VG Köln: Fahrerbewertungsportal mit Prangerwirkung unzulässig

28. September 2017

VG Köln: Fahrerbewertungsportal mit Prangerwirkung unzulässig

Das Verwaltungsgericht (VG) Köln hat mit Urteil vom 16.2.2017 (Az. 13 K 6093/15) entschieden, dass ein allgemein zugängliches Fahrerbewertungsportal datenschutzrechtlich unzulässig ist, wenn die Fahrer dort ausschließlich über das Kfz-Kennzeichen zugeordnet werden und Bewertungen abrufen können. Dabei musste sich das VG Köln vor allem mit der Frage befassen, ob ein KFZ-Kennzeichen ein bestimmbares personenbezogenes Datum darstellt und ob der Umgang mit diesem datenschutzkonform erfolgte. Diese beiden Fragestellungen sollen im Folgenden näher erläutert werden.

Hintergrund des Urteils

Das VG Köln hatte sich mit einem Fahrerbewertungsportal zu beschäftigen, das unter Angabe des KFZ-Kennzeichens ermöglicht, Bewertungen nach einem Ampelsystem vorzunehmen. Darüber hinaus konnten auch weitere Eigenschaften wie z.B. der Ort oder der Fahrzeugtyp ebenfalls mit in die Bewertung aufgenommen werden. Auf Grundlage dieser Bewertungen wurde sodann eine Schulnote für das Verhalten im Straßenverkehr vergeben. Ebenso waren allgemeine Statistiken zu Hersteller, Fahrstil und KFZ-Typ innerhalb des Bewertungsportals einsehbar. Die Portalbetreiberin machte deutlich, dass das Ziel des Portals die Erhöhung der Sicherheit im Straßenverkehr durch Kenntnis des eigenen Fahrverhaltens sei. Durch Eingabe eines Kennzeichens konnte dann die Bewertung ohne weitere Abfragen oder Kontrollen abgerufen werden.

Nachdem die Aufsichtsbehörde (Landesbeauftragter für Datenschutz und Informationsfreiheit NRW) die Betreiberin des Portals auf datenschutzrechtliche Bedenken hingewiesen hatte und sie zur Vornahme von bestimmten Änderungen (wie z.B. einer Registrierungspflicht der Nutzer, Sichtbarkeit der Bewertungen nur für betroffene Personen) aufgefordert hatte, klagte die Betreiberin gegen die Anordnung.

Bewertungen zu KFZ-Kennzeichen als personenbezogenes Datum?

Das VG Köln hatte zunächst zu entscheiden, ob ein KFZ-Kennzeichen überhaupt ein personenbezogenes Datum darstellt.

Was ist ein personenbezogenes Datum?

Ein personenbezogenes Datum ist jede Einzelangabe über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (vgl. § 3 Abs. 1 BDSGArt. 4 Nr. 1 DSGVO).

Im Rahmen der Bestimmbarkeit hielt das VG Köln zunächst fest, dass es sowohl auf die Auslegung des Begriffs der verantwortlichen Stelle (vgl. § 3 Abs. 7 BDSGArt. 4 Nr. 7 DSGVO) als relatives Verständnis als auch auf die Auslegung nach dem Wissen eines Dritten als absolutes Verständnis ankommt. Ein Personenbezug sei immer dann gegeben, wenn die Daten von einem Dritten einer Person zugeordnet werden können. Die Grenze bildet dabei § 3 Abs. 6 BDSG. Werden die Daten anonymisiert, also derart verändert, dass sie nicht oder nur mit unverhältnismäßigem Aufwand wiederhergestellt werden können, sind sie nicht mehr bestimmbar.

Dieses Verständnis entspreche sowohl dem verfassungsrechtlichen als auch dem europarechtlichen Verständnis. Denn auch Erwägungsgrund Nr. 26 zur DSGVO stellt erneut klar, dass es für die Bestimmbarkeit schon ausreicht, wenn Dritte eine Verbindung zwischen den Daten und einer konkreten Person herstellen können (zuletzt dazu EuGH, Urteil v. 19.10.2016 – C 582/14, korrigiert mit Beschluss v. 6.12.2016 – C 582/14: Umsetzung durch den BGH zu dynamischen IP-Adressen mit Urteil v. 16.5.2017 – VI ZR 135/13). Auch die Einheit der Rechtsordnung gebiete ein solches Verständnis. Nach § 45 S. 2 StVG sei ein Datum, das einen Bezug zu einer Person ermöglicht, bestimmbar.

Warum ist das KFZ-Kennzeichen eine Angabe einer bestimmbaren Person?

