Datenschutz im Fuhrparkmanagement 5 Tipps: Von Rechtswegen sicher auf Achse

Autor / Redakteur: Regina Mühlich* / Viviane Krauss

Im Fuhrpark werden personenbezogene, gelegentlich auch sensible Daten, verarbeitet. Der Flottenmanager muss also darauf achten, dass dies auf rechtmäßige Weise geschieht und die neuesten datenschutzrechlichen Anforderungen eingehalten werden.

Firma zum Thema

Wie im gesamten Unternehmen ist auch im Rahmen des Fuhrparkmanagements die Sicherheit der Verarbeitung (technische und organisatorische Maßnahmen) zu gewährleisten.
Wie im gesamten Unternehmen ist auch im Rahmen des Fuhrparkmanagements die Sicherheit der Verarbeitung (technische und organisatorische Maßnahmen) zu gewährleisten.
(Bild: gemeinfrei / Unsplash)

In Europa basiert der Datenschutz auf zwei Rechtskreisen: dem Schutz der Privatsphäre und dem Schutz des allgemeinen Persönlichkeitsrechts. 2016 hat das Europäische Parlament die „Verordnung zum Schutz natürlicher Personen“ verabschiedet. Die Datenschutz-Grundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG n.F.) sind seit 2018 gültig. Seitdem sind auch im Fuhrparkmanagement entsprechende Anpassungen sowie Veränderungen erforderlich.

„Erheben und Verarbeiten“ von „personenbezogenen Daten“

Das Gesetz definiert den Begriff der „Verarbeitung“ als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang mit personenbezogenen Daten, wie Erheben, Erfassen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Übermittlung, Offenlegen, Vernichten, Löschen. Für die Verarbeitung bedarf es einer Legitimation, das heißt sobald ein Datum einen Personenbezug aufweist, ist jeder Prozessschritt eine Datenverarbeitung und fällt in den Anwendungsbereich der DS-GVO.

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Die Identifizierbarkeit ist – direkt oder indirekt – mittels Zuordnung über Name, Standortdaten, Online-Kennung etc. möglich.

Folgen für das Fuhrparkmanagement

Personalnummer, Telefonnummer, Kreditkartenabrechnung, Kontodaten, Kfz-Kennzeichen, Fahrzeugidentifizierungsnummer (FIN) – all dies sind personenbezogene Daten, durch die eine natürliche Person (eindeutig) identifiziert werden kann. Unterlagen wie Fahrtenbuch, Leasingvertrag, Tankabrechnung und Unfallbericht enthalten ebenfalls personenbezogene Daten. Im Fuhrparkmanagement werden folglich regelmäßig personenbezogene Daten verarbeitet. Es spielt dabei keine Rolle, ob es sich dabei um Daten von Beschäftigten handelt oder um die von betriebsfremden Personen. Beide haben ein Recht darauf, dass die Daten nur „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise“ verarbeitet werden.

Mitarbeiter wie auch Dritte, die beispielsweise ein Firmenfahrzeug nutzen, müssen von der Führerscheinkontrolle über den Abschluss eines Leasingvertrages bis hin zum Fahrtenbuch durch das Unternehmen über den Umgang mit ihren personenbezogenen Daten transparent und umfassend informiert sowie über ihre Rechte aufgeklärt werden. Eine Unterschrift über die Kenntnisnahme, den Erhalt oder gar eine Zustimmung ist dabei nicht erforderlich. Es reicht aus, wenn das Informationsschreiben bei der Führerscheinkontrolle und Schlüsselübergabe am Tresen bereit liegt und einsehbar ist.

Das Verzeichnis der Verarbeitungstätigkeiten

Damit personenbezogene Daten nach den Maßgaben der DS-GVO durch den Verantwortlichen geschützt werden können, muss das Unternehmen ermitteln, in welchen Fällen personenbezogene Daten verarbeitet und genutzt werden. Zu dokumentieren und nachzuweisen („Rechenschaftspflicht“ gemäß Art. 5 Abs. 2 DS-GVO) sind unter anderem:

  • Welcher Zweck wird mit der Verarbeitung verfolgt?
  • Welche personenbezogenen Daten werden von den Betroffenen verarbeitet?
  • Welchen Empfängern werden die personenbezogenen Daten übermittelt?
  • Welche Rechtsgrundlage berechtigt zur Verarbeitung der personenbezogenen Daten?
  • Wie lange werden die personenbezogenen Daten gespeichert?

