IP-Mittelstand

Informationen rund um die Uhr

Lesen Sie auf den folgenden Seiten Wichtiges aus der Praxis für die Praxis.

Direktkontakt? Sehr gerne! 02 34/47 69 235 oder kontakt(at)ip-mittelstand.de.

Von Rechtswegen sicher auf Achse

Datenschutz im Fuhrparkmanagement

von Regina Mühlich, AdOrga Solutions GmbH*

Fahrzeugübergabe, Kontrolle des Führerscheins, Bearbeitung von Strafzetteln oder Unfällen, Abrechnung von Tankkarten und Werkstattrechnungen – geht es im und für das Unternehmen auf Achse, werden jede Menge personenbezogene Daten erhoben und verarbeitet. Datenschutzrechtlich gibt es dabei einiges zu beachten. Welche Auswirkungen die DS-GVO auf das Fuhrparkmanagement hat, lesen Sie in diesem Beitrag. 

Datenschutz basiert in Europa auf zwei Rechtskreisen. Zum einen auf dem Schutz der Privatsphäre und zum anderen auf dem weitreichenden Schutz des allgemeinen Persönlichkeitsrechts.  Bereits 2016 hat das Europäische Parlament die „Verordnung zum Schutz natürlicher Personen“ verabschiedet. Die Datenschutz-Grundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG n.F.) sind seit Mai 2018 gültig. Seitdem sind auch im Fuhrparkmanagement entsprechende Anpassungen sowie Veränderungen erforderlich.

„Erheben und Verarbeiten“ von „personenbezogenen Daten“

Das Gesetz definiert den Begriff der „Verarbeitung“ als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang mit personenbezogenen Daten. Beispielsweise Erheben, Erfassen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Übermittlung, Offenlegung, Vernichtung, Löschung. Diese weite Definition hat zur Folge, dass jeder Umgang mit personenbezogenen Daten ein „Verarbeiten“ im Sinne des Datenschutzrechts ist – unabhängig, ob in elektronischer oder in Papierform.

Für die Verarbeitung selbst bedarf es einer Legitimation, d. h. sobald ein Datum einen Personenbezug aufweist, ist jede Verarbeitung und jeder Prozessschritt, der mit dem Datum in Verbindung steht, eine Datenverarbeitung und fällt in den Anwendungsbereich der DS-GVO.

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Die Identifizierbarkeit ist – direkt oder indirekt – mittels Zuordnung wie Namen, Standortdaten, Online-Kennung etc. möglich. Im Umkehrschluss bedeutet dies aber auch: Die DS-GVO schützt, wie auch bereits das BDSG a.F., ausschließlich natürliche Personen und keine juristischen.

Was bedeutet dies für das Fuhrparkmanagement?

Personalnummer, Telefonnummer, Kreditkartenabrechnung, Kontodaten, Kfz-Kennzeichen, Fahrzeugidentifizierungsnummer (FIN) – all dies sind personenbezogene Daten, durch die eine natürliche Person (eindeutig) identifiziert werden kann. Unterlagen wie Fahrtenbuch, Leasingvertrag, Tankabrechnung und Unfallbericht enthalten ebenfalls personenbezogene Daten. Im Fuhrparkmanagement werden folglich regelmäßig personenbezogene Daten verarbeitet, quasi mit jedem Prozess- und Arbeitsschritt. Es sind somit auch in diesem Bereich die Verarbeitungen und Vorgänge zu prüfen und den Vorgaben der DS-GVO anzupassen. Dabei spielt es übrigens keine Rolle, ob es sich um Daten von Beschäftigten handelt oder um die von betriebsfremden Personen.