Der Personenbezug zu einem KFZ-Kennzeichen ist nicht nur mit unverhältnismäßigem Aufwand, sondern sogar mit geringem Aufwand leicht herzustellen. Zum einen kann jeder, der ein rechtlich relevantes Interesse geltend macht, eine Halterregisterauskunft einholen. Zum anderen erfolgt keine Überprüfung des rechtlichen Interesses seitens der Behörde, sodass ein falsches Interesse meist nicht aufgedeckt oder sanktioniert wird.

Zudem kann der Personenbezug durch bestimmte Personen, wie z.B. dem Versicherer, dem Arbeitgeber oder durch Personen aus dem näheren Umfeld der bewerteten Person leicht hergestellt werden.

Datenschutzrechtliche Rechtfertigung nach § 29 BDSG

Das Datenschutzrecht als Verbot mit Erlaubnisvorbehalt

Das Datenschutzrecht ist grundsätzlich als ein Verbot mit Erlaubnisvorbehalt ausgestaltet (vgl. § 4 Abs. 1 BDSGArt. 6 Abs. 1 DSGVO). Der Umgang mit den personenbezogenen Daten ist also grundsätzlich verboten, wenn nicht das Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder der Betroffene in den Umgang mit seinen personenbezogenen Daten einwilligt.

Erlaubnisnorm des § 29 Abs. 1 BDSG

§ 29 Abs. 1 BDSG erlaubt unter bestimmten Voraussetzungen den geschäftsmäßigen Umgang mit personenbezogenen Daten. Dabei erfordert die Geschäftsmäßigkeit eine Wiederholungsabsicht des Umgangs mit diesen Daten. Nach § 29 Abs. 1 Nr. 1 BDSG ist der Umgang mit diesen Daten allerdings schon dann nicht erlaubt, wenn schutzwürdige Interessen des Betroffenen entgegenstehen. Dies erfordert eine Interessenabwägung zwischen den Interessen des Verantwortlichen und denen des Betroffenen, wobei insbesondere auch der Zweck der Datenerhebung zu berücksichtigen ist.

Erlaubnisnorm des § 29 Abs. 2 BDSG

§ 29 Abs. 2 BDSG erlaubt die Übermittlung personenbezogener Daten unter anderem dann, wenn ein Dritter ein berechtigtes Interesse an der Kenntnis der Daten glaubhaft dargelegt hat (vgl. § 29 Abs. 2 Nr. 2 BDSG).

Wichtig: Zu beachten ist, dass die Regelung des § 29 BDSG mit Einführung der DSGVO und ihrem Wirksamwerden am 25.5.2018 entfällt und auch keine entsprechende Regelung mehr in der DSGVO enthalten ist. Vielmehr wird dies über die allgemeine Interessenabwägung in Art. 6 Abs. 1 lit. f) DSGVO abgedeckt.

Kann § 29 BDSG in diesem Fall überhaupt zur Rechtfertigung führen?

Das VG Köln musste anschließend beurteilen, welche Interessen im Rahmen einer Interessenabwägung den Vorrang genießen sollten, ob schutzwürdige Belange der Betroffenen den Umgang mit ihren personenbezogenen Daten verbieten oder ob Dritte ein berechtigtes Interesse an der Kenntnis der Daten dargelegt haben.

Welche Interessen stehen sich gegenüber?

Interessen der Portalbetreiberin

Der Portalbetreiberin kommt grundsätzlich ihr Recht auf Berufsfreiheit nach Art. 12 Abs. 1 GG zugute, indem sie im Rahmen ihrer unternehmerischen Freiheit zu mehr Sicherheit im Straßenverkehr beitragen möchte und daran durch Erzielung von Werbeeinnahmen auch ein wirtschaftliches Interesse daran hat. Zudem nimmt die Portalbetreiberin auch an einem Kommunikationsprozess zu den Nutzern teil, sodass sie sich ebenfalls auf ihr Recht auf Meinungsfreiheit nach Art. 5 Abs. 1 S. 1 GG berufen kann.

Interessen der bewerteten Personen

Dagegen stehen die Interessen der bewerteten Personen. Zunächst haben diese ebenfalls ein Recht auf Meinungs- und Informationsfreiheit, welches sich aus Art. 5 Abs. 1 GG ergibt. Des Weiteren können sie sich auf ihr Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1, 1 GG berufen.

Entgegenstehende schutzwürdige Belange der bewerteten Personen

Das VG Köln räumte den schutzwürdigen Belangen der bewerteten Personen den Vorrang gegenüber den Interessen der Portalbetreiberin ein.