Im Verzeichnis der Verarbeitungstätigkeiten (VVT) sind die entsprechenden Prozesse, wie zum Beispiel Führung des Fahrtenbuches, Führerscheinkontrolle, Unfallmeldung, zu dokumentieren. Es geht dabei nicht nur um Daten, die auf elektronischem Wege erhoben und verarbeitet werden, sondern auch um Papierdokumente wie etwa Stammblätter, (Leasing-)Verträge und Dokumentation der Führerscheinkontrolle.

Zwei Beispiele aus dem Fuhrpark

Der Arbeitgeber hat im Rahmen seiner Sorgfaltspflicht zu prüfen, ob der Mitarbeiter über eine gültige Fahrerlaubnis verfügt. In welcher Regelmäßigkeit dies erfolgt, ist unter anderem davon abhängig, ob ihm ein Leasingfahrzeug zur Verfügung gestellt wird oder ob er sich „gelegentlich“ ein Flottenfahrzeug ausleiht. Folgende Prozessschritte sind sinnvoll:

  • Wer ist für die Prüfung der Fahrerlaubnis und für den Prozess (Dokumentation und Nachweise) verantwortlich?
  • Wie wird der Vorgang dokumentiert?
  • Wer hat Zugriff auf diese Daten?
  • An wen werden diese Informationen noch weitergeleitet (zum Beispiel Leasingunternehmen)?

Es kommt immer wieder vor, dass Beschäftigte bei Dienstfahrten oder -reisen gegen die Straßenverkehrsordnung verstoßen, beispielsweise bei Geschwindigkeitüberschreitungen. Dabei sind im Prozess zwei Punkte zu berücksichtigen:

  • Wer darf im Unternehmen Post von zum Beispiel Stadtverwaltung, Ordnungsamt, Polizei öffnen?
  • Wie wird eine datenschutzkonforme Weiterleitung an den Fahrer gewährleistet?

Auftragsverarbeitung

Sobald personenbezogene Daten im Rahmen des Fuhrparkmanagements zur Verarbeitung an einen Dritten, zum Beispiel Auslagerung des Fuhrparks, Hosting, Support-Dienstleister, weitergegeben werden, ist eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO abzuschließen. In diesem Vertrag sind Rechte und Pflichten beider Vertragsparteien zu definieren: darunter Information bei Datenschutzverletzungen, Vorgehensweise bei Auskunftsersuchen, Löschungen während der Vertragslaufzeit und nach Beendigung des Vertrages.

Fünf Tipps für die Praxis

1. Prüfen Sie, welche Dienstleister im Rahmen des Fuhrparkmanagements involviert sind (Vertragsmanagement): von der Autovermietung über das Leasingunternehmen und Rechenzentrum bis hin zum Versicherungsunternehmen. Mit wem sind Auftragsverarbeitungen abzuschließen? Wie werden die betroffenen Personen über diesen Dienstleister informiert?

2. Kontrollieren Sie, mit welchen Verfahren, Software, etc. personenbezogene Daten verarbeitet werden: vom elektronischen Fahrtenbuch und der Führerscheinkontrolle bis hin zur Bearbeitung der Ordnungswidrigkeiten. Sind die Prozesse beschrieben? Sind die Verarbeitungen im Rahmen des Verarbeitungsverzeichnisses dokumentiert? Sind die personenbezogenen Daten im Rahmen des Lösch- und Aufbewahrungskonzeptes berücksichtigt?

3. Vergewissern Sie sich, ob die Vorgaben der Informationspflichten eingehalten werden und die Rechte der betroffenen Person gewährleistet werden können.

4. Prüfen Sie, ob die Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten (ausreichend) dokumentiert sind und die gesetzlichen Vorgaben nachgewiesen werden können.

5. Binden Sie rechtzeitig und umfänglich Ihren Datenschutzbeauftragten ein. Er weiß, was zu tun ist und kann Sie dabei unterstützen, das Haftungs- und Bußgeldrisiko zu reduzieren sowie Ihnen helfen, das Risiko eines Reputationsverlustes zu vermeiden.

Wie im gesamten Unternehmen ist auch im Rahmen des Fuhrparkmanagements die Sicherheit der Verarbeitung (technische und organisatorische Maßnahmen) zu gewährleisten. Hierbei geht es nicht nur um die elektronische Datensicherheit, sondern auch um Daten die zum Beispiel ungehindert von Bildschirmen abgelesen werden können. Als Maßnahme ist hier ein Sichtschutz empfehlenswert sowie Datenblätter in Papierform in verschlossenen Schränken aufzubewahren. Zu beachten ist dabei die Dokumentations- und Nachweispflicht der technischen und organisatorischen Maßnahmen.

*Regina Mühlich ist Geschäftsführerin der AdOrga Solutions GmbH.

(ID:47040269)