Fahrzeugübergabe, Kontrolle des Führerscheins, Bearbeitung von Strafzetteln oder Unfällen, Abrechnung von Tankkarten und Werkstattrechnungen – geht es im und für das Unternehmen auf Achse, werden viele personenbezogene Daten erhoben und verarbeitet.
Welche Auswirkungen die Datenschutz-Grundverordnung (DS-GVO) auf das Fuhrparkmanagement?
Personalnummer, Telefonnummer, Kreditkartenabrechnung, Kfz-Kennzeichen, Fahrzeugidentifizierungsnummer (FIN) – all dies sind personenbezogene Daten, durch die eine natürliche Person (Betroffener) identifiziert werden kann. Unterlagen wie Fahrtenbuch, Leasingvertrag, Tankabrechnung und Unfallbericht enthalten ebenfalls personenbezogene Daten. Im Fuhrparkmanagement werden folglich regelmäßig personenbezogene Daten verarbeitet.
Rechtmäßig und informiert
Der Fahrzeugnutzer (betroffene Person) hat ein Recht darauf, dass seine Daten nur „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise“ verarbeitet werden. Beschäftigte wie auch Dritte (betriebsfremde Personen), die beispielsweise ein Firmenfahrzeug nutzen, müssen von der Führerscheinkontrolle über den Abschluss eines Leasingvertrages bis hin zum Fahrtenbuch durch das Unternehmen, aus Datenschutzsicht der Verantwortliche gem. Art. 4 Nr. 7 DS-GVO), über den Umgang mit ihren personenbezogenen Daten transparent und umfassend informiert sowie über ihre Rechte aufgeklärt werden. Eine Unterschrift über die Kenntnisnahme, den Erhalt oder gar eine Zustimmung ist dabei nicht erforderlich. Es ist ausreichend, wenn bei der Führerscheinkontrolle beispielsweise das Informationsschreiben zum Zeitpunkt der Schlüsselübergabe am Tresen bereit liegt und einsehbar ist.
Das Verzeichnis der Verarbeitungstätigkeiten
Damit personenbezogene Daten nach den Maßgaben der DS-GVO durch den Verantwortlichen geschützt werden können, muss das Unternehmen ermitteln, in welchen Fällen personenbezogene Daten verarbeitet und genutzt werden. Zu dokumentieren und nachzuweisen (Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO) sind u. a.:
· Welcher Zweck wird mit der Verarbeitung verfolgt?
· Welche personenbezogenen Daten werden von den Betroffenen verarbeitet?
· Welchen Empfängern werden die personenbezogenen Daten übermittelt?
· Welche Rechtsgrundlage berechtigt zur Verarbeitung der personenbezogenen Daten?
· Wie lange werden die personenbezogenen Daten gespeichert?
Im Verzeichnis der Verarbeitungstätigkeiten (VVT) sind die entsprechenden Prozesse, wie z. B. Führung des Fahrtenbuches, Führerscheinkontrolle, Unfallmeldung, zu dokumentieren. Es geht dabei nicht nur um Daten, die auf elektronischem Wege erhoben und verarbeitet werden, sondern auch um Papierformate wie z.B. Stammblätter, (Leasing-)Verträge, Dokumentation der Führerscheinkontrolle etc.
Auftragsverarbeitung
Sobald personenbezogene Daten im Rahmen des Fuhrparkmanagements an einen Dritten, z. B. (teilweise) Auslagerung des Fuhrparks, Hosting, Support-Dienstleister zur Verarbeitung weitergegeben werden, ist eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO mit dem Dienstleister abzuschließen. In dieser Vereinbarung sind Rechte und Pflichten beider Vertragsparteien zu definieren. Informationspflicht bei Datenschutzvorfällen, Vorgehensweisen bei Auskunftsersuchen, Löschungen während der Vertragslaufzeit sowie nach Beendigung des Vertrages, um nur einige Punkte zu nennen.
Zwei Verarbeitungsbeispiele
Der Arbeitgeber hat im Rahmen seiner Sorgfaltspflicht zu prüfen, ob der Mitarbeiter über eine gültige Fahrerlaubnis verfügt. In welcher Regelmäßigkeit diese Prüfung zu erfolgen hat, ist u. a. davon abhängig, ob ihm ein Leasingfahrzeug zur Verfügung gestellt wird oder ob er sich „gelegentlich“ ein Fahrzeug aus der Flotte ausleiht. Folgende Prozessschritte sind sinnvoll:
· Wer ist für die Prüfung der Fahrerlaubnis und für den Prozess (Dokumentation und Nachweise) verantwortlich?
· Wie wird der Vorgang dokumentiert?
· Wer hat Zugriff auf diese Daten?
· An wen werden diese Informationen noch weitergeleitet (z. B. Leasingunternehmen)?
Es kommt immer wieder vor, dass Beschäftigte bei Dienstfahrten oder -reisen gegen die Straßenverkehrsordnung verstoßen, z. B. Geschwindigkeitsüberschreitung. Dabei sind im Prozess u.a. zwei Punkte zu berücksichtigen:
· Wer darf im Unternehmen Post von z. B. Stadtverwaltung, Ordnungsamt, Polizei öffnen?
· Wie wird eine datenschutzkonforme Weiterleitung an den Fahrer gewährleistet?
Fazit: Auch im Fuhrparkmanagement werden personenbezogene, gelegentlich auch sensible Daten (i.S.d. Art. 9 DS-GVO), verarbeitet. Der Flottenmanager hat also darauf achten, dass dabei die datenschutzrechtlichen Anforderungen eingehalten werden. In jedem Fall ist der Datenschutzbeauftragte einzubinden. Er weiß, was zu tun ist und kann das Unternehmen dabei unterstützen, Prozesse zu optimieren, Haftungs- und Bußgeldrisiko zu reduzieren sowie die Gefahr eines Reputationsverlustes zu vermeiden.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
06. Oktober 2020