hinsichtlich der Bewertung möglicher Risiken und deren Eindämmung durchgeführt werden müssen. Letztlich wurde die fehlende Beschreibung der technischen und organisatorischen Schutzmaßnahmen im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO beanstandet.
Bewertung: Niedriger Schweregrad kann zu hohen Bußgeldern führen
Diese vier Verstöße sind in der Praxis nicht ungewöhnlich und tendenziell niedrigschwellig. Keiner dieser Verstöße dauerte an und das Unternehmen hat mit der LfD Niedersachsen umfassend kooperiert. Gleichwohl führten sie zu einem Bußgeld in Höhe von 1,1 Millionen Euro. Unternehmen sind vor diesem Hintergrund gut beraten, ihr Datenschutzmanagementsystem zu robust und effektiv auszugestalten, dass sichergestellt ist, dass „Hausaufgaben“ wie Datenschutzhinweise, Auftragsverarbeitungsvertrag, Datenschutz-Folgenabschätzung und Verzeichnis der Verarbeitungstätigkeiten auch tatsächlich erstellt bzw durchgeführt werden.