AV-Vertrag für ANPR: DSGVO-konforme Kennzeichenerfassung

Die Digitalisierung im Parkraummanagement schreitet zügig voran. Klassische Schrankenanlagen, unpraktische Papiertickets und leicht zu manipulierende Parkscheiben weichen immer häufiger modernen, schrankenlosen Lösungen. Die automatisierte Kennzeichenerkennung (Automatic Number Plate Recognition, kurz ANPR) bietet Betreibern von Parkflächen eine hocheffiziente und komfortable Möglichkeit, Stellplätze zu bewirtschaften, die Auslastung zu optimieren und unberechtigte Parker zu sanktionieren. Da bei diesem kamerabasierten Verfahren jedoch sensible Daten erfasst werden, müssen datenschutzrechtliche Vorgaben zwingend eingehalten werden. Wer ein solches System auf seinem Gelände nachrüstet, steht vor der Aufgabe, die rechtlichen Rahmenbedingungen sauber zu strukturieren. Ein zentrales Element für die Rechtskonformität ist der AV-Vertrag für ANPR, der die datenschutzrechtliche Verantwortungsverteilung regelt. Ohne eine solche Vereinbarung drohen empfindliche Bußgelder durch die Datenschutzbehörden. Dieser Leitfaden zeigt auf, wie Sie die Implementierung rechtssicher gestalten und welche Anforderungen die Datenschutz-Grundverordnung an die Kooperation mit Systemanbietern stellt.


Was ist eine Auftragsverarbeitung bei der Kennzeichenerkennung?

Um die rechtlichen Voraussetzungen zu verstehen, muss zunächst geklärt werden, was eine auftragsverarbeitung kennzeichenerkennung in der Praxis bedeutet. Sobald Kameras an den Ein- und Ausfahrten eines Parkplatzes installiert werden, um die Kennzeichen der Fahrzeuge zu erfassen, greift das Datenschutzrecht. Ein Kfz-Kennzeichen gilt nach der Rechtsprechung der deutschen Datenschutzbehörden und Gerichte als personenbezogenes Datum gemäß Art. 4 Nr. 1 DSGVO. Obwohl das Kennzeichen primär dem Fahrzeug zugeordnet ist, lässt sich über eine Abfrage beim Kraftfahrt-Bundesamt oder über zivilrechtliche Ermittlungswege die Identität des Halters bestimmen. Dies ist insbesondere dann relevant, wenn gegen die Parkordnung verstoßen wird und der Parkplatzbetreiber zivilrechtliche Ansprüche durchsetzen möchte.

Das Kennzeichen als personenbezogenes Datum

Die Erfassung des Kennzeichens stellt eine Verarbeitung personenbezogener Daten dar. Das bedeutet, dass jeder Verarbeitungsschritt – von der ersten Aufnahme durch die Kamera über die Speicherung im System bis hin zur Abgleichung mit einer Datenbank – an den strengen Maßstäben der DSGVO gemessen wird. Die Rechtsgrundlage für diese Verarbeitung findet sich in der Praxis meist in Art. 6 Abs. 1 lit. b DSGVO (zur Erfüllung des Parkvertrags) oder in Art. 6 Abs. 1 lit. f DSGVO zur Wahrung berechtigter Interessen des Betreibers. Zu diesen berechtigten Interessen gehören der Schutz vor unberechtigter Nutzung der Stellplätze, die Vermeidung von Vandalismus und die Durchsetzung von Parkentgelten oder Vertragsstrafen.

Rollenverteilung: Verantwortlicher versus Auftragsverarbeiter

Bei der Umsetzung eines solchen Systems arbeiten in der Regel zwei Parteien zusammen: der Eigentümer oder Betreiber der Parkfläche und ein spezialisierter Systemdienstleister. Hierbei entscheidet der Parkplatzbetreiber als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO über die Zwecke und Mittel der Datenverarbeitung. Er legt fest, warum die Kennzeichen erfasst werden – etwa zur Durchsetzung einer Höchstparkdauer oder zur Vermeidung von Falschparkern –, und bestimmt die Rahmenbedingungen wie freie Parkzeiten oder Tarife.

