4.4 Verkehr
4.4.1 Bezahlung der Parkgebühren per Handy
In Deutschland ist bereits in verschiedenen Städten die Bezahlung von Parkgebühren über Handy möglich. Entsprechende Pläne gibt es auch in Schleswig-Holstein. Diese neuen Systeme werfen neue Datenschutzfragen auf.
Handybezahlsysteme ermöglichen den Kunden, hier den Kraftfahrern, bargeldlos über eine monatliche oder sonstige Abbuchung per Kreditkarte oder Einzugsermächtigung Kosten oder Gebühren zu begleichen. Die jeweilige Kommune schließt einen Vertrag mit einem Systembetreiber ab, in dem sich dieser verpflichtet, das System zu installieren, die Parkgebühren einzuziehen und diese an die Kommune abzuführen.
Der Benutzer muss sich zunächst bei dem Systembetreiber anmelden und hierbei seine Adressdaten, Kontodaten, Kfz-Kennzeichen und Handyrufnummer angeben. Er erhält daraufhin eine Identifikationsnummer, die er an oder in seinem Auto sichtbar anbringen muss. Möchte der Nutzer den Service in Anspruch nehmen, teilt er der Betreibergesellschaft über sein Handy telefonisch oder per SMS mit, wo und wie lange er parken möchte. Möchte die Gemeinde ihrerseits prüfen, ob ein parkendes Fahrzeug sich angemeldet hat, fragt der Kontrolleur bei der Betreiberfirma elektronisch nach, indem er sich identifiziert und dann unter Angabe der Identifikationsnummer Auskunft über die Registrierung und die gewählte Parkdauer des Parkenden erhält.
Datenschutzrechtlich ist von Bedeutung, dass die Kommune für die Datenverarbeitung verantwortlich bleibt. Beauftragt eine Gemeinde einen Dritten mit der Abwicklung und mit dem Inkasso von Parkgebühren, handelt dieser als Auftragsdatenverarbeiter. Daraus folgt, dass die Vorschriften des Landesdatenschutzgesetzes anzuwenden und die Grenzen der Auftragsdatenverarbeitung zu beachten sind:
- Die Beauftragung eines privaten Dritten mit der Abwicklung von Parkgebühren kann nicht dazu führen, dass das öffentlich-rechtliche Verhältnis, das zwischen dem Nutzer und der Kommune bei Inanspruchnahme öffentlicher Parkplätze entsteht, verändert wird. Durch eine privatrechtliche Vereinbarung kann eine öffentliche Forderung nicht zu einer zivilrechtlichen gemacht werden. Ausstehende Parkgebühren müssen daher mit den Mitteln des öffentlichen Rechts eingezogen bzw. geahndet werden.
- Dem Betreiber als Auftragnehmer ist es nicht gestattet, mit der Registrierung die Einwilligung in die Beschaffung von Informationen über die Kreditwürdigkeit einzuholen.
- Anlässlich der Registrierung beim Betreiber werden personenbezogene Daten der Nutzer verarbeitet. Diese Daten unterliegen der Zweckbindung. Die erhobenen Daten dienen ausschließlich der Überwachung der Parkzeiten und der Bezahlung der Parkgebühren. Eine Verwendung zu anderen Zwecken ist nicht gestattet.
- Der Betreiber hat alle technischen und organisatorischen Maßnahmen nach aktuellem Stand der Technik zur Sicherung der Daten vor unberechtigter Kenntnisnahme und Veränderungen zu treffen.
Was ist zu tun?
Die Gemeinden sollten bei der Beauftragung von Dritten mit der Abwicklung der Bezahlung von Parkgebühren über das Handy darauf achten, dass die Voraussetzungen und Grenzen der Auftragsdatenverarbeitung eingehalten werden.
4.4.2 Videoüberwachung in öffentlichen Verkehrsmitteln
In Schleswig-Holstein haben einige Verkehrsgesellschaften damit begonnen, ihre Busse mit Videoüberwachungsanlagen auszustatten. Damit soll dem zunehmenden Vandalismus Einhalt geboten werden.
Verkehrsunternehmen wollen den zunehmenden Vandalismus in ihren Bussen mit Videoüberwachungstechnik eindämmen – auch in Schleswig-Holstein. Videoüberwachung ist in öffentlich zugänglichen Räumen, soweit erforderlich, zur Ausübung des Hausrechts zulässig, wenn nicht schutzwürdige Belange Betroffener überwiegen. Busgesellschaften sind überzeugt, dass eine Verminderung der Sachbeschädigungen durch Videoüberwachungsmaßnahmen möglich sei. Von einem Unternehmen wurde zunächst nur zu Testzwecken ein videoüberwachtes Fahrzeug eingesetzt; dabei wurde ein Rückgang der Sachbeschädigung fast auf null festgestellt.
Wir dringen aber darauf, dass zumindest der Fahrgastbereich hinter dem Fahrer frei von Videoüberwachung gehalten wird. So erhalten Fahrgäste die Möglichkeit, überwachungsfrei befördert zu werden. Außerdem erwarten wir flankierend organisatorische Maßnahmen, z. B. schriftliche Regelungen, für welchen Zeitraum das Bildmaterial gespeichert wird und welche Personen Zugang hierzu bekommen. Zwei vom ULD beratene Verkehrsunternehmen speichern das Bildmaterial für maximal 48 Stunden und bleiben damit unter der zulässigen Höchstgrenze von sieben Tagen, ohne dass Sicherheitseinbußen zu befürchten wären.
