Datenschutz basiert in Europa auf zwei Rechtskreisen. Zum einen auf dem Schutz der Privatsphäre und zum anderen auf dem weitreichenden Schutz des allgemeinen Persönlichkeitsrechts (1). Am 14. April 2016 hat das Europäische Parlament die „Verordnung des Rates und des europäischen Parlaments zum Schutz natürlicher Personen (DS-GVO) verabschiedet. Nach Veröffentlichung im Amtsblatt der EU ist sie am 25. Mai 2016 in Kraft getreten. Die Datenschutz-Grundverordnung wird gemäß Art. 99 DS-GVO und das Bundesdatenschutzgesetz (BDSG-neu) ab 25. Mai 2018 gültig.
Bis dahin sind entsprechende Anpassungen und/oder Veränderungen, auch im Fuhrparkmanagement, erforderlich. Bei der Fahrzeug- übergabe, der Kontrolle des Führerscheins, der Bearbeitung von Strafzetteln oder Unfällen sowie bei der Abrechnung von Tankkarten und Werkstattrechnungen werden personenbezogene Daten erhoben und verarbeitet.
Die betroffene Person hat ein Recht, dass die Daten nur „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise“ (Art. 5 Abs. 1 lit. a DS-GVO) verarbeitet werden. Außerdem ein Recht darauf, dass die Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden (Art. 5 Abs. 1 lit. b DS-GVO) sowie dem Zweck angemessen und auf das notwendige Maß („Datenminimierung“) beschränkt sind (Art. 5 Abs. 1 lit c DS-GVO). Damit personenbezogene Daten nach den Maßgaben der DS-GVO durch den Verantwortlichen geschützt werden können, muss das verantwortliche Unternehmen ermitteln, in welchen Fällen personenbezogene Daten verarbeitet und genutzt werden.
Verzeichnis der Verarbeitungstätigkeiten
Zu dokumentieren und nachzuweisen (Accountability) sind z. B.
- Welcher Zweck wird mit der Verarbeitung verfolgt?
- Welche personenbezogenen Daten werden von welchen Betroffenen verarbeitet?
- Welchen Empfängern gegenüber werden die personenbezogenen Daten offengelegt und/oder übermittelt?
- etc.
Dazu dient das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO.
Im Rahmen dieses Verzeichnisses sind die entsprechenden Verarbeitungen und Prozesse wie z. B. Führung Fahrtenbuch, Kontrolle der Führerscheine, Vorgehensweise bei Unfällen, zu beschreiben.
Hierbei ist neben der Definition der entsprechenden Prozessverantwortlichkeiten (Process Owner) auch zu definieren und zu dokumentieren, z. B. wann welche Daten gelöscht werden können und welche (personenbezogenen) Daten zu welchem Zweck an wen weitergeleitet werden. Es geht dabei nicht nur um Daten, die auf elektronischem Wege erhoben und verarbeitet werden, sondern auch um Stammblätter, (Leasing-)Verträge, Dokumentation der Führerscheinkontrolle, etc.
Auftragsverarbeitung
Sobald personenbezogene Daten im Rahmen des Fuhrparkmanagements an einen Dritten, z.B. teilweise Auslagerung des Fuhrparks, Hosting, Support-Dienstleister zur Verarbeitung im Auftrag weitergegeben werden, ist ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO mit dem Dienstleister abzuschließen.
In diesem Vertrag sind Rechte und Pflichten beider Vertragsparteien zu definieren. Prozesse zu Datenschutzverletzungen (Meldepflicht gegenüber der Aufsichtsbehörden für Datenschutz), Vorgehensweisen bei Auskunftsersuchen, Löschungen während des Vertrages und nach Beendigung des Vertrages zu vereinbaren.
Informationspflichten
Art. 13 DS-GVO (§ 32 BDSG-neu) sieht vor, dass die betroffene Person über die Erhebung der Daten zu informieren ist. Die Informationspflichten sind, im Gegensatz zum bisherigen BDSG, umfassender. Der Verantwortliche hat zum Zeitpunkt der (Direkt-)Erhebung über
- den Namen und die Kontaktdaten
- die Kontaktdaten des Datenschutzbeauftragten
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden (inkl. Rechtsgrundlage)
- den Empfänger der personenbezogenen Daten, z. B. Leasinggesellschaft, Hosting-Dienstleister für das elektronische Fahrtenbuch
- die geplante Speicherdauer
zu informieren.
Außerdem ist im Rahmen der transparenten und fairen Verarbeitung auf die Rechte der betroffenen Person
- Recht auf Auskunft
- Recht auf Löschung
- Recht auf Einschränkung der Verarbeitung
- Recht auf Beschwerde bei der Aufsichtsbehörde
hinzuweisen (siehe Abbildung 1 im White Paper). Künftig ist nachzuweisen, dass diese Information auch erfolgt ist.
Fazit:
Wie man anhand des Fuhrparkmanagements sieht, betrifft das neue Datenschutzrecht alle Bereiche eines Unternehmens. Unabhängig davon, ob die Verarbeitung selbst (inhouse) oder mit Unterstützung eines Dienstleisters (Outsourcing) durchgeführt wird. In beiden Fällen sind die Vorgaben der DS-GVO einzuhalten und nachzuweisen.
Unser White Paper „Datenschutz im Fuhrpark“ können Sie HIER downloaden. Es enthält Informationen und Hinweise zu Dokumentations- und Nachweispflichten sowie Praxisbeispiele.
Übersicht unserer White Papers White Paper
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.
(1) Datenschutz-Grundverordnung im Überblick, Seite 7, Datakontext