Der technische Dienstleister wiederum agiert als Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO. Er stellt die Hardware bereit, betreibt die Cloud-Infrastruktur und verarbeitet die Daten im Auftrag und nach den dokumentierten Weisungen des Verantwortlichen. Für diese Konstellation schreibt das Gesetz zwingend vor, dass die Parteien einen auftragsverarbeitungsvertrag parkplatz abschließen müssen. Dieser Vertrag stellt sicher, dass der Dienstleister die erfassten Kennzeichendaten nicht für eigene Zwecke nutzt, sondern sie ausschließlich im Rahmen der vordefinierten Aufgaben verarbeitet.


Wann greift Art 28 DSGVO bei der Parkraumüberwachung?

Die Frage, ob eine Vereinbarung nach art 28 dsgvo parkraumüberwachung erforderlich ist, hängt maßgeblich von der konkreten vertraglichen und operativen Ausgestaltung des Projekts ab. In der Praxis des modernen Parkraummanagements lassen sich im Wesentlichen drei rechtliche Modelle unterscheiden. Die korrekte Einordnung ist von elementarer Bedeutung, da eine falsche Vertragswahl erhebliche datenschutzrechtliche Risiken und potenzielle Bußgelder birgt.

Das Modell der klassischen Auftragsverarbeitung

Dieses Modell greift, wenn Sie als Parkplatzbetreiber (beispielsweise als Betreiber eines Krankenhauses, eines Supermarkts oder einer Wohnungsanlage) die volle Kontrolle über den Parkvorgang und die Sanktionierung von Verstößen behalten. Der Systemanbieter liefert lediglich die technische Infrastruktur – also die ANPR-Kameras und die Verwaltungssoftware – und nimmt die Datenverarbeitung streng weisungsgebunden vor. Der Dienstleister hat kein eigenes wirtschaftliches Interesse an den erfassten Daten und darf diese nicht für eigene Zwecke nutzen. In diesem Fall ist der Abschluss eines AV-Vertrags gemäß Art. 28 DSGVO gesetzlich zwingend vorgeschrieben.

Die Abgrenzung zur eigenständigen Verantwortlichkeit

Hierbei stellt der Flächeneigentümer dem Dienstleister die Parkfläche – oft unentgeltlich – zur eigenverantwortlichen Bewirtschaftung zur Verfügung. Der Dienstleister tritt selbst als Vertragspartner gegenüber den Parkplatznutzern auf, stellt die Parkordnung auf, erfasst die Kennzeichen und treibt eventuelle Vertragsstrafen im eigenen Namen und auf eigene Rechnung ein. Da der Dienstleister hierbei allein über die Zwecke und Mittel der Verarbeitung entscheidet, liegt keine Auftragsverarbeitung vor. Landesdatenschutzbehörden wie das Landeszentrum für Datenschutz in Nordrhein-Westfalen bestätigen, dass in solchen Konstellationen der Parkraumbewirtschafter die alleinige datenschutzrechtliche Verantwortung trägt. Ein AV-Vertrag ist in diesem Fall nicht die richtige vertragliche Grundlage.

Die Abgrenzung zur gemeinsamen Verantwortlichkeit (Joint Controllership)

Dieses Modell rückt zunehmend in den Fokus der Aufsichtsbehörden. So hat beispielsweise die saarländische Datenschutzbehörde in ihrem Tätigkeitsbericht für das Jahr 2024 klargestellt, dass eine gemeinsame Verantwortlichkeit vorliegen kann, wenn der Flächeneigentümer aktiv an der Ausgestaltung der Parkregeln mitwirkt. Wenn Sie als Supermarktbetreiber etwa Vorgaben zur Höchstparkdauer machen, Ausnahmelisten (Whitelists) für Mitarbeiter pflegen oder Rabattierungen für Kunden definieren, entscheiden Sie gemeinsam mit dem Dienstleister über die Mittel und Zwecke der Verarbeitung. In diesem Fall ist kein AV-Vertrag, sondern eine Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO erforderlich.