Was ist zu tun?
Videoüberwachung sollte als Eingriff in die Persönlichkeitsrechte der Betroffenen nur als letztes Mittel eingesetzt werden. Eine datenschutzfreundliche Gestaltung bedeutet kurze Speicherfristen, die Information der Betroffenen durch ausreichend große Hinweisschilder und die Erkennbarkeit der verantwortlichen Stelle.
4.4.3 Zentralisierung beim Kraftfahrt-Bundesamt führt zu Konflikten
Die bisher bei den Straßenverkehrsbehörden der Kommunen gespeicherten Daten sollen zukünftig ausschließlich beim Kraftfahrt-Bundesamt gespeichert werden. Dort liegen dann auch die Originaldatenbestände und nicht mehr nur "Abbilder".
Führerscheindaten, Kfz-Zulassungsinformationen und die Daten über die Berufskraftfahrer sollen nach dem Willen des Gesetzgebers zukünftig nur noch zentral auf den Rechnersystemen des Kraftfahrt-Bundesamtes (KBA) in Flensburg gespeichert werden. Alle in Deutschland für die Ausgabe von Führerscheinen, Fahrerkarten und Kfz-Zulassungspapieren zuständigen Stellen sollen Speicherungen, Änderungen und Löschungen direkt online in Flensburg vornehmen können.
Die Datenbestände, die bisher beim KBA nur zu Abrufzwecken vorgehalten wurden, bekommen dadurch eine neue Qualität. Die Originaldatenbestände bei der dezentralen Datenhaltung lagen jeweils bei den zuständigen örtlichen Behörden. Ein elektronischer Zugriff hierauf durch andere Stellen war nicht möglich. Die Verantwortlichkeit für die Authentizität und die Richtigkeit der Informationen lag bei den örtlichen Behörden. Nunmehr erhalten prinzipiell alle Fahrerlaubnisbehörden in Deutschland einen Vollzugriff auf die Daten von ca. 60 Millionen Führerscheininhabern. Dadurch stellen sich völlig neue Fragen hinsichtlich der Datensicherheit bei der Online-Kommunikation und der Sicherstellung der Aktualität, der Richtigkeit und der Nachvollziehbarkeit dieser Informationen.
War bisher das KBA für die dort gespeicherten Informationen verantwortlich und die örtlichen Behörden für die bei ihnen gespeicherten Daten, so stellt sich die rechtliche Situation nunmehr anders dar: Die beim KBA gespeicherten Daten sind von den zuständigen lokalen Stellen jetzt nicht nur abruf-, sondern auch veränderbar. Sie teilen sich die Verantwortlichkeiten mit dem KBA für die so genannten Verbunddateien.
Eine Folge ist, dass die Datenschutzbeauftragten der Länder und des Bundes nun gemeinsam die datenschutzrechtlichen Probleme analysieren. Ärgerlich ist, dass die sich ergebenden rechtlichen und technischen Fragestellungen durch den Bundesgesetzgeber nicht vollständig bedacht wurden: Wer ist für was verantwortlich? An wen können sich die Betroffenen wenden? Wie erfolgt die Abstimmung bei Konflikten? ... Gesucht sind pragmatische praktische Lösungen.
Was ist zu tun?
Es besteht erheblicher Handlungsbedarf, die rechtlichen und technischen Auswirkungen durch die Zentralisierung der Kfz-Datenbestände zu klären. Beides – Funktionalität und Datenschutz – müssen gewährleistet bleiben.
4.4.4 Protokollierungslücken bei der Polizei erleichtern unberechtigte ZEVIS-Abrufe
Die Polizei ist immer noch nicht in der Lage, sicher nachzuvollziehen, welche Mitarbeiter das Zentrale Verkehrsinformationssystem (ZEVIS), mit dem Kfz-Halterdaten beim Kraftfahrt-Bundesamt abgerufen werden können, genutzt haben.
Die Eingabe eines Petenten ließ vermuten, dass ein Polizeibeamter aus privaten Gründen eine Halterdatenabfrage beim KBA durchgeführt hat. Eine Überprüfung der Protokolldaten ergab tatsächlich eine Halterdatenabfrage zu dem Kfz-Kennzeichen des Petenten. Die weitergehenden Recherchen zeigten dann aber, dass nicht nachvollzogen werden konnte, welche Person diese Abfrage tätigte. Bereits im Jahre 1998 hatten wir aufgrund eines ähnlichen Vorfalles die Polizei aufgefordert, sicherzustellen, dass Datenabfragen über das ZEVIS-Abrufsystem, die ausschließlich aus dienstlichem Anlass erfolgen dürfen, revisionssicher dokumentiert werden müssen, um feststellen zu können, welche Person den jeweiligen Abruf durchführt (21. TB, Tz. 4.2.7). Damals erklärte die Polizei ihre Verfahrensvorkehrungen für völlig ausreichend und ignorierte offensichtlich unsere Hinweise und Verbesserungsvorschläge. Der Bundesgerichtshof hat klargestellt, dass unberechtigte ZEVIS-Abfragen kriminelles Handeln darstellen. Wir gehen nicht davon aus, dass Derartiges durch organisatorisches und technisches Unterlassen von der Polizei gedeckt werden soll. Wir vermuten, dass die bekannt gewordenen Fälle nur die Spitze des Eisberges sind.
Was ist zu tun?
Durch Änderung der Verfahrensvorkehrungen muss nachvollzogen werden können, welcher Polizist wann zu welchem Zweck welche ZEVIS-Daten abgerufen hat.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |