Foto: weißer_audi_ 5 Zuschnitt

Firmenwagenwissen

16. April 2018

Das ändert sich beim Datenschutz

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. In Deutschland wird deshalb auch das Bundesdatenschutzgesetz geändert (BDSG) geändert. "Relevant sind die neuen Regeln für ausnahmslos alle Unternehmen", sagt Rechtsanwalt und Datenschutzrechtsexperte David Oberbeck. Grund: Die neuen Regeln betreffen alle, die personenbezogene Daten verarbeiten. Und genau das machen Betriebe mit Fuhrpark - weil sie Mitarbeiter beschäftigen, eine Kundendatenbank nutzen, eventuell Fotos bei Facebook posten oder Mitarbeitern die private Nutzung von Firmenhandy erlauben.

Die Definition personenbezogener Daten

Die EU-Verordnung definiert, was personenbezogene Daten sind. Sie berücksichtigt laut Oberbeck alles, wodurch sich Rückschlüsse auf eine Person ziehen lassen - also zum Beispiel: Name, Adresse, E-Mail-Adresse, Geburtsdatum, Bankdaten, Kfz-Kennzeichen und Fotos.

Einverständiserklärung erforderlich oder nicht?

Bei der Verarbeitung von Kundendaten ist zwischen zwei Fällen zu unterscheiden. Zulässig ist sie laut Oberbeck, wenn eine gesetzliche Vorschrift die Nutzung ausdrücklich erlaubt oder wenn die betroffene Person in die Datennutzung eingewilligt hat. Liegt eine gesetzliche Erlaubnis zur Datenverarbeitung vor, brauchen Firmen keine gesonderte Einwilligung. Anders sieht es aus, wenn sie Kundendaten zu anderen Zwecken speichern wollen. Zum Beispiel, weil sie Werbung per E-Mail versenden oder Telefon-Marketing betreiben wollen. Dann brauchen Betriebe die Einwilligung der Betroffenen, wie es schon nach jetziger Rechtslage der Fall ist. "Bestehende Einwilligungserklärungen sind weiterhin gültig", sagt Rechtsanwalt Oberbeck. Problematisch werde es künftig aber, wenn keine Einwilligung vorliege. "Das wird nach der Datenschutzgrundverordnung als unberechtigte Datenverarbeitung gewertet", warnt der Jurist. Und das sei kein Kavaliersdelikt. "Schließlich werden mit der Datenschutz-Grundverordnung die Bußgelder für alle Verstöße massiv erhöht", so der Datenschutzrechtsexperte.

Mögliche Strafen bei Verstößen

Bei der rechtswidrigen Verarbeitung von personenbezogenen Daten können Unternehmen von der zuständigen Landesdatenschutzbehörde künftig mit einer Höchststrafe von bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Vorjahresumsatzes belangt werden - je nachdem, welcher Betrag höher ist. Allerdings meint David Oberbeck: "Mit der Höchstrafe werden kleinere Betriebe künftig sicher nicht belangt." Denoch rät der Rechtsanwalt, die neuen Regeln nicht auf die leichte Schulter zu nehmen. Denn Ende Mai treten noch weitere Neuerungen in Kraft, bei denen der neuen Bußgeldkatalog ebenfalls greift.

Neue Informations- und Dokumentationspflichten

Vor allem haben Betriebe neue Informationspflichten zu erfüllen, sagt der Datenschutzrechtsexperte. Sie greifen immer dann, wenn sich Unternehmen von Betroffenen eine neue Einwilligungserklärung einholen. Denn dann müssen sie die Kunden schriftlich darüber informieren, was sie mit den erhobenen Daten vorhaben - und zwar zum Zeitpunkt der Datenerhebung. Betroffene bekommen zudem ein Auskunftsrecht. "Auf Verlangen müssen Betriebe deshalb auch in einfachen Fällen künftig offenlegen, welche Daten sie von einer Person zu welchem Zweck gespeichert haben", erläutert der Jurist. Auch bei der Dokumentation kommen auf Betriebe einige Neuerungen zu. So müssen sie künftig im sogenannten "Verzeichnis für Verarbeitungstätigkeiten" festhalten, welche personenbezogenen Daten im Unternehmen verarbeitet und wofür sie benutzt werden. Zwar gibt es für Kleinunternehmen unter 250 Beschäftigten hierzu Ausnahmen, die in der Praxis aber kaum greifen werden. "Insgesamt dient das Verzeichnis dazu, den Behörden bei der Kontrolle  zu helfen", sagt der Jurist.

Wer künftig eine Datenschutz-Folgenabschätzung braucht

Unter bestimmten Umständen muss die Dokumentation auch eine Datenschutz-Folgenabschätzung erhalten. "Das ist immer dann der Fall, wenn ein hohes Risiko für die Rechte und Freiheiten der Betroffenen vorliegen kann", so Oberbeck. Als besonders sensibel gelten in diesem Zusammenhang Gesundheitsdaten, die ethnische Herkunft oder die religiöse Zugehörigkeit einer Person.

von Anna-Maja Leupold

Foto: Claudia Becker

DATENSCHUTZ-GRUNDVERORDNUNG

Das ändert sich 2018 für Betriebe beim Datenschutz

Die Datenschutz-Grundverordnung bürdet Betrieben neue Pflichten auf. Sie müssen informieren und dokumentieren. Wer nicht mitspielt, riskiert hohe Bußgelder.

    • Datenschutz, Recht
Daten aus dem Auto gehören in erster Linie  den Nutzern und nicht Unternehmen oder Drittanbietern – findet der Bundesverband der Verbraucherzentralen.

Konnektivität

Verbraucherzentrale will Datenschutz im Auto sicherstellen

Der Bundesverband der Verbraucherzentralen (vzbv) spricht sich für einen Treuhandservice für Nutzerdaten in modernen Autos aus. 

    • Konnektivität
Die Dekra zertifiziert künftig Ladesäulen. 

Ladeinfrastruktur

Dekra besiegelt Datenschutz bei Ladesäulen

Ein so genanntes Cybersecurity-Siegel der Dekra soll die Sicherheit von öffentlichen Ladesäulen sicher stellen.

    • eHUB, Elektro-Antrieb

Urteil des Verwaltungsgerichts Lüneburg

Datenschutz geht vor Kontrolle

Ein Urteil des Lüneburger Verwaltungsgerichts zeigt: Firmen müssen eine GPS-Überwachung von Dienstwagen gut nachvollziehbar begründen können.

    • Recht, Dienstwagen, Urteile, Firmenwagen

Tipps & News rund um Fuhrparkmanagement und betriebliche Mobilität:der fuhrpark.de-Newsletter

Abonnieren Sie jetzt den kostenlosen fuhrpark.de-Newsletter!

Hier kostenlos
anmelden