Die gesetzlichen Pflichten: Der AV-Vertrag für ANPR

Wird ein technischer Dienstleister im Rahmen einer Auftragsverarbeitung mit der Kennzeichenerfassung beauftragt, muss die Vereinbarung den strengen Anforderungen von Art. 28 Abs. 3 DSGVO genügen. Ein rechtskonformer av-vertrag anpr muss eine Reihe von gesetzlich definierten Mindestinhalten abdecken, um im Falle einer behördlichen Prüfung standzuhalten. Diese vertraglichen Klauseln regeln das detaillierte Zusammenspiel zwischen Ihnen als Verantwortlichem und dem Dienstleister als Auftragsverarbeiter.

Vorgeschriebene Mindestinhalte des Vertrags

Gemäß Art. 28 Abs. 3 DSGVO muss der Vertrag schriftlich oder in einem elektronischen Format abgefasst sein und folgende Punkte präzise regeln:

  • Gegenstand und Dauer der Verarbeitung: Es muss exakt beschrieben werden, welche Dienstleistung erbracht wird (z. B. die automatische Erfassung von Kfz-Kennzeichen zur Kontrolle der Parkdauer) und über welchen Zeitraum sich diese Verarbeitung erstreckt.
  • Art und Zweck der Datenverarbeitung: Hier wird festgelegt, dass die Verarbeitung ausschließlich der Parkraumkontrolle, der Durchsetzung der Parkordnung und gegebenenfalls der Zahlungsabwicklung dient.
  • Art der personenbezogenen Daten: Der Vertrag muss genau spezifizieren, welche Daten erhoben werden. Bei ANPR-Systemen sind dies in der Regel das Kfz-Kennzeichen, Zeitstempel für die Ein- und Ausfahrt, das Landeskürzel des Kennzeichens sowie Schwarz-Weiß- oder Infrarot-Aufnahmen des Kennzeichenbereichs. Aufnahmen von Fahrinsassen sind aus Datenschutzgründen grundsätzlich zu vermeiden und dürfen nicht Gegenstand der Verarbeitung sein.
  • Kategorien der betroffenen Personen: Hierzu zählen alle Personen, die die Parkfläche nutzen, wie Kunden, Mitarbeiter, Lieferanten oder Besucher.

Besondere Pflichten des Dienstleisters

Neben diesen grundlegenden Angaben legt der Gesetzgeber dem Auftragsverarbeiter weitreichende Pflichten auf. Der Dienstleister muss garantieren, dass er Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeitet. Zudem muss er sicherstellen, dass sich alle zur Verarbeitung berechtigten Personen gemäß Art. 28 Abs. 3 S. 2 lit. b DSGVO zur Vertraulichkeit verpflichtet haben.

Ein weiterer kritischer Punkt ist die Regelung von Unterauftragsverhältnissen: Der Dienstleister darf keine weiteren Subunternehmer (beispielsweise für das Cloud-Hosting oder die Softwarewartung) ohne vorherige schriftliche Genehmigung des Verantwortlichen gemäß Art. 28 Abs. 2 DSGVO hinzuziehen. Schließlich muss der Vertrag festlegen, dass der Dienstleister den Verantwortlichen bei der Einhaltung der Datensicherheit, bei der Durchführung von Datenschutz-Folgenabschätzungen sowie bei der Beantwortung von Anfragen betroffener Personen aktiv unterstützt.


Worauf Sie beim AV-Vertrag für ANPR achten müssen

Beim Aufsetzen oder Verhandeln einer Vereinbarung sollten Sie besondere Aufmerksamkeit auf spezifische Details legen, die über die Standardfloskeln hinausgehen. Ein praxistauglicher dsgvo vertrag anpr anbieter unterscheidet sich deutlich von einem gewöhnlichen IT-Dienstleistungsvertrag, da er die operativen Besonderheiten der kamerabasierten Verkehrsüberwachung abbilden muss.