Auf rechtmäßige Art und informiert

Die betroffene Person hat ein Recht darauf, dass die Daten nur „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise“ verarbeitet werden. Außerdem, dass die Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden sowie dem Zweck angemessen und auf das notwendige Maß („Datenminimierung“) beschränkt sind. Auch im Fuhrparkmanagement sind diese Rechte zu gewährleisten:

Überblick über die Rechte der betroffenen Person:

  • Auskunftsrecht (Art. 15)
  • Recht auf Berichtigung (Art. 16)
  • Recht auf Löschung (Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruchsrecht (Art. 21)
  • Recht auf Beschwerde (Art. 77)

Zum Zeitpunkt der Erhebung von personenbezogenen Daten ist der Betroffene zu informieren. Mitarbeiter wie auch Dritte, die beispielsweise ein Firmenfahrzeug nutzen, müssen also von der Führerscheinkontrolle über den Abschluss eines Leasingvertrages bis hin zum Fahrtenbuch durch das Unternehmen über den Umgang mit ihren personenbezogenen Daten transparent und umfassend informiert sowie über ihre Rechte aufgeklärt werden.

Eine Unterschrift über die Kenntnisnahme, den Erhalt oder gar eine Zustimmung ist dabei nicht erforderlich. Es ist ausreichend, wenn beispielsweise bei der Führerscheinkontrolle das Informationsschreiben zum Zeitpunkt der Schlüsselübergabe am Tresen bereit liegt und einsehbar ist.  

Das Verzeichnis der Verarbeitungstätigkeiten 
Damit personenbezogene Daten nach den Maßgaben der DS-GVO durch den Verantwortlichen geschützt werden können, muss das Unternehmen ermitteln, in welchen Fällen personenbezogene Daten verarbeitet und genutzt werden. Zu dokumentieren und nachzuweisen (Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO) sind u. a.:

  • Welcher Zweck wird mit der Verarbeitung verfolgt?
  • Welche personenbezogenen Daten werden von den Betroffenen verarbeitet?
  • Welchen Empfängern werden die personenbezogenen Daten übermittelt?
  • Welche Rechtsgrundlage berechtigt zur Verarbeitung der personenbezogenen Daten?
  • Wie lange werden die personenbezogenen Daten gespeichert?

Dazu dient das Verzeichnis der Verarbeitungstätigkeiten (VVT). Dort sind die entsprechenden Prozesse, wie z. B. Führung des Fahrtenbuches, Führerscheinkontrolle, Unfallmeldung, zu dokumentieren. Es geht dabei nicht nur um Daten, die auf elektronischem Wege erhoben und verarbeitet werden, sondern auch um Papierdokumente wir z. B. Stammblätter, (Leasing-)Verträge, Dokumentation der Führerscheinkontrolle etc.

Auftragsverarbeitung 

Sobald personenbezogene Daten im Rahmen des Fuhrparkmanagements an einen Dritten, z. B. (teilweise) Auslagerung des Fuhrparks, Hosting, Support-Dienstleister zur Verarbeitung weitergegeben werden, ist eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO mit dem Dienstleister abzuschließen. In diesem Vertrag sind Rechte und Pflichten beider Vertragsparteien zu definieren: Information bei Datenschutzverletzungen, Vorgehensweisen bei Auskunftsersuchen, Löschungen während der Vertragslaufzeit und nach Beendigung des Vertrages. Um nur einige zu regelnde Punkte zu nennen.

Informationspflichten sind umfassender geworden
Betroffene Personen müssen grundsätzlich über die Erhebung der Daten informiert werden. Dabei sind die Informationspflichten, im Gegensatz zum BDSG a.F., umfassender. Informieren muss der Verantwortliche zum Zeitpunkt der (Direkt-)Erhebung über

  • den Namen und die Kontaktdaten des Verantwortlichen,
  • die Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke, für die personenbezogene Daten verarbeitet werden (inkl. Rechtsgrundlage),
  • die Empfänger der personenbezogenen Daten, z. B. Leasinggesellschaft, Hosting-Dienstleister für das elektronische Fahrtenbuch,
  • die geplante Speicherdauer.

