Donnerstag, 24.05.2018
Tankstation: Auch nach der Nutzung der firmeneigenen Tankkarte muss bei der Abrechnung im Unternehmen auf den Datenschutz geachtet werden.

Foto: Shell

Tankstation: Auch nach der Nutzung der firmeneigenen Tankkarte muss bei der Abrechnung im Unternehmen auf den Datenschutz geachtet werden.

Technologie
EU-Datenschutz-Grundverordnung

Die DSGVO trifft auch Betreiber von Firmenfuhrparks

Auch Inhaber von Fahrzeugflotten müssen sich an die neue EU-Datenschutzgrundverordnung halten. Egal, ob bei der Führerscheinkontrolle oder der Videoüberwachung des Parkplatzes: Überall müssen sich die Unternehmen fragen, welche Daten sie speichern und verarbeiten dürfen.

Die unternehmensinternen Prozesse und IT-Systeme im Fuhrpark müssen an die Vorgaben der neuen europäischen Datenschutz-Grundverordnung EU-DSGVO und des neuen Bundesdatenschutzgesetzes (BDSG) angepasst werden. Dies ist ein dreistufiger Prozess. Im ersten Schritt werden der Ist-Zustand der Datenverarbeitung im Fuhrpark analysiert und die datenrelevanten Vorgänge erfasst.

Folgen Sie Markt und Mittelstand jetzt auch auf LinkedIn:    


Im zweiten Schritt erfolgt ein Soll-Ist-Abgleich (Gap-Analyse) mit Blick auf die neuen datenschutzrechtlichen Anforderungen. Auf Basis dieses Änderungsbedarfs kann die Geschäftsführung Entscheidungen über den Detailgrad der Umsetzung und das finanzielle Budget treffen. Der dritte Schritt (Umsetzungsphase) dient dazu, die Lücken zu schließen. Es erfolgt eine Datenschutzunterweisung und -verpflichtung der mit der Datenverarbeitung beschäftigten Mitarbeiter.

Pflichten für Unternehmen

Die EU-DSGVO statuiert eine Reihe neuer datenschutzrechtlicher Pflichten für Unternehmen, so etwa durch Bestimmungen über die Sicherheit der Datenerhebung und Datenverarbeitung. Zudem besteht die Pflicht zur transparenten Information von Mitarbeitern über die Datenverarbeitung (Artikel 13, 14 EU-DSGVO). Zu den Mindestinformationen zählen neben dem Namen und den Kontaktdaten des für die Datenverarbeitung Verantwortlichen auch die Angabe der Zwecke und der Rechtsgrundlage der Verarbeitung personenbezogener Daten. Daher sind dienstwagenberechtigte Mitarbeiter bereits bei der Fahrzeugübergabe „arbeitsplatzbezogen“ in Bezug auf das genutzte Fahrzeug, die darin gespeicherten Daten und die Möglichkeit der Löschung zu instruieren.

Die Verordnung ist ferner durch das Prinzip des Datenschutzes durch Technik (Privacy by Design) geprägt. Hierbei steht die Umsetzung der Grundsätze der Datenvermeidung und Datensparsamkeit durch technische und organisatorische Maßnahmen (siehe dazu die Artikel 24, 25, 32, 33 EU-DSGVO) im Vordergrund. Datenschutzrechtliche Risiken sollen durch Prozess- und Technikgestaltung vermieden werden. So ist beispielsweise ein Löschkonzept erforderlich für die Löschung von Daten in Navigationssystemen, mobilen Telekommunikationssystemen und Bordcomputern von Fahrzeugen bei der Fahrzeugrückgabe.

Risiko neue Technik

Besonders wichtig für die Praxis ist die Datenschutz-Folgenabschätzung, die eine umfassende Risikobewertung von Datenverarbeitungsvorgängen ermöglichen soll. Dies stellt eine erhebliche Verschärfung dar (Artikel 35 EU-DSGVO). Ein Unternehmen muss eine Datenschutz-Folgenabschätzung (vorab) vornehmen, wenn eine Form der Datenverarbeitung oder die sonstige Verwendung neuer Technologien voraussichtlich ein hohes Risiko beinhaltet, die Rechte und Freiheiten natürlicher Personen zu beeinträchtigen, wie das Recht auf informationelle Selbstbestimmung der Dienstwagennutzer.

