Foto: Jürgen Fälchle - stock.adobe.com

DSGVO

Neue EU-Verordnung: Das müssen Fuhrparkmanager wissen

Ab Ende Mai ist die Verordnung bindend: Welche Daten relevant sind, wie mit ihnen umzugehen ist und wer bei Verstößen haftbar gemacht werden kann.

Inhaltsverzeichnis

Von Dr. Katja Löhr-Müller

Die neuen Anforderungen an den Datenschutz stellen Unternehmen vor große Herausforderungen. Seit langem arbeiten die IT-Abteilungen auf Hochtouren, um der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) und dem Bundesdatenschutzgesetz (BDSG) in der aktuellen Fassung gerecht zu werden. Die EU-DSGVO und das aktuelle BDSG sind ab dem 25. Mai 2018 bei der Verarbeitung personenbezogener Daten bindend und haben alle früheren Regelungen zum Datenschutz ersetzt.

Das ändert sich 2018 für Betriebe beim Umgang mit Daten

Überraschend kamen die neuen Pflichten eigentlich nicht. Denn die EU-DSGVO wurde bereits am 14. April 2016 verabschiedet. Man gewährte nur eine zweijährige Übergangsfrist, damit alle genügend Zeit haben, ihre Prozesse in der Datenverarbeitung anzupassen.

Datenschutz: Fuhrparks haben mit vielen Daten zu tun

Viele Arbeitgeber haben bei der Organisation zur Einführung der neuen Bestimmungen jedoch versäumt, auch den Fuhrpark näher unter die Lupe zu nehmen. Denn gerade dort gehen Unternehmen mit einer großen Menge personenbezogener Daten um. Für jede Fahrzeugüberlassung benötigt der Arbeitgeber eine Vielzahl von Information über den Fahrzeugnutzer.

Dabei geht es nicht nur um die klassischen personenbezogenen Daten, wie Name und Anschrift einer Person. Personenbezogen sind Daten auch dann, wenn aus ihnen eine Person identifizierbar wird, also erst aus dem Zusammenspiel unterschiedlicher Daten oder deren Zuordnung ein Personenbezug hergestellt werden kann.

Ob ein Firmenwagen Mitarbeitern als Poolfahrzeug zur Verfügung gestellt wird oder ein Dienstwagen fest zur dienstlichen und privaten Nutzung einer bestimmten Person überlassen wird: Überall fallen personenbezogene Daten an. Dies gilt für den Übergabe- und Rückgabeprozess ebenso wie bei der Führerscheinkontrolle, dem Bußgeld- aber auch dem Schadenmanagement.

Das bedeutet Datenverarbeitung

Was versteht man dabei unter Datenverarbeitung? Verarbeitung bedeutet nach Art 4 DSGVO und § 46 BDSG-neu "jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung."

Datenschutz: Mitarbeiter dürfen Auskunft über eigene Daten verlangen

In welcher Form dies geschieht, ist dabei nicht entscheidend. Das kann entweder die Verarbeitung mittels Software, oder aber auch die manuell geführte „Zettelwirtschaft“ sein. Anders als manche Daten verarbeitende Unternehmen – jetzt „Verantwortliche“ genannt – meinen, betreffen die neuen Regelungen nicht nur betriebsfremde Personen, sondern auch alle Mitarbeiter. Der Gesetzgeber macht hier zunächst keinen Unterschied. Es gilt das Motto: Alles ist verboten, was nicht ausdrücklich erlaubt ist.

Die betroffenen Personen, so nennt man jene, deren personenbezogenen Daten verarbeitet werden, haben nach den neuen Regelungen umfassende Auskunftsrechte gemäß Art 5 DSGVO. Im Fuhrpark bedeutet das, dass jeder Mitarbeiter Anspruch darauf hat, genau zu erfahren, welche Daten über ihn vorliegen, was mit diesen geschieht, welchem Zweck sie dienen und ob das auch alles legitim ist.

Dabei ist stets darauf zu achten, dass nur jene Daten verarbeitet werden, die für den vorgesehenen Zweck erforderlich sind; Datenminimierung heißt hier das Stichwort.

Fuhrparkmanager müssen Übersicht über Personendaten haben

Damit personenbezogene Daten nach den Vorgaben der EU- DSGVO durch den Verantwortlichen überhaupt geschützt werden können, ist es für den Fuhrpark zunächst erforderlich festzustellen, in welchen Fällen personenbezogene Daten überhaupt verarbeitet und genutzt werden. Hierzu dient das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. In diesem Verzeichnis ist etwa zu dokumentieren, welche Funktionsträger (z.B. Personalabteilung) personenbezogene Daten von welchen betroffenen Personengruppen (z.B. Firmenwagenfahrer) zu welchem Zweck verarbeiten. Dabei ist die Rechtsgrundlage anzugeben und zu prüfen, ob die Datenverarbeitung mit Risiken für die betroffenen Personen verbunden ist. In diesem Fall ist eine Risikofolgenabschätzung vorzunehmen.

Sind so genannte Auftragsverarbeiter eingeschaltet?

