- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Recht » Datenschutz und Compliance

Unzulässige GPS-Ortung von Mietwagen


Autovermietungsfirma lässt ohne Wissen der Mieter Fahrzeuge über GPS orten: Der Hamburgische Datenschutzbeauftragte setzt Bußgeld fest
Heimliche Ortung von Mietfahrzeugen und die heimliche Kontrolle der Mieter stellen jedoch einen schweren Eingriff in deren Persönlichkeitsrecht


(23.07.12) - Eine Autovermietungsfirma hat einen Teil ihrer Flotte ohne Wissen der Mieter per GPS orten lassen. Der Hamburgische Beauftragte für Datenschutzschutz und Informationsfreiheit hat diese unzulässige Erhebung personenbezogener Daten mit einem Bußgeld in Höhe von 54.000 Euro geahndet.

Durch eine Beschwerde wurde der Aufsichtsbehörde bekannt, dass die betreffende Firma in 1.300 hochwertigen Fahrzeugen ihrer Flotte Ortungssysteme eingebaut hatte und damit die Mieter ohne deren Wissen ortete. Nach Angaben der Autovermietungsfirma diente die Übermittlung der Ortungsdaten dazu, Diebstähle aufzuklären. Außerdem sollte kontrolliert werden, ob sich der Mieter noch im zulässigen Gebiet befindet, da die Benutzung der Fahrzeuge in verschiedenen Ländern vertraglich ausgeschlossen ist. Neben dem Standort wurden Datum, Zeit und auch die Geschwindigkeit der Fahrzeuge erhoben.

Bei weiteren Vor-Ort-Ermittlungen hat die Aufsichtsbehörde festgestellt, dass die Angaben der Firma unvollständig waren. Eine Kontrolle bei einer Firma in Schleswig-Holstein, die im Auftrag der Vermietfirma seit 2004 die Fahrzeugortung vornimmt, hat ergeben, dass auch ohne Anlass zusätzlich alle 48 Stunden eine Ortung der Fahrzeuge vorgenommen wurde. Außerdem erfolgte eine automatische Übermittlung der Daten auch, sobald mit dem Fahrzeug in ein Hafengebiet gefahren wurde.

Dazu sagt Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: "Grundsätzlich ist die Motivation nachvollziehbar. Die heimliche Ortung von Mietfahrzeugen und die heimliche Kontrolle der Mieter stellen jedoch einen schweren Eingriff in deren Persönlichkeitsrecht dar. Der Autovermieter hat es dadurch in der Hand, Bewegungsprofile seiner Kunden zu erstellen. Mit Hilfe der Ortungstechnik lässt sich nicht nur rekonstruieren, wer sich wann wo aufgehalten hat, sondern auch, wer zu welchem Zeitpunkt mit welcher Geschwindigkeit gefahren ist. Insbesondere durch die anlasslose Ortung werden die Mieter regelmäßig unter einen Generalverdacht gestellt."

Da die Übermittlung der Ortungsdaten ohne Wissen und ohne Einwilligung der Mieter erfolgte, war sie ordnungswidrig. Daneben gab es zwischen dem Autovermieter und der ausführenden Firma keinen Vertrag zur Auftragsdatenverarbeitung nach dem Bundesdatenschutzgesetz. Die Höhe des Bußgeldes wurde zudem maßgeblich davon beeinflusst, dass der Autovermieter dem Datenschutzbeauftragten anfänglich keine vollständigen Auskünfte erteilt und trotz Aufforderung das unzulässige Verhalten zunächst nicht beendet hatte.

Mittlerweile hat der Autovermieter die regelmäßige Ortung alle 48 Stunden ganz abgestellt. Über die Übermittlung der Ortungsdaten in den anderen Fällen werden Mieter jetzt im Vorwege informiert und müssen ihr im Rahmen des Mietvertrags zustimmen. Dadurch wird gewährleistet, dass keine heimlichen Überwachungen mehr stattfinden.

