Die Parkraumüberwachung auf Supermarktparkplätzen erfolgt immer öfters mithilfe digitaler Kennzeichenerfassung unter Einsatz eines Dienstleisters. Wie funktioniert das genau und wer trägt die datenschutzrechtliche Verantwortlichkeit? Wir geben einen Überblick über die aktuelle Rechtslage.
Der Inhalt im Überblick
Wie funktioniert die Parkraumüberwachung mittels digitaler Kennzeichenerfassung?
Hier wird die Konstellation vorgestellt, dass der Auftraggeber dem ausgewählten Parkraumbewirtschafter vertraglich seinen Parkraum unentgeltlich zur Weiterüberlassung an die Parkplatznutzer zur Verfügung stellt. Der Dienstleister schließt dann den Nutzungsvertrag über den Parkraum mit dem Parkplatznutzer konkludent durch die Nutzung des Stellplatzes. In der Parkordnung des Parkraumbewirtschafters werden den Nutzern die Regeln des Vertrages bekannt gemacht: Bei Überschreitung der vorgegebenen Höchstparkdauer wird eine Vertragsstrafe fällig, die dann an den Parkraumbewirtschafter zu zahlen ist.
Der Parkraumbewirtschafter überwacht die Einhaltung der Vertragsbedingungen mit den Parkraumnutzern bezüglich der vereinbarten Höchstparkdauer technisch. Zur Ermittlung der Parkdauer wird in der Regel beim Ein- und Ausfahren mittels Kamera (Standbild) das KFZ-Kennzeichen zusammen mit einem Zeitstempel erfasst (häufig mittels automatischer Kennzeichenerkennung (ANPR/ALPR)). Es wird geprüft, ob das Fahrzeug dazu berechtigt ist, dort zu parken, insbesondere durch den Abgleich mit einer „Whitelist“ registrierter Fahrzeuge, die der Supermarktbetreiber bzw. der Vertragspartner des Parkraumbewirtschafters erstellt hat.
Die zwischen Ein- und Ausfahrt liegende Zeit wird automatisch als Parkzeit definiert und gespeichert, und die Parkzeit wird so kontrolliert. Bei Überschreitung der Parkzeit oder bei fehlender Parkberechtigung wird ein Verstoß registriert. Wird kein Parkverstoß festgestellt, werden die Daten unmittelbar gelöscht, ansonsten werden die Daten von dem Parkraumbewirtschafter weiter genutzt, dieser ermittelt eigenständig den Fahrzeughalter über das Kraftfahrt-Bundesamt (KBA) und verfolgt die Angelegenheit weiter bis zur Zahlung der vorgegebenen Vertragsstrafe etc.
KFZ-Kennzeichen als personenbezogenes Datum
Unzweifelhaft steht fest, dass es sich bei dem KFZ-Kennzeichen um ein personenbezogenes Datum handelt, wenn es direkt oder indirekt einer Person zugeordnet werden kann (vgl. EDSA Leitlinien 01/2020 zur Verarbeitung personenbezogener Daten im Zusammenhang mit vernetzten Fahrzeugen und mobilitätsbezogenen Anwendungen, Rz. 29) – was bei den Nutzern von Supermarktparkplätzen grundsätzlich der Fall ist. Dabei erfolgt die Identifizierung über die Halterabfrage beim KBA.
Wer ist bei dieser Parkraumüberwachung datenschutzrechtlich verantwortlich?
Bei der Parkraumüberwachung durch Kennzeichenerfassung stellt sich die Frage, ob der Supermarktbetreiber, der Dienstleister oder beide gemeinsam als Verantwortliche i.S.d. DSGVO gelten. Denn nach der rechtlichen Einordnung richten sich auch die Pflichten der Parteien.
Auftragsverarbeitung
Der Parkraumbewirtschafter gibt mit seinem Geschäftsmodell die Regelungen der Parkraumüberwachung vor, arbeitet weisungsfrei und unabhängig vom Vertragspartner, sodass in dieser Konstellation keine Auftragsverarbeitung gem. Art. 28 DSGVO vorliegt.
