Daten­schutz im Fuhrpark

Daten­schutz basiert in Europa auf zwei Rechts­krei­sen. Zum einen auf dem Schutz der Pri­vat­sphä­re und zum anderen auf dem weit­rei­chen­den Schutz des all­ge­mei­nen Per­sön­lich­keits­rechts (1). Am 14. April 2016 hat das Eu­ro­päi­sche Par­la­ment die „Ver­ord­nung des Rates und des eu­ro­päi­schen Par­la­ments zum Schutz na­tür­li­cher Per­so­nen (DS-GVO) ver­ab­schie­det. Nach Ver­öf­fent­li­chung im Amts­blatt der EU ist sie am 25. Mai 2016 in Kraft ge­tre­ten. Die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung wird gemäß Art. 99 DS-GVO und das Bun­des­da­ten­schutz­ge­setz (BDSG-neu) ab 25. Mai 2018 gültig.
Bis dahin sind ent­spre­chen­de An­pas­sun­gen und/oder Ver­än­de­run­gen, auch im Fuhr­park­ma­nage­ment, er­for­der­lich. Bei der Fahr­­zeug- über­ga­be, der Kon­trol­le des Füh­rer­scheins, der Be­ar­bei­tung von Straf­zet­teln oder Un­fäl­len sowie bei der Ab­rech­nung von Tank­kar­ten und Werk­statt­rech­nun­gen werden per­so­nen­be­zo­ge­ne Daten erhoben und verarbeitet.

Die be­trof­fe­ne Person hat ein Recht, dass die Daten nur „auf recht­mä­ßi­ge Weise, nach Treu und Glauben und in einer für die be­trof­fe­ne Person nach­voll­zieh­ba­ren Weise“ (Art. 5 Abs. 1 lit. a DS-GVO) ver­ar­bei­tet werden. Au­ßer­dem ein Recht darauf, dass die Daten für fest­ge­leg­te, ein­deu­ti­ge und le­gi­ti­me Zwecke erhoben werden (Art. 5 Abs. 1 lit. b DS-GVO) sowie dem Zweck an­ge­mes­sen und auf das not­wen­di­ge Maß („Da­ten­mi­ni­mie­rung“) be­schränkt sind (Art. 5 Abs. 1 lit c DS-GVO). Damit per­so­nen­be­zo­ge­ne Daten nach den Maß­ga­ben der DS-GVO durch den Ver­ant­wort­li­chen ge­schützt werden können, muss das ver­ant­wort­li­che Un­ter­neh­men er­mit­teln, in welchen Fällen per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet und genutzt werden.

Ver­zeich­nis der Verarbeitungstätigkeiten
Zu do­ku­men­tie­ren und nach­zu­wei­sen (Ac­coun­ta­bi­li­ty) sind z. B.

• Welcher Zweck wird mit der Ver­ar­bei­tung verfolgt?
• Welche per­so­nen­be­zo­ge­nen Daten werden von welchen Be­trof­fe­nen verarbeitet?
• Welchen Emp­fän­gern ge­gen­über werden die per­so­nen­be­zo­ge­nen Daten of­fen­ge­legt und/oder übermittelt?
• etc.

Dazu dient das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten gemäß Art. 30 DS-GVO.
Im Rahmen dieses Ver­zeich­nis­ses sind die ent­spre­chen­den Ver­ar­bei­tun­gen und Pro­zes­se wie z. B. Führung Fahr­ten­buch, Kon­trol­le der Füh­rer­schei­ne, Vor­ge­hens­wei­se bei Un­fäl­len, zu beschreiben.
Hierbei ist neben der De­fi­ni­ti­on der ent­spre­chen­den Pro­zess­ver­ant­wort­lich­kei­ten (Process Owner) auch zu de­fi­nie­ren und zu do­ku­men­tie­ren, z. B. wann welche Daten ge­löscht werden können und welche (per­so­nen­be­zo­ge­nen) Daten zu welchem Zweck an wen wei­ter­ge­lei­tet werden. Es geht dabei nicht nur um Daten, die auf elek­tro­ni­schem Wege erhoben und ver­ar­bei­tet werden, sondern auch um Stamm­blät­ter, (Leasing-)Verträge, Do­ku­men­ta­ti­on der Füh­rer­schein­kon­trol­le, etc.

