Datenschutzbehörde
26.01.2024
2024-0.044.042
Dieser Bescheid ist rechtskräftig.
GZ: 2024-0.044.042 vom 26. Jänner 2024 (Verfahrenszahl: DSB-D165.007)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über den von der Stadt N*** (Antragstellerin) am 29. November 2023 eingebrachten Antrag gemäß Artikel 36, DSGVO betreffend die geplante Verarbeitung von Panoramaaufnahmen des N***er Straßennetzes wie folgt:
- Der Antrag auf vorherige Konsultation nach Art. 36 DSGVO wird abgewiesen.
Rechtsgrundlagen: Artikel 4, Ziffer eins,, Ziffer 2 und Ziffer 7,, Artikel 5, Absatz eins, Litera c,, Artikel 35,, Artikel 36, Absatz eins,, Absatz 2 und Absatz 3,, Artikel 51, Absatz eins, sowie Artikel 57, Absatz eins, Litera l, der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 Sitzung 1; Paragraph 18, Absatz eins, des Datenschutzgesetzes (DSG), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF.
BEGRÜNDUNG
A. Vorbringen der Antragstellerin und Verfahrensgang
1. Mit Eingabe vom 29. November 2023 konsultierte die Antragstellerin die Datenschutzbehörde iSv Artikel 36, Absatz eins, DSGVO („Vorherige Konsultation“) und führte aus, dass sie für die Verarbeitung von Panoramaaufnahmen der „DataViewing***-Technik“ eine Datenschutz-Folgenabschätzung (nachfolgend: DSFA) durchgeführt habe. Nach dieser sei die Verarbeitung mit einem hohen Risiko für Betroffene verbunden.
Der Eingabe war die DSFA (bzw. Teile davon) in Kopie beigelegt.
2. Mit Erledigung vom 18. Dezember 2023 forderte die Datenschutzbehörde die Antragstellerin zur Ergänzung des Sachverhalts auf, dabei insbesondere zur Konkretisierung des (geplanten) Umsetzungszeitpunktes, der datenschutzrechtlichen Verantwortlichkeit sowie des hohen Risikos der Verarbeitung.
3. Mit Eingabe vom 22. Dezember 2023 (ha. eingelangt am 29. Dezember 2023) brachte die Antragstellerin wie folgt vor:
Die Antragstellerin (bzw. die zuständige Magistratsabteilung) habe am 22. August 2023 eine Ausschreibung für die Leistung „Mobile Mapping Befahrung des N***er Stadtgebietes 2023" im Rahmen einer Direktvergabe mit vorheriger Bekanntmachung durchgeführt. Infolge der Ausschreibung habe die DataViewing*** Deutschland AG (nachfolgend: DataViewing***) am 4. September 2023 ein Angebot gelegt. Am 15. September 2023 habe DataViewing*** der Antragstellerin den Entwurf eines Lizenzvertrags übermittelt, welcher auf die Geschäftsbedingungen (AGB) von DataViewing*** Bezug nehme. Konkret werde wie folgt ausgeführt: „Es gelten die Lizenzbestimmungen, die Allgemeinen Geschäftsbedingungen und der Anhang Schutz personenbezogener Daten nach DSGVO der DataViewing*** Deutschland AG. Für *** Street Pictures gilt zusätzlich die Vereinbarung zur Verarbeitung der persönlichen Daten." Bei dem Lizenzvertrag handle es sich um einen Vertragsentwurf, der bislang noch nicht beidseitig unterfertig worden sei. Der Abschluss des Lizenzvertrags sei deshalb noch nicht zustande gekommen, da zwischen der Antragstellerin und DataViewing*** noch Klärungspunkte zu Geschäftsbedingungen offen seien. Grund dafür seien Widersprüche zwischen der Ausschreibung und dem Angebot. Die DataViewing*** habe im Angebot die Gewährleistung für die „Berücksichtigung der relevanten Vorgaben der DSGVO" übernommen. Ein Klärungspunkt sei jedoch, dass mit der angebotenen Lizenzierung von prozessierten Bildern kein 100-prozentiger „Verpixelungsgrad“, sondern lediglich eine 95-prozentige Verpixelung angeboten werde. Ferner habe DataViewing*** im Angebot für sensible Orte wie Eingangsbereiche von Kirchen, Krankenhäusern, Frauenhäusern oder Gefängnissen keine „Ganzkörper-Verpixelung“ angeboten. Inzwischen habe DataViewing*** am 11. Dezember 2023 auf Anfrage der Antragstellerin ein weiteres Zusatzangebot gelegt, welches die Ganzkörper-Verpixelung von Personen in sensiblen Bereichen beinhalte. Dieses Zusatzangebot sei mit EUR 10.262.50 beziffert. Im Antwortschreiben werde zudem ausgeführt, dass die erhobenen Daten und Bilder auf einer Festplatte ausgeliefert würden. Diese gehe mit Übergabe in das Eigentum der Antragstellerin einher. Dazu im Widerspruch werde in den AGB der DataViewing*** ausgeführt, dass die Daten nach Vertragsende zu löschen seien und dass die Antragstellerin somit nach Ende des Lizenzvertrags kein Recht auf entgeltfreie Bereitstellung einer Kopie der Daten und Bilder habe. Obwohl noch kein Lizenzvertrag vorliege, habe DataViewing*** im Zeitraum vom 17. Bis 28. Oktober 2023 im N***er Straßennetz auf eigene Verantwortung eine Befahrung zur Herstellung von Panoramabildern durchgeführt. Im Verantwortungsbereich der Antragstellerin sei in Bezug auf die gegenständlichen Panoramabilder bislang noch keine Verarbeitungstätigkeit erfolgt. Der gegenständliche Antrag auf Vorabkonsultation beziehe sich ausschließlich auf die durch die Antragstellerin als Verantwortliche geplanten Verarbeitungstätigkeiten. Auf Grund des Angebots und der Begleitdokumente ergebe sich im Anlassfall aus der geplanten Zusammenarbeit mit der Fa. DataViewing*** folgende Abgrenzung der Verantwortlichkeit: Die DataViewing*** trage die alleinige Verantwortung für die gegenständliche Befahrung, Aufnahme und abschließende [Erstellung] der Panoramabilder des N***er Straßennetzes. Sie biete der Antragstellerin eine Software als Hostingservice ('SaaS') an, über welche der Antragstellerin mit Web-Viewer prozessiertes (d.h. verpixeltes) Bildmaterial als Lizenznehmerin bereitgestellt werde. Es handle sich um keine Exklusivlizenz der Antragstellerin an den prozessierten Bildern, sondern könne das Bildmaterial zusätzlich an Dritte lizenziert werden. DataViewing*** sei daher Verantwortliche für die gesamte Verarbeitungstätigkeit der Herstellung von Echtbildern, den Vorgang der Prozessaufbereitung und der Bereitstellung der prozessierten Bilder an Lizenznehmer über Webviewer. Die Antragstellerin sei lediglich Verantwortliche hinsichtlich der Nutzung von prozessierten Bildern über die SaaS-Lösung. Somit sei zwischen der DataViewing*** und der Antragstellerin auch kein Abschluss einer Auftragsverarbeitungsvereinbarung, sondern eines Lizenzvertrags geplant. Nach Beurteilung durch die Antragstellerin ergebe sich dieser Sachverhalt und die daraus abgeleitete datenschutzrechtliche Beurteilung aus Textpassagen der DataViewing*** Geschäftsbedingungen und Begleitdokumenten. Die Verantwortlichkeit der Antragstellerin beschränke sich somit auf die Verarbeitung von prozessierten Bildern und deren Nutzung über eine SaaS-Software-Lösung. Der Vorgang der Bildprozessierung („Blurring-Prozess") bestehe dabei darin, dass Gesichter von Personen und Kfz-Kennzeichen unkenntlich gemacht („verpixelt") würden. Dennoch sei die Datenschutzbehörde im Rahmen einer Vorabkonsultation mit dem Vorhaben befasst worden, weil die damalige Datenschutzkommission (nachfolgend: DSK) „Google Street View“ 2011 [nur] unter drei Auflagen genehmigt habe, welche gegenständlich nicht vollumfänglich erfüllt seien. Die Lizenzvereinbarung zwischen der Antragstellerin und der DataViewing*** beziehe sich auf das gesamte öffentliche N***er Straßennetz (1.*** km) mit Ausnahme von Parkplätzen auf privaten Grundstücken, Parkhäusern, Gebieten mit hoher Kriminalität oder sensiblen Bereichen (Militär, Rotlichtviertel), Privatstraßen, Parks, Friedhöfen, Fußgängerzonen, Wirtschaftswegen (Feldwege) und Naturschutzgebieten. Die Verpixelung von Gesichtern und Kfz-Kennzeichen entspreche jenem Maßstab, den die DSB für eine wissenschaftliche Studie zur „Analyse der Straßenoberfläche und des Straßenraumes" für zulässig erachtet habe (GZ: DSB-D202.207/0001-DSB/2018). Die von DataViewing*** im Lizenzvertrag und den Begleitdokumenten angebotene Lösung entspreche - speziell was den Verpixelungsgrad von Personen bei besonders sensiblen Orten betreffe - allerdings nicht exakt den von der DSK für Google Street View genehmigten Auflagen. Insbesondere biete DataViewing*** im Angebot vom 4.9.2023 - anders als bei Google Street View - keine Ganzkörper-Verpixelung von Personen im Eingangsbereich von Kirchen, Gebetshäusern, Krankenhäusern, Frauenhäusern und Gefängnissen an. Ein weiterer Unterschied zu Google Street View bestehe ferner darin, dass die von DataViewing*** lizenzierten Bilder nicht im Internet für die breite Öffentlichkeit zugänglich gemacht würden. Vielmehr erfolge die Verarbeitung bei der DataViewing***-Lizenz durch Abruf über den Web-Viewer. Es sei den Lizenznehmern von DataViewing*** (somit auch potenziell der Antragstellerin) nicht gestattet, das Bildmaterial zu veröffentlichen. Die Antragstellerin plane die Weiterverarbeitung fallbezogen für dienstliche Zwecke, wie in der DSFA dargestellt. Dabei u.a. zur Schaffung einer Geodateninfrastruktur für Zwecke der Umweltpolitik und anderer politischer Maßnahmen oder Tätigkeiten, die direkte oder indirekte Auswirkungen auf die Umwelt haben könnten. Weiters zur Grundlagenforschung für die örtliche Raumplanung und Verwaltung der Verkehrsflächen. Als Gemeinde unterliegt die Antragstellerin ferner bei Nutzung für die Hoheitsverwaltung dem Gesetzesvorbehalt des Paragraph eins, Absatz 2, DSG. Im Hinblick darauf würden die dargestellten Verarbeitungszwecke auf ausreichenden Rechtsgrundlagen beruhen und sich auch darin von der vorwiegend auf Artikel 6, Absatz eins, Litera f, DSGVO gestützten Anwendung von Google Street View unterscheiden. Das Stadtvermessungsamt der Antragstellerin habe aber zudem nach Einbringung des Antrags auf Vorabkonsultation die Frage eingebracht, ob es nicht möglich wäre, das von DataViewing*** lizenzierte Bildmaterial auch für verwaltungspolizeiliche Zwecke zu verwenden. Es werde daher in Erweiterung des Antrags auch um Beurteilung ersucht, ob ein solcher Verarbeitungszweck zulässig wäre. Zusammenfassend bestehe auf Seiten der Antragstellerin keine abschließende Rechtssicherheit, insbesondere, da die angebotene Datenverarbeitung das gesamte N***er Straßennetz umfasse, womit eine sehr hohe Anzahl von betroffenen Personen bestehe. Es erfolge zwar eine weitgehende, aber keine ausnahmslose Datenprozessierung. Verpixelungsfehler könnten über den Viewer gemeldet und innerhalb von 14 Tagen behoben werden. Das in Frage stehende Bild werde nach der Meldung verpixelt. Die besonders sensiblen Orte, für welche DataViewing*** nachträglich mit Aufpreis eine „Ganzkörper-Verpixelung" anbiete, entspreche nicht exakt jenen von Google Street View. Hierbei stellt sich die Abwägungsfrage, ob eine Ganzkörper-Verpixelung für diese Orte unbedingt durchgeführt werden müsse, auch wenn die Daten nur für Verwaltungszwecke zur Verfügung stünden. Es werde um Abklärung ersucht, ob das angebotene Bildmaterial auch für andere verwaltungspolizeiliche Zwecke verwendet werden könne. Aus den genannten Gründen liege ein „hohes Risiko" der Verarbeitung vor.
