Kurzgutachten
Easypark

Zeitpunkt der Prüfung

27. Dezember 2006  -  28. Februar 2007

Adresse des Antragstellers

Easypark GmbH
Düsselthaler Straße 26
40211 Düsseldorf

Adressen der Sachverständigen

Rechtsanwalt Stephan Hansen-Oest
Speicherlinie 40
24937 Flensburg
sh@datenschutzkontor.de

Dipl. Inf. (FH) Andreas Bethke
An de Au 6
25548 Mühlenbarbek
ab@datenschutzkontor.de

Kurzbezeichnung

Das Easypark-Verfahren ist ein „Handy-Parking“-Verfahren, das Verkehrsteilnehmern die Bezahlung von Parkgebühren durch den Einsatz von Mobilfunktelefonen ermöglicht.

Detaillierte Bezeichnung

Der Gesetzgeber hat mit § 1 der 11. Ausnahmeverordnung zur Straßenverkehrsordnung die Möglichkeit eröffnet, Parkgebühren mit Mobiltelefonen zu bezahlen. Die Easypark GmbH bietet mit ihrem Easypark-Verfahren Kommunen und Verkehrsteilnehmern eine Möglichkeit, ein Bezahlsystem für Parkgebühren über Mobilfunktelefone einzuführen und zu nutzen. Voraussetzung für die Nutzung des Verfahrens ist, dass eine Kommune das Easypark-Verfahren einsetzt und ein entsprechendes Vertragsverhältnis mit der Easypark GmbH abgeschlossen hat. Wenn ein Verkehrsteilnehmer in einer entsprechenden Kommune Parkgebühren mit dem Mobiltelefon bezahlen möchte, muss dieser zudem Kunde bei der Easypark GmbH sein bzw. werden. Ein Easypark-Kunde kann einen Parkvorgang durch einen Anruf mit seinem Mobiltelefon bei einer automatisch betriebenen Telefonhotline anmelden. Über die Rufnummer des Mobilfunktelefones wird er automatisch als Kunde von Easypark erkannt. Er gibt dann die jeweilige Parkzone an und meldet damit seinen Parkvorgang an. Soll eine Kontrolle des Fahrzeuges durch Mitarbeiter/-innen der Verkehrsüberwachung der Kommune erfolgen, können diese das betreffende Fahrzeug durch eine am Fahrzeug befindliche Vignette erkennen, auf der eine Vignettennummer abgedruckt ist. Die Mitarbeiter/-innen der Verkehrsüberwachung der Kommune können dann über ein Mobilfunktelefon prüfen, ob für das kontrollierte Fahrzeug ein Parkvorgang vom Verkehrsteilnehmer über das Easypark-Verfahren angemeldet wurde. Ist dies der Fall, gilt der Parkvorgang als bezahlt. Anderenfalls liegt eine Ordnungswidrigkeit vor.

Verkehrsteilnehmer, die Easypark-Kunde sind, können über ein Internetportal jederzeit ihre aktuellen und abgeschlossenen Parkvorgänge einsehen. Für die Abrechnung der Parkvorgänge werden Rechnungsdaten an ein Unternehmen übermittelt, das die Abrechnung und Bezahlung der Parkentgelte mit dem Endkunden durchführt.

Die für die Parkraumbewirtschaftung/-überwachung zuständige Abteilung der Kommune und die für die Rechnungsprüfung zuständige Abteilung der Kommune haben einen Online-Zugriff auf alle aktuellen Parkvorgänge. Das sind die Parkvorgänge, die derzeit angemeldet und noch nicht beendet sind. Es besteht ferner die Möglichkeit, auch nach beendeten Parkvorgängen zu recherchieren, die nicht älter als drei Monate sind. Die Zugriffe der Kommune werden von der Easypark GmbH als Datenverarbeiter protokolliert. Dies ist der Kommune und den zugriffsberechtigten Beschäftigten der Kommune bekannt. Die Kommune kann für Zwecke von Stichprobenkontrollen i.S.d. § 10 Abs. 4 BDSG Protokolldaten von der Easypark GmbH anfordern.

Die Datenverarbeitung findet in einem Rechenzentrum in Norwegen statt, worüber die Easypark-Kunden vorab informiert werden.

Tools, die zur Herstellung des IT-Produktes verwendet wurden

Oracle 9.2.x / Solaris 9 / PHP/ Apache / Tomcat / Java

Zweck und Einsatzbereich

Zweck und Einsatzbereich des Verfahrens ist es, Kommunen und Verkehrsteilnehmern die Bezahlung von Parkvorgängen, für die kommunale Parkgebühren anfallen, zu ermöglichen. Da sich Kommunen als Gebietskörperschaften des öffentlichen Rechts des Easypark-Verfahrens annehmen können, ist das IT-Verfahren grundsätzlich auch für den Einsatz bei oder durch öffentliche Stellen des Landes Schleswig-Holstein geeignet.

