Die Bußgelder wegen Corona-Verstößen lassen einen schnell all die anderen Bußgelder vergessen. Eine Kanzlei berichtet nun über Fälle, in denen es die Verkehrsbehörden in verschiedenen Bundesländern in Bußgeldverfahren mit dem Datenschutz nicht allzu genau nahmen.
Der Inhalt im Überblick
Den Raser identifizieren
Die auf Verkehrsrecht spezialisierte Kanzlei Zimmer-Gratz berichtet über Fälle, in der der Landesdatenschutzbeauftragte Rheinland-Pfalz, und mittlerweile auch der Hessische Datenschutzbeauftragte, automatisierte Abfragen der Verkehrsbehörden beim Fahrerlaubnisregister des Kraftfahrt-Bundesamtes in Flensburg im Rahmen von Bußgeldermittlungen als datenschutzwidrig bewertete.
Worum ging es?
Sind Fahrzeuge zu schnell unterwegs und wurden geblitzt, erhält der Fahrzeughalter, der über das Nummernschild ermittelt werden kann, einen Anhörungsbogen der zuständigen Bußgeldbehörde, der unter anderem zur Ermittlung des Fahrzeugführers dient. Die Bußgeldbehörde im von der Kanzlei beschriebenen Fall war die Zentrale Bußgeldstelle in Rheinland-Pfalz. Parallel zum Anhörungsbogen erfolgte jedoch durch diese auch eine automatisierte Abfrage an das vom Kraftfahrt-Bundesamt in Flensburg geführte Fahrerlaubnisregister. Zweck der automatisierten Abfrage war die Ermittlung vorheriger Verstöße des Fahrzeughalters, die bei der Bestimmung des möglichen Bußgeldes zu berücksichtigen ist. Die Berücksichtigung früherer Verkehrsverstöße im Rahmen des Bußgeldverfahrens ist in § 28 Abs. 2 StVG ausdrücklich vorgesehen. Dies leuchtet ein, da im Wiederholungsfall die früheren Bußgelder offensichtlich wirkungslos blieben.
Voreilige Datenabfrage
Das Problem hinsichtlich der Abfrage durch die Bußgeldbehörde war nun folgendes: Ergibt sich aus dem Anhörungsbogen, wer tatsächlich das Fahrzeug zum Zeitpunkt der Ordnungswidrigkeit geführt hat und handelt es sich hierbei nicht um den Fahrzeughalter, dann war die automatisierte Abfrage der Bußgeldbehörden über den Fahrzeughalter in Rahmen der Ermittlung des Sachverhalts und Bestimmung der Bußgeldhöhe schlicht irrelevant.
Rechtsgrundlage für die automatisierte Abfrage beim Kraftfahrt-Bundesamt ist grundsätzlich § 30 StVG. Hiernach dürfen Eintragungen im Fahreignungsregister an die Stellen übermittelt werden, die für die Verfolgung von Ordnungswidrigkeiten und Vollstreckung von Bußgeldbescheiden zuständig sind, soweit dies für die Erfüllung der diesen Stellen obliegenden Aufgaben zu den in § 28 Abs. 2 StVG genannten Zwecken – hier etwa die Ahndung der Verstöße von Personen, die wiederholt Ordnungswidrigkeiten begehen – jeweils erforderlich ist.
Wie festgestellt fehlte es hier jedoch an der Erforderlichkeit. Eine solche bestünde erst, wenn der ausgefüllte Anhörungsbogen vorliegt und bekannt ist, zu welcher Person die Abfrage gem. § 30 StVG konkret zu stellen ist.
Konsequenzen der Datenschutzverstöße
Wenig verwunderlich haben sich die Aufsichtsbehörden an dieser Form der “Bußgeldermittlungen” gestört, denn in der praktizierten Form erfolgte die Abfrage an das Kraftfahrt-Bundesamt mangels Erforderlichkeit in rechtswidriger Weise. Mittlerweile hat sich neben dem rheinland-pfälzischen Landesdatenschutzbeauftragten auch der Hessische Datenschutzbeauftragte kritisch zu der Verwaltungspraxis geäußert und diese beanstandet. Die Behörden haben den Prozess mitttlerweile abgestellt und sehen künftig davon ab, in einem automatisierten Abfrageprozess Daten zu Personen abzufragen, die zu dem Zeitpunkt noch nicht als Fahrer feststanden, wie der SPIEGEL berichtete.