4. Mit Erledigung vom 2. Jänner 2024 teilte die Datenschutzbehörde der Antragstellerin mit, dass eine Konsultation gem. Artikel 36, DSGVO nicht zur Beantwortung allfälliger Fragestellungen hinsichtlich der Zulässigkeit oder Rechtskonformität von Verarbeitungstätigkeiten geeignet sei. Des Weiteren, dass die konkrete Verarbeitung von personenbezogene Daten bzw. die Abgrenzung der Verantwortlichkeit nicht ausreichend dargelegt worden sei.
5. Mit Eingabe vom 9. Jänner 2024 brachte die Antragstellerin wie folgt vor:
Im Sinn der Judikatur der DSB diene der Konsultationsmechanismus des Artikel 36, DSGVO dem Ziel, dass die Aufsichtsbehörde eine Beratungsfunktion wahrnehmen kann, um folglich Empfehlungen zur Minderung datenschutzrechtlicher Risiken geben zu können (DSB 21.04.2022, GZ: 2022-0.263). Dies solle somit die Konsultation der zuständigen Aufsichtsbehörden für hochriskante Verarbeitungen sicherstellen, etwa beim Einsatz neuer oder neuartiger Technologien, bei denen der Verantwortliche noch keine DSFA durchgeführt habe (DSB 2.2.2021, GZ: 2021-0.024.862). Als Risikoquellen kämen sowohl interne und externe als auch potentielle und tatsächliche Risiken infrage. Bei der Identifizierung aller potentiellen Risiken sei laut Knyrim nicht weniger als eine Art „Streifzug durch die Anforderungen des Datenschutzrechts“ erforderlich. Für den gegenständlichen Fall werde ein „hohes Risiko“ etwa auf Grund Artikel 35, Absatz 2, Litera c, DSGVO („systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche“) oder Paragraph 2, Absatz 2, Ziffer 3, DSFA-V („Verarbeitungsvorgänge, welche die Beobachtung, Überwachung oder Kontrolle von betroffenen Personen insbesondere mittels Bild- und damit verbundenen Akustikdatenverarbeitungen zum Ziel haben“) uÄ angenommen. Auf Grund der Tatbestände der DSFA-V sei somit eine DSFA durchgeführt worden. Trotz der vom Lizenzgeber vorgenommenen Maßnahmen verbleibe jedoch ein hohes Restrisiko, vor allem aufgrund des Umstands, dass mit der Verarbeitung von DataViewing***-Panoramabildern das gesamte N***er Straßennetz befahren und mit hochauflösenden Bildern dokumentiert werde. Die DataViewing***-Bilddatenbank ermögliche eine systematische Auswertung der Bilddaten und könnte bei Betroffenen der Eindruck der systematischen Überwachung des öffentlichen Raums im N***er Straßennetz entstehen (GZ: DSB-D216.309/0007-DSB/2017). Dies, da praktisch jede Straße und jede Liegenschaft in N*** optisch erfasst werde. ISd Artikel 36, Absatz eins, DSGVO setze eine Konsultation voraus, dass die aufgezeigten Restrisiken durch Maßnahmen des Verantwortlichen nicht minimiert werden können. Wie im Antrag auf Konsultation bzw. der Urkundenvorlage dargelegt, treffe die Lizenzgeberin bestimmte Maßnahmen, dabei insbesondere die Datenprozessierung (Verpixelung) der Gesichter und Kfz-Kennzeichen bei 95 Prozent der lizenzierten Bilder sowie die Nicht-Aufnahme von den bereits genannten Gebieten (Eingangsbereiche von sensiblen Orten). In der Literatur werde ausgeführt, dass - in Anbetracht der Möglichkeit, vorab (faktische) Rechtssicherheit über die Konformität der beabsichtigten Datenverarbeitung mit der DSGVO zu erhalten - vom Konsultationsmechanismus extensiver Gebrauch gemacht werden solle. Insofern erscheine die Vorlage des Vorhabens begründet, da diese Bestimmung, wie oben eingangs zitiert, den Zweck verfolge, dass die Aufsichtsbehörde gegenüber Verantwortlichen eine Beratungsfunktion bei Verarbeitungen mit hohem Restrisiko wahrnehmen könne.
Nach Einbringung des ursprünglichen Antrags sei das Vorhaben seitens der Antragstellerin erweitert worden, weshalb mit der Folgeeingabe vom 22. Dezember 2023 der Konsultationsantrag in Bezug auf den Verarbeitungszweck erweitert worden sei. Es handle sich dabei um keine bloße Verwendungserwägung ohne konkrete Planung. Damit wolle die Antragstellerin den Antrag auf Konsultation modifizieren und als weiteren Zweck der Verarbeitung die Verwendung des Bildmaterials für verwaltungspolizeiliche Zwecke im Zuständigkeitsbereich der Antragstellerin hinzufügen.
Der Eingabe waren u.a. Symbolbilder der Webseite „DataViewing***.com“ beigefügt.
6. Mit Eingabe vom 16. Jänner 2024 legte die Antragstellerin ein durch DataViewing*** an die Antragstellerin übermitteltes „Datenschutzrechtliches Gutachten“ vor.
B. Sachverhaltsfeststellungen
1. Bei der Antragstellerin handelt es sich um eine österreichische Gemeinde.
Zum Zweck der Schaffung einer Geodateninfrastruktur sowie für die örtliche Raumplanung und Verwaltung von Verkehrsflächen wurde die Erfassung des gesamten Gemeindegebietes der Antragstellerin „mittels einem fahrzeuggetragenen, bildgebenden und LiDAR-Daten erfassenden Mobile Mapping Systems mit zugehöriger Datenaufbereitung (Anonymisierung von Personen und KFZ-Kennzeichen, Georeferenzierung, Qualitätskontrolle) und Visualisierung in einem webbasierten Mobile Mapping Viewer“ [Kurzbezeichnung: „Mobile Mapping Befahrung des N***er Stadtgebietes 2023“] am 22. August 2023 [Datum der Bekanntmachung] gemäß Vergabebestimmungen ausgeschrieben.
2. Im Rahmen der Ausschreibung vom 22. August 2023 wurde u.a. wie folgt festgehalten [auszugsweise, soweit verfahrensrelevant]:
„[…] Sämtliche Objekte des sichtbaren Straßenraumes sollen dreidimensional erfasst und in einem geeigneten browserbasierten Viewer unter Bedingung einer hochgenauen Georeferenzierung visualisierbar, digitalisierbar und messbar sein. Die Bild- und Laserdaten sollen cloudbasiert auf einem - vor unbefugtem Zugriff - gesicherten Server auf dem Gebiet der Europäischen Union gespeichert werden.
Zur Gewährleistung des Datenschutzes hinsichtlich der Bildinformationen müssen Personen und KFZ Kennzeichen unkenntlich gemacht werden. […]“
3. Am 4. September 2023 legte die DataViewing*** Deutschland AG [nachfolgend: DataViewing***] ein Angebot betreffend die unter Punkt B.2. genannte Ausschreibung vor.
