Daten­schutz im Fuhrparkmanagement

Fahr­zeug­über­ga­be, Kon­trol­le des Füh­rer­scheins, Be­ar­bei­tung von Straf­zet­teln oder Un­fäl­len, Ab­rech­nung von Tank­kar­ten und Werk­statt­rech­nun­gen – geht es im und für das Un­ter­neh­men auf Achse, werden viele per­so­nen­be­zo­ge­ne Daten erhoben und verarbeitet.

Welche Aus­wir­kun­gen die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) auf das Fuhrparkmanagement?

Per­so­nal­num­mer, Te­le­fon­num­mer, Kre­dit­kar­ten­ab­rech­nung, Kfz-Ken­n­­zei­chen, Fahr­zeug­iden­ti­fi­zie­rungs­num­mer (FIN) – all dies sind per­so­nen­be­zo­ge­ne Daten, durch die eine na­tür­li­che Person (Be­trof­fe­ner) iden­ti­fi­ziert werden kann. Un­ter­la­gen wie Fahr­ten­buch, Lea­sing­ver­trag, Tank­ab­rech­nung und Un­fall­be­richt ent­hal­ten eben­falls per­so­nen­be­zo­ge­ne Daten. Im Fuhr­park­ma­nage­ment werden folg­lich re­gel­mä­ßig per­so­nen­be­zo­ge­ne Daten verarbeitet.

Recht­mä­ßig und informiert
Der Fahr­zeug­nut­zer (be­trof­fe­ne Person) hat ein Recht darauf, dass seine Daten nur „auf recht­mä­ßi­ge Weise, nach Treu und Glauben und in einer für die be­trof­fe­ne Person nach­voll­zieh­ba­ren Weise“ ver­ar­bei­tet werden. Be­schäf­tig­te wie auch Dritte (be­triebs­frem­de Per­so­nen), die bei­spiels­wei­se ein Fir­men­fahr­zeug nutzen, müssen von der Füh­rer­schein­kon­trol­le über den Ab­schluss eines Lea­sing­ver­tra­ges bis hin zum Fahr­ten­buch durch das Un­ter­neh­men, aus Da­ten­schutz­sicht der Ver­ant­wort­li­che gem. Art. 4 Nr. 7 DS-GVO), über den Umgang mit ihren per­so­nen­be­zo­ge­nen Daten trans­pa­rent und um­fas­send in­for­miert sowie über ihre Rechte auf­ge­klärt werden. Eine Un­ter­schrift über die Kennt­nis­nah­me, den Erhalt oder gar eine Zu­stim­mung ist dabei nicht er­for­der­lich. Es ist aus­rei­chend, wenn bei der Füh­rer­schein­kon­trol­le bei­spiels­wei­se das In­for­ma­ti­ons­schrei­ben zum Zeit­punkt der Schlüs­sel­über­ga­be am Tresen bereit liegt und ein­seh­bar ist.

Das Ver­zeich­nis der Verarbeitungstätigkeiten
Damit per­so­nen­be­zo­ge­ne Daten nach den Maß­ga­ben der DS-GVO durch den Ver­ant­wort­li­chen ge­schützt werden können, muss das Un­ter­neh­men er­mit­teln, in welchen Fällen per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet und genutzt werden. Zu do­ku­men­tie­ren und nach­zu­wei­sen (Re­chen­schafts­pflicht gemäß Art. 5 Abs. 2 DS-GVO) sind u. a.:
·     Welcher Zweck wird mit der Ver­ar­bei­tung verfolgt?
·     Welche per­so­nen­be­zo­ge­nen Daten werden von den Be­trof­fe­nen verarbeitet?
·     Welchen Emp­fän­gern werden die per­so­nen­be­zo­ge­nen Daten übermittelt?
·     Welche Rechts­grund­la­ge be­rech­tigt zur Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten?
·     Wie lange werden die per­so­nen­be­zo­ge­nen Daten gespeichert?
Im Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten (VVT) sind die ent­spre­chen­den Pro­zes­se, wie z. B. Führung des Fahr­ten­bu­ches, Füh­rer­schein­kon­trol­le, Un­fall­mel­dung, zu do­ku­men­tie­ren. Es geht dabei nicht nur um Daten, die auf elek­tro­ni­schem Wege erhoben und ver­ar­bei­tet werden, sondern auch um Pa­pier­for­ma­te wie z.B. Stamm­blät­ter, (Leasing-)Verträge, Do­ku­men­ta­ti­on der Füh­rer­schein­kon­trol­le etc.

