Foto: Foto: Claudia Becker
Foto: Claudia Becker

Firmenwagenwissen

13. Juni 2018

Neue EU-Verordnung: Wichtig für den Fuhrpark

Die neuen Herausforderungen an den Datenschutz stellen Unternehmen vor große Herausforderungen. Seit Langem arbeiten die IT-Abteilungen auf Hochtouren, um der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) und dem Bundesdatenschutzgesetz (BDSG) in der aktuellen Fassung gerecht zu werden. Die EU-DSVGO und das aktuelle BDSG sind seit dem 25. Mai 2018 bei der Verarbeitung personenbezogener Daten bindend und haben alle früheren Regelungen zum Datenschutz ersetzt. Überraschend kamen die neuen Pflichten eigetnlich nicht. Denn die EU-DSVGO wurde bereits am 14. April 2016 verabschiedet. Man gewährte nur eine zweijährige Übergangsfrist, damit alle genügend Zeit hatten, ihre Prozesse in der Datenverarbeitung anzupassen.

Fuhrparks haben mit vielen Daten zu tun

Viele Arbeitgeber haben bei der Organisation zur Einführung der neuen Bestimmungen jedoch versäumt, auch den Fuhrpark genauer unter die Lupe zu nehmen. Aber gerade dort gehen Unternehmen mit einer großen Menge personenbezogener Daten um. Für jede Fahrzeugüberlassung benötigt der Arbeitgeber eine Vielzahl von Information über den Fahrzeugnutzer. Dabei geht es nicht nur um die klassischen personenbezogenen Daten wie Name und Anschrift einer Person. Personenbezogen sind Daten auch dann, wenn aus ihnen eine Person identifizierbar wird, wenn also erst aus dem Zusammenspiel unterschiedlicher Daten oder deren Zuordnung ein Personenbezug hergestellt werden kann. Ob ein Firmenwagen Mitarbeitern als Poolfahrzeug zur Verfügung gestellt wird oder ein Dienstwagen fest zur dienstlichen und privaten Nutzung einer bestimmten Person überlassen wird: Überall fallen personenbezogene Daten an. Dies gilt für den Übergabe- und Rückgabeprozess ebenso wie bei der Führerscheinkontrolle, dem Bußgeld-, aber auch dem Schadenmangement.

Das bedeutet Datenverarbeitung

Was versteht man dabei unter Datenverarbeitung? Verabeitung bedeutet nach Art. 4 DSGVO und § 46 BDSG-neu "jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung".

Datenschutz: Mitarbeiter dürfen Auskunft über eigene Daten verlangen

In welcher Form dies geschieht, ist dabei nicht entscheidend. Das kann etnweder die Verarbeitung mittels Software oder aber auch die manuell geführte "Zettelwirtschaft" sein. Anders als manche Daten verarbeitende Unternehmen - jetzt "Verantwortliche" genannt - meinen, betreffen die neuen Regelungen nicht nur betriebsfremde Personen, sondern auch alle Mitarbeiter. Der Gesetzgeber macht hier zunächst keinen Unterschied. Es gilt das Motto: Alles ist verboten, was nicht ausdrücklich erlaubt ist. Die betroffenen Personen, so nennt man jene, deren personenbezogene Daten verarbeitet werden, haben nach den neuen Regelungen umfassende Auskunftsrechte gemäß Art.5 DSGVO. Im Fuhrpark bedeutet das, dass jeder Mitarbeiter Anspruch darauf hat, genau zu erfahren, welche Daten über ihn vorliegen, was mit diesen geschieht, welchen Zweck sie dienen und ob das auch alles legitim ist. Dabei ist stets darauf zu achten, dass nur jene Daten verarbeitet werden, die für den vorgesehenen Zweck erforderlich sind. Datenminimierung heißt hier das Stichwort.

Übersicht über Personendaten

Damit personenbezogene Daten nach den Vorgaben der EU-DSVGO durch den Verantwortlichen überhaupt geschützt werden können, ist es für den Fuhrpark zunächst erforderlich festzustellen, in welchen Fällen personenbezogene Daten überhaupt verarbeitet und genutzt werden. Hierzu dient das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. In diesem Verzeichnis ist etwa zu dokumentieren, welche Funktionsträger (z.B. Personalabteilung) personenbezogene Daten von welchen betroffenen Personengruppen (z.B. Firmenwagenfahrer) zu welchem Zweck verarbeiten. Dabei ist die Rechtsgrundlage anzugeben und zu prüfen, ob die Datenverarbeitung mit Risiken für die betroffene Person verbunden ist. In diesem Fall ist eine Risikofolgenabschätzung vorzunehmen.