Bei DataViewing*** handelt es sich um ein Unternehmen mit Sitz in Deutschland [Handelsregister des Amtsgerichts P*** Nr HRB *4*1], welches auf die Aufnahme von 360°-Panoramabildern [sog. „Roundview***s“] von öffentlichen Straßen spezialisiert ist. Diese werden mit speziell ausgestatteten Fahrzeugen unter Nutzung öffentlicher Geometrie- und Grundbuchdaten erfasst. Es erfolgen keine Video- oder Echtzeitaufnahmen.
Dabei unumgänglich erfasste Fahrzeug-Kennzeichen und Personen (bzw. konkret deren Gesichter) werden nach Aufnahme derart technisch bearbeitet, dass diese – wie auf nachfolgendem Bild beispielhaft ersichtlich - unscharf („verpixelt“) sind:
[Anmerkung Bearbeiter/in: Das an dieser Stelle im Original als grafische Datei eingefügte Symbolfoto zur Demonstration der Verpixelungstechnik wurde entfernt.]
4. DataViewing*** bestimmt dabei eigenständig (ggf. mit verbundenen Unternehmen) darüber, zu welchem Zeitpunkt [„Befahrungskalender“], von welchen konkreten Gebieten und in welcher Granularität Aufnahmen erstellt werden sowie, welche konkreten technischen Mittel (Kamerasystem uÄ) hierfür verwendet werden.
Die durch DataViewing*** erstellten Panoramaaufnahmen [„Roundview***s“] werden dritten Personen, öffentlichen und privaten Einrichtungen [„Lizenznehmer*innen“] durch (Lizenz-)Vertragsabschluss zur Verfügung gestellt. Es werden keine exklusiven oder gesonderten Aufnahmen im Auftrag von Lizenznehmer*innen erstellt. Gebiete, für welche bereits Interessent*innen bestehen, werden jedoch priorisiert erfasst.
Die Bilder sind nicht öffentlich zugänglich und erhalten Lizenznehmer*innen des Weiteren nur Zugang zu verpixelten Darstellungen vergleiche Punkt B.3.), welcher wiederum nur auf eigene Zwecke beschränkte Bereiche der Bilderdatenbank von DataViewing*** umfasst. Nicht bzw. nicht ausreichend verpixelte Bilder (bspw. aufgrund von Algorithmusfehlern) können an DataViewing*** - bspw. über den sog. „Web-Viewer“ – von Lizenznehmer*innen bzw. betroffenen Personen gemeldet werden, welche anschließend die Meldung prüft und ggf. Maßnahmen zur Verpixelung ergreift.
Alle Lizenznehmer*innen in einem bestimmten Gebiet erhalten zudem den identen Bilddatensatz.
5. DataViewing*** hat infolge der Ausschreibung vergleiche Punkt B.3.) am 4. September 2023 ein Angebot gelegt und der Antragstellerin am 15. September 2023 den Entwurf eines Lizenzvertrags übermittelt, welcher unter Bezugnahme auf die Allgemeinen Geschäftsbedingungen und Datenschutzhinweise von DataViewing*** unter den in Punkt B.4. genannten Bedingungen gelten soll.
Das Bildmaterial des Straßennetzes im Gemeindegebiet der Antragstellerin wird dieser mittels Abruf über einen „Web-Viewer“ (Software „See*** Street ****“) zur Verfügung gestellt. See*** Street **** wird als Webanwendung (SaaS, Software as a Service) angeboten, welche Zugriff auf die Panoramaaufnahmen auf Straßenniveau ermöglicht. Es beinhaltet auch eine Meldefunktion für eine nachträgliche Verpixelung von Bildern, auf welchen Personen oder KFZ-Kennzeichen nicht ausreichend unkenntlich gemacht worden sind.
Ergänzend besteht laut Angebot der DataViewing*** vom 5. September 2023 die Möglichkeit zu vereinbaren, dass die erhobenen Daten und Bilder auf Festplatte ausgeliefert und in das Eigentum der Antragstellerin übergehen.
Ausgenommen vom der Antragstellerin zur Verfügung gestellten Bildmaterial sind laut Vertragsentwurf nachfolgende Bereiche: Parkplätze auf privaten Grundstücken, Parkhäuser, Gebiete mit hoher Kriminalität und bestimmte sensible Bereiche (z.B. Militäranlagen), Privatstraßen, Parks, Friedhöfe, Fußgängerzonen, Wirtschaftswege, Forstwege/ Waldwege und Naturschutzgebiete.
Des Weiteren beinhaltet der Vertragsentwurf u.a. nachfolgende Bedingungen (auszugsweise, soweit verfahrensrelevant):
„[…] Dem Lizenznehmer ist ohne vorherige schriftliche Zustimmung von DataViewing*** nicht gestattet:
das Bildmaterial und/oder Information in irgendeiner Form zu veröffentlichen (dies einschließlich aller denkbaren digitalen bzw. Internetanwendungen).
das Bildmaterial und/oder die Information auf sonstige Weise durch Dritte, gleich für welche Zwecke, verwenden zu lassen;
Metadaten aus dem Bildmaterial und den zugehörigen Dokumentationen abzuleiten, soweit diese nicht erforderlich sind für die mit dem Bildmaterial beabsichtigte und vereinbarte Nutzung. Die Ableitung von Daten über die Aufnahmeorte sowie von Daten über natürliche Personen, deren Daten anonymisiert wurden, ist in keinem Fall gestattet; […]“
6. Am 11. Dezember 2023 legte die DataViewing*** der Antragstellerin ein (kostenpflichtiges) Zusatzangebot vor, welches eine zusätzliche Datenprozessierung beinhaltete, konkret die Ganzkörper-Verpixelung von Personen in Eingangsbereichen von Kirchen, Gebetshäusern, Krankenhäusern, Frauenhäusern und Gefängnissen.
7. Im Zeitpunkt der vorliegenden Antragstellung lag kein (Lizenz-)Vertragsschluss zwischen der DataViewing*** und der Antragstellerin vor, sondern fanden konkrete Vertragsverhandlungen statt. Dementsprechend erfolgte bislang auch kein Zugriff der Antragstellerin auf die Bilddatenbank.
8. Im Oktober 2023 erfolgte eine Befahrung und Aufnahme des Straßennetzes im Gemeindegebiet der Antragstellerin durch DataViewing*** (wie ausgeführt, ohne konkreten Auftrag der Antragstellerin).
9. Die Datenschutz-Folgenabschätzung [nachfolgend: DSFA] der Antragstellerin iZm. der geplanten Inanspruchnahme der durch DataViewing*** angebotenen Dienstleistung, signiert am 28. bzw. 29. November 2023, beinhaltet u.a. folgende Ausführungen samt jeweils eigens angeführtem „Risikofaktor“ (auszugsweise soweit verfahrensrelevant, Formatierung nicht 1:1 wiedergegeben, Hervorhebung der Risikofaktoren durch die DSB):
„Datenschutz-Folgenabschätzung
römisch eins. Bezeichnung der Verarbeitungstätigkeit:
Panoramabilder des N***er Straßennetzes
Zuständige Abteilung:
MA **** – Stadtvermessungsamt der Stadt N***
MA **** – Straßenamt der Stadt N***
römisch II. Beschreibung der Verarbeitungstätigkeit:
1. Grundlegende Informationen
Welche personenbezogenen Daten werden verarbeitet? Risikofaktor: Mittel
Panoramabilder des N***er Straßennetzes (1.*** km gem. Ausschreibung)
Datenquelle: Software als Hostingservice (‘SaaS’) der Firma DataViewing*** Deutschland AG
Der Stadt N*** werden als Lizenznehmer in der SaaS-Lösung folgende Daten zur Verfügung gestellt:
(1) Roundview***s (Prozessierte Panoramabilder), (2) LiDAR Punktwolke des Datenbestandes (Oberflächenmodell)
Für welchen Zweck werden die personenbezogenen Daten verarbeitet? Risikofaktor: Niedrig
(1) Schaffung einer Geodateninfrastruktur für Zwecke der Umweltpolitik und anderer politischer Maßnahmen oder Tätigkeiten, die direkte oder indirekte Auswirkungen auf die Umwelt haben können.
(2) Grundlagenforschung für die örtliche Raumplanung als Datenbasis für die der gesetzlich vorgesehenen Raumplanungsinstrumente
(3) Verwaltung der Verkehrsflächen der Gemeinde, Straßenerhaltung
Welche Kategorien von betroffenen Personen sind durch die Verarbeitung erfasst? Risikofaktor: Mittel
Natürliche Personen, die direkt oder indirekt über Elemente, die auf den Aufnahmen sichtbar sind, identifizierbar sind (Quelle: DSGVO-Leitfaden der DataViewing***, Sitzung 10)
Wie viele Personen sind von der Verarbeitung betroffen? Risikofaktor: Hoch
Gesamtbevölkerung von N*** (Stand 01.01.2023: 21*.*** Hauptwohnsitze, 29*.*** Haupt- und Nebenwohnsitze)
Mit Hilfe welcher Technologie werden die Daten verarbeitet? Werden dabei auch neue Technologien genutzt? Risikofaktor: Mittel
Die Datenverarbeitung basiert auf der SaaS-Lösung. Der User-Zugriff auf die Daten erfolgt über die See*** Street ****-Lösung. (Pkt. 4 des Konzepts zur Qualitätssicherung von DataViewing***). In See*** Street **** verarbeitet DataViewing*** sämtliche User-Zugriffe auf Basis Protokolldaten und IP-Adressen (Pkt. 2 der Datenschutzerklärung See*** Street **** von DataViewing***).
Die Stadt N*** ist auf Grund der Lizenzvereinbarung berechtigt, vom gelieferten Datenmaterial Kopien anzufertigen. Die Datenkopien werden bei den berechtigten Abteilungen des Magistrats N*** wie folgt lokal gespeichert:
Es erfolgt keine lokale Speicherung des gesamten Bildmaterials aus der SaaS-Anwendung. Fallbezogen werden auf Sachbearbeiterebene aus der Anwendung mit Einzeldownload bzw. Screenshot Bilder kopiert und lokal in Fileservern bzw. Elak-Anwendungen weiterverarbeitet.