Das Kontroll- und Auditrecht praxistauglich regeln

Ein kritischer Aspekt ist das Kontrollrecht des Verantwortlichen. Nach Art. 28 Abs. 3 S. 2 lit. h DSGVO müssen Sie als Auftraggeber das Recht haben, die Einhaltung der Datenschutzpflichten beim Dienstleister zu überprüfen. Viele Anbieter versuchen, dieses Kontrollrecht in den Verträgen stark einzuschränken, indem sie beispielsweise Vor-Ort-Prüfungen nur gegen hohe Zusatzgebühren gestatten oder auf rein schriftliche Selbstauskünfte verweisen.

Achten Sie darauf, dass Ihnen effektive Kontrollrechte eingeräumt werden. Der Nachweis hinreichender Garantien kann auch über anerkannte Zertifizierungen wie die ISO/IEC 27001 oder über Datenschutz-Audits erbracht werden, was den Prüfaufwand für Sie im Alltag erheblich reduziert.

Das automatisierte Löschkonzept im Fokus

Ein weiterer essenzieller Baustein ist das Löschkonzept. Die Speicherdauer von erfassten Kennzeichendaten unterliegt dem datenschutzrechtlichen Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e DSGVO. Daten von regulären Parkern, die keinen Verstoß begangen haben, müssen im Regelfall unverzüglich nach der Ausfahrt gelöscht werden, sobald feststeht, dass die Parkordnung eingehalten wurde. Eine Speicherung über diesen Zeitpunkt hinaus ist rechtlich nicht zulässig.

Nur im Falle eines dokumentierten Vertragsverstoßes (z. B. Überschreiten der Höchstparkdauer) dürfen die Daten für die zivilrechtliche Halterermittlung und die anschließende Rechtsverfolgung länger vorgehalten werden. Die gesetzliche Verjährungsfrist für solche Ansprüche beträgt in Deutschland gemäß § 195 BGB regelhaft drei Jahre. Der Vertrag muss den Anbieter verpflichten, diese unterschiedlichen Löschfristen technisch automatisiert und fehlerfrei umzusetzen.

Speicherort und Datenflüsse in Drittländer

Schließlich müssen die Speicherorte der Daten transparent offengelegt werden. Da viele moderne ANPR-Systeme auf Cloud-Infrastrukturen basieren, muss vertraglich zugesichert werden, dass die Datenverarbeitung auf Servern innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (EWR) erfolgt. Sollten Server in Drittländern genutzt werden, sind zusätzliche Garantien wie Standardvertragsklauseln der EU-Kommission erforderlich, was die rechtliche Komplexität und das Haftungsrisiko für Sie als Betreiber drastisch erhöht.


Interessiert an ANPR-Lösungen?

Erfahren Sie, wie moderne Kennzeichenerkennung Ihr Parkraummanagement revolutionieren kann.

Mehr erfahren →

Technische und organisatorische Maßnahmen im AVV für Kennzeichenerkennung

Ein unvollständiger oder fehlerhafter Vertrag zur Auftragsverarbeitung kann schwerwiegende rechtliche Konsequenzen nach sich ziehen. Das Herzstück eines jeden avv kennzeichenerkennung ist daher die Anlage zu den technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO. Diese Maßnahmen beschreiben konkret, wie der Systemanbieter die Sicherheit der verarbeiteten Daten im operativen Alltag gewährleistet. Ohne detaillierte und wirksame TOM ist ein AV-Vertrag rechtlich unvollständig.

Datenminimierung durch präzise Kamerajustierung

Im Bereich der kamerabasierten Parkraumüberwachung müssen die TOM spezifisch auf die Risiken der Kennzeichenerfassung angepasst sein. Hierzu gehören unter anderem folgende Kernbereiche:

