+49 (55 03) 9 15 96 48 sorge@DatCon.de

Dashcams? Datenschutz?

Dashcams? Datenschutz?
• Fakt 1: Die Nutzung im öffentlichen Raum ist rechtlich umstritten
• Fakt 2: In Deutschland bzw. der EU gilt es den Datenschutz zu beachten. Hier regeln u.a. das BDSG und die
DSGVO die Verarbeitung von personenbezogenen Daten.
• Fakt 3: Aufpassen in manchen Ländern außerhalb Deutschlands bzw. der EU. Hier gilt sogar manchmal ein Verbot,
welches mit sehr empfindlichen Strafen versehen ist.
Filmen Kameras dauerhaft den Verkehr oder das vorausfahrende Auto, ist schnell das jeweilige Persönlichkeitsrecht
angegriffen. Zumindest laut Gesetz.
Dashcams dürfen bspw. nur anlassbezogen filmen, wie bei einem Unfall.
Auch kann der Informationspflicht gem. Art. 13 DSGVO bei einer solchen Cam nicht vollumfänglich bzw.
datenschutzkonform nachgekommen werden.
Reaktion von Aufsichtsbehörden?
Ja, gibt es! Das Bayerische Landesamt für Datenaufsicht hat angekündigt, dass sie bei Kenntnis der Weitergabe des
Videomaterials an bspw. Polizei oder Versicherung prüfen, ob ggf. ein Bußgeld droht.
Auch die Niedersächsische Aufsicht hat sich zu Wort gemeldet. Sie unterstreicht die Informationspflicht umzusetzen.
Bedeutet, dass von außen gut sichtbar diversen Informationen gem. Art. 13 DSGVO zu lesen sind.
Besonders aufpassen sollten hier Unternehmen, die bspw. ihre Fahrzeugflotte dahingehend bestückt haben. Unternehmen
müssen mit wesentlich höheren Bußgeldern rechnen als Privatpersonen.
Aber auch Privatpersonen drohen empfindliche Strafen, die sich nach dem Einkommen richten. Demnach sind Bußgelder,
die oberhalb von 1000 Euro liegen, nicht selten.
Licht am Ende des Tunnels?
Der Bundesgerichtshof (BGH) (Az.VI ZR 233/17) hat entschieden, dass im Einzelfall Aufzeichnungen einer Dashcam im
Unfallhaftpflichtprozess als Beweismittel verwertbar sein können.
Aber! Das Gerichtsurteil war noch vor dem Inkrafttreten der DSGVO im Jahr 2018. Die DSGVO hat u.a. auch in diesem
Bereich einiges geändert.
E-Auto? Wallboxen! Cyberrisiko!
„E“ ist auf dem Vormarsch. Und dadurch auch bei den Unternehmen die eigene Versorgung durch Wallboxen. Alles läuft
bis zum Moment, bei dem das Ding gehackt wurde! Dann läuft nichts mehr.
Willkommen im „Internet der Dinge“ (IoT)
Weitverzweigte Datenströme mit ständiger Internetverbindung sind ein lukratives Ziel für Cyber-Kriminelle. Wurde ein
solches System erfolgreich gehackt, kann ein Schaden weitreichend sein:
• Manipulation von Netzwerken
• „Geiselnahme“ durch Ransomware
• Anschließend Erpressung und die ganze Schadensabwicklung
Und dann kommt das Spielfeld des Datenschutzes …
Betrifft das auch private Wallboxen?
Ja! Vorab, es betrifft Privatpersonen UND Unternehmen.
Angreifer können Zugang zu privaten Netzwerken erlangen. Es ist bspw. vorstellbar, dass durch Ransomware nicht nur die
Daten geklaut und verschlüsselt, sondern auch die Stromversorgung in den eigenen vier Wänden entzogen und diese nur
durch Zahlung eines Lösegeldes wieder freigegeben wird.
Unternehmen?
Keine Frage, wie gesagt, auch die sind betroffen. Vielleicht noch eher, da sie der Regel interessantere Ziele darstellen, da
hier mehr Lösegeld zu holen ist. Auch hängt oftmals viel mehr dran. Hier steht dann bspw. mal eben die Produktion.
Videoüberwachung? 72 Stunden Aufzeichnung reichen nicht! Oder?