Eigenständige Verantwortlichkeit
Als eigenständig Verantwortlicher gem. Art. 4 Ziff. 7 DSGVO wäre der Parkraumbewirtschafter anzusehen, wenn er allein bzw. selbst über die Zwecke und Mittel der Datenverarbeitung entscheidet, sodass er die datenschutzrechtlichen Pflichten eigenständig erfüllen müsste.
Dafür spricht in der dargestellten Konstellation, dass der Parkraumbewirtschafter die Parkraumüberwachung selbst konzipiert hat und die Regeln vorgibt, die Parkraumbewachung eigenverantwortlich durchführt, die Datenverarbeitung selbst steuert, die Daten für seinen eigenen Zweck nutzt, insbesondere zur Durchsetzung von Parkgebühren oder Vertragsstrafen, und der Vertragspartner grundsätzlich keinen Zugriff auf die erhobenen Daten hat.
Eine offizielle, verfügbare Stellungnahme der DSK zu dem Thema ist im Internet nicht verfügbar. Auch aus den Stellungnahmen der meisten weiteren Landesaufsichtsbehörden geht nicht eindeutig und klar hervor, dass grundsätzlich der Parkraumbewirtschafter allein verantwortlich für die Verarbeitung der personenbezogenen Daten ist.
Auf den Seiten des LDI NRW findet sich die Aussage:
„Einzelhandelsunternehmen beauftragen dabei häufig andere Unternehmen, die sich auf die Bewirtschaftung der Parkflächen spezialisiert haben. Diese sind für die Datenverarbeitungsvorgänge im Zusammenhang mit der Kennzeichenerfassung verantwortlich.“
Den Satz könnte man so verstehen, dass die Parkraumbewirtschafter hier grundsätzlich als eigenständig datenschutzrechtlich Verantwortliche gesehen werden, dies vor dem Hintergrund der oben genannten Argumente.
Gemeinsame Verantwortlichkeit
Es könnte alles so einfach sein, wäre da nicht die Stellungnahme der Aufsichtsbehörde des Saarlandes in ihrem 32. Tätigkeitsbericht (S. 143) für das Jahr 2024.
Hier wird klar und differenziert zu der oben skizzierten Form der Parkraumüberwachung die (vorläufige) Ansicht vertreten, in diesen Fällen liege in der Regel eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zwischen dem Parkraumbewirtschafter und dem Vertragspartner vor – sofern der Eigentümer durch die Mitgestaltung der Überwachungsregeln (z. B. Vorgabe der konkreten Parkhöchstdauer, Erstellung der „Whitelist“) die Zwecke der Verarbeitung mitbestimme. In der Praxis dürfte dies regelmäßig zutreffen, da der Eigentümer meist bestimmte Feststellungen zum Vertrag beitragen muss.
Gemeinsame Festlegung von Zwecken und Mitteln
Für die Zuordnung dieses Sachverhalts zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO zitiert die Behörde u. a. die Entscheidung „Fashion ID“ des EuGH vom 29.07.2019 (C-40/17, Rz. 80 ff.) wie folgt:
„Eine gemeinsame Verantwortlichkeit verlangt gerade nicht, dass die von den beteiligten Akteuren verfolgten Zwecke identisch sind; vielmehr ist es bereits ausreichend, dass sich die Zwecke gegenseitig ergänzen bzw. die Verfolgung des einen Zwecks die Verwirklichung des anderen Zwecks fördert.“
Die Zwecke der Akteure, so die Behörde, seien hier eng miteinander verknüpft – die kontinuierliche Durchsetzung von Vertragsstrafen fördere durch Abschreckung das Ziel des Auftraggebers, genügend freie Parkplätze vorzuhalten.
Und es wird noch weiter differenziert: Der Auftraggeber nehme in der geprüften Vertragskonstellation zwar Einfluss auf die Vorgänge bezüglich der Erhebung und Speicherung der KFZ-Kennzeichen, nicht aber auf die Datenverarbeitung des Dienstleisters, die im Zusammenhang stehe mit der Geltendmachung von Vertragsstrafen. Daher sei nach Ansicht der Aufsichtsbehörde die gemeinsame Verantwortlichkeit nur für Teile der gesamten Verarbeitungstätigkeiten festzustellen, sodass sich die Verantwortlichkeit wie folgt aufteilen würde:
- Erhebung und Speicherung der KFZ-Kennzeichen sowie Abgleich mit Whitelist: gemeinsame Verantwortlichkeit,
- Halterermittlung und Geltendmachung der Vertragsstrafe: eigenständige Verantwortlichkeit des Dienstleisters.