Info

Die neue EU-DSGVO erlaubt die Verarbeitung von Daten etwa bei:

 

  • Einwilligungserklärung (Artikel 6 Absatz 1, Artikel 4)
  • Erforderlichkeit zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen (Artikel 6 Absatz 1)
  • Erfüllung einer rechtlichen Verpflichtung (Artikel 6 Absatz 1)
  • Schutz lebenswichtiger Interessen (Artikel 6 Absatz 1)
  • Wahrung berechtigter Interessen

Daneben gibt es besondere Erlaubnistatbestände im nationalen Recht, etwa den Paragrafen 26 des Bundesdatenschutzgesetzes neuer Fassung.

Ein Beispiel für „risikobehaftete“ neue Technologien sind Systeme, die eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen aufgrund automatisierter Verarbeitung ermöglichen. Hierunter dürften moderne Systeme des (teil-)autonomen Fahrens ebenso fallen wie fortgeschrittene Fahrerassistenzsysteme, die im Kontext mit anderen vom Bordcomputer gespeicherten Daten (Navigationssystem, Smartphone-Anbindung, E-Mail-System, Connected Car) Rückschlüsse auf Leistung und Verhalten der Dienstwagennutzer ermöglichen.

Automatisierte Systeme stark betroffen

Gerade bei der Anschaffung von Fahrzeugen mit einer Vielzahl automatischer Systeme wird das Fuhrparkmanagement künftig gehalten sein, entsprechende Datenschutz-Folgenabschätzungen vorzunehmen. Dies wird praktisch nur umsetzbar sein, wenn die Fahrzeughersteller in Bedienungsanleitungen offenlegen, ob und welche Daten in den einzelnen Fahrzeugsystemen anfallen (siehe Kasten: „Wo wirkt der Datenschutz im Fuhrpark?“).

Inhalt und Verfahren der Datenschutz-Folgenabschätzung unterliegen genauen Vorgaben (Artikel 35 Absätze 7 und 9 EU-DSGVO). Erforderlich ist eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Verarbeitungszwecke. Hinzu kommt eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie eine Aufstellung der geplanten Abhilfemaßnahmen einschließlich Sicherheitsvorkehrungen und Verfahren, durch welche der Schutz personenbezogener Daten sichergestellt werden soll. Erbracht werden soll der Nachweis, dass die EU-DSGVO eingehalten und den Rechten der betroffenen Personen Rechnung getragen wird. Es dürfte zu erwarten sein, dass die Aufsichtsbehörden Positiv-/Negativlisten zu neuen Technologien veröffentlichen, die für die Datenverarbeitung ein hohes Risiko darstellen.

Mehr Aufwand

Neu ist ferner die Dokumentationspflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (Artikel 30 EU-DSGVO). Danach hat künftig jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die seiner Zuständigkeit unterliegen. Für die Auftragsdatenverarbeitung ist dies als eigenständige Pflicht zu regeln (Artikel 30 Absatz 2 EU-DSGVO). Als Mindestinhalt anzugeben sind die Zwecke der Verarbeitung, die Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind, sowie die für die verschiedenen Datenkategorien vorgesehenen Löschungsfristen nebst allgemeiner Beschreibung technischer und organisatorischer Maßnahmen zur Sicherheit der Verarbeitung (Artikel 32 DSGVO).

Info

Wo wirkt der Datenschutz im Fuhrpark?

