Datenschutz Parkraumbewirtschaftung
Inhaltsverzeichnis
1. Datenverarbeitung bei der Parkraumbewirtschaftung
2. Verantwortlicher und Datenschutzbeauftragter
3. Verarbeitete Datenkategorien
4. Verarbeitungszwecke und Rechtsgrundlagen
5. Herkunft der Daten und Empfänger von Daten
6. Aufbewahrung und Löschung
7. Übermittlung in Drittländer ohne angemessenes Datenschutzniveau
8. Betroffenenrechte
9. Pflichtangaben und Profiling
10. Informationssicherheit
1. Kurzübersicht Datenverarbeitung bei der Parkraumbewirtschaftung (Supervision)
Bei der Parkraumbewirtschaftung durch ParkDepot werden die Kennzeichen der auf die Parkfläche einfahrenden und aus der Parkfläche ausfahrenden Fahrzeuge mittels eines Kennzeichenscanners automatisiert erfasst, um die Nutzungsdauer der Parkfläche und eventuelle Verstöße gegen die Nutzungsbedingungen feststellen zu können.
Bei der videotechnologiebasierten Kennzeichenerfassung von ParkDepot handelt es sich nicht um eine Videoüberwachung, sondern es werden lediglich Standbilder der ein- und ausfahrenden Fahrzeuge aufgezeichnet. Bei dem System von ParkDepot ist weder eine Parkscheibe noch der Einsatz von Kontrolleuren erforderlich.
Sofern der Parkvorgang im Einklang mit den Nutzungsbedingungen stand, werden die erfassten Daten unverzüglich gelöscht. Bei einem Verstoß gegen die Nutzungsbedingungen wird anhand des Kennzeichens der Halter ermittelt und es werden eventuelle Zahlungs-, Schadensersatz- und Unterlassungsansprüche geltend gemacht.
Datenschutz spielt bei der Parkraumbewirtschaftung eine zentrale Rolle und das System von ParkDepot speichert und verarbeitet ausschließlich die Daten, die für die Parkraumbewirtschaftung unbedingt erforderlich sind - und auch nur so lange, wie diese Daten unbedingt erforderlich sind.
2. Verantwortlicher und Datenschutzbeauftragter
Verantwortlicher für die Parkraumbewirtschaftung ist die ParkDepot GmbH, Radlkoferstraße 2, 81373 München, Deutschland, E-Mail: info@park-depot.de, Tel.: +49 (0) 89 3564770 (nachfolgend „ParkDepot“).
Bei Rückfragen steht der Datenschutzbeauftragte von ParkDepot, Christian Schmoll, jederzeit gerne per E-Mail unter schmoll@lucid-compliance.com zur Verfügung.
3. Verarbeitete Datenkategorien
3.1 Ein- und Ausfahrt Parkfläche
Bei der Parkraumbewirtschaftung durch ParkDepot werden bei der Ein- und Ausfahrt eines Fahrzeugs mittels der Kennzeichenscanner folgende Datenkategorien erhoben und verarbeitet:
Parkfläche, Lichtbild des ein- bzw. ausfahrenden Fahrzeugs, Kennzeichen, Typenbezeichnung, Zeitpunkt Einfahrt, Zeitpunkt Ausfahrt.
Für die Durchführung der Parkraumbewirtschaftung nicht erforderliche Bildteile werden automatisiert unkenntlich gemacht. Die Kennzeichenscanner erfassen allein ein Bild der Front- bzw. Heckpartie der ein- und ausfahrenden Fahrzeuge (inkl. Kennzeichen), Bildbereiche, die nicht für die Parkraumbewirtschaftung und Detektion etwaiger Parkverstöße erforderlich sind, werden automatisch verpixelt und dadurch unkenntlich gemacht („maskiert“). Der voreingestellte „Blurry-Filter“ stellt sicher, dass ggfs. im Bildbereich befindliche Personen von vorneherein nicht erkennbar sind.
Das erfasste Kennzeichen wird (mittels optischer Zeichenerkennung (OCR) in Textform) vom Kennzeichenscanner an das IT-System von ParkDepot übermittelt und es wird durch einen Abgleich mit den Nutzungsbedingungen festgestellt, ob ein Verstoß gegen die Nutzungsbedingungen vorliegt bzw. ob eine Parkberechtigung im System hinterlegt ist.
3.2 Kein Verstoß gegen Nutzungsbedingungen
Wenn kein Verstoß gegen die Nutzungsbedingungen vorliegt, werden sämtliche erfassten Daten unverzüglich sowohl vom Kennzeichenscanner wie auch vom System gelöscht.
