Verhaltensregeln von Garagen- und Parkplatzbetrieben

insbesondere im Umgang mit personenbezogenen Daten hinsichtlich der DSGVO und dem DSG

1. Ziel

Seit dem 25.5.2018 ist die Datenschutzgrundverordnung (DSGVO) in der gesamten europäischen Union direkt anwendbar. Diese sieht vor, dass Verbände und andere Vereinigungen, die „Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten“ Verhaltensregeln, mit denen die Anwendung der DSGVO präzisiert wird, ausarbeiten, ändern oder erweitern können (Art 40 DSGVO). Gemäß Art. 40 DSGVO werden in diesen Verhaltensregeln die besonderen Verfahren hinsichtlich personenbezogener Daten im Garagengewerbe erläutert und die Regeln der Datenschutzgrundverordnung präzisiert. Damit soll den Mitgliedsbetrieben, aber auch den Kunden, die Verarbeitung diverser Datenprozesse transparent erläutert werden. Gerade hinsichtlich der enormen technischen Entwicklung im IT Bereich und des sich daraus ergebenden Kundenkomforts, ist es notwendig, die Verarbeitung, die vorgesehenen Sicherheitsmaßnahmen (wie etwa Pseudonymisierung), aber auch die berechtigten Interessen der Verantwortlichen hinsichtlich personenbezogener Daten, klar zu beschreiben. Die zugeordneten Verfahrensverzeichnisse werden vom jeweiligen Betreiber individuell erstellt.

Darüber hinaus sollen für die Mitgliedsbetriebe klare Richtlinien für die regelmäßige Schulung der Mitarbeiter, auf allen betrieblichen Ebenen, erstellt werden.

2. Rechtsgrundlage, Anwendungsbereiche

Der Fachverband der Garagen, Tankstellen und Serviceunternehmungen der WKO präzisiert gemäß Art. 40 DSGVO die Verarbeitungen personenbezogener Daten im Garagengewerbe. Dies betrifft insbesondere den Umgang mit Kundendaten im Kurz- und Dauerparkgeschäft, sowie damit im Zusammenhang stehende Vertragsverletzungen und Bildaufzeichnungen zum Schutz des Eigentums. Jeder Betreiber einer öffentlichen Garage kann sich diesen Verhaltensregeln unterwerfen, sofern er das unter Punkt 9 genannte Verfahren einhält.

3. Begriffsbestimmungen

Ergänzend zu Art. 4 DSGVO werden folgende Ausdrücke näher erläutert.

Abstellbedingungen, Garagenordnung: Allgemeine Geschäftsbedingungen von Betreibern, welche dem Einstellvertrag zugrunde gelegt werden. Der Kunde unterwirft sich mit Abschluss des Nutzungsvertrages den Garagen-, Ein- bzw. Abstellbedingung. Bei Ablehnung der in dieser Garagenordnung enthaltenen Bedingungen ist die freie Ausfahrt möglich, wenn sie unverzüglich nach der Einfahrt erfolgt.

Kurzparken: Nutzungsvertrag mit Kunden, der (meist automationsunterstützt) bei der Einfahrt mit dem Kunden durch die Erfassung (wie z.B. Ziehen eines Parktickets, Nutzung einer Kreditkarte oder Verwendung eines berechtigten Mediums als registrierter Kunde, wie z.B. Kennzeichen, Transponder) zustande zu Stande kommt. Der Vertrag endet nach bezahlter Ausfahrt. Registrierte Kurzparker erhalten am Monatsende eine Sammelrechnung.

Dauerparken: Der Kunde erwirbt das Recht der Benützung eines Stellplatzes durch Abschluss eines schriftlichen Nutzungsvertrags. Es kann ein bestimmter Stellplatz zugewiesen werden.

Kennzeichenerfassung: Das Kennzeichen wird schriftlich erfasst.

Parkberechtigungsmedium: Medium, das für die Zufahrt zu einer Garage (inkl. Ein- bzw. Abstellflächen) berechtigt, z.B. Ziehen eines Parktickets, Nutzung einer Kredit- bzw. Debitkarte oder Kundenkarte, KFZ Kennzeichen, Transponder.

4. Vorüberlegungen

Der Betreiber einer öffentlichen Garage verarbeitet personenbezogene Daten von Kunden. Da der Betreiber über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, ist dieser datenschutzrechtlicher Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO.

Sollte der Eigentümer der Garage den Betrieb (die Verwaltung) an ein externes Unternehmen als Betriebsführer übertragen, so gilt der Betriebsführer als Auftragsverarbeiter und der Eigentümer der Garage ist ein datenschutzrechtlicher Verantwortlicher.