Die Daten werden von DataViewing*** zu Visualisierungs-, Auswertungs- und Downloadzwecken in einem webbasierten Mobile Mapping Viewer zur Verfügung gestellt. Die Speicherung der Daten erfolgt auf einem externen cloudbasierten, DSGVO-konformen Server auf dem Gebiet der Europäischen Union. (Seite 8 des Antwortschreibens von DataViewing*** an Stadt N*** zur Einhaltung der Ausschreibungsbedingungen).
Wurden die betroffenen Personen über die Verarbeitung informiert? Und wenn ja, welche Informationen wurden ihnen dabei gegeben? Risikofaktor: Niedrig
(1) Information von SRIW Selbstregulierung Informationswirtschaft e.V.
https://geodatenkodex.de/detail/DataViewing***-deutschland-ag-erstellt-ab-09-oktober-2023-bildmaterial
(2) Presseaussendung im Webbeitrag https://www.n***.gv.at/cms/beitrag/*4*6/0*9*01/Vermes-sung_der_Stadt_Kamerafahrten_durch_N***.html
Werden in der Verarbeitung automatisiert Entscheidungen über die betroffene Person getroffen? Risikofaktor: Niedrig
Nein, Jedenfalls nicht durch die Stadt N***.
Werden die personenbezogenen Daten mit anderen Datensätzen kombiniert oder verglichen? Risikofaktor: Niedrig
Nein, Jedenfalls nicht durch die Stadt N***.
Wie werden die Daten erfasst? Risikofaktor: Mittel
Die Stadt N*** ist nicht für die Erfassung des Bildmaterials durch Kamerabefahrung verantwortlich, sondern nur Lizenznehmerin für gelieferte und bearbeitete Panoramabilder sowie LIDAR-Daten.
Die Panoramabilder stammen aus einer Kamerabefahrung des N***er Straßennetzes durch die Firma DataViewing*** Technology B.V., U***straat *88/*3, **** O***, Niederlande bzw. deren Tochterunternehmen DataViewing*** Deutschland AG, R***platz *53, *0*7* P***.
Die DataViewing*** Technology B.V. und ihre verbundenen Unternehmen wie die DataViewing*** Deutschland AG sind darauf spezialisiert, an Lizenznehmer 360°-Visualisierungen von Straßen als prozessierte Panoramabilder zur Verfügung zu stellen.
Bei der Erbringung der Dienste handeln DataViewing*** Technology B.V. und ihre verbundenen Unternehmen als gemeinsam Verantwortliche iSd. Artikel 26, DSGVO. (Pkt. 1.1. des DSGVO-Leitfadens der DataViewing***)
Wird sichergestellt, dass nur für den angegebenen Zweck erforderliche Daten erfasst werden? Risikofaktor: Niedrig
Der Zugriff auf DataViewing***-Daten über die SaaS-Lösung See*** Street **** erfolgt mit Authentifizierung. (Pkt. 2 der Datenschutzerklärung See*** Street **** von DataViewing***). Die Leserolle wird nur berechtigten Personen im Magistrat N*** eingeräumt.
Ebenso wird der Zugang zu Bildern aus der Datenkopie nur berechtigten Personen im Magistrat N*** eingeräumt.
In welchem Umfang werden die Daten verarbeitet? Risikofaktor: Hoch
Die Lizenzvereinbarung zwischen Stadt N*** und der Fa. DataViewing*** Deutschland AG bezieht sich auf das gesamte öffentliche N***er Straßennetz (1.*** km) mit folgenden Ausnahmen:
1. Parkplätze auf privaten Grundstücken, Parkhäuser, 2. Gebiete mit hoher Kriminalität oder sensiblen Bereichen (Militär, Rotlichtviertel, usw.), 3. Privatstraßen, 4. Parks, 5. Friedhöfe, 6. Fußgängerzonen, 7. Wirtschaftswege (Feldwege), 8. Forstwege/ Waldwege, 9. Naturschutzgebiete
(Siehe Pkt. 2.1.2 des Befahrungskonzepts der Fa. DataViewing***). Entgegen dem ursprünglichen Befahrungskonzept wurden öffentliche Parkanlagen und Fußgängerzonen befahren, weil diesbezüglich Ausnahmengenehmigungen durch das Straßenamt erteilt wurden.
Das genaue Verzeichnis der von der Lizenzvereinbarung erfassten Straßen ergibt sich aus dem Auftragsschreiben der Stadt N***, Stadtvermessungsamt vom [Entwurf vom 15. 09. 2023]
Wer ist Verantwortlicher der Datenverarbeitung im Sinn des Artikel 4 Ziffer 7, DSGVO? Risikofaktor: Hoch
Dazu wird in der Datenschutzinformation von DataViewing*** ausgeführt:
„DataViewing*** ist als eigenständige Verantwortliche einzustufen. DataViewing*** bestimmt z.B. ihre eigenen Verarbeitungszwecke sowie die technischen Mittel, mit denen die personenbezogenen Daten verarbeitet werden, u.a. wie die Aufnahmen mittels unserer patentierten Technologie erfasst und auf unseren Cloud-Servern gespeichert werden. Wir bestimmen auch, von welchen Gebieten wir in welcher Granularität Aufnahmen erstellen, welche Kunden Zugang zu unserer Datenbank erhalten oder wie lange die Aufnahmen aufbewahrt werden. Wir erstellen keine exklusiven oder gesonderten Bilder im Auftrag unserer Kunden, sondern erfassen Gebiete aus eigener Initiative, da wir eine vollständige Abdeckung des öffentlichen Straßenraums anstreben. Aus Effizienz und Logistikgründen priorisieren wir je nach Sachlage die Erfassung von Gebieten, in denen wir bereits mindestens einen Kunden bzw. Interessenten gewonnen haben und weitere Potentiale erkennen. Alle Kunden in einem bestimmten Gebiet greifen jedoch auf den gleichen Datensatz zu und verwenden keinen eigens für sie erstellten. Wir richten uns also nicht nach den Anforderungen eines spezifischen Kunden und behalten die Kontrolle über die verarbeiteten Aufnahmen.“
In Pkt. 1.2. des Anhangs – Schutz Personenbezogener Daten wird von DataViewing*** ausgeführt:
„Dieser Anhang gilt, soweit DataViewing*** personenbezogene Daten, wie nachfolgend beschrieben, an den Datenempfänger überträgt, die der Datenempfänger als eigenständig Verantwortlicher verarbeitet. DataViewing*** und der Datenempfänger erkennen an, dass beide jeweils für sich die von ihnen verarbeiteten personenbezogenen Daten als unabhängige, selbständige Verantwortliche (im Sinne von Artikel 4, Nr. 7 Datenschutz-Grundverordnung ("DSGVO"); die Parteien sind keine gemeinsam Verantwortlichen) verarbeiten. Sowohl der Datenempfänger als auch DataViewing*** handelt dabei in Übereinstimmung mit der DSGVO und allen weiteren gesetzlichen Vorschriften, Verhaltenskodizes und sonstigen anwendbaren Datenschutzbestimmungen.“
Ferner wird im Pkt. 1.2. des DSGVO-Leitfadens von DataViewing*** ausgeführt:
„Die DSGVO unterscheidet zwischen einem Verantwortlichen und einem Auftragsverarbeiter. Diese Abgrenzung ist wichtig, weil sich die Zuständigkeiten und Pflichten eines Verantwortlichen von denen eines Auftragsverarbeiters unterscheiden. […]. Ausgehend von diesen Begrifflichkeiten ist DataViewing*** als eine Verantwortliche einzustufen. DataViewing*** bestimmt zum Beispiel die technischen Mittel, mit denen die personenbezogenen Daten verarbeitet werden, da die Aufnahmen mit unserer patentierten Technologie erfasst und auf unseren Cloud-Servern gespeichert werden. Wir bestimmen auch, von welchen Gebieten wir in welcher Granularität Aufnahmen erstellen, welche Kunden Zugang zu unserer Datenbank erhalten und wie lange die Aufnahmen aufbewahrt werden. Darüber hinaus erstellen wir keine exklusiven oder gesonderten Aufnahmen im Auftrag unserer Kunden, sondern erfassen Gebiete auf eigene Initiative, da wir eine vollständige Abdeckung des öffentlichen Straßenraums anstreben. Da unsere Daten unterschiedlichen Nutzergruppen aus diversen Branchen zugänglich gemacht werden, achten wir auf einen möglichst generischen Datensatz. Aus Effizienz- und Logistikgründen priorisieren wir je nach Sachlage die Erfassung von Gebieten, in denen wir bereits mindestens einen Kunden bzw. Interessenten gewonnen haben und weiteres Potential erkennen. Alle Kunden in einem bestimmten Gebiet greifen jedoch auf den gleichen Datensatz in unserer Datenbank zu und verwenden keinen eigens für sie erstellten Datensatz. Wir richten uns also nicht nach den Anforderungen eines spezifischen Kunden, behalten die Kontrolle über die verarbeiteten Aufnahmen und entscheiden, welche Kunden Zugang zu den Daten haben. In Ziffer 2 weiter unten wird beschrieben, wie wir unseren DSGVO-Verpflichtungen als Verantwortliche nachkommen. Da Sie als unser Kunde das Bildmaterial für Ihre eigenen geschäftlichen Zwecke nutzen werden, sind auch Sie - wie DataViewing*** - als Verantwortlicher für Ihre eigene Datenverarbeitung einzustufen. Schließlich bestimmen Sie, ob die von Ihnen abgerufenen Aufnahmen für bestimmte Zwecke nützlich oder erforderlich sind, welcher Teil der Aufnahmen für diese Zwecke verwendet wird und welche Nutzer in Ihrer Organisation Zugang zu unserer Datenbank erhalten.“
Wer hat Zugriff auf die personenbezogenen Daten? Haben Auftrags-nehmer Zugriff auf diese Daten und geben diese wiederum an Subauftragsnehmer weiter? Risikofaktor: Mittel
(1) Zur Schaffung einer Geodaten-Infrastruktur MA **** Stadtvermessungsamt der Stadt N***
(2) zum Zweck der örtlichen Raumplanung:
MA **** Stadtbaudirektion der Stadt N***
MA **** Stadtplanungsamt der Stadt N***
MA ****/3 Abteilung für **** & Gewässer der Stadt N***
MA ****/7 Abteilung für Verkehrsplanung der Stadt N***
(3) zur Verwaltung der Verkehrsflächen der Gemeinde, Straßenerhaltung an:
MA **** Straßenamt der Stadt N***
Holding N*** Kommunale Dienste GmbH, Spartenbereich Stadtraum
(Im Rahmen des Service-Level-Agreements bzw. Betriebsführungsvertrags zwischen Stadt N*** und Holding N*** zur Straßenerhaltung)
Die See*** Street **** App – Lösung der Firma DataViewing*** AG hingegen wird von der Stadt N*** nicht eingesetzt werden und wurde diesbezüglich auch kein Lizenzvertrag abgeschlossen.