 

  • Führerscheinkontrolle
  • Verwaltung von Dienstwagenüberlassungsverträgen
  • Videoüberwachung am Arbeitsplatz und auf dem Firmenparkplatz
  • Weitergabe personenbezogener Daten bei der Prüfung von Schadengutachten
  • Einsatz von Dashcams in Geschäftsfahrzeugen
  • arbeitsrechtliche Mitbestimmungsrechte des Betriebsrats nach Betriebsverfassungsgesetz bei der Einführung von technischen Einrichtungen im Dienstwagen (wie Autotelefon, Navigationssysteme, freiwillige Fahrtenschreiber, Unfalldatenschreiber, Connected Car) sowie bei der Einführung einer Pflicht zur Führung eines Fahrtenbuchs
  • Tracking: Erstellung von Bewegungsprofilen anhand von GPS-Daten
  • Anfertigung von Daten-Backups
  • Data-Wiping: zuverlässiges Löschen der Daten in Navigationssystem, Autotelefon oder Bordcomputer von Firmenfahrzeugen

Die Dokumentationspflicht gilt nicht für Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern, es sei denn, dass sich aus der Folgenabschätzung ergibt, dass die Datenverarbeitung ein Risiko für Rechte und Freiheiten der betroffenen Personen birgt. Das ist eine Frage des Einzelfalls (Artikel 30 Absatz 5 EU-DSGVO).

Die Verarbeitung personenbezogener Daten kann durch Einwilligung erlaubt sein. Die Einwilligung des betroffenen Dienstwagenberechtigten oder -nutzers gilt es auch künftig, bei der arbeitsvertraglichen Regelung der Dienstwagenüberlassung zu berücksichtigen. Die Einwilligung eines Beschäftigten in die Datenverarbeitung gilt dann als „freiwillig“, wenn für diesen dadurch ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird. Dasselbe gilt, wenn Arbeitgeber und Arbeitnehmer gleichgelagerte Interessen verfolgen. Aufgrund des Über-/Unterordnungsverhältnisses sind bei dienstwagenberechtigten Arbeitnehmern hohe Anforderungen an den Zweck der Einwilligung zu stellen. In der Praxis wird die Einwilligung überwiegend in Konstellationen möglich sein, die nicht das Arbeitsverhältnis als solches, sondern Zusatzleistungen des Arbeitgebers betreffen, wie etwas bei der Gestattung der Privatnutzung von dienstlichen Fahrzeugen.

Bei Verträgen gilt Kopplungsverbot

Verträge oder die Erbringung von Dienstleistungen dürfen nicht davon abhängig gemacht werden, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten einwilligt, die für die Erfüllung des Vertrags überhaupt nicht erforderlich sind. Auch darf eine Einwilligungserklärung nicht von einer anderweitigen Gegenleistung abhängig gemacht werden (Kopplungsverbot).

Ferner sind die Vertragsverhältnisse für Outsourcing-Dienstleistungen im Fuhrpark zu überprüfen und anzupassen. Für die Auftragsdatenverarbeitung muss eine schriftliche Vereinbarung mit dem externen Dienstleister geschlossen werden. Der Auftragsdatenverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (Artikel 4 Nummer 8 EU-DSGVO). Dies spielt beispielsweise beim Einsatz externer Dienstleister zur Durchführung der Führerscheinkontrolle sowie bei der Abrechnung des geldwerten Vorteils im Rahmen der Lohnbuchhaltung eine Rolle. Die Entscheidung über technisch-organisatorische Fragen der Verarbeitung kann an den Auftragsdatenverarbeiter delegiert werden. Die Rechtsgrundlage für die Weitergabe von personenbezogenen Daten der Dienstwagennutzer an den Auftragsdatenverarbeiter und die Verarbeitung durch diesen ist dieselbe, auf die der Verantwortliche seine eigene Datenverarbeitung stützt.

Autor

Lutz D. Fischer ist Gründer der Rechtsanwaltskanzlei fischer.legal aus Sankt Augustin und Verbandsjurist beim Bundesverband Fuhrparkmanagement.


Dieser Text gehört zu einem Thema aus der Markt-und-Mittelstand-Ausgabe 05/2018. Hier können Sie das Heft bestellen und „Markt und Mittelstand“ abonnieren.