Im Jahr 2019 hatte ein von VW beauftragter Dienstleister auf einer Forschungsfahrt in Österreich einen mit Kameras ausgestatteten Wagen nicht entsprechend gekennzeichnet. Laut der niedersächsischen Datenschutzbehörde habe das Fahrzeug seine Umgebung aufgenommen, mit den Daten sollten Funktionen zur Vorbeugung von Unfällen trainiert und erprobt werden. Volkswagen bestätigte den Fall und die Annahme des Bußgeldbescheids.
Insgesamt stellte die Behörde vier Verstöße im niedrigen Schweregrade fest. Neben den fehlenden Hinweisen am Fahrzeug habe ein detaillierter Vertrag zur Auftragsdatenverarbeitung mit dem Dienstleister gefehlt. Zudem gab es keine Datenschutz-Folgenabschätzung mit Risikoabwägung, außerdem seien die Dokumentationspflichten nicht vollständig zu der Frage erfüllt worden, welche technischen und organisatorischen Schutzmaßnahmen bei der Verarbeitung der Daten um den Wagen herum getroffen wurden.
VW habe die Verstöße sofort abgestellt. Der Konzern erklärte, er bedauere den Vorfall. Man habe zugestimmt, das Ordnungswidrigkeitsverfahren durch Zahlung der Geldbuße zu beenden.
Bußgeldberechnung hätte auch höher ausfallen können
Dem Bußgeldbescheid in Höhe von 1,1 Millionen Euro war ein Kooperationsverfahren unter europäischen Datenschutzbehörden vorangegangen. Diese werden bei grenzüberschreitender Verarbeitung personenbezogener Daten durch die LfD beteiligt.
Dass der Bescheid einen verhältnismäßig kleinen Betrag vorsieht, ist nicht selbstverständlich. Die angeführten Verstöße hätten laut DSGVO mit 2 bis 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs angesetzt werden. Bei den vier Verstößen hätte das in Summe maximal 10 Prozent ausgemacht. Am Beispiel vom Geschäftsjahr 2019, in dem der Vorfall stattfand, wären diese bei Volkswagen an einem Umsatz von ca. 252 Milliarden Euro zu berechnen. Somit hätte das Bußgeld im schlimmsten Fall rund 25 Milliarden Euro betragen können. Dies ist aus verschiedenen Gründen nicht geschehen, unter anderem etwa weil die Behörde die Verstöße einem niedrigen Schweregrad zugeordnet hat, wie aus der Mitteilung hervorgeht. Zudem bestehe kein Bezug zu Serienfahrzeugen und der Konzern habe die die Handlungen sofort eingestellt.
Die Berechnung für die Höhe von Datenschutzbußgelder ist seit Inkrafttreten der DSGVO ein brisantes Thema. So fielen die Bußgelder in den europäischen Ländern häufig sehr unterschiedlich hoch aus. Vor einigen Wochen einigten sich die Behörden auf ein europäisch einheitliches Bußgeldberechnungsmodell, das künftig für mehr Transparenz und Fairness sorgen soll.
Vertreter Volkswagen
Inhouse Recht (Wolfsburg): Dr. Elke Kayser (Head of Data Privacy and Governance), Dr. Antonia Stottmeister (Datenschutz), Dr. Oliver Draf (Leiter Datenschutz/CPO) – aus dem Markt bekannt
Latham & Watkins (Frankfurt): Tim Wybitul (Federführung, Datenschutz) – aus dem Markt bekannt
Datenschutzbehörde Niedersachen
Barbara Thiel (Datenschutzbeauftragte für den Datenschutz Niedersachsen)
Hintergrund: Bei Volkswagen fällt dieser Fall in den Zuständigkeitsbereich von Kayser in ihrer Rolle als Head of Data Privacy and Governance. Stark eingebunden ist in solchen Verfahren der Datenschutzbeauftragte. Bei VW übernahm Draf die Leitung des Datenschutzbereichs im Jahr 2018. Zuvor war er bei der Allianz tätig.
Wie bekannt wurde, setzte Volkswagen in dem behördlichen Verfahren auf das Team um den Datenschutzexperten Wybitul von Latham. Diese Wahl überrascht nicht, denn er hat bereits andere Konzerne hierzulande bei hohen Datenschutzbußen verteidigt. Das wohl prominenteste Mandat war zuletzt die Deutsche Wohnen, die ein 14,5-Millionen-Euro-Bußgeld abwehren konnte. (mit Material von dpa)