Werden die Daten an andere Organisationseinheiten weitergegeben (Übermittlung) oder an externe Dritte? Risikofaktor: Niedrig
Nein. Eine Veröffentlichung der lizenzierten Bilddaten im Internet, oder auch eine Überlassung an Dritte durch die Stadt N***, ist vertraglich nicht gestattet (Pkt. 4 des DSGVO-Leitfadens von DataViewing***).
Werden Daten auch außerhalb der EU/EWR weitergeleitet oder haben Personen daraus Zugriff? Risikofaktor: Niedrig
Nein, Jedenfalls nicht durch die Stadt N***.
Wo werden die personenbezogenen Daten gespeichert? Risikofaktor: Niedrig
Die Nutzung der lizenzierten Bilddaten durch die Stadt N*** erfolgt mittels Web-Viewer in der Anwendung See*** Street **** über das SaaS-Service. Es erfolgt keine strukturierte lokale Speicherung des gesamten Bildmaterials aus der SaaS-Anwendung. Fallbezogen werden auf Sachbearbeiterebene aus der Anwendung mit Screenshot Bilder kopiert und lokal in Fileservern bzw. ELAK-Anwendungen weiterverarbeitet.
Wie lange werden die personenbezogenen Daten gespeichert? Risikofaktor: Niedrig
Speicherdauer wird Pkt. 3.3. des DSGVO-Leitfadens von DataViewing***, Sitzung 10, ausgeführt: „Speicherdauer: Angabe, wie lange die Aufnahmen von Ihrer Organisation gespeichert werden (falls Sie Kopien angefertigt haben) oder von Ihnen verwendet werden (falls Sie keine Kopien angefertigt haben, entspräche dies der Laufzeit Ihres Lizenzvertrags mit DataViewing***).“
Die Verarbeitung über Web-Viewer im SaaS-Service erfolgt für die Dauer der Lizenzvereinbarung. Die Stadt N*** hat aktuell eine auf 24 Monate befristete Lizenzvereinbarung auf die SaaS-Anwendung ab Lieferung. Jedoch werden die verarbeiteten Daten und Bilder von DataViewing*** an die Stadt N*** auf Festplatte geliefert (Antwortschreiben DataViewing*** an Stadt N*** vom 5. 9. 2023, Seite 11).
2. Rechtliche Beurteilung
(a) Schwellwertanalyse
Vorfrage: Ist die Verarbeitung in der Datenschutz-Folgenabschätzung-Ausnahmenverordnung (DSFA-AV, Bundesgesetzblatt Teil 2, Nr. 108 aus 2018,) oder in der Datenschutz-Folgenabschätzung-Verordnung (DSFA-V, Bundesgesetzblatt Teil 2, Nr. 278 aus 2018,) gelistet?
Ist eine Datenschutzfolgenabschätzung jedenfalls erforderlich oder kann sie entfallen?
Ja. Erforderlichkeit gem. Paragraph 2, Absatz 2, Ziffer 3, Litera a,) und Litera c,) DSFA-V Bundesgesetzblatt Teil 2, Nr. 278 aus 2018,.
Liegt eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche vor?
Ja, allerdings handelt es sich nicht um eine permanente Überwachung, sondern nur um eine Momentaufnahme zu einem bestimmten Zeitpunkt. Nochmalige Befahrungen sind innerhalb weniger Jahre möglich.
(b) Rechtliche Risikobewertung
Erfolgt die Verarbeitung zu festgelegten, eindeutigen und legitimen Zwecken?
1) Schaffung einer Geodateninfrastruktur für Zwecke der Umweltpolitik und anderer politischer Maßnahmen oder Tätigkeiten, die direkte oder indirekte Auswirkungen auf die Umwelt haben können.
Rechtsgrundlagen:
● Art. 6 Abs. 1 lit e) DSGVO
● § 41 Abs. 3 Statut der Stadt N***
● […]
(2) Grundlagenforschung für die örtliche Raumplanung als Datenbasis für die der gesetzlich vorgesehenen Raumplanungsinstrumente
Rechtsgrundlagen:
● Art. 6 Abs. 1 lit e) DSGVO
● § 41 Abs. 2 Z 11 Statut der Stadt N*** „örtliche Raumplanung“
● […]
(3) Verwaltung der Verkehrsflächen der Gemeinde, Straßenerhaltung
Rechtsgrundlagen:
● Art. 6 Abs. 1 lit e) bzw. lit f) DSGVO
● § 41 Abs. 2 Z 8 Statut der Stadt N*** „Verwaltung der Verkehrsflächen der Gemeinde“
● […]
[…]
Werden nur die für den konkreten Zweck notwendigen Daten verarbeitet oder gibt es gelindere Mittel? Können statt personenbezogenen Daten auch anonyme Daten verwendet werden?
● Panoramabilder werden zu den oben genannten Zwecken verarbeitet.
● Ziel der Bildverarbeitung zum öffentlichen N***er Straßennetz ist die Bereithaltung einer Datengrund-lage zu Objektdaten
● Folgende Maßnahmen werden seitens des Lizenzgebers ergriffen, um das in der SaaS-Anwendung bereit gestellte Bildmaterial zu pseudonymisieren:
Pkt. 2.2. des DSGVO-Leitfadens von DataViewing*** lautet dazu:
„Unkenntlichmachung:
Da Gesichter und Nummernschilder für den Zweck der Verarbeitung bedeutungslos sind, setzen wir ein Soft-ware-Tool ein, das Gesichter und Nummernschilder in den Aufnahmen automatisch erkennt und unkenntlich macht ("Blurring"). Dieses Software-Tool verwendet einen von DataViewing*** entwickelten Algorithmus, der mithilfe von Datensätzen mit Panoramafotos aus dem Straßenraum "trainiert" wurde. Unsere Kunden erhalten erst dann Zugang zu den Straßenbildern in unserer Datenbank, wenn die Rohdaten durch dieses Software-Tool entsprechend den Blurring-Prozess durchlaufen haben. Es ist wichtig festzuhalten, dass dieser Prozess der Unkenntlichmachung von Gesichtern und Nummernschildern irreversibel ist; selbst wir können dies in den Rohdaten nicht rückgängig machen.“
„Weitere Beispiele für Maßnahmen, die wir getroffen haben:
● Unsere Aufnahmen werden von uns nicht öffentlich zugänglich gemacht (z. B. im Internet);
● Unsere Kunden haben keinen Zugang zu sämtlichen Aufnahmen, sondern nur zu den relevanten geographischen Bereichen innerhalb der Bilddatenbank, für die sie eine räumlich abgegrenzte Lizenz erworben haben;
● Die Datenbank wird auf Hochsicherheitsservern gespeichert;
● Wir verwenden Passwörter, Kennungen und andere technische Sicherheitsmaßnahmen, um unbefugten Zugriff auf unsere Datenbank zu verhindern;
● Kunden erhalten erst dann Zugang zu unserer Datenbank, wenn die Rohdaten mithilfe des DataViewing*** Software-Tools dem Blurring-Prozess unterzogen worden sind;
● Die Speicherung des Rohbildmaterials - vor Ausführung der Unkenntlichmachung – erfolgt in einem nicht-offenen, proprietären Format;
● Das Unkenntlichmachen findet innerhalb der Rohdaten statt;
● Das Bildmaterial ist nur für Mitarbeiter und/oder Dritte zugänglich, deren Arbeit und Tätigkeitsbereich den Zugriff auf diese Daten erfordern und die dazu ausdrücklich berechtigt wurden;
● Alle Mitarbeiter und/oder Dritte, die zum Zugriff auf das Bildmaterial berechtigt sind, werden ordnungsgemäß und vollständig über ihre Verpflichtungen hinsichtlich der rechtmäßigen Verarbeitung des Bildmaterials und der aus diesem Material abgeleiteten Daten informiert;
● Alle erteilten Berechtigungen werden rechtzeitig geändert, wenn Mitarbeiter andere Aufgaben übernehmen oder das Unternehmen verlassen;
● Alle erteilten Berechtigungen und alle diesbezüglichen Änderungen werden regelmäßig überprüft; und
● In unserer Anwendung See*** Street **** steht eine "Blurring-Schaltfläche" zur Verfügung, mit dem die Nutzer der Datenbank DataViewing*** auf einfachem Wege benachrichtigen können, falls ein Gesicht oder ein Nummernschild ausnahmsweise nicht (ausreichend) unkenntlich gemacht wurde. DataViewing*** wird dann bei Bedarf die entsprechenden Stellen manuell unkenntlich machen.“
Im Antwortschreiben von DataViewing*** Deutschland AG an die Stadt N***, Seite 11, zur Einhaltung der Ausschreibungsbedingungen wird dazu ferner ausgeführt:
„Die Verpixelung von KFZ-Kennzeichen und Gesichtern ist im Zuge des Datenschutzes (DSGVO) gesetzlich vorgeschrieben. DataViewing*** hat hierfür einen teilautomatisierten Prozess entwickelt, um den Datenschutzanforderungen nachzukommen. Der Prozess besteht aus mehreren Schritten:
● Erkennung
● Überprüfung
● Verpixelung nach Stand der Technik (automatisch oder, wenn erforderlich, manuell: mindestens 95%)
● Melden von Fehlern über die Nachverpixelungsfunktion in der Software „See*** Street ****“: Etwaige Meldungen werden innerhalb von maximal 10 Werktagen bearbeitet und korrigiert“
Aus Sicht der Stadt N*** sind zum dargestellten Prozess der Verpixelung gelindere Mittel nicht umsetzbar, da bei einer Bilderfassung des N***er Straßennetzes Personen und Fahrzeuge nicht komplett ausgeblendet werden können, ohne die Erreichung des Zwecks der Verarbeitung, nämlich die Bereitstellung eines möglichst durchgängigen Datensatzes von Panoramabildern unmöglich zu machen.