Betroffene Person im Sinne des Art. 4 Z 1 DSGVO ist jene juristische oder natürliche Person, die

1.  der Vertragspartner des Einstellvertrags ist oder

2.  der Halter des einfahrenden KFZ ist.

Sollte es sich bei der betroffenen Person um eine juristische Person handeln, sind deren Daten im Sinne des § 1 DSG geschützt. Juristische Personen können Betroffenenrechte im Sinne des DSG, nicht jedoch im Sinne der DSGVO (Art. 12 ff. DSGVO) geltend machen.

Bei einem Dauerparker fährt der Kunde zum Schranken/ Tor der Garage und weist auf eine der folgenden Arten nach, dass er berechtigt ist, die Garage zu nutzen – Voraussetzung ist, dass der Kunde eine Vereinbarung über das Einstellen eines KFZ mit dem Garagenbetreiber geschlossen hat:

1.   Nutzung eines Parkberechtigungsmediums mit ID (QR Code, Magnetstreifen, Lochung)

2.   Garagenschlüssel

3.   KFZ- Kennzeichen (automatisierte oder händische Kennzeichenerkennung)

Gemäß Art. 5 DSGVO („Grundsätze für die Verarbeitung personenbezogener Daten“) sowie Art. 6 DSGVO („Rechtmäßigkeit der Verarbeitung“) ist die Verarbeitung personenbezogener Daten an strenge Maßstäbe geknüpft. Eine Verarbeitung ist jedenfalls in dem hier dargestellten Umfang zulässig.

5. Verarbeitung personenbezogener Daten beim Dauerparken

Sofern der Garagenbetreiber mit dem Kunden bereits einen Einstellvertrag abgeschlossen hat, gelten folgende Regeln:

Die Verarbeitung personenbezogener Daten erfolgt nur für registrierte Kunden oder Kooperationspartner. Je nach Parkberechtigungsmedium werden die Transaktionsdaten der einzelnen Parkvorgänge mit den anfallenden Tarifen verknüpft und am Ende der Abrechnungsperiode (zumeist ein Monat) in Rechnung gestellt. Die Zahlung erfolgt je nach vertraglicher Vereinbarung. Beim Dauerparken kommen als Parkberechtigungsmedium eine Berechtigungskarte, eine Debit- oder Kreditkarte oder das Kennzeichen in Betracht.

In sämtlichen Fällen, in denen personenbezogene Daten auf Grundlage eines bereits bestehenden Vertrag verarbeiten werden (gemäß Punkt 4 die Fälle 5 bis 7) erfolgt die Verarbeitung wie folgt:

Für Kunden, die keine Unternehmer im Sinne des § 1 Abs 2 KSchG sind (Privatkunden) gilt:

Dauerparkkunden schließen entweder persönlich oder schriftlich inen Dauerparkvertrag ab. In den Vertragsunterlagen willigt der Dauerparkkunde explizit in die Verarbeitung des Kennzeichens seiner personenbezogenen Daten im Sinne dieses Punktes ein. Darüber hinaus verweist der Garagenbetreiber auf die Datenschutzerklärung.

Für Kunden, die Unternehmer im Sinne des § 1 Abs 2 KSchG sind (Firmenkunden) gilt:

Der Kunde hat die Möglichkeit für sich, bzw. für eigene Mitarbeiter Nutzungsberechtigungen anzulegen. Sollten dem Garagenbetreiber über den einzelnen Nutzer keine personenbezogenen Daten vorliegen (keine Personifizierung der Nutzungsberechtigung), sind keine weiteren Maßnahmen notwendig.

Vielfach erfolgt eine Vereinbarung mit dem Firmenkunden, dass eine Ausstellung von Berechtigungsmedien an den Nutzer nur über Berechtigungsbestätigungen erfolgt.

Die Datenverarbeitung des Kennzeichens erfolgt aufgrund einer ausdrücklichen Einwilligung des jeweiligen Betroffenen im Sinne des Art. 6 Abs. 1 lit. a DSGVO sowie § 12 Abs. 2 Z 2 DSG.