3.3 Verstoß gegen Nutzungsbedingungen
Wenn ein Verstoß gegen die Nutzungsbedingungen vorliegt, insbesondere eine Überschreitung der Höchstparkdauer, werden zusätzlich zum Kennzeichen in Textform die maskierten Lichtbilder an das IT-System von ParkDepot übermittelt. Es werden in diesem Fall anhand des Kennzeichens die für die Geltendmachung von Zahlungs-, Schadensersatz- und Unterlassungsansprüchen („Anspruchsverfolgung“) erforderlichen Daten des Fahrzeughalters (Name und Adresse) ermittelt und dieser wird zum Zweck der Anspruchsverfolgung kontaktiert. Sofern der kontaktierte Fahrzeughalter einen Fahrer benennt, der das Fahrzeug zum Zeitpunkt des Verstoßes gefahren hat, wird entsprechend der benannte Fahrer kontaktiert. Dabei werden folgende Datenkategorien verarbeitet:
Verstoß bzw. Überschreitung Höchstparkdauer, internes Aktenzeichen, verwirkte Vertragsstrafe und ggf. Gebühren, Status der Vertragsstrafe (offen/bezahlt), ggf. Mahngebühr, ggf. Bankverbindung bzw. Zahlungsart, Anrede, Name, Vorname, Anschrift Fahrzeughalter, ggf. Anrede, Name, Vorname, Anschrift, Fahrer.
3.4 Verlängerte Höchstparkdauer für Kunden (QR-Code)
Auf einigen Parkflächen besteht die Möglichkeit, eine verlängerte Höchstparkdauer zu erhalten, beispielsweise für Kunden anliegender Geschäfte. Diese Verlängerung wird gegebenenfalls gewährt, wenn eine entsprechende Berechtigung (QR-Code) eingescannt und das Kennzeichen eingegeben wird. Solche QR-Codes, die zu einer entsprechenden Verlängerung der Höchstparkdauer berechtigen, werden gegebenenfalls von den anliegenden Geschäften ihren Kunden zur Verfügung gestellt, beispielsweise auf dem Kassenzettel.
Bei einer solchen Verlängerung der Höchstparkdauer werden das eingegebene Kennzeichen und das Vorliegen einer Berechtigung an das IT-System von ParkDepot übermittelt. Dort erfolgt ein Abgleich mit den Daten zu Verstößen gegen die Nutzungsbedingungen auf der entsprechenden Parkfläche. Sofern festgestellt wird, dass aufgrund der Berechtigung kein Verstoß vorliegt, werden die Daten zum (angeblichen) Verstoß und die Daten zur Berechtigung unverzüglich gelöscht.
3.5 Support/Tickets
Sofern der kontaktierte Fahrzeughalter bzw. Fahrer im Zusammenhang mit der Geltendmachung der Ansprüche bei einem Verstoß Kontakt aufnimmt, beispielsweise um einen anderen Fahrer zu benennen oder um Rückfragen zum geltend gemachten Verstoß zu stellen, werden zudem die im Rahmen der Kontaktaufnahme und der anschließenden Korrespondenz erhobenen Daten verarbeitet. In diesem Kontext werden folgende Datenkategorien verarbeitet:
Kontaktdaten und Inhalte der Korrespondenz.
4. Verarbeitungszwecke und Rechtsgrundlagen
Die Daten werden verarbeitet zur Wahrung der berechtigten Interessen am Betrieb der Parkflächen und zur Durchführung der damit im Zusammenhang stehenden Verwaltungstätigkeiten, einschließlich der Analyse und Optimierung der Parkraumsituation und des Parkraumbewirtschaftungssystems (Art. 6 Abs. 1 lit. f) DSGVO) sowie zur Erfüllung bzw. Abwicklung des bei Einfahrt auf die Parkfläche abgeschlossenen Parkraumnutzungsvertrages, insbesondere für den Abgleich mit hinterlegten Parkberechtigungen, für die Ermittlung von Verstößen gegen die Nutzungsbedingungen und die Geltendmachung und Ausübung von Rechtsansprüchen bzw. die Verteidigung gegen Rechtsansprüche im Rahmen der Parkraumnutzungsverträge (Art. 6 lit. b) DSGVO). Daten werden zudem ggf. für die Bearbeitung von Supportanfragen bzw. für Korrespondenz und für die Erfüllung gesetzlicher Aufbewahrungspflichten verarbeitet. Soweit im Rahmen der bei Ein- und Ausfahrt von den Kennzeichenscannern erstellten Lichtbilder besondere Kategorien personenbezogener Daten verarbeitet werden, erfolgt dies auf Grundlage von Art. 9 Abs. 2 lit. f) i.V.m. Art. 6 Abs. 1 lit. f) DSGVO.
5. Herkunft der Daten und Empfänger von Daten
Bei einem Verstoß gegen die Nutzungsbedingungen werden die für die rechtliche Verfolgung des Verstoßes erforderlichen Daten des Fahrzeughalters bei den jeweils zuständigen Auskunftsstellen (in Deutschland z.B. dem Kraftfahrtbundesamt (KBA)) abgefragt.