Auf­trags­ver­ar­bei­tung
Sobald per­so­nen­be­zo­ge­ne Daten im Rahmen des Fuhr­park­ma­nage­ments an einen Dritten, z. B. (teil­wei­se) Aus­la­ge­rung des Fuhr­parks, Hosting, Support-Diens­t­­leis­­ter zur Ver­ar­bei­tung wei­ter­ge­ge­ben werden, ist eine Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung gemäß Art. 28 Abs. 3 DS-GVO mit dem Dienst­leis­ter ab­zu­schlie­ßen. In dieser Ver­ein­ba­rung sind Rechte und Pflich­ten beider Ver­trags­par­tei­en zu de­fi­nie­ren. In­for­ma­ti­ons­pflicht bei Da­ten­schutz­vor­fäl­len, Vor­ge­hens­wei­sen bei Aus­kunfts­er­su­chen, Lö­schun­gen während der Ver­trags­lauf­zeit sowie nach Be­en­di­gung des Ver­tra­ges, um nur einige Punkte zu nennen.

Zwei Ver­ar­bei­tungs­bei­spie­le
Der Ar­beit­ge­ber hat im Rahmen seiner Sorg­falts­pflicht zu prüfen, ob der Mit­ar­bei­ter über eine gültige Fahr­erlaub­nis verfügt. In welcher Re­gel­mä­ßig­keit diese Prüfung zu er­fol­gen hat, ist u. a. davon ab­hän­gig, ob ihm ein Lea­sing­fahr­zeug zur Ver­fü­gung ge­stellt wird oder ob er sich „ge­le­gent­lich“ ein Fahr­zeug aus der Flotte aus­leiht. Fol­gen­de Pro­zess­schrit­te sind sinnvoll:
·     Wer ist für die Prüfung der Fahr­erlaub­nis und für den Prozess (Do­ku­men­ta­ti­on und Nach­wei­se) verantwortlich?
·     Wie wird der Vorgang dokumentiert?
·     Wer hat Zugriff auf diese Daten?
·     An wen werden diese In­for­ma­tio­nen noch wei­ter­ge­lei­tet (z. B. Leasingunternehmen)?

Es kommt immer wieder vor, dass Be­schäf­tig­te bei Dienst­fahr­ten oder -reisen gegen die Stra­ßen­ver­kehrs­ord­nung ver­sto­ßen, z. B. Ge­schwin­dig­keits­über­schrei­tung. Dabei sind im Prozess u.a. zwei Punkte zu berücksichtigen:
·     Wer darf im Un­ter­neh­men Post von z. B. Stadt­ver­wal­tung, Ord­nungs­amt, Polizei öffnen?
·     Wie wird eine da­ten­schutz­kon­for­me Wei­ter­lei­tung an den Fahrer gewährleistet?

Fazit: Auch im Fuhr­park­ma­nage­ment werden per­so­nen­be­zo­ge­ne, ge­le­gent­lich auch sen­si­ble Daten (i.S.d. Art. 9 DS-GVO), ver­ar­bei­tet. Der Flot­ten­ma­na­ger hat also darauf achten, dass dabei die da­ten­schutz­recht­li­chen An­for­de­run­gen ein­ge­hal­ten werden. In jedem Fall ist der Datenschutz­beauftragte ein­zu­bin­den. Er weiß, was zu tun ist und kann das Un­ter­neh­men dabei un­ter­stüt­zen, Pro­zes­se zu op­ti­mie­ren, Haf­­tungs- und Buß­geld­ri­si­ko zu re­du­zie­ren sowie die Gefahr eines Re­pu­ta­ti­ons­ver­lus­tes zu vermeiden.

Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.
Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.

06. Oktober 2020