Nachvollziehbar, aber leider komplizierter als zuvor.
Die Behörde (dies geht aus dem Bericht hervor) strebe eine Abstimmung mit den übrigen Behörden zum Thema an, man tausche sich bereits aus, eine einheitliche Auslegung der Aufsichtsbehörden zum Thema ist jedoch bis zum heutigen Tage nicht im Internet veröffentlicht.
Unklare Vorgaben
All dies zeigt jedenfalls eines deutlich auf, nämlich dass es für Unternehmen momentan nicht einfach bzw. eindeutig zu beantworten ist, wer bei dieser Art von Parkraumüberwachung wofür genau datenschutzrechtlich verantwortlich ist.
Bestimmung und Umsetzung der datenschutzrechtlichen Verantwortlichkeit
Sowohl eine Feststellung der eigenständigen Verantwortlichkeit der Parkraumbewirtschafter, als auch jene der gemeinsamen Verantwortlichkeit zusammen mit dem Supermarktbetreiber im oben dargelegten Rahmen scheinen momentan grundsätzlich denkbar. Supermarktbetreiber sollten jedenfalls
- ihre tatsächlichen Einflussmöglichkeiten sorgfältig prüfen,
- eine rechtliche Bewertung der Vertragskonstellation vornehmen und
- für Transparenz gegenüber den Betroffenen sorgen.
Wird eine gemeinsame Verantwortlichkeit festgestellt, so treffen die Parteien insbesondere folgende Pflichten:
- Abschluss einer Vereinbarung gem. Art. 26 DSGVO unter Benennung der einzelnen Verantwortlichkeiten,
- transparente Information der Betroffenen über die wesentlichen Inhalte der Verarbeitungen (Datenschutzerklärung),
- klare Zuordnung der Zuständigkeit für Betroffenenrechte,
- gemeinsame Rechenschaftspflicht und ggf. Datenschutz-Folgenabschätzung der Parteien.
Wir werden weiter berichten, insbesondere falls sich die DSK oder die übrigen Aufsichtsbehörden zu der Problematik äußern.
Auf welcher datenschutzkonformen Grundlage erhält ein privates Unternehmen konkrete Aussagen zu einer Person vom KBA?
Gilt hier der Datenschutz nicht?
Aus § 39 StVG (siehe Aufzählung dort) geht hervor, dass das KBA die Halterdaten an den Empfänger zu übermitteln hat, wenn dieser dargelegt hat, dass er die Daten u. a. zur Geltendmachung von Rechtsansprüchen benötigt.
Die Rechtsgrundlage für die Übermittlung an das Unternehmen durch das KBA ist dann Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 39 StVG. Die Rechtsgrundlage ist notwendig, weil auf jeden Fall ja Daten mit Personenbezug, nämlich die Halterdaten, verarbeitet werden – sprich, die DSGVO gilt auch hier. Dabei ist es grundsätzlich egal, ob ein privates Unternehmen die Anfrage gestellt hat, weil § 39 StVG diesbezüglich keine weiteren Vorgaben macht. Wichtig ist, dass es hier eine konkrete Norm (des StVG) gibt, so dass der Gesetzgeber in Fällen wie diesem die Übermittlung erlaubt.
Natürlich müssen aber die Anspruchsvoraussetzungen des § 39 StVG erfüllt sein. Daher hat die Behörde vor jeder Übermittlung zu prüfen, ob der Parkraumbewirtschafter tatsächlich dargelegt hat, dass er die Daten zur Geltendmachung von Rechtsansprüchen benötigt.
Für Kfz aus der Schweiz ist es noch einfacher. Da kann der Halter, wenn er nicht widersprochen hat, ganz einfach über eine Webseite (autoindex.ch) abgefragt werden.