Auf­trags­ver­ar­bei­tung
Sobald per­so­nen­be­zo­ge­ne Daten im Rahmen des Fuhr­park­ma­nage­ments an einen Dritten, z.B. teil­wei­se Aus­la­ge­rung des Fuhr­parks, Hosting, Support-Diens­t­­leis­­ter zur Ver­ar­bei­tung im Auftrag wei­ter­ge­ge­ben werden, ist ein Vertrag zur Auf­trags­ver­ar­bei­tung gemäß Art. 28 Abs. 3 DS-GVO mit dem Dienst­leis­ter abzuschließen.
In diesem Vertrag sind Rechte und Pflich­ten beider Ver­trags­par­tei­en zu de­fi­nie­ren. Pro­zes­se zu Da­ten­schutz­ver­let­zun­gen (Mel­de­pflicht ge­gen­über der Auf­sichts­be­hör­den für Daten­schutz), Vor­ge­hens­wei­sen bei Aus­kunfts­er­su­chen, Lö­schun­gen während des Ver­tra­ges und nach Be­en­di­gung des Ver­tra­ges zu vereinbaren.

In­for­ma­ti­ons­pflich­ten
Art. 13 DS-GVO (§ 32 BDSG-neu) sieht vor, dass die be­trof­fe­ne Person über die Er­he­bung der Daten zu in­for­mie­ren ist. Die In­for­ma­ti­ons­pflich­ten sind, im Ge­gen­satz zum bis­he­ri­gen BDSG, um­fas­sen­der. Der Ver­ant­wort­li­che hat zum Zeit­punkt der (Direkt-)Erhebung über

• den Namen und die Kontaktdaten
• die Kon­takt­da­ten des Datenschutzbeauftragten
• die Zwecke, für die die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet werden (inkl. Rechtsgrundlage)
• den Emp­fän­ger der per­so­nen­be­zo­ge­nen Daten, z. B. Lea­sing­ge­sell­schaft, Hosting-Diens­t­­leis­­ter für das elek­tro­ni­sche Fahrtenbuch
• die ge­plan­te Speicherdauer

zu in­for­mie­ren.

Au­ßer­dem ist im Rahmen der trans­pa­ren­ten und fairen Ver­ar­bei­tung auf die Rechte der be­trof­fe­nen Person

• Recht auf Auskunft
• Recht auf Löschung
• Recht auf Ein­schrän­kung der Verarbeitung
• Recht auf Be­schwer­de bei der Aufsichtsbehörde

hin­zu­wei­sen (siehe Ab­bil­dung 1 im White Paper). Künftig ist nach­zu­wei­sen, dass diese In­for­ma­ti­on auch erfolgt ist.

Fazit:
Wie man anhand des Fuhr­park­ma­nage­ments sieht, be­trifft das neue Da­ten­schutz­recht alle Be­rei­che eines Un­ter­neh­mens. Un­ab­hän­gig davon, ob die Ver­ar­bei­tung selbst (inhouse) oder mit Un­ter­stüt­zung eines Dienst­leis­ters (Out­sour­cing) durch­ge­führt wird. In beiden Fällen sind die Vor­ga­ben der DS-GVO ein­zu­hal­ten und nachzuweisen.

Unser White Paper „Daten­schutz im Fuhr­park“ können Sie HIER down­loa­den. Es enthält In­for­ma­tio­nen und Hin­wei­se zu Do­­ku­­men­­ta­­ti­ons- und Nach­weis­pflich­ten sowie Praxisbeispiele.
Über­sicht unserer White Papers White Paper

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.

(1) Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung im Über­blick, Seite 7, Datakontext