  • Kamerajustierung und Erfassungsbereich: Die Kameras an den Ein- und Ausfahrten müssen physisch und softwareseitig so eingestellt sein, dass sie ausschließlich das Fahrzeugkennzeichen erfassen. Umliegende öffentliche Verkehrsflächen, Gehwege oder benachbarte Grundstücke dürfen keinesfalls im Aufnahmebereich liegen. Zudem muss die Bildauflösung so gewählt werden, dass die Gesichter der Fahrzeuginsassen unkenntlich bleiben.
  • Verschlüsselung bei der Übertragung: Die von den Kameras erfassten Bild- und Textdaten dürfen nicht ungesichert übertragen werden. Eine durchgängige Verschlüsselung (z. B. via HTTPS und TLS) vom lokalen Kamerasystem bis zur Cloud-Datenbank des Dienstleisters ist zwingend erforderlich.
  • Zutritts- und Zugriffskontrollen: Physische Server und Netzwerkkomponenten vor Ort müssen in abschließbaren Gehäusen vor Vandalismus und unbefugtem Zugriff geschützt werden. Auf Softwareebene muss ein striktes Rollen- und Rechtemanagement implementiert sein, das den Zugriff auf die Kennzeichendaten auf das absolut notwendige Minimum beschränkt. Jeder Zugriff auf die Datenbank muss lückenlos und revisionssicher protokolliert werden.
  • Datenschutzfreundliche Voreinstellungen: Das System sollte nach dem Prinzip „Privacy by Design“ (Art. 25 DSGVO) arbeiten. Dies bedeutet beispielsweise, dass das System Kennzeichen automatisch filtert und reguläre Parkvorgänge direkt nach der Ausfahrt ohne menschliche Interaktion unwiderruflich aus dem aktiven Speicher löscht.

Als Verantwortlicher sind Sie verpflichtet, diese Maßnahmen vor Beginn der Datenverarbeitung und danach in regelmäßigen Abständen zu überprüfen. Ein zuverlässiger ANPR-Anbieter wird Ihnen hierfür transparente Dokumentationen und Nachweise zur Verfügung stellen, die Sie in Ihr internes Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO integrieren können.


Typische Risiken und wie Sie Bußgelder vermeiden

Die Nachrüstung eines Parkplatzes mit einem automatischen Kennzeichenlesesystem bietet enorme wirtschaftliche Vorteile, birgt bei mangelhafter rechtlicher Vorbereitung jedoch erhebliche Haftungsrisiken. Deutsche Datenschutzaufsichtsbehörden kontrollieren die Einhaltung der DSGVO auf privaten Stellflächen zunehmend strenger. Wer die rechtlichen Vorgaben missachtet, riskiert nicht nur kostspielige Abmahnungen durch Mitbewerber oder Verbraucherschutzverbände, sondern auch empfindliche behördliche Bußgelder.

Formelle Verstöße und finanzielle Konsequenzen

Ein Hauptrisiko im operativen Betrieb ist das Fehlen eines rechtsgültigen AV-Vertrags, wenn eine klassische Auftragsverarbeitung vorliegt. Das Fehlen einer solchen Vereinbarung stellt einen formellen Verstoß gegen Art. 28 DSGVO dar. Nach Art. 83 Abs. 4 lit. a DSGVO können die Aufsichtsbehörden allein für diesen formalen Mangel Geldbußen verhängen, die im gewerblichen Bereich beträchtliche Höhen erreichen können. Die Pflicht zur Vertragsgestaltung kann nicht rückwirkend geheilt werden; der Vertrag muss vor der ersten Inbetriebnahme der Kameras aktiv und von beiden Parteien unterzeichnet sein.

Die Notwendigkeit einer Datenschutz-Folgenabschätzung (DSFA)

Ein weiteres rechtliches Nadelöhr ist die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO. Da es sich bei der automatischen Kennzeichenerfassung um eine systematische Überwachung öffentlich zugänglicher Bereiche im großen Stil handelt, stufen die meisten deutschen Landesdatenschutzbeauftragten diese Technologie als risikoträchtig ein. Eine DSFA ist daher gemäß Art. 35 Abs. 1 und Abs. 3 lit. c DSGVO in den allermeisten Fällen gesetzlich vorgeschrieben.

Hierbei müssen Sie die Risiken für die Rechte und Freiheiten der betroffenen Autofahrer analysieren und Gegenmaßnahmen dokumentieren. Ihr ANPR-Anbieter muss Sie bei dieser Risikoanalyse unterstützen – diese Pflicht zur Kooperation sollte explizit im AV-Vertrag verankert sein.