Sind Auftragsverarbeiter eingeschaltet?

Wichtig ist auch zu prüfen und zu dokumentieren, ob ein Auftragsverarbeiter eingeschaltet ist, der seinerseits personenbezogene Daten für den Verantwortlichen, zum Beispiel den Arbeitgeber, verarbeitet. Dies ist im Fuhrpark regelmäßig der Fall. Denn allein im Bestellprozess für einen Dienstwagen werden z.B. vom Fahrzeughändler entsprechende Daten verarbeitet, wenn der Arbeitnehmer den Dienstwagen selbst konfiguriert oder wenn das Autohaus unmittelbar eine Fahrzeugauslieerung an den Mitarbeiter vornimmt. externe Dienstleister für das Schadenmanagement snd ebenso Auftragsverarbeiter, z.B. Anbieter einer elektronischen Führerscheinkontrolle. Eine solche Auftragsverarbeitung setzt nun nach Art. 28 DSGVO voraus, dass zwischen dem Verantwortlichen und dem Auftragsverarbeiter ein Vertrag geschlossen wird, der die Rechte und Pflichten der Parteien im Zusammenhang mit der Datenverarbeitung beschreibt. Dabei hat der Verantwortliche sicherzustellen, dass auch der datenverarbeiter die technischen und organisatorischen Maßnahmen (TOM) ergreift, die zum Schutz der Daten erforderlich sind (Datensicherheit). Will der Auftragsverarbeiter seinerseits Subunternehmer mit der Datenverarbeitung beauftragen, bedarf dies der ausdrücklichen Zustimmung des Verantwortlichen.

Nachweise einholen

Neu ist auch, dass der Verantwortliche neben dem Datenverarbeiter für dessen Verstöße gegen datenschutzrechtliche Bestimmungen mithaftet. Es ist daher jedem Unternehmen, das einen Fuhrpark unterhält, dringend anzuraten, von jedem Dienstleister einen schriftlichen Nachweis über die Datensicherheit bei der Verarbeitung personenbezogener Daten einzufordern - sei es bezüglich einer elektronischen Führerscheinkontrolle, der Onlineunterweisung oder dem externen Schaden- oder Bußgeldmanagement. Denn wer haftet schon gerne für Verstöße anderer?

von Dr. Katja Löhr-Müller

Foto: Claudia Becker

DSGVO

Neue EU-Verordnung: Das müssen Fuhrparkmanager wissen

Ab Ende Mai ist die Verordnung bindend: Welche Daten relevant sind, wie mit ihnen umzugehen ist und wer bei Verstößen haftbar gemacht werden kann.

    • Datenschutz, Fuhrparkmanagement, Fuhrparkwissen, Recht

Basiswissen Fuhrparkmanagement

Wichtige Grundlagen: Das müssen Fuhrparkmanager wissen

Das Fuhrparkmanagement wird immer komplexer. bfp fuhrpark & management sagt, was Fuhrparkverantwortliche unbedingt beachten müssen.

    • Fuhrparkmanagement, Firmenwagenwissen
Neues Jahr 2024: Nicht nur neue gesetzliche Regelungen betreffen auch das Fuhrparkmanagement.

Neue Regelungen

Fuhrparkmanagement: Zehn wichtige Änderungen für 2024

Neues Jahr, neues Glück? Auch 2024 warten auf Fuhrparkverantwortliche einige Änderungen. Einen Überblick gibt’s hier.

    • Fuhrparkmanagement, Recht

Marktübersicht Führerscheinkontrolle

Halterhaftung: Das ist neu und wichtig im Fuhrpark

Die gesetzliche Halterhaftung und Führerscheinkontrolle sind weitreichende Themen im Fuhrpark. Das sind die Trends 2020.

    • Führerscheinkontrolle, Halterhaftung, Fuhrparkmanagement, Fahrerunterweisung, Ladungssicherung

Tipps & News rund um Fuhrparkmanagement und betriebliche Mobilität:der fuhrpark.de-Newsletter

Abonnieren Sie jetzt den kostenlosen fuhrpark.de-Newsletter!

Hier kostenlos
anmelden