6. Bildverarbeitung zum Schutz des Eigentums

Bildverarbeitung der vom Verantwortlichen betriebenen Parkgaragen und -plätze (insbesondere des Einganges und des Zutrittsbereiches, der Ein- und Ausfahrtstore, der Kassen und Automaten, der Stiegenhäuser sowie der Parkdecks) gemäß § 12 Abs. 3 Z 2 DSG zum Zweck des Schutzes, der Verhinderung, Eindämmung und Aufklärung strafrechtlich relevanten Verhaltens, soweit hiervon der Aufgabenbereich des Verantwortlichen betroffen ist, mit ausschließlicher Auswertung in dem durch den Zweck definierten Anlassfall. Der Verantwortliche stellt sicher, dass tatsächlich nur die vom Verantwortlichen betriebenen Parkgaragen und -plätze und die sich unmittelbar davor befindlichen Bereiche (maximal ca. 50 cm) von der Bildverarbeitung erfasst werden, nicht jedoch öffentliche Flächen (wie etwa der Gehsteig oder großräumige Flächen der Straße). Zugriffe zu den Videoaufzeichnungen werden gemäß § 13 Abs. 2 DSG protokolliert, wobei bei jedem Zugriff eine Begründung für den Zugriff angegeben werden muss

Notwendigkeit einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO:

Aufgezeichnete Daten sind, sofern sie nicht aus konkretem Anlass für die Verwirklichung der zu Grunde liegenden Schutzzwecke oder für Zwecke nach § 12 Abs 3 Z 2 DSG benötigt werden, werden spätestens nach 14 Tagen gelöscht. Die Abweichung zur gesetzlichen Löschfrist des § 13 Abs 3 DSG wird zur Feststellung von Zahlungsausfällen von Kreditkartentransaktionen benötigt, da der Garagenbetreiber erst nach bis zu zwei Wochen erfährt, dass eine Kreditkartentransaktion von der Bank nicht durchgeführt worden ist. Ohne eine Speicherung für 14 Tage wäre eine Geltendmachung von Ansprüchen nicht mehr möglich. Der Garagenbetreiber ist verpflichtet, Zugriffe zu den Aufzeichnungen zu sichern und jeden Zugriff gemäß § 13 Abs 3 DSG zu protokollieren. Die Verwendung der Aufzeichnungen für andere Zwecke ist nicht zulässig.

Die beschriebene Bildverarbeitung zum Schutz des Eigentums befindet sich mit Ausnahme der Speicherdauer im Rahmen der DSFA-09 DSFA-AV BGBl II 2018/108 (Punkt B). Solange der Garagenbetreiber als Verantwortlicher personenbezogene Daten so verarbeitet, wie dies in diesen Verhaltensregeln vorgesehen ist, stellt dies kein Risiko für die Rechte und Freiheiten der betroffenen Personen dar. Eine Datenschutz-Folgenabschätzung für die Bildverarbeitung zum Schutz des Eigentums ist daher nicht notwendig.

7.  Informationspflichten (einschl. Angaben zur Speicherdauer)

7.1. Speicherdauer Allgemeines zur Erfüllung der Informationspflichten

Die Speicherdauer von Bildern beträgt 30 Tage.

7.2. Datenschutzerklärung

Diese Datenschutzerklärung enthält die gesetzlichen Mindestangaben nach Art. 13 DSGVO.

Datenschutzerklärung - Mitteilung

Diese Mitteilung beschreibt wie wir bbik GmbH, Schüttelstrasse 15/9, 1020 Wien Ihre personenbezogenen Daten verarbeiten (gemäß Art 13 Abs. 1 DSGVO)

1. Zwecke der Datenverarbeitung

Wir werden Ihre personenbezogenen Daten zu folgenden Zwecken verarbeiten:

a) Dauerparkerverwaltung

b) Tarifberechnung für registrierte Kurzparkkunden

c) Kontrolle der Nutzungsbestimmungen (z.B. Parken über zwei Stellplätze)

d) Kontrolle der rechtskonformen Verwendung (z.B. Überschreitung der Gratisparkzeit)

e) Schutz der Einrichtungen (z.B. Vandalismus)

f) Verfolgung missbräuchlicher Verwendung (z.B. Ausfahrt ohne Bezahlung)

Diese Daten erheben wir mittels:

  • der von Ihnen zur Verfügung gestellten Daten zur Vertragserstellung

  • Bildaufzeichnung, Auswertung der Kennzeichendaten

Auf die Bildaufzeichnung und die Erfassung von Kennzeichendaten wird entsprechend der gesetzlichen Vorgaben hingewiesen.

2. Rechtsgrundlagen der Verarbeitung

  • Für die Abrechnung der Parkgebühren (sowohl beim Kurzparken als auch bei Dauerparkern) ist die Rechtsgrundlage „Vertragserfüllung“ (Art. 6 Abs. 1 lit. b DSGVO)

  • Für die Kennzeichenerfassung bei Dauerparkern ist die Rechtsgrundlage Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

  • Für die Kennzeichenerfassung bei Kurzparkern ist die Rechtsgrundlage das berechtigte Interessen des Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO), welche darin bestehen, die oben unter Punkt 1 (a bis f) genannten Zwecke zu erreichen. Gegen diese Datenverarbeitung steht Ihnen ein Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO zu, wenn bei Ihnen Gründe vorliegen die sich aus Ihrer besonderen Situation ergeben.