Transparenzpflichten nach Artikel 13 DSGVO

Schließlich müssen auch die Informationspflichten nach Art. 13 DSGVO penibel erfüllt werden. Autofahrer müssen bereits vor dem Einfahren in den Erfassungsbereich der Kamera durch gut sichtbare Hinweisschilder (die sogenannten “Piktogramme”) über die Kennzeichenerfassung informiert werden. Diese Schilder müssen leicht verständliche Angaben zum Verantwortlichen, zum Zweck der Verarbeitung, zur Speicherdauer und zu den Rechten der Betroffenen enthalten. Fehlen diese Hinweise oder sind sie unvollständig, ist die gesamte Datenverarbeitung von Anfang an rechtswidrig – unabhängig davon, wie sicher die dahinterstehende Technologie ist.


Checkliste für den Auftragsverarbeitungsvertrag auf dem Parkplatz

Damit Sie bei der Verhandlung und dem Abschluss des Vertrags mit Ihrem Systemdienstleister kein wichtiges Detail übersehen, empfiehlt sich die systematische Abarbeitung einer Prüfliste. Die folgende Checkliste fasst die wichtigsten datenschutzrechtlichen und operativen Anforderungen zusammen, die in jedem Vertragswerk für ein kamerabasiertes Parkraummanagement geregelt sein müssen:

  • Eindeutige Rollendefinition: Ist zweifelsfrei geklärt, ob es sich um eine reine Auftragsverarbeitung nach Art. 28 DSGVO, eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO oder eine eigenständige Verantwortlichkeit des Dienstleisters handelt? Die Verträge müssen exakt zu den tatsächlichen operativen Abläufen passen.
  • Präziser Datenkatalog: Ist vertraglich festgelegt, dass ausschließlich fahrzeugbezogene Daten (Kennzeichen, Zeitstempel, ggf. Foto des Schildes) verarbeitet werden? Ein ausdrückliches Verbot der Erfassung von Fahrzeuginsassen oder des umliegenden öffentlichen Raums muss verankert sein.
  • Weisungsgebundenheit des Anbieters: Enthält der Vertrag klare Regelungen darüber, wie Sie als Verantwortlicher Weisungen erteilen können (z. B. in Textform per E-Mail) und dass der Anbieter diese lückenlos dokumentieren muss?
  • Konkretes Lösch- und Speicherkonzept: Ist garantiert, dass die Daten von regulären Parkern unverzüglich (oder nach einer minimalen, technisch bedingten Abgleichsfrist) gelöscht werden? Ist die Speicherdauer für Falschparker sachgerecht und im Einklang mit den Verjährungsfristen nach § 195 BGB geregelt?
  • Transparente Subunternehmer-Kette: Sind alle Unterauftragsverarbeiter (z. B. Cloud-Hosting-Anbieter) namentlich im Vertrag aufgeführt? Hat der Auftraggeber ein vertragliches Widerspruchsrecht bei geplanten Dienstleisterwechseln?
  • EU-Datenhaltung: Ist der physische Speicherort der Daten vertraglich auf Serverstandorte innerhalb der Europäischen Union oder des EWR begrenzt, um Drittlandtransfers und die damit verbundenen Risiken auszuschließen?
  • Unterstützungspflichten verankert: Ist geregelt, dass der Anbieter Sie bei der Erstellung der Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und bei der Beantwortung von Betroffenenanfragen (Auskunftsrechte nach Art. 15 DSGVO) zeitnah und fachlich unterstützt?
  • Verbindliche TOM-Anlage: Sind die technischen und organisatorischen Schutzmaßnahmen (Verschlüsselung, Zugriffskontrollen, physische Sicherheit) als detaillierte, verbindliche Anlage dem Vertrag beigefügt?

Durch die konsequente Nutzung dieser Checkliste legen Sie das Fundament für ein absolut rechtssicheres, effizientes und modernes Parkraummanagement, das einer Überprüfung durch die Aufsichtsbehörden jederzeit problemlos standhält.


Bereit für den nächsten Schritt?

Lassen Sie sich unverbindlich beraten. Unsere Experten analysieren Ihre Situation und zeigen konkrete Lösungswege auf.