Hinsichtlich des Ausgangs der Bußgeldverfahren galt weiterhin die Binsenweisheit „Vor Gericht und auf hoher See“: Die Kanzlei Zimmer-Gratz berichtet davon, dass bei manchen Gerichten die Klagen gegen den Bußgeldbescheid Erfolg hatten und aufgrund der Datenschutzverstöße die Bußgeldverfahren eingestellt wurden. Häufig käme es auch zur Reduzierung von Bußgeldern. In wieder anderen Verfahren hatten die monierten Datenschutzverstöße der Bußgeldbehörden hingegen keinen Einfluss auf das Bußgeld und dessen Höhe.
Epilog zur Erforderlichkeit
Es fehlte im konkreten Einzelfall also an der Erforderlichkeit für die Datenabfrage seitens der Bußgeldbehörde gegenüber dem Kraftfahrt-Bundesamt….case closed? Eigentlich ja. Doch die von den Bußgeldbehörden falsch gehandhabten Fälle laden dazu ein, sich näher mit dem Rechtsbegriff der “Erforderlichkeit” zu beschäftigen.
Das deutsche Rechtssystem misst der “Erforderlichkeit” im Allgemeinen einen hohen Wert zu, was sich schon daran zeigt, dass sie Teil des allgemeinen Verhältnismäßigkeitsprinzips ist, wonach hoheitliche Eingriffe in Rechte von Bürgern stets geeignet, erforderlich und angemessen sein müssen. Das Datenschutzrecht liebt die Erforderlichkeit. Der Begriff findet sich in vielen zentralen Regelungen des Datenschutzrechts.
Einige Beispiele die einem in den Sinn kommen:
- Art. 5 Abs. 1 lit. a DSGVO verlangt eine Verarbeitung nach “Treu und Glauben”. Diese Vorgabe ist eine Ausprägung des Verhältnismäßigkeitsgrundsatzes, die ebenfalls die Erforderlichkeit enthält.
- Jede Rechtsgrundlage in Art. 6 Abs. 1 DSGVO, mit Ausnahme der Einwilligung in Art. 6 Abs. 1 lit. a DSGVO, setzt eine Erforderlichkeit für die genannten Zwecke voraus. Das Wörtchen taucht in Art. 6 DSGVO gleich sechs Mal auf. Beispielsweise ist die Verarbeitung personenbezogener Daten auf Grundlage eines Vertrages nur zulässig, wenn sie für die Erfüllung des Vertrages auch erforderlich ist. Insbesondere der Generalerlaubnistatbestand aus Art. 6 Abs. 1 lit. f DSGVO verlangt die Erforderlichkeit der geplanten Verarbeitung für die Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten.
- Die Informationspflichten in Art. 13 Abs. 2 und 14 Abs. 2 DSGVO knüpfen an die Erforderlichkeit der Informationserteilung für eine faire und transparente Verarbeitung an.
- Gem. § 26 BDSG dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses nur verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.
- Nach Art. 17 Abs. 1 lit. a DSGVO gilt, dass personenbezogene Daten zu löschen sind, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr e̵r̵f̵o̵r̵d̵e̵r̵l̵i̵c̵h̵ notwendig sind.
- Das für die IT-Sicherheit so wichtige Need-to-Know Prinzip wird auch als “Erforderlichkeitsprinzip” bezeichnet.
An den genannten Beispielen zeigt sich, dass die Frage nach der Erforderlichkeit einer Datenverarbeitung häufig auch einen Hinweis über die Rechtmäßigkeit der jeweiligen Verarbeitung geben kann. Hier gilt die Faustregel: Ist eine Verarbeitung personenbezogener Daten für die verfolgten Zwecke nicht erforderlich, landet man schneller im Bereich der Rechtswidrigkeit als so mancher Raser in eine Radarfalle.