Datenschutz im Fuhrparkmanagement 5 Tipps: Von Rechtswegen sicher auf Achse
Anbieter zum Thema
Im Fuhrpark werden personenbezogene, gelegentlich auch sensible Daten, verarbeitet. Der Flottenmanager muss also darauf achten, dass dies auf rechtmäßige Weise geschieht und die neuesten datenschutzrechlichen Anforderungen eingehalten werden.

In Europa basiert der Datenschutz auf zwei Rechtskreisen: dem Schutz der Privatsphäre und dem Schutz des allgemeinen Persönlichkeitsrechts. 2016 hat das Europäische Parlament die „Verordnung zum Schutz natürlicher Personen“ verabschiedet. Die Datenschutz-Grundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG n.F.) sind seit 2018 gültig. Seitdem sind auch im Fuhrparkmanagement entsprechende Anpassungen sowie Veränderungen erforderlich.
„Erheben und Verarbeiten“ von „personenbezogenen Daten“
Das Gesetz definiert den Begriff der „Verarbeitung“ als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang mit personenbezogenen Daten, wie Erheben, Erfassen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Übermittlung, Offenlegen, Vernichten, Löschen. Für die Verarbeitung bedarf es einer Legitimation, das heißt sobald ein Datum einen Personenbezug aufweist, ist jeder Prozessschritt eine Datenverarbeitung und fällt in den Anwendungsbereich der DS-GVO.
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Die Identifizierbarkeit ist – direkt oder indirekt – mittels Zuordnung über Name, Standortdaten, Online-Kennung etc. möglich.
Folgen für das Fuhrparkmanagement
Personalnummer, Telefonnummer, Kreditkartenabrechnung, Kontodaten, Kfz-Kennzeichen, Fahrzeugidentifizierungsnummer (FIN) – all dies sind personenbezogene Daten, durch die eine natürliche Person (eindeutig) identifiziert werden kann. Unterlagen wie Fahrtenbuch, Leasingvertrag, Tankabrechnung und Unfallbericht enthalten ebenfalls personenbezogene Daten. Im Fuhrparkmanagement werden folglich regelmäßig personenbezogene Daten verarbeitet. Es spielt dabei keine Rolle, ob es sich dabei um Daten von Beschäftigten handelt oder um die von betriebsfremden Personen. Beide haben ein Recht darauf, dass die Daten nur „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise“ verarbeitet werden.
Mitarbeiter wie auch Dritte, die beispielsweise ein Firmenfahrzeug nutzen, müssen von der Führerscheinkontrolle über den Abschluss eines Leasingvertrages bis hin zum Fahrtenbuch durch das Unternehmen über den Umgang mit ihren personenbezogenen Daten transparent und umfassend informiert sowie über ihre Rechte aufgeklärt werden. Eine Unterschrift über die Kenntnisnahme, den Erhalt oder gar eine Zustimmung ist dabei nicht erforderlich. Es reicht aus, wenn das Informationsschreiben bei der Führerscheinkontrolle und Schlüsselübergabe am Tresen bereit liegt und einsehbar ist.
Das Verzeichnis der Verarbeitungstätigkeiten
Damit personenbezogene Daten nach den Maßgaben der DS-GVO durch den Verantwortlichen geschützt werden können, muss das Unternehmen ermitteln, in welchen Fällen personenbezogene Daten verarbeitet und genutzt werden. Zu dokumentieren und nachzuweisen („Rechenschaftspflicht“ gemäß Art. 5 Abs. 2 DS-GVO) sind unter anderem:
- Welcher Zweck wird mit der Verarbeitung verfolgt?
- Welche personenbezogenen Daten werden von den Betroffenen verarbeitet?
- Welchen Empfängern werden die personenbezogenen Daten übermittelt?
- Welche Rechtsgrundlage berechtigt zur Verarbeitung der personenbezogenen Daten?
- Wie lange werden die personenbezogenen Daten gespeichert?
Im Verzeichnis der Verarbeitungstätigkeiten (VVT) sind die entsprechenden Prozesse, wie zum Beispiel Führung des Fahrtenbuches, Führerscheinkontrolle, Unfallmeldung, zu dokumentieren. Es geht dabei nicht nur um Daten, die auf elektronischem Wege erhoben und verarbeitet werden, sondern auch um Papierdokumente wie etwa Stammblätter, (Leasing-)Verträge und Dokumentation der Führerscheinkontrolle.
Zwei Beispiele aus dem Fuhrpark
Der Arbeitgeber hat im Rahmen seiner Sorgfaltspflicht zu prüfen, ob der Mitarbeiter über eine gültige Fahrerlaubnis verfügt. In welcher Regelmäßigkeit dies erfolgt, ist unter anderem davon abhängig, ob ihm ein Leasingfahrzeug zur Verfügung gestellt wird oder ob er sich „gelegentlich“ ein Flottenfahrzeug ausleiht. Folgende Prozessschritte sind sinnvoll:
- Wer ist für die Prüfung der Fahrerlaubnis und für den Prozess (Dokumentation und Nachweise) verantwortlich?
- Wie wird der Vorgang dokumentiert?
- Wer hat Zugriff auf diese Daten?
- An wen werden diese Informationen noch weitergeleitet (zum Beispiel Leasingunternehmen)?
Es kommt immer wieder vor, dass Beschäftigte bei Dienstfahrten oder -reisen gegen die Straßenverkehrsordnung verstoßen, beispielsweise bei Geschwindigkeitüberschreitungen. Dabei sind im Prozess zwei Punkte zu berücksichtigen:
- Wer darf im Unternehmen Post von zum Beispiel Stadtverwaltung, Ordnungsamt, Polizei öffnen?
- Wie wird eine datenschutzkonforme Weiterleitung an den Fahrer gewährleistet?
Auftragsverarbeitung
Sobald personenbezogene Daten im Rahmen des Fuhrparkmanagements zur Verarbeitung an einen Dritten, zum Beispiel Auslagerung des Fuhrparks, Hosting, Support-Dienstleister, weitergegeben werden, ist eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO abzuschließen. In diesem Vertrag sind Rechte und Pflichten beider Vertragsparteien zu definieren: darunter Information bei Datenschutzverletzungen, Vorgehensweise bei Auskunftsersuchen, Löschungen während der Vertragslaufzeit und nach Beendigung des Vertrages.
Wie im gesamten Unternehmen ist auch im Rahmen des Fuhrparkmanagements die Sicherheit der Verarbeitung (technische und organisatorische Maßnahmen) zu gewährleisten. Hierbei geht es nicht nur um die elektronische Datensicherheit, sondern auch um Daten die zum Beispiel ungehindert von Bildschirmen abgelesen werden können. Als Maßnahme ist hier ein Sichtschutz empfehlenswert sowie Datenblätter in Papierform in verschlossenen Schränken aufzubewahren. Zu beachten ist dabei die Dokumentations- und Nachweispflicht der technischen und organisatorischen Maßnahmen.
*Regina Mühlich ist Geschäftsführerin der AdOrga Solutions GmbH.
(ID:47040269)