Radfahr-Studie

Vorgehen bei der Einführung eines Datenschutzverfahrens im städtischen Bereich

Dienstag, 28. Oktober 2025

Im Rahmen des IP-Projekts konnten wertvolle Erfahrungen durch die Einführung einer neuen Datenquelle gesammelt werden, welche die Erhebung personenbezogener Daten zur Verkehrsflusserfassung datenschutzkonform ermöglicht.

Folgendes Vorgehen und Fragestellungen waren dabei zielführend:

  • Den Grund für die Durchführung und den Verwendungszweck der Daten klar definieren
  • Ist die Aufnahmemethode das "mildeste Mittel", um den Verwendungszweck zu realisieren? Welche Alternativen gibt es und warum genau ist diese Methode am besten geeignet, weswegen ein Datenschutzverfahren entwickelt werden muss?
  • Nach Art. 6 DSGVO muss eine Rechtsgrundlage zur Verarbeitung vorhanden sein
  • Eine Prüfung durchführen, ob eine Datenschutzfolgeabschätzung nach Art. 35 DSGVO notwendig oder sinnvoll ist
  • Abwägung von schutzwürdigen Interessen des Einzelnen und dem öffentlichen Interesse der resultierenden Daten unter Einbeziehung der erwarteten Risiken und potenziellen Schäden
  • Ein Vertahren uberlegen, wie personenbezogene Daten bestmöglich geschützt werden, ohne die Nutzbarkeit der Daten zu sehr zu beeinträchtigen
    • Hängt maßgeblich vom Anwendungstall ab
    • Was muss mindestens erhalten bleiben?
    • Kann eventuell schon z.B. durch Maskierung der Umkehrung einer Pseudonymisierung vorgebeugt werden?
  • Eine Beschreibung der Verarbeitungsvorgänge anfertigen
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge anfertigen
  • Benötigen Dritte die erhobenen Daten (z.B. zu Forschungszwecken)? Wenn ja, in welchem Rahmen ist dies minimal notwendig?
  • Eine Prüfung der infrastrukturellen Gegebenheiten durchführen
    • Gibt es einen gesicherten Kanal zur Übertragung der Daten vom Sensor zur Stadt?
    • Welche Annahmen bzgl. der IT-Sicherheit können getroffen werden (z.B. Firewalls, VPN, etc.)?
    • Lässt es sich vermeiden, dass der Sensor über das Internet erreichbar ist?
  • Eine umfassenden Risikoanalyse mit Einschätzung der Schwere und Eintrittswahrscheinlichkeiten anfertigen
    • IT-Sicherheitsrisiken und Angriffsvektoren analysieren
    • Auswirkungen auf den Datenschutz
  • Abhilfemaßnahmen entwickeln und umsetzen
  • Einhaltung der DSGVO-Grundsätze (z.B. Transparenzpflicht, Zweckbindung, ...) festhalten
  • Kommunikation und regelmäßige Konsultation mit dem/der Datenschutzbeauftragten sowie anderen Dienststellen der Kommune
  • Die Annahmen und Inhalte der Datenschutzfolgeabschätzung regelmäßig (z.B. alle 6 Monate) überprüfen und bei Änderung der Umstände
  • anpassen

Thorsten Paßfeld, Prof. Dr. Ralf Tonjes, Prof. Dr. Alfred Scheerhorn, Dr. Thomas Hupperich (Hochschule Osnabrück)

Kontakt: intelligent-pendeln@hs-osnabrueck.de