Kategorien
Datenschutzrecht

Online-Knöllchen in Aachen – Datenschutz-Verstoß inklusive?

Anwaltskanzlei Ferner Alsdorf: 02404 92100

Die Stadt Aachen möchte mit einer modernen Knöllchen-Version modern sein und teilt mit:

*Halter*innen von ordnungswidrig abgestellten Fahrzeugen wurden bislang zunächst mittels „gelben Zettel“ auf ihr Fehlverhalten hingewiesen. Zukünftig wird sich auf den neuen weißen Zetteln ein individueller QR-Code befinden, über den man mittels Endgerät umgehend über Grund und finanzielle Höhe der Verwarnung informiert wird. Dieser QR-Code ist fünf Tage gültig. Nach dieser Zeit läuft die Gültigkeit ab und der Zugriff wird verweigert. Über den QR-Code landet man auf der Internetseite www.aachen.de/parkverstoss und kann nach Eingabe des KFZ-Kennzeichens die einzelnen Daten einsehen. Diese Internetseite kann auch direkt aufgerufen werden.

Man fasst sich an den Kopf, mit schlichtem Geiz bei anwaltlicher Beratung ist so was nicht mehr zu erklären: Es sollte sich schon beim Lesen selbst Laien aufdrängen, dass hier ein Problem liegt. Schließlich kann jeder Dritte, der den Zettel vom Auto abzieht, mit dem frei einsehbaren Kennzeichen Zugriff erlangen und die Daten frei weiterverwenden. Wie man über derartiges nicht nachdenken kann, ist für mich einfach nicht nachvollziehbar.

Daran ändert sich auch nichts, wenn nach Angaben in der Datenschutzbelehrung lediglich „die vom Außendienst aufgenommenen Tatdaten der Verwarnung angezeigt“ werden (was mich wundert, man soll ja online zahlen können, also muss auch der Zahlbetrag erscheinen) – die scheinbar anonymen Daten sind durch das vorher einzugebende Kennzeichen letztlich personenbezogene Daten entsprechend Art.4 Nr.1 DSGVO.


Dabei ist diese Variante dem Grundsatz nach sicherlich zu begrüßen – es ist schneller und Papier-schonender. Allerdings ist das Missbrauchspotential zu hoch, schon kleine Schulstreiche wie das Vertauschen von ausgestellten Knöllchen an verschiedenen Autos kann damit plötzlich zu Problemen führen – etwa wenn Autofahrer dann Kennzeichen durchprobieren. Und da bin ich noch nicht bei dem missgünstigen Nachbarn, mit dem man im Klinsch liegt, der sich auf dem Weg einloggt, alles abfotografiert und mit Häme in sozialen Medien teilt.

Die Aktion wirkt übereilt und problematisch – zumal man Betrügern auch noch ihre Arbeit erleichtert, denn Fälle gefälschter Knöllchen gab es schon vor Jahren; die vorliegende Aktion lädt ja nun geradezu dazu ein, zumal arglose Autofahrer im blinden Vertrauen dann schlicht den QR-Code scannen, der abgedruckt ist. Dass Betrüger den Zettel an sich bringen, die Daten abfragen und dann eigene Zettel mit QR-Codes zu nachgemachten Seiten mit den kopierten (tatsächlichen) Tatdaten erstellen, um Zahlungen zu erhalten, drängt sich geradezu auf.

Es dürfte nur eine Frage sehr kurzer Zeit sein, bis die Landesdatenschutzbeauftragte sich der Sache annimmt. Damit es nicht zu lange dauert, habe ich dort am 10.10. eine Eingabe vorgenommen, einfach damit eine objektive Meinung von zuständiger Stelle dazu kommt. Denn so was ist kein Kavaliersdelikt: Das letzte Mal, als eine Datenabfrage ohne ausreichende Verifizierung vor Gericht landete, gab es bekanntlich ein 900.000 Euro Bußgeld. Davor muss man in Aachen freilich keine Sorge haben, der moderne Gesetzgeber hat es nicht so mit der Gleichheit vor dem Gesetz und schrieb in § 43 Abs.3 BDSG: „Gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Absatz 1 werden keine Geldbußen verhängt“


Update: Mir ist aufgefallen, dass der eigentliche Login ohnehin woanders stattfindet, nämlich unter https://knoellchen.regioit.de/. Die Domain dazu gehört zu einem regionalen IT-Unternehmen – ich kann nur hoffen, dass man im Fall der Übermittlung des Kennzeichens an eine GmbH wirklich genau die Rechtsgrundlage geprüft haben wird, denn spätestens in einem solchen Fall würde es für mich mit der Frage nach der Rechtsgrundlage der Datenverarbeitung durchaus spannend; auch wenn man (was dann wohl zu hoffen wäre) einen Vertrag über eine Auftragsverarbeitung abgeschlossen hätte.

Die gesamte Login-Geschichte gehört aus meiner Sicht schlichtweg nicht mehr zur originären Tätigkeit der Vollstreckung des Bußgeldes – ich sehe nicht, wie man ohne Einwilligung des Berechtigten die Daten transferieren möchte. Insbesondere liegt aus meiner Sicht kein Fall des Art.6 Abs.1 (e) DSGVO vor, da der Login nicht der Wahrnehmung öffentlicher Aufgaben dient, sondern schlicht ein Gimmick ist, was das Verfahren selber unterstreicht, wenn 7 Tage später der übliche Brief kommt. Besonders spannend wird es, wenn man sieht, wie verbreitet dieses Verfahren ist, es gibt zahlreiche Städte, die auf diesen Weg setzen. Ein Grund mehr, es einmal kritisch zu hinterfragen und auf die Missbrauchsmöglichkeiten hinzuweisen – andererseits bin ich gerne für Sichtweisen offen, die hier keine rechtlichen Probleme sehen und mir eine einwandfreie Rechtsgrundlage nennen.

Avatar of Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist Strafverteidiger und Fachanwalt für IT-Recht in der Anwaltskanzlei Ferner Alsdorf. Spezialgebiete von RA JF: Cybercrime, IT-Sicherheit, Softwarerecht, BTM-Strafrecht, Jugendstrafrecht und Wirtschaftsstrafrecht.

Unsere Rechtsanwälte sind spezialisiert auf Strafverteidigung im gesamten Strafrecht und IT-Recht, speziell bei Softwarerecht, DSGVO & IT-Vertragsrecht - mit ergänzender Tätigkeit im Arbeitsrecht sowie im digitalen gewerblichen Rechtsschutz. Sie möchten unseren News folgen:  Wir bieten einen Telegram Kanal sowie ein LinkedIn-Profil.