Wichtig ist auch zu prüfen und zu dokumentieren, ob ein Auftragsverarbeiter eingeschaltet ist, der seinerseits personenbezogene Daten für den Verantwortlichen, zum Beispiel den Arbeitgeber, verarbeitet. Dies ist im Fuhrpark regelmäßig der Fall. Denn allein im Bestellprozess für einen Dienstwagen werden z.B. vom Fahrzeughändler entsprechende Daten verarbeitet, wenn der Arbeitnehmer den Dienstwagen selbst konfiguriert oder das Autohaus unmittelbar eine Fahrzeugauslieferung an den Mitarbeiter vornimmt. Externe Dienstleister für das Schadenmanagement sind ebenso Auftragsverarbeiter, wie Anbieter einer elektronischen Führerscheinkontrolle.

Datenschutz: Die Verarbeitung muss vertraglich geregelt werden

Eine solche Auftragsverarbeitung setzt nun nach Art. 28 DGSVO voraus, dass zwischen dem Verantwortlichen und dem Auftragsverarbeiter ein Vertrag geschlossen wird, der die Rechte und Pflichten der Parteien im Zusammenhang mit der Datenverarbeitung beschreibt. Dabei hat der Verantwortliche sicherzustellen, dass auch der Datenverarbeiter die technischen und organisatorischen Maßnahmen (TOM) ergreift, die zum Schutz der Daten erforderlich sind (Datensicherheit). Will der Auftragsverarbeiter seinerseits Subunternehmer mit der Datenverarbeitung beauftragen, bedarf dies der ausdrücklichen Zustimmung des Verantwortlichen.

Fuhrparkmanager sollten sich von Externen Nachweise einholen

Neu ist auch, dass der Verantwortliche neben dem Datenverarbeiter für dessen Verstöße gegen datenschutzrechtliche Bestimmungen mithaftet. Es ist daher jedem Unternehmen, das einen Fuhrpark unterhält dringend anzuraten, von jedem Dienstleister einen schriftlichen Nachweis über die Datensicherheit bei der Verarbeitung personenbezogener Daten einzufordern, sei es bezüglich einer elektronischen Führerscheinkontrolle, der Onlineunterweisung oder dem externen Schaden- oder Bußgeldmanagement. Denn wer haftet schon gerne für Verstöße anderer?

Seminar Datenschutz: Was Fuhrparkmanager jetzt wissen müssen

Neue EU-Verordnung: Wichtig für den Fuhrpark

Die neuen Herausforderungen an den Datenschutz stellen Unternehmen vor große Herausforderungen. Seit Langem arbeiten die IT-Abteilungen auf Hochtouren, um der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) und dem Bundesdatenschutzgesetz (BDSG) in der aktuellen Fassung gerecht zu werden. Die EU-DSVGO und das aktuelle BDSG sind seit dem 25. Mai 2018 bei der Verarbeitung personenbezogener Daten bindend und haben alle früheren Regelungen zum Datenschutz ersetzt. Überraschend kamen die neuen Pflichten eigetnlich nicht. Denn die EU-DSVGO wurde bereits am 14. April 2016 verabschiedet.

Das ändert sich beim Datenschutz

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. In Deutschland wird deshalb auch das Bundesdatenschutzgesetz geändert (BDSG) geändert. "Relevant sind die neuen Regeln für ausnahmslos alle Unternehmen", sagt Rechtsanwalt und Datenschutzrechtsexperte David Oberbeck. Grund: Die neuen Regeln betreffen alle, die personenbezogene Daten verarbeiten. Und genau das machen Betriebe mit Fuhrpark - weil sie Mitarbeiter beschäftigen, eine Kundendatenbank nutzen, eventuell Fotos bei Facebook posten oder Mitarbeitern die private Nutzung von Firmenhandy erlauben.

DATENSCHUTZ-GRUNDVERORDNUNG

Das ändert sich 2018 für Betriebe beim Datenschutz

Die Datenschutz-Grundverordnung bürdet Betrieben neue Pflichten auf. Sie müssen informieren und dokumentieren. Wer nicht mitspielt, riskiert hohe Bußgelder.

Was müssen Arbeitgeber bei einer Unterweisung beachten?

Eine Unterweisung gehört in der betrieblichen Praxis zum Alltag. Vielen Unternehmern ist aber nicht bekannt, dass bei der dienstlichen Nutzung eines Firmenfahrzeugs der Arbeitgeber dem Beschäftigten damit ein Arbeitsmittel zur Verfügung stellt. Der Gesetzgeber und die Gesetzliche Unfallversicherung schreiben vor, dass ein Arbeitgeber seine Beschäftigten unterweisen muss, wie Arbeitsmittel zu verwenden sind.

Fahrzeuge gehören zu Arbeitsmitteln

hintergrundgrafik

bfp SONDERHEFT jetzt verfügbar!

Betriebliche Mobilität 2019

Best Practices und Interviews rund um die Themen Fahrzeuge, Mobilitätsbudget, Carsharing, Diensträder und vieles mehr...
DIGITALES MAGAZIN JETZT LESEN

Tipps & News rund um Fuhrparkmanagement und betriebliche Mobilität:der fuhrpark.de-Newsletter

Abonnieren Sie jetzt den kostenlosen fuhrpark.de-Newsletter!