Werden die Daten nur solange (personenbezogen) aufbewahrt, als dies zur Erreichung des Zwecks absolut erforderlich ist?
Da es sich um Bildmaterial handelt, das vom Lizenzgeber DataViewing*** über Web-View in einem prozessierten, also weitgehend verpixelten Format zugänglich ist, unterliegt dieses keiner Befristung.
Der Web-View besteht für die Dauer der Lizenzvereinbarung.
Eine Lokale Speicherung durch die Stadt N*** als Lizenznehmer ist vertraglich möglich, das gesamte Bildmaterial wird aber von der Stadt N*** nicht als Datenkopie verarbeitet, sondern es werden nur unstrukturiert im Anlassfall für die genannten Verwaltungszwecke Bilder mit Screenshot erstellt und lokal gespeichert.
Haben nur die Personen Zugriff auf personenbezogene Daten, die diese tatsächlich im Rahmen der Zweckerfüllung benötigen?
Ja dies trifft zu. Nur Bediensteten aus den relevanten Abteilungen im Magistrat N*** erhalten über die Anwendung See*** Street **** eine Zugriffsberechtigung.
Wurde der Betroffene ausreichend informiert?
Die nach Artikel 13, und 14 DSGVO erforderlichen Informationen wurden auf der Website der Stadt N*** unter www.n***.gv.at/datenschutzinformation unter dem Link Panoramabilder des N***er Straßennetzes veröffentlicht.
[…]
3. Technische Risikobewertung
Das technische Risiko für die Phase der Bildaufnahme im Zuge der Befahrung des N***er Stadtgebietes trägt ausschließlich die Firma DataViewing*** AG, weil diese laut eigenen Angaben selbst Verantwortlicher zur Datenverarbeitung aus rechtlicher Sicht ist. Dieses technische Risiko ist also aus Sicht der Stadt N*** nicht zu bewerten, da die Stadt N*** nur Lizenznehmerin für das prozessierte Bildmaterial ist.
Das technische Risiko wird aus Sicht der Stadt N*** als Lizenznehmerin für die unkenntlich gemachten personenbezogenen Daten als niedrig eingestuft, weil diese Bilddaten ausschließlich auszugsweise auf gesicherten Servern in den Rechenzentren der Stadt N*** gespeichert werden. Der Zugriffsschutz ist über ein etabliertes Berechtigungskonzept gewährleistet. Die Übertragung über Internet erfolgt über eine verschlüsselte Verbindung.
Zusätzlich werden diese anonymisierten Bilddaten des N***er Stadtgebietes nicht über Internet einer breiten Öffentlichkeit zur Verfügung gestellt.
Als Backup erhält die Stadt N*** eine Festplatte mit allen prozessierten Daten (siehe Antwortschreiben von DataViewing*** vom 5. 9. 2023, Seite 11). Diese Festplatte muss gesichert aufbewahrt werden.
4. Maßnahmen zur Risikobegrenzung
Festgestelltes Risiko | Wahrscheinlichkeit eines Risikoeintritts, Auswirkung und Folgen für betroffene Personen | Maßnahmen zur Risikobegrenzung | Restrisiko |
Gefahr, dass personenbezogene Informationen von Unbefugten missbräuchlich verwendet werden, dadurch, dass zB Personen auf verarbeiteten Bildern zu erkennen sind. | mittel; Es könnten für Betroffene Nachteile im täglichen Leben entstehen (zB Hinweise auf Religionszugehörigkeit, Krankheit, soziale Kontakte). Diskriminierung des Betroffenen in einem Teilbereich seines Lebens (z.B. an der Arbeitsstelle durch Kol- legen)- | - Vertraglicher Ausschluss der Aufnahme bestimmter schützenswerter/sensibler Gebiete - irreversible Verpixelung von Bildern zur Unkenntlichmachung von Gesichtern (in besonders sensiblen Gebieten erfolgt die Verpixelung der gesamten Person) und KFZ-Kennzeichen - Funktion zur Nachverpixelung ist vorgesehen - Verwendung des Bildmaterials ausschließlich durch Lizenznehmer - Zugriff auf das Bildmaterial ausschließlich durch befugte und geschulte Mitarbeiterinnen (Zugriffs- und Zugangsbeschränkungen) - Zugriff auf das Bildmaterial durch verschlüsselte Internetverbindung -Verwendung des Bildmaterials ausschließlich für die definierten Zwecke - auszugsweise Speicherung des Bildmaterials innerhalb der gesicherten Rechenzentren der Stadt N*** - Verarbeitung des Bildmaterials durch DataViewing*** AG auf Basis deren Datenschutzerklärung - gesicherte Aufbewahrung der Festplatte mit den Backup-Daten | niedrig |
Gefahr, dass Bilddaten für andere als die definierten Zwecke verwendet werden. | mittel; Bei zweckentfremdeter Verwendung der Bilddaten werden Betroffene ihres Rechtes beraubt, jederzeit über ihre Daten verfügen zu können. | - Zugriff auf das Bildmaterial ausschließlich durch befugte und geschulte Mitarbeiterinnen (Zugriffs- und Zugangsbeschränkungen) - organisationsinterne Festlegung, für welche Zwecke die Bilddaten verarbeitet werden dürfen (über „Informationen zur Verarbeitungstätigkeit") - Gewährleistung der Betroffenenrechte (Löschung, Berichtigung, Widerspruch etc.) | niedrig |
| mittel; Verwendung des Bildmaterials zur Verfolgung von Straftatbeständen gern. StVO => materieller Schaden für Betroffene | - organisationsinterne Festlegung, für welche Zwe- cke die Bilddaten verarbeitet werden dürfen | niedrig |
5. Implementierung
Wer ist für die Implementierung der getroffenen Maßnahmen zuständig?
Für die Umsetzung der Maßnahmen sind die Fachabteilungen Stadtvermessungsamt und Straßenamt der Stadt N*** verantwortlich. Für jene Maßnahmen, die nur durch die Firma DataViewing*** AG durchgeführt werden können, ist die Firma DataViewing*** AG verantwortlich.
angemessene Datensicherheitsmaßnahmen | umgesetzt durch Verwendung geeigneter Technologie (IT-Sicherheit in den Rechenzentren der Stadt N***, Verpixelung nach dem Stand der Technik, Datenzugriff über verschlüsselte Internetverbindung). |
Zugriffsschutz durch Berechtigungen | Berechtigungskonzept zum Zugriff auf das lizensierte Bildmaterial entsprechend den organisatorischen Regelungen und Strukturen der Stadt N***. |
vertragliche Festlegung der zu befahrenden Gebiete (Ausschluss sensibler Bereiche) | Abschluss des Lizenzvertrages zwischen Stadt N*** und DataViewing*** AG zum gegebenen Datum. |
Nur geschulte Mitarbeiterinnen haben Zugriff auf das Bildmaterial | Mitarbeiterinnen in den Fachabteilungen sind datenschutzrechtlich unterwiesen. |
Verwendung des Bildmaterials nur für die fest- gelegten Zwecke | Veröffentlichte „Informationen zur Verarbeitungstätigkeit" im Internet auf der Homepage der Stadt N***. |
Beweiswürdigung: Die getroffenen Feststellungen beruhen auf den Eingaben der Antragstellerin vom 29. November 2023, vom 22. Dezember 2023 (ha. eingelangt am 29. Dezember 2023) und vom 9. Jänner 2024 sowie den im Zuge dessen jeweils in Kopie vorgelegten Dokumenten. Des Weiteren auf einer amtswegigen Abfrage der Webseite von DataViewing*** unter www.dataviewing***.com, letztmalig abgefragt durch die Datenschutzbehörde am 18. Jänner 2024.
C. In rechtlicher Hinsicht folgt daraus:
C.1. Allgemeines und anwendbare Rechtsvorschriften
Personenbezogene Daten iSd. DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Artikel 4, Ziffer eins, DSGVO).
Laut ErwG 26 der DSGVO sollten bei der Beurteilung der Identifizierbarkeit alle Mittel, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, berücksichtigt werden. Insbesondere auch objektive Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand.
Das von einer Kamera aufgezeichnete (aufgenommene) Bild einer Person fällt unter den Begriff der personenbezogenen Daten, sofern es die Identifikation der betroffenen Person ermöglicht vergleiche EuGH 11.12.2014, C-212/13, Rz 22). Zudem stellen Bildverarbeitungen (mittels Kameras) regelmäßig eine automatisierte Verarbeitung iSd. DSGVO dar. Die Legaldefinition nach Artikel 4, Ziffer 2, verlangt dabei keine „Mindestverarbeitung“, etwa in Form einer andauernden Aufzeichnung bzw. Speicherung vergleiche hierzu Erkenntnis des BVwG vom 3.9.2019, GZ: W214 2219944-1).