Außerdem ist im Rahmen der transparenten und fairen Verarbeitung auf die Rechte der betroffenen Person hinzuweisen:

  • Recht auf Auskunft
  • Recht auf Löschung
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Beschwerde bei der Aufsichtsbehörde
  • usw.

Es ist des Weiteren nachzuweisen, dass diese Information auch erfolgt ist. Im Rahmen der Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses hat eine Einwilligung schriftlich oder elektronisch zu erfolgen. Wichtig ist, dass diese auf Freiwilligkeit beruhen muss. 


Die Tücken der Datensicherheit
Wie im gesamten Unternehmen ist auch im Rahmen des Fuhrparkmanagements die Sicherheit der Verarbeitung (technische und organisatorische Maßnahmen) zu gewährleisten. Zum einen ist sicherzustellen, dass entsprechende Vereinbarungen mit dem Dienstleister (Auftragsverarbeiter) getroffen werden. Der externe Dienstleister ist hier weisungsgebunden und hat gemäß DS-GVO als Auftragsverarbeiter ebenfalls ein Verzeichnis aller Kategorien der von ihm im Auftrag eines Verantwortlichen durchgeführten Verarbeitungen zu führen – und dieses (auf Anfrage) zur Verfügung zu stellen. Dies ist besonders relevant, wenn die Verarbeitung in einem Drittland (nicht EU-/EWR-Land) erfolgt. Zum anderen hat selbstverständlich auch der Verantwortliche, der Auftraggeber selbst, entsprechende Maßnahmen zur Datensicherheit zu ergreifen. Hierzu zählen regelmäßig die Einhaltung von u. a.

  • Integrität,
  • Vertraulichkeit,
  • Verfügbarkeit und
  • Belastbarkeit.

Hierbei geht es nicht nur um die Datensicherheit von Daten, welche elektronisch verarbeitet werden, sondern auch um Daten die z. B. ungehindert von Bildschirmen abgelesen werden können. Als Maßnahme ist hier ein Sichtschutz empfehlenswert sowie Datenblätter in Papierform in verschlossenen Schränken aufzubewahren. Im Rahmen der Dokumentations- und Nachweispflicht sind diese technischen und organisatorischen Maßnahmen zu dokumentieren und nachzuweisen. 

Fünf Tipps für die Praxis: 

  1. Prüfen Sie, welche Dienstleister im Rahmen des Fuhrparkmanagements involviert sind (Vertragsmanagement): von der Autovermietung über das Leasingunternehmen und Rechenzentrum bis hin zum Versicherungsunternehmen. Mit wem sind Auftragsverarbeitungen abzuschließen? Wie werden die betroffenen Personen über diesen Dienstleister informiert?

  2. Kontrollieren Sie, mit welchen Verfahren, Software, etc. personenbezogene Daten verarbeitet werden: vom elektronischen Fahrtenbuch und der Führerscheinkontrolle bis hin zur Bearbeitung der Ordnungswidrigkeiten. Sind die Prozesse beschrieben? Sind die Verarbeitungen im Rahmen des Verarbeitungsverzeichnisses dokumentiert? Sind die personenbezogenen Daten im Rahmen des Lösch- und Aufbewahrungskonzeptes berücksichtigt?

  3. Vergewissern Sie sich, ob die Vorgaben der Informationspflichten eingehalten werden und die Rechte der betroffenen Person gewährleistet werden können.

  4. Prüfen Sie, ob die Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten (ausreichend) dokumentiert sind und die gesetzlichen Vorgaben nachgewiesen werden können.

  5. Arbeiten Sie mit Ihrem betrieblichen Datenschutzbeauftragten zusammen. Es gibt noch weitere datenschutzrechtliche Vorgaben, die zu berücksichtigen sind und auf die in diesem Artikel aufgrund der Übersichtlichkeit kein Bezug genommen wird.