  • Für die Bildverarbeitung insbesondere des Einganges und des Zutrittsbereiches, der Ein- und Ausfahrtstore, der Kassen und Automaten, der Stiegenhäuser sowie der Parkdecks gemäß § 12 Abs. 3 Z 2 DSG. Die Bildaufzeichnungen werden nur im Anlassfall ausgewertet, wenn entweder das überwachte Objekt selbst (Garage) oder darin abgestellte Fahrzeuge Gegenstand einer Rechtsverletzung wurden.

3. Übermittlung Ihrer personenbezogenen Daten

Zu den oben genannten Zwecken werden Ihre personenbezogenen Daten an folgende Empfänger - im Anlassfall - übermittelt:

  • Auftragsverarbeiter (z.B. Callcenter, Beschwerdemanagement)

  • Abrechnungsplattformen (Tankkarten, Mobilitätskarten etc.)

  • Versicherungen (z.B. bei Beschädigungen)

  • Inkassobüro, Rechtsanwalt, Gerichte

  • Behörden im Rahmen ihres Aufgabenbereiches

  • Auftraggeber des Garagenbetreibers als Betriebsführer

4. Speicherdauer

a)  Bei nicht registrierten Kunden:

Die Löschung des Bildes des Kennzeichens erfolgt bei normaler Parktransaktion in der Regel 24 Stunden nach der Ausfahrt, bei einer Vertragsverletzung 8 Wochen nach Zahlungseingang der offenen Forderung. Die übrigen Daten werden nach Ablauf der steuerrechtlichen Aufbewahrungsfristen von sieben Jahren gelöscht.

b)  Bei registrierten Kunden:

Ihre personenbezogenen Daten werden von uns nur so lange aufbewahrt, wie dies zur Vertragserfüllung erforderlich ist, um die unter Punkt 1 genannten Zwecke zu erreichen:

  • Bei der Abrechnung von Parkzeiten: bis 8 Wochen nach Zahlungseingang.

  • Bei einer Vertragsverletzung: bis 8 Wochen nach Zahlungseingang der offenen Forderung.

  • Die übrigen Daten werden nach Ablauf der steuerrechtlichen Aufbewahrungsfristen von sieben Jahren gelöscht.

  • Für Dauerparker gilt zusätzlich: Bei regulär abgeschlossenen Parktransaktionen: die letzten 30 Bewegungsdaten (Informationen über die Ein- und Ausfahrt, einschl. Bild des KFZ Kennzeichens) zum Zwecke der Nachvollziehbarkeiten von Missbrauch und der Abrechnung von Parküberzeiten.

c) Bildverarbeitung („Videoüberwachung“):

Aufgezeichnete Daten sind, sofern sie nicht aus konkretem Anlass für die Verwirklichung der zu Grunde liegenden Schutz- oder Beweissicherungszwecke oder für Zwecke nach § 12 Abs 3 Z 2 DSG benötigt werden, spätestens nach 30 Tagen zu löschen.

5. Ihre Rechte im Zusammenhang mit personenbezogenen Daten

Ihnen stehen die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch zu. Dafür wenden Sie sich an uns.

Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei der Datenschutzbehörde beschweren.

Sofern die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit widerrufen.

Hinsichtlich der Bildverarbeitung gilt, dass betroffene Personen unbeschadet des Auskunftsrechtes gemäß Art. 15 DSGVO nicht berechtigt sind, vom Garagenbetreiber Lichtbilder zu erhalten, sofern dadurch die Rechte und Freiheiten anderer Personen beeinträchtigt werden. Stattdessen erhält die betroffene Person eine Beschreibung ihres Verhaltens. Der Garagenbetreiber ist aber berechtigt, Bildaufzeichnungen an die zuständige Behörde (etwa eine Sicherheitsbehörde im Rahmen eines durch Anzeige eingeleiteten Ermittlungsverfahrens) zu übermitteln, weil beim Garagenbetreiber der begründete Verdacht entstanden ist, die Daten könnten eine von Amts wegen zu verfolgende strafbare Handlung dokumentieren. Ein solcher Verdacht kann auch durch Hinweis eines Kunden entstehen.

6. Unsere Kontaktdaten

Verantwortlicher: bbik GmbH, Schüttelstrasse 15/9, 1020 Wien

Datenschutzbeauftragter: Dominik Khaur: Garage@bbik.at

 

Zuletzt aktualisiert: 01.04.2023