Sofern Personen, welche den überwachten Bereich betreten, anhand ihres Aussehens oder anderer spezifischer Merkmale identifizierbar sind, handelt es sich um die Verarbeitung von personenbezogenen Daten. Das potenzielle Risiko des Missbrauchs dieser Daten wächst mit der Größe des überwachten Bereichs und der Zahl der den Bereich frequentierenden Personen vergleiche EDPB-Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Rz. 7).
Bilddaten stellen jedoch nicht per se eine besondere Kategorie personenbezogener Daten dar vergleiche den Bescheid der DSB vom 7.6.2018, GZ: DSB-D202.207/0001-DSB/2018).
Der Personenbezug von KFZ-Kennzeichen ergibt sich aus der in Paragraph 47, Absatz 2 a, KFG 1967 normierten Möglichkeit der Auskunftserteilung, welche eine Identifizierbarkeit eines Zulassungsbesitzers mit verhältnismäßigen Mitteln ermöglicht vergleiche etwa den Bescheid der DSB vom 27. August 2019, GZ: DSB-D124.104/0005-DSB/2019).
Verantwortlicher iSd. DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Artikel 4, Ziffer 7, DSGVO).
Die Ermittlung und Festlegung der datenschutzrechtlichen Rollenverteilung ist nicht nur im Beschwerdeverfahren gem. Artikel 77, Absatz eins, DSGVO, sondern in jedem denkmöglichen Verfahren vor der Datenschutzbehörde unabdingbarer Ausgangspunkt für eine weitergehende inhaltliche Prüfung. Erst auf diese Weise kann nämlich beurteilt werden, wem die Einhaltung der in der DSGVO festgelegten Pflichten (Artikel 24, ff; gegenständlich: Artikel 36, DSGVO) tatsächlich obliegt bzw. wem allfällige Verstöße und Verletzungen zuzurechnen wären.
Die Rolle des Verantwortlichen ergibt sich dabei in erster Linie aus dem Faktum, dass eine bestimmte Stelle tatsächlich entschieden hat, personenbezogene Daten für ihre Zwecke zu verarbeiten. Der „Zweck“ beschreibt dabei ein erwartetes Ergebnis, während die „Mittel“ die Art und Weise festlegen, wie das erwartete Ergebnis erreicht werden soll vergleiche Artikel 29 -, D, a, t, e, n, s, c, h, u, t, z, g, r, u, p, p, e, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169).
Gemäß Artikel 36, Absatz eins, DSGVO konsultiert der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35, leg. cit. hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung nicht im Einklang mit dieser Verordnung stünde, unterbreitet sie dem Verantwortlichen entsprechende schriftliche Empfehlungen und kann ihre in Artikel 58, DSGVO genannten Befugnisse ausüben (Absatz 2, leg. cit.).
Der Verantwortliche stellt der Aufsichtsbehörde dabei die in Artikel 36, Absatz 3, Litera a bis Litera f, DSGVO genannten Informationen – dabei insbesondere die Datenschutz-Folgenabschätzung - zur Verfügung.
Auch wenn dies aus der deutschen Fassung – anders als bei anderen Sprachfassungen (englisch etwa „shall“) - nicht unzweideutig hervorvorgeht, muss schon aufgrund einer systematischen Betrachtung der DSGVO (Normierung der Pflichten des Verantwortlichen in Kapitel 4) sowie der Strafbewehrtheit eines Verstoßes vergleiche Artikel 84, Absatz 4, Litera a, DSGVO) davon ausgegangen werden, dass es sich bei der vorherigen Konsultation bei Vorliegen der Voraussetzungen um eine Verpflichtung des Verantwortlichen – keine bloße Möglichkeit – handelt.
Dem Konsultationsverfahren abstrakt (verordnungssystematisch) als auch konkret (zeitlich) vorgelagert, normiert Artikel 35, Absatz eins, DSGVO, dass eine Datenschutz-Folgenabschätzung (DSFA) dann erforderlich ist, wenn aufgrund bestimmter Umstände (Art, Umfang, Zwecke) davon ausgegangen werden kann, dass die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hätte.
Aus Artikel 35, Absatz eins und Absatz 3, DSGVO ist des Weiteren ableitbar, dass der Unionsgesetzgeber insbesondere bei der Verwendung neuer Technologien und (automatisierten) Datenverarbeitungen, welche eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (einschließlich Profiling), umfangreiche Verarbeitung von Daten iSv. Artikel 9 und Artikel 10, DSGVO oder eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche zum Inhalt haben, vom Vorliegen eines hohen Risikos ausgeht.
ErwG 75 der DSGVO führt zum Begriff des Risikos wie folgt aus (Hervorhebung durch die DSB):
„Die Risiken […] können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit […], der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, […], wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, […] oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.“
ErwG 84 der DSGVO führt zur Risikoevaluierung wie folgt aus (Hervorhebung durch die DSB):
„[…] Geht aus einer Datenschutz-Folgenabschätzung hervor, dass Verarbeitungsvorgänge ein hohes Risiko bergen, das der Verantwortliche nicht durch geeignete Maßnahmen in Bezug auf verfügbare Technik und Implementierungskosten eindämmen kann, so sollte die Aufsichtsbehörde vor der Verarbeitung konsultiert werden.“
ErwG 94 der DSGVO führt zur Konsultierung der Aufsichtsbehörde wie folgt aus (Hervorhebung durch die DSB):
„Geht aus einer Datenschutz-Folgenabschätzung hervor, dass die Verarbeitung bei Fehlen von Garantien, Sicherheitsvorkehrungen und Mechanismen zur Minderung des Risikos ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen würde, und ist der Verantwortliche der Auffassung, dass das Risiko nicht durch in Bezug auf verfügbare Technologien und Implementierungskosten vertretbare Mittel eingedämmt werden kann, so sollte die Aufsichtsbehörde vor Beginn der Verarbeitungstätigkeiten konsultiert werden. Ein solches hohes Risiko ist wahrscheinlich mit bestimmten Arten der Verarbeitung und dem Umfang und der Häufigkeit der Verarbeitung verbunden, die für natürliche Personen auch eine Schädigung oder eine Beeinträchtigung der persönlichen Rechte und Freiheiten mit sich bringen können. Die Aufsichtsbehörde sollte das Beratungsersuchen innerhalb einer bestimmten Frist beantworten. Allerdings kann sie, auch wenn sie nicht innerhalb dieser Frist reagiert hat, entsprechend ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen eingreifen, was die Befugnis einschließt, Verarbeitungsvorgänge zu untersagen. Im Rahmen dieses Konsultationsprozesses kann das Ergebnis einer im Hinblick auf die betreffende Verarbeitung personenbezogener Daten durchgeführten Datenschutz-Folgenabschätzung der Aufsichtsbehörde unterbreitet werden; dies gilt insbesondere für die zur Eindämmung des Risikos für die Rechte und Freiheiten natürlicher Personen geplanten Maßnahmen.“
Als Risikoquellen (iSv. Artikel 36, DSGVO) kommen nach der Spruchpraxis der DSB neben rein „technischen“ Risiken all jene Risiken der Datenverarbeitung in Betracht, welche möglicherweise negative Auswirkungen auf eine betroffene Person haben können. Zur Eindämmung des Risikos nennt die DSGVO beispielhaft drei verschiedene Arten von Abhilfemaßnahmen, nämlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO eingehalten wird. Maßgeblich sind somit technische, organisatorische und juristische (insbesondere vertragliche) Maßnahmen, die Abhilfe schaffen sollen. Bei der Beurteilung des verbleibenden Restrisikos sind alle geplanten Maßnahmen zur Gewährleistung einer DSGVO-konformen Verarbeitung miteinzubeziehen vergleiche den Bescheid der DSB vom 2. Februar 2021, GZ: 2021-0.024.862, u.a. unter Verweis auf Trieb in Knyrim, DatKomm Artikel 35, DSGVO, Rz. 116).
Bei dieser Einschätzung kann der Verantwortliche grundsätzlich auch sein eigenes Interesse, kostenintensive Datensicherheitsmaßnahmen nicht einsetzen zu müssen, einbeziehen vergleiche Jandt in Kühling/Buchner, Datenschutz-Grundverordnung (2017) Artikel 36, Rz. 5).
Artikel 32,, 35 und 36 (DSGVO) stellen ein dreistufiges System dar, wonach die Hürden für risikoreiche Verarbeitungen umso höher sind und die Überprüfung dementsprechend umso genauer wird, je höher sich das Risiko und je schwieriger sich dessen Eindämmung darstellen. Eine standardmäßige Durchführung der Konsultation liefe diesem risikobasierten Ansatz der DSGVO zuwider und muss schon aus diesem Grund ein Ausnahmefall bleiben vergleiche Baumgartner in Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Auflage 2018, Artikel 36, Rz. 9).
Die Risikobewertung wird - gegenüber der generellen Meldepflicht gem. des (ehemaligen) Artikel 18, DSRL - auf den Verantwortlichen verlagert vergleiche Jandt in Kühling/Buchner, Datenschutz-Grundverordnung (2017) Artikel 36, Rz. 2).
Auch laut Artikel-29-Datenschutzgruppe ist es nach Durchführung DSFA primär die Aufgabe des Verantwortlichen, die Risiken abzuschätzen und Maßnahmen zu bestimmen, mit deren Hilfe diese Risiken auf ein vertretbares Maß reduziert werden sollen. Nur in denjenigen Fällen, in denen es nicht gelingt, die ermittelten Risiken hinreichend zu bewältigen (folglich die Restrisiken hoch bleiben), muss der Verantwortliche die Aufsichtsbehörde konsultieren vergleiche Art-29-Datenschutzgruppe, Leitlinien DSFA, Working Paper 248 v. 4.10.2017, Sitzung 23).