Eingriff in die Sozialsphäre

Grundsätzlich wurden die betroffenen Personen bei der Autofahrt in ihrer Sozialsphäre betroffen. Dazu führte das VG Köln aus, dass negative Sanktionen bei Äußerungen innerhalb der Sozialsphäre nicht  erfolgen dürfen, wenn eine Stigmatisierung, eine soziale Ausgrenzung oder aber das Eintreten einer „Prangerwirkung“ die Folge ist.

Prangerwirkung?

Das VG Köln nahm an, dass das Portal, so wie es derzeit ausgestaltet war, die Gefahr einer „Prangerwirkung“ mit sich bringe.

Dies resultiere zum einen daraus, dass die Bewertung an einen unbegrenzten Personenkreis zugänglich gemacht wurde und die Bewertungen im Vorhinein nicht verifiziert wurden. Zudem war es den Nutzern des Portals möglich, beliebig oft und beliebig viele Bewertungen zu verschiedenen KFZ-Fahrern abzugeben.

Darüber hinaus ergebe sich aus dem bedingten Kontakt des Autofahrers nach außen seine gesteigerte Schutzbedürftigkeit. Im Vergleich zu einem beruflichen oder gewerblichen Anlass einer Bewertung, wie diese bei Ärzte-Bewertungsportalen zu finden sind, gibt es einen solchen Anlass bei der Fahrerbewertung gerade nicht.

Auch könnten sich aus der Kenntnisnahme der Bewertungen durch verschiedene Personengruppen negative Konsequenzen für die bewerteten Personen ergeben. So führte das VG Köln das Beispiel eines Berufskraftfahrers an, der – unabhängig von der Verifizierung der Bewertung – negative Konsequenzen bei der Kenntnisnahme seines Arbeitgebers zu befürchten haben kann. Dieses Risiko bestehe insbesondere, weil jeder unter Eingabe des Kennzeichens die hierzu gespeicherten Daten angezeigt bekomme.

Auch erfordert eine etwaige Widerspruchsmöglichkeit der Betroffenen gegen ihre Bewertung ihre positive Kenntnis von dieser, welche nur durch regelmäßigen Abruf des Portals erreicht werden kann.

Kein berechtigtes Interesse Dritter

Das Interesse der Nutzer des Portals an der Kenntnis der Daten sei als gering anzusehen. Das VG Köln zog den Vergleich mit einem Ärzte-Bewertungsportal. Während bei einem Ärzte-Bewertungsportal das Interesse der Nutzer an der Auswahl eines geeigneten Arztes als berechtigt angesehen wurde, konnte ein vergleichbares Interesse mangels individueller Vorteile der Nutzer im Rahmen eines Fahrerbewertungsportals nicht ausgemacht werden.

Wie kann der Zweck in gleicher Weise erreicht werden?

Der vorgegebene Zweck des Portals, nämlich den Fahrern ihr Fahrverhalten aufzuzeigen und damit zu mehr Sicherheit im Straßenverkehr beizutragen, kann nach Ansicht des VG Köln ebenfalls erreicht werden, wenn nur die betroffenen Personen von ihrer Bewertung Kenntnis erlangen. Die Kenntnis aller Nutzer des Portals über das Fahrverhalten der bewerteten Personen sei dazu nicht erforderlich. So wäre es den Betroffenen möglich, einem „Pranger“ zu entgehen und ihr Fahrverhalten zu überdenken, ohne dass gleich jeder davon Kenntnis erlangt.

Als Hürde für eine falsche Bewertung kann zudem eine Registrierungspflicht für Nutzer des Portals dienen, die den Zugriff auf die Bewertungsergebnisse einschränkt.

Fazit

Der Umgang mit personenbezogenen Daten erfordert zwangsläufig die Berücksichtigung der Interessen der betroffenen Personen. Auch wenn es für Nutzer des Bewertungsportals vielleicht interessant erscheinen mag, welche Note bekannte Personen für ihr Fahrverhalten erhalten haben, so kann dies oftmals auch zu negativen Konsequenzen für die bewerteten Personen führen. Gerade die fehlende Verifizierung der Bewertungen barg im konkreten Fall die Gefahr, dass in böser Absicht falsche Bewertungen abgegeben werden, um der jeweiligen Person zu schaden.

Der Klägerin wurde eine Frist gesetzt, ihr Fahrerbewertungsportal datenschutzkonform auszugestalten und gerade im Hinblick auf die datenschutzrechtlichen Problemfelder, wie die fehlende Registrierung der Nutzer und die allgemein sichtbaren, nicht verifizierten Bewertungen, Änderungen vorzunehmen.

Haben Sie Fragen?

Sind Sie Betreiber eines Bewertungsportals und möchten dieses datenschutzkonform ausgestalten?

Hier finden Sie unsere Ansprechpartner.

Datenschutz und Datensicherheit, News , , , , , , , , ,

Kommentar verfassen