Jetzt Beratungstermin anfragen →

Häufig gestellte Fragen (FAQ)

Ist ein AV-Vertrag bei jeder Art von Kennzeichenerkennung auf Parkplätzen Pflicht?

Nein, das hängt von der vertraglichen Ausgestaltung ab. Wenn Sie den Parkplatz komplett an einen Dienstleister vermieten, der die Parkraumüberwachung eigenverantwortlich im eigenen Namen durchführt, liegt eine eigenständige Verantwortlichkeit vor – ein AV-Vertrag ist dann nicht erforderlich. Steuern Sie jedoch die Regeln (z. B. Höchstparkdauer) und nutzen den Anbieter nur als technischen Dienstleister, greift Art. 28 DSGVO (Auftragsverarbeitung) oder bei starker Kooperation Art. 26 DSGVO (Gemeinsame Verantwortlichkeit).

Welche Daten dürfen von den ANPR-Kameras erfasst und im Rahmen des AVV verarbeitet werden?

Erlaubt ist ausschließlich die Erfassung von Daten, die für den Zweck der Parkraumbewirtschaftung zwingend erforderlich sind. Dazu gehören das Kfz-Kennzeichen, das Landeskennzeichen sowie der exakte Zeitstempel der Ein- und Ausfahrt. Nicht zulässig ist die systematische Erfassung von Fahrzeuginsassen, Gesichtern oder des Umfeldes außerhalb des Parkplatzes. Solche Überschüsse verstoßen gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO.

Wie lange dürfen die erfassten Kennzeichendaten gespeichert werden?

Für reguläre Parker, die sich an die Parkordnung halten, müssen die Daten unverzüglich nach der Ausfahrt gelöscht werden, da der Zweck der Verarbeitung erfüllt ist. Bei Verstößen (z. B. Falschparken) dürfen die Daten zur Halterermittlung und Durchsetzung von zivilrechtlichen Ansprüchen länger gespeichert werden. Dies ist im Rahmen der gesetzlichen Verjährungsfristen nach § 195 BGB für bis zu drei Jahre zulässig, sofern dies im Löschkonzept dokumentiert ist.

Wer haftet bei Datenschutzverstößen – der Parkplatzbetreiber oder der ANPR-Anbieter?

Im Rahmen einer klassischen Auftragsverarbeitung nach Art. 28 DSGVO tragen Sie als Verantwortlicher die primäre Haftung gegenüber den betroffenen Personen und Aufsichtsbehörden. Der Dienstleister haftet jedoch zivilrechtlich im Innenverhältnis, wenn er gegen vertragliche Vereinbarungen oder direkte Pflichten der DSGVO verstößt. Bei einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO haften beide Parteien im Außenverhältnis gesamtschuldnerisch für entstandene Schäden.

Ist für die Kennzeichenerfassung eine Datenschutz-Folgenabschätzung (DSFA) notwendig?

Ja, in den allermeisten Fällen ist eine DSFA nach Art. 35 DSGVO zwingend erforderlich. Da die automatisierte Kennzeichenerkennung eine systematische und flächendeckende Überwachung eines öffentlich zugänglichen Bereichs darstellt, stufen deutsche Aufsichtsbehörden dieses Verfahren als risikoträchtig ein. Der AV-Vertrag sollte daher eine explizite Klausel enthalten, die den technischen Anbieter zur Unterstützung bei der Erstellung dieser Risikoanalyse verpflichtet.

Welche Informationspflichten müssen vor Ort auf dem Parkplatz erfüllt werden?

Bereits vor dem Einfahren in den Erfassungsbereich müssen gut sichtbare Hinweisschilder angebracht sein. Diese müssen gemäß Art. 13 DSGVO ein verständliches Piktogramm einer Kamera enthalten und klar darüber informieren, wer die Daten verarbeitet, zu welchem Zweck dies geschieht, wie lange sie gespeichert werden und wie Betroffene ihre Rechte (z. B. auf Auskunft) geltend machen können. Ein Verweis auf eine detaillierte, online abrufbare Datenschutzerklärung ist ebenfalls Pflicht.


Geschäftsführer & CTO bei Parketry GmbH