C.2. Zur gegenständlichen Konsultation
C.2.1. Verfahrensgegenstand und Vorbemerkungen
Gegenstand des vorliegenden Konsultationsverfahrens ist laut Vorbringen der Antragstellerin u.a. das Erheben bzw. Erfassen, das Abfragen und die (Weiter-)Verwendung von Informationen iZm. der Erstellung von Panoramabildern des N***er Straßennetzes, wobei im Rahmen dessen auch natürliche Personen und KFZ-Kennzeichen erfasst werden.
Eingangs wird darauf hingewiesen, dass es die Antragstellerin trotz mehrmaligen Hinweises der Datenschutzbehörde – zumindest im Rahmen der in Kopie vorgelegten DSFA – verabsäumt hat, eine klare Abgrenzung der datenschutzrechtlichen Verantwortlichkeit hinsichtlich der potenziellen Risiken vorzunehmen. Dies zeigt sich etwa daran, dass sie der Frage der Verantwortlichkeit, der Betroffenenanzahl und des Verarbeitungsumfangs jeweils den Risikofaktor „Hoch“ zugeordnet hat, dabei aber weitgehend aus dem Lizenzvereinbarungsentwurf bzw. den AGBs der DataViewing*** zitiert und dies nicht näher erläutert hat.
In einem ersten Schritt war es daher zwecks tatsächlicher Risikobeurteilung unumgänglich, die datenschutzrechtliche Rollenverteilung – je Verarbeitungsschritt - zu klären.
C.2.2. Einzelne Verarbeitungsschritte und diesbezügliche Verantwortlichkeiten
Erheben und Erfassen
Wie den Sachverhaltsfeststellungen (Punkt B.3. und B.4.) zu entnehmen ist, werden Personen und KFZ-Kennzeichen erstmals im Zuge der Erstellung von Panoramabildern unter Nutzung von Fahrzeugen und eines speziellen Befahrungskalenders erfasst. Zu diesem Zeitpunkt sind Personen und Kennzeichen jedenfalls erkennbar (identifizierbar), womit es sich – zumindest in diesem Zeitpunkt - um die Verarbeitung von personenbezogenen Daten iSv. Artikel 4, Ziffer eins, und Ziffer 2, DSGVO handelt vergleiche Ausführungen zu Bilddaten unter Punkt C.1.).
Dabei werden weite Teile des öffentlichen Straßennetzes im Gemeindegebiet der Antragstellerin erfasst. Vor diesem Hintergrund kann der Antragstellerin insofern beigepflichtet werden, als dass ein derart hoher Verarbeitungsumfang mit potenziell vielen Betroffenen (Einwohner laut DSFA: knapp 300.000 Personen) durchaus ein hohes Risiko aufweisen könnte.
Demgegenüber übersieht die Antragstellerin jedoch, dass die DataViewing*** dabei eigenständig sowohl über „Mittel“ (Zeitpunkt, Gebiete, Granularität der Aufnahmen, technische Instrumente) als auch „Zwecke“ (Abschluss von wirtschaftlich lukrativen Lizenzverträgen iZm erstellten Panoramaaufnahmen) entscheidet.
Dies ist nicht zuletzt der DSFA selbst wie auch den sonstigen vorgelegten Unterlagen (Lizenzvertragsentwurf, Geschäftsbedingungen, Anhang und Leitfaden) der DataViewing*** zu entnehmen.
In einem ersten Zwischenschritt kann daher festgehalten werden, dass die von der Antragstellerin im Rahmen der DSFA als „hochrisikoreich“ beurteilten Umstände (Anzahl betroffene Personen, Umfang der Datenverarbeitung, Verantwortlichkeit) bzw. die damit zusammenhängenden Verarbeitungsvorgänge nicht der Antragstellerin als Verantwortliche iSv. Artikel 4, Ziffer 7, DSGVO zuzurechnen sind.
Schon daraus erhellt, dass die Erwägungen iZm. „Google Street View“ nicht auf das gegenständliche Verfahren übertragbar sind. Sofern überhaupt vergleichbar, wäre dies primär für die Verarbeitungstätigkeit durch die DataViewing*** einschlägig.
Im Übrigen wurde die genannte Befahrung auch bereits im Oktober durchgeführt vergleiche Punkt B.8.) und wäre der Verarbeitungsvorgang schon alleine aufgrund dieser Tatsache einer vorherigen Konsultation nicht zugänglich.
Abfragen und (Weiter-)Verwenden
Nachdem das jeweilige Straßennetz (auftragsunabhängig) erfasst und Panoramaaufnahmen („Roundview***s“) erhoben bzw. erstellt worden sind, werden die einzelnen Aufnahmen durch die DataViewing*** geprüft und weiterbearbeitet und erst in bearbeiteter Form an Lizenznehmer*innen (gegenständlich: an die Antragstellerin) weitergegeben.
Wie den Feststellungen zu entnehmen ist, beinhaltet diese Bearbeitung insbesondere die (technische) Veränderung der Bildschärfe, sodass Personengesichter und Fahrzeugkennzeichen für eine*n Durchschnittsbetrachter*in nicht mehr erkennbar sind („Verpixelung“).
Diese Vorgehensweise verringert zwar durchaus die Möglichkeit der Identifizierbarkeit von natürlichen Personen und hat insofern einen datenminimierenden vergleiche Artikel 5, Absatz eins, Litera c, DSGVO) Effekt. Da auch der (volle) Personenbezug für die Verarbeitungszwecke der Antragstellerin (Schaffung einer Geodateninfrastruktur und örtliche Raumplanung) als potenzielle Lizenznehmer*innen nicht notwendig erscheint, mag dies zudem eine geeignete technische und organisatorische Maßnahme iSv. Artikel 25, und 32 DSGVO darstellen.
Gleichzeitig ist jedoch aufgrund der fehlenden standardmäßigen „Ganzkörperverpixelung“ unter Hinzuziehung weiterer Merkmale - dabei insb. der örtliche Standort sowie zeitliche Aspekte - nach Ansicht der Datenschutzbehörde davon auszugehen, dass die Identifizierbarkeit und folglich der Personenbezug nicht gänzlich (im Sinne einer „Anonymisierung“ gem. ErwG 26 DSGVO) beseitigt wird.
Dies ist im Übrigen auch vor dem Hintergrund zu sehen, dass schon aufgrund der allgemeinen Lebenserfahrung und nach eigenen Aussagen der Antragstellerin im Rahmen ihrer Stellungnahmen sowie der DSFA (wiederum unter Berufung auf die Geschäftsbedingungen der DataViewing***) durchaus mit mangelnden „Verpixelungen“ aufgrund technischer Gebrechen zu rechnen ist, also auch in diesen Fällen personenbezogene Daten vorliegen.
Indem die Antragstellerin entscheidet, das von der DataViewing*** prozessierte Bildmaterial über den Webviewer (Mittel) zur Schaffung einer Geodateninfrastruktur, örtlichen Raumplanung uÄ (Zwecke) abzufragen bzw. weiterzuverwenden, begründet sie eine eigenständige Verantwortlichkeit iSv. Artikel 4, Ziffer 7, DSGVO.
C.2.3. Risiko der Datenverarbeitung durch die Antragstellerin
Der den Feststellungen zugrunde gelegten DSFA (Punkt B.9.) ist zu entnehmen, dass die Antragstellerin ausschließlich denjenigen Datenverarbeitungsvorgängen den Risikofaktor „hoch“ zugeordnet hat, welche – wie unter Punkt C.2.2. ausgeführt - allesamt nicht unter die datenschutzrechtliche Verantwortlichkeit der Antragstellerin fallen.
Dies trifft sowohl auf die (hohe) Anzahl der betroffenen Personen als auch auf den Umfang der Datenverarbeitung zu.
Inwiefern die Frage, wer Verantwortlicher der Datenverarbeitung im Sinn des Artikel 4 Ziffer 7, DSGVO ist, ein hohes Risiko darstellen soll, ist weder aus der Begründung im Rahmen der DSFA – welche sich im Wesentlichen auf die bloße Wiedergabe der Datenschutzinformation (samt Anhang) der DataViewing*** beschränkt – ersichtlich, noch wurde dies im Rahmen des vorliegenden Verfahrens näher konkretisiert.
Wie unter Punkt C.1. ausgeführt, sind zudem (Risiko-)Abhilfemaßnahmen - technischer, organisatorischer und juristischer Natur – in die Beurteilung des verbleibenden Restrisikos miteinzubeziehen. Punkt 4 der DSFA („Maßnahmen zur Risikobegrenzung“) ist zu entnehmen, dass dieses in allen Punkten von der Antragstellerin als „niedrig“ eingestuft“ worden ist.
Eine über das durch die Antragstellerin im Rahmen der DSFA festgestellte Risiko hinausgehende Prüfung ist hingegen in keiner Weise Aufgabe der Datenschutzbehörde im Rahmen eines Konsultationsverfahrens und ist der Antragstellerin unter Zugrundelegung der zitierten Judikatur und Literatur entschieden entgegenzutreten, insofern sie eine „exzessive Inanspruchnahme“ des Konsultationsmechanismus zwecks „faktischer Rechtssicherheit“ in den Raum stellt.
Weiters ist das Konsultationsverfahren nicht zur Beantwortung allgemeiner Fragestellungen hinsichtlich der Zulässigkeit von Verarbeitungstätigkeiten und noch weniger zur Beurteilung der Angemessenheit allfälliger Zusatzangebote (bzw. der damit verbundenen Kosten) geeignet. Im Übrigen könnte auch durch ein (zulässiges) Konsultationsverfahren in keinem Fall „abschließende Rechtssicherheit“ durch die Datenschutzbehörde gewährt werden.
Insgesamt kommt die Datenschutzbehörde daher zu dem Ergebnis, dass die Voraussetzungen für die vorherige Konsultation gem. Artikel 36, DSGVO mangels (dargelegtem) hohen Risikos nicht vorgelegen sind.
Es war daher spruchgemäß zu entscheiden.
ECLI:AT:DSB:2024:2024.0.044.042