Zwei Verarbeitungsbeispiele 
Der Arbeitgeber hat im Rahmen seiner Sorgfaltspflicht zu prüfen, ob der Mitarbeiter über eine gültige Fahrerlaubnis verfügt. In welcher Regelmäßigkeit diese Prüfung zu erfolgen hat, ist u. a. davon abhängig, ob ihm ein Leasingfahrzeug zur Verfügung gestellt wird oder ob er sich „gelegentlich“ ein Fahrzeug aus der Flotte ausleiht. Folgende Prozessschritte sind sinnvoll:

  • Wer ist für die Prüfung der Fahrerlaubnis und für den Prozess (Dokumentation und Nachweise) verantwortlich?
  • Wie wird der Vorgang dokumentiert?
  • Wer hat Zugriff auf diese Daten?
  • An wen werden diese Informationen noch weitergeleitet (z. B. Leasingunternehmen)?

Es kommt immer wieder vor, dass Beschäftigte bei Dienstfahrten oder -reisen gegen die Straßenverkehrsordnung verstoßen, z. B. Geschwindigkeitsüberschreitungen. Dabei sind im Prozess zwei Punkte zu berücksichtigen:

  • Wer darf im Unternehmen Post von z. B. Stadtverwaltung, Ordnungsamt, Polizei öffnen?
  • Wie wird eine datenschutzkonforme Weiterleitung an den Fahrer gewährleistet? 

Fazit

Lange wurde von der Wirtschaft die Vereinheitlichung des Datenschutzrechts auf EU-Ebene gefordert. Mit der Datenschutz-Grundverordnung verlor das bestehende nationale Recht seine Gültigkeit und wurde durch die EU-Datenschutz-Grundverordnung ersetzt. Ein Verantwortlicher für den Fuhrpark oder der Flottenmanager sollte nicht meinen, dass „sein Arbeitsbereich“ nicht betroffen ist. Gerade in seinem Bereich werden personenbezogene, gelegentlich auch sensible Daten (i.S.d. Art. 9 DS-GVO), verarbeitet. Er muss also darauf achten, dass dies auf rechtmäßige Weise geschieht und die datenschutzrechtlichen Anforderungen eingehalten werden. 

Ist das Fuhrparkmanagement ein eigener Unternehmensbereich oder innerhalb eines Bereiches wie dem Personalmanagement angesiedelt, stellt dies im eigenen Haus meist keine große Hürde dar. Im Fall der Auslagerung an einen Dienstleister, ist mit diesem eine Auftragsverarbeitungsvereinbarung abzuschließen. Im Rahmen der Kontroll- und Überwachungsaufgaben des Verantwortlichen (Kontrollrechte) mit Unterstützung des Datenschutzbeauftragten sind die Vereinbarungen regelmäßig zu prüfen und zu dokumentieren.

Noch mal kurz auf den Punkt gebracht:

Wie man auch anhand des Fuhrparkmanagements sieht, betrifft das Datenschutzrecht alle Bereiche eines Unternehmens. Unabhängig davon, ob die Verarbeitung selbst (inhouse) oder mit Unterstützung eines Dienstleisters (Outsourcing) durchgeführt wird. In beiden Fällen sind die Vorgaben der DS-GVO einzuhalten und nachzuweisen. Binden Sie daher rechtzeitig und umfänglich Ihren Datenschutzbeauftragten ein. Er weiß, was zu tun ist und kann Sie dabei unterstützen, das Haftungs- und Bußgeldrisiko zu reduzieren sowie Ihnen helfen, das Risiko eines Reputationsverlustes zu vermeiden.

* Regina Mühlich ist Geschäftsführerin der Managementberatung AdOrga Solutions GmbH. Sie ist Expertin für Datenschutz, Sachverständige für EDV und Datenschutz sowie Datenschutz-Auditorin und Compliance Officer. Als Datenschutzbeauftragte und Compliance Officer berät und unterstützt sie nationale und internationale Unternehmen aus unterschiedlichsten Branchen. Im Datenschutz ist sie seit über 20 Jahren tätig. Sie ist gefragte Referentin für Seminare und Vorträge sowie Mitglied des Vorstandes des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e. V.