"Der Einsatz von Ortungssystemen bei Mietfahrzeugen setzt zumindest eine vollständige Information über Art und Weise der Ortung sowie die ausdrückliche Einwilligung der Betroffenen in das Tracking voraus. Jeder Mieter muss das Recht haben, selbst darüber zu entscheiden, ob er Fahrzeuge anmieten will, deren Nutzung beim Vermieter oder dessen Vertragspartnern unmittelbar eine individuelle digitale Nutzungsspur hinterlässt", so Caspar abschließend. (Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: ra)

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • Zertifizierung des DSGVO-konformen Datenschutzes

    Bei der ersten Sitzung des Europäischen Datenschutzausschusses (EDSA) im neuen Jahr wurden erneut wichtige Weichen für den europäischen Datenschutz gestellt. Themen waren unter anderem der EU-US Privacy Shield, Leitlinien zur Zertifizierung und die Verbesserung der Kommunikation mit Social-Media-Anbietern bei Datenschutzvorfällen. Ein wichtiger Tagesordnungspunkt war der Beschluss des Berichts zur Zweiten Jährlichen Gemeinsamen Überprüfung des Privacy Shield. In diesem finden sich Anregungen, wie das Abkommen weiter verbessert werden kann. Denn auch wenn die US-Behörden wichtige Schritte unternommen haben, um die Vorgaben des Privacy Shield effektiver zu überprüfen, bleiben nach wie vor gewichtige Kritikpunkte.

  • Illegal veröffentlichten Daten

    Anlässlich der Sondersitzung des Ausschusses für Inneres und Heimat des Deutschen Bundestages am 10.01.2019 erklärt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber: "Der aktuelle Vorfall beweist einmal mehr, dass mit der Digitalisierung auch erhebliche datenschutzrechtliche Risiken verbunden sein können. Nur wenn man sich dieser bewusst ist, wird man in Zukunft diese Risiken auch bestmöglich minimieren können. Dabei ist zunächst natürlich ein jeder selbst verpflichtet, Maßnahmen zum Schutz seiner digitalen Identität zu ergreifen. Um dies zu ermöglichen, bedarf es zum einen einer weitergehenden Sensibilisierung der Bevölkerung. Wenn wir wollen, dass die Leute ihre Türen abschließen, müssen wir Ihnen verständlich machen, warum dies erforderlich ist und wo sie die entsprechenden Schlüssel finden.

  • Welche Daten werden zu welchen Zwecken verarbeitet

    Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein (ULD), macht deutlich: "Das Urteil bezieht sich ursprünglich auf einen Fall von 2011 und muss daher die damals geltende europäische Rechtlage berücksichtigen. Diese Klärung der Grundlagenfrage ist aber keineswegs als rückwärtsgewandt abzutun. Im Gegenteil: Die Vorgaben des Europäischen Gerichtshofs betreffen ebenso die Gegenwart, die von dem Rechtsrahmen der Datenschutz-Grundverordnung geprägt ist." Facebook-Chef Mark Zuckerberg hatte am 22. Mai 2018 gegenüber den Abgeordneten im Europaparlament ausgesagt, dass Facebook die Anforderungen der Datenschutz-Grundverordnung erfüllen werde.

  • Rechtskonformität der Fanpages zu überprüfen

    Der Europäische Gerichtshof (EuGH) hat klargestellt, dass Betreiber einer Facebook-Fanpage für die dort stattfindende Datenverarbeitung datenschutzrechtlich mitverantwortlich sind. Für die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Andrea Voßhoff, ist die Entscheidung eine klare Bestätigung der Rechtsauffassung deutscher Datenschutzaufsichtsbehörden: Wieder einmal hat der EuGH mit einem Urteil die wichtige Rolle des Datenschutzes hervorgehoben. Gerade in der immer weiter digitalisierten Welt darf es nicht die Möglichkeit geben, sich seiner datenschutzrechtlichen Verantwortung zu entziehen.

  • Facebook-Fanpages & Datenschutz-Verantwortung

    Der Gerichtshof der Europäischen Union (EuGH) hat mit einem Urteil bestätigt, dass der Betreiber einer Facebook-Fanpage - neben Facebook - datenschutzrechtlich dafür verantwortlich ist, dass Facebook Daten der Fanpagebesucher zur Erstellung von Besucherstatistiken erhebt. Ausgangspunkt der Entscheidung ist ein seit 2011 anhängiger Verwaltungsrechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Das Unternehmen vertrat die Auffassung, es dürfe eine Facebook-Fanpage betreiben, ohne sich darum kümmern zu müssen, ob Facebook das Datenschutzrecht einhält.