Gem. der DSGVO müssen nach spätesten 72 Stunden Videoaufzeichnungen gelöscht werden. Aber reicht das für ein
Unternehmen? Was ist bspw. mit Feiertagen?
Gem. Art. 17 DSGVO müssen Aufnahmen unverzüglich gelöscht werden, sobald sie für den Zweck, für welchen sie erhoben
wurden, nicht mehr notwendig sind.
Da oftmals die Aufsichten andere Vorstellungen bzgl. der Frist haben als Unternehmen, ist spätestens hier eine Diskussion
vorprogrammiert. Aber auch Gerichte gehen in vielen Fällen den gleichen Weg wie eine Aufsicht. Das zeigt bspw. das Urteil
vom VG Hannover vom 13.03.2023.
Die Hürde der 72 Stunden …
Ist sie unüberwindbar? Es scheint so.
Auf jeden Fall muss das Unternehmen sich die jeweilige Frist genau überlegen. Die Frist wahllos festzulegen ist keine gute
Idee. Vielmehr muss die Notwendigkeit geprüft und dokumentiert werden.
Cyberattacken aus Juni 2023 in Deutschland (Textliche Auszüge aus www.dsgvo-portal.de)
Vorab, es geht hier nicht ums „Angstmachen“. Vielmehr ist das Ziel die Sensibilisierung
→ „So etwas ist ja auch bei uns vorgekommen.“
• ING
Erfolgreicher Hack
• Commerzbank
Kundendaten der Comdirekt wurden gestohlen
• Rhenuis Gruppe
Daten von Logistik-Partnern wurden gestohlen
• AOK Niedersachsen
Über 100000 fehlgeleitete Dokumente
• Schwälbchen Molkerei
Cyberangriff
Europäische Bußgelder im Juni 2023? (Textliche Auszüge von Dr-Datenschutz)
Es ist nur eine kleine Übersicht! Aber es sind praxisnahe Fälle, die ggf. auch bei Ihnen auftreten können.
• Unzureichende Auskunft: Millionen-Strafe für Spotify
Behörde: Integritetsskydds myndigheten
Branche: Musikstreaminganbieter
Verstoß: Art. 12 Abs. 1 DSGVO, Art. 15 Abs. 1 lit. a)-d) DSGVO
Bußgeld: 4.992.038 Euro
• E-Mail-Newslettersystem ohne Möglichkeit zur Abmeldung
Behörde: Die Landesbeauftragte für den Datenschutz Niedersachsen
Branche: Versandhändler
Verstoß: Art. 15, 21 DSGVO
Bußgeld: 50.000 Euro
• Alexa, eine Geldstrafe für Amazon bitte
Behörde: Federal Trade Commission
Branche: Onlineversandhändler
Verstoß: Sec. 5 FTC Act
Bußgeld: 28.802.378 Euro
• Vorsicht beim Einsatz von Google Analytics
Behörde: Integritetsskydds myndigheten
Branche: Telekommunikationsunternehmen
Verstoß: Art. 44 DSGVO
Bußgeld: 1.016.475 Euro
• Mangelnde Sicherheit aufgrund fehlender Multifaktor-Authentifizierung
Behörde: Persónuvernd
Branche: Gesundheitsunternehmen
Verstoß: Art. 5 Abs. 1 lit. f) DSGVO, Art. 25 DSGVO, Art. 32 DSGVO
Bußgeld: 13.468 Euro
Fazit?
Die digitale Welt bestimmt uns. Unsere Aufgabe ist es, dass wir so viel Gegenmßnahmen ergreifen, so dass Cyberangriffe
nicht erfolgreich verlaufen. Gehackte Systeme sind normal, jetzt erfolgt der Sprung durch die Wallboxen auf das
unternehmensweite Netzwerk. Haben Sie bereits an den Schutz gedacht?
Aber auch das Ziel sich selbst bzw. das Unternehmen vor Risiken oder Schäden durch unehrliche Unfallgegener zu
schützen scheint leider nicht so nah zu liegen. Die Nutzung von Dashcams ist ein Graubereich. Man muss auf jeden Fall
mit Gegenwind rechnen, da es auch noch keine ausreichende Rechtsprechung gibt.
Und dann noch die liebe Videoüberwachung. 72 Stunden sind nicht viel. In dieser Zeit muss geprüft und reagiert werden.
Aber nicht zu vergessen ist die Tatsache, ob das Unternehmen in der Lage ist einen Vorfall in der Kürze der Zeit zu
erkennen.
Es bleibt spannend!

468