Modellierung des Datenflusses

Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde

Anforderungskatalog Version 1.2

Zusammenfassung der Prüfungsergebnisse

Das Easypark-Verfahren ermöglicht die Bezahlung von Parkvorgängen in teilnehmenden Kommunen in datenschutzkonformer Weise.
Der Verkehrsteilnehmer wird vor dem Vertragsschluss von der Easypark GmbH in adäquater Weise über Zweck, Art und Umfang der Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten informiert. Er wird insbesondere darüber informiert, dass die Datenverarbeitung in einem norwegischen Rechenzentrum erfolgt und personenbezogene Daten für Zwecke der Zahlungsabwicklung an ein weiteres Unternehmen übermittelt werden. Der Easypark-Kunde kann dann über eine Internetseite seine Parkvorgänge einsehen. Die entsprechende Internetseite genügt den Vorgaben des TDDSG bzw. (ab 01.03.07) dem Telemediengesetz. Die personenbezogenen Daten des Kunden werden in zulässiger Weise von der Easypark GmbH erhoben und verarbeitet.

Der Zugriff der Kommune auf die Daten von Parkvorgängen erfolgt im Wege eines Abrufverfahrens i.S.d. § 10 BDSG / § 8 LDSG-SH. Die rechtlichen Vorgaben für ein Abrufverfahren werden von der Easypark GmbH eingehalten. Insbesondere wird durch die Protokollierung von Zugriffen auf Parkvorgänge durch berechtigte Beschäftigte der Kommune eine Durchführung von Stichprobenkontrollen ermöglicht. Die Kommune sowie die entsprechenden zugriffsberechtigten Beschäftigten der Kommune werden auf die Tatsache der Protokollierung von Zugriffen auf Parkvorgänge hingewiesen. Vor diesem Hintergrund ist es datenschutzrechtlich zulässig, dass die Kommune auch auf abgeschlossene Parkvorgänge lesenden Zugriff hat, die nicht älter als drei Monate sind. Dieser Zugriff ist insbesondere auch für Zwecke der Rechnungsprüfung der Kommune erforderlich. Über Parkvorgänge, die älter als drei Monate sind, erhält die Kommune nur in begründeten Einzelfällen (z.B. bei einem anhängigen Ordnungswidrigkeitenverfahren gegen einen Verkehrsteilnehmer/Easypark-Kunden) bei der Easypark GmbH Auskunft.

Die Easypark GmbH bedient sich für die Verarbeitung der personenbezogenen Daten eines Rechenzentrums in Norwegen. Die gesetzlichen Voraussetzungen für eine zulässige Auftragsdatenverarbeitung liegen vor. Es sind insbesondere entsprechende schriftliche Weisungen i.S.d. § 11 BDSG an den Auftragsdatenverarbeiter erteilt worden.

Schließlich ist die Übermittlung von Rechnungsdaten an ein weiteres Unternehmen für Abrechnungszwecke gesetzlich zulässig.
Das Easypark-Verfahren erfüllt die datenschutzrechtlichen Vorgaben in adäquater Weise.

Beschreibung, wie das IT-Produkt den Datenschutz fördert

Das Easypark-Verfahren ermöglicht ein „Handy-Parking“ in datenschutzrechtlich zulässiger Weise. Es ist insbesondere durch entsprechende Protokollierungsmaßnahmen gewährleistet,  dass die Vorgaben eines Abrufverfahrens, insbesondere die Durchführung von Stichprobenkontrollen in datenschutzkonformer Weise eingehalten werden.

Annex: Kriterienkatalog der Initiative D21

Im Zuge der Gutachtenerstellung wurde darüber hinaus durch die Gutachter das Produkt anhand des Kriterienkatalogs der Initiative D21 überprüft. Dies war nicht Teil der Zertifizierung durch das ULD und wurde auch nicht vom ULD überprüft.

Mit dem D21 - Kriterienkatalog werden über eine Abfrage durch Telematics Pro von den Betreibern für das sog. Handyparken betriebliche Verfahren zu Datenübertragung, des Datenschutzes, der Abwicklung der Finanzströme und mehr abgefragt. Eine fachlich-inhaltliche Prüfung der eingereichten Unterlagen erfolgt nicht. Alle abgefragten Kriterien werden nach Aussage der Gutachter auch von Easypark erfüllt.