Sofern der ermittelte Fahrzeughalter einen anderen Fahrer benennt, werden die Daten des Fahrers vom Fahrzeughalter zur Verfügung gestellt.
Die Daten werden an die im Rahmen des Betriebs des Systems eingesetzten Auftragsverarbeiter (insb. CRM-System) und im Rahmen der Anspruchsverfolgung an Dritte, z.B. Rechtsanwälte bzw. Inkassodienstleister, weitergegeben.
6. Aufbewahrung und Löschung
ParkDepot hält sich strikt an die Grundsätze der Datenvermeidung und Datensparsamkeit und personenbezogene Daten werden nur so lange gespeichert bzw. verarbeitet, wie dies zur Erreichung des jeweiligen Zwecks der Datenverarbeitung erforderlich ist oder wie es die vom Gesetzgeber vorgesehenen Speicherfristen vorsehen.
Entsprechend werden, sofern kein Verstoß gegen die Nutzungsbedingungen vorliegt, die erhobenen personenbezogenen Daten automatisiert unverzüglich (spätestens nach 48 Stunden) gelöscht.
Bei Vorliegen eines Verstoßes werden die erhobenen personenbezogenen Daten nach Abwicklung der Anspruchsverfolgung und nach Ablauf aller gesetzlichen Aufbewahrungs- bzw. Verjährungsfristen gelöscht.
7. Übermittlung in Drittländer ohne angemessenes Datenschutzniveau
Die von ParkDepot verarbeiteten personenbezogenen Daten werden auf Servern in der Europäischen Union gespeichert und verarbeitet.
8. Betroffenenrechte
Im Rahmen der gesetzlichen Voraussetzungen bestehen hinsichtlich der Verarbeitung personenbezogener Daten für die jeweils Betroffenen die nachfolgend erläuterten Rechte:
8.1 Recht auf Auskunft
Betroffene haben das Recht, Auskunft über die zu ihrer Person verarbeiteten personenbezogenen Daten zu verlangen.
8.2 Recht auf Berichtigung
Betroffene haben das Recht, eine Berichtigung unrichtiger sie betreffender personenbezogenen Daten zu verlangen. Es besteht zudem das Recht, eine Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
8.3 Recht auf Löschung
Betroffene haben das Recht, die Löschung sie betreffender personenbezogenen Daten zu verlangen.
8.4 Recht auf Einschränkung der Verarbeitung
Betroffene haben das Recht, eine Einschränkung der Verarbeitung sie betreffender personenbezogenen Daten zu verlangen.
8.5 Recht auf Widerspruch gegen die Verarbeitung
Betroffene haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogenen Daten, die für die Wahrnehmung einer Aufgabe erfolgt, die im öffentlichen Interesse liegt oder die in Ausübung öffentlicher Gewalt erfolgt, oder die auf Basis eines berechtigten Interesses erfolgt, Widerspruch einzulegen. Die Daten werden in diesem Fall nicht weiterverarbeitet, es sei denn, der Verantwortliche kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechten und Freiheiten der/des Betroffenen überwiegen, oder wenn die Verarbeitung der Geltendmachung und Ausübung von oder der Verteidigung gegen Rechtsansprüche dient.
Außerdem steht Betroffenen das Recht zu, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke der Direktwerbung einzulegen; dies gilt auch für ein etwaiges Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
8.6 Recht auf Widerruf einer Einwilligung
Betroffene steht, soweit sie für eine Verarbeitung eine Einwilligung erteilt haben, ein Widerrufsrecht zu.
8.7 Recht auf Datenübertragbarkeit
Betroffene haben das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten („Datenübertragbarkeit“) sowie das Recht auf Weiterübermittlung dieser Daten an einen anderen Verantwortlichen.
8.8 Ausübung der Rechte
Die Betroffenenrechte können durch Mitteilung an die oben genannten Kontaktdaten für den Verantwortlichen bzw. gegebenenfalls den Datenschutzbeauftragten geltend gemacht werden.
8.9 Recht auf Beschwerde bei den Datenschutzaufsichtsbehörden
Wenn Betroffene der Ansicht sind, dass die Verarbeitung sie betreffender personenbezogener Daten gegen Datenschutzrecht verstößt, haben sie das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.
9. Pflichtangaben und Profiling
Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Es besteht keine Verpflichtung, personenbezogene Daten bereitzustellen, allerdings ist die Angabe personenbezogener Informationen für einen Vertragsabschluss insofern erforderlich, als bestimmte Angaben zwingend erforderlich sind, um einen Vertrag abschließen (und durchführen) zu können. Eine automatisierte Entscheidungsfindung einschließlich eines Profiling wird nicht durchgeführt.
10. Informationssicherheit
ParkDepot hat dem Stand der Technik entsprechende angemessene technische und organisatorische Maßnahmen ergriffen, um ein dem Risiko der jeweiligen Verarbeitung angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten und um die verarbeiteten Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen.