Beitrag, Deutsch
Fahrzeugübergabe, Kontrolle des Führerscheins, Bearbeitung von Strafzetteln oder Unfällen, Abrechnung von Tankkarten und Werkstattrechnungen – geht es im und für das Unternehmen auf Achse, werden jede Menge personenbezogene Daten erhoben und verarbeitet. Datenschutzrechtlich gibt es dabei einiges zu beachten. Welche Auswirkungen die DS-GVO auf das Fuhrparkmanagement hat, lesen Sie in diesem Beitrag.
Datenschutz basiert in Europa auf zwei Rechtskreisen: dem Schutz der Privatsphäre und dem Schutz des allgemeinen Persönlichkeitsrechts. 2016 hat das Europäische Parlament die „Verordnung zum Schutz natürlicher Personen“ verabschiedet. Die Datenschutz-Grundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG n.F.) sind seit 2018 gültig. Seitdem sind auch im Fuhrparkmanagement entsprechende Anpassungen sowie Veränderungen erforderlich.
„Erheben und Verarbeiten“ von „personenbezogenen Daten“
Das Gesetz definiert den Begriff der „Verarbeitung“ als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang mit personenbezogenen Daten, wie Erheben, Erfassen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Übermittlung, Offenlegen, Vernichten, Löschen. Für die Verarbeitung bedarf es einer Legitimation, d. h. sobald ein Datum einen Personenbezug aufweist, ist jede Verarbeitung und jeder Prozessschritt eine Datenverarbeitung und fällt in den Anwendungsbereich der DS-GVO. „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Die Identifizierbarkeit ist – direkt oder indirekt – mittels Zuordnung wie Namen, Standortdaten, Online-Kennung etc. möglich.
Was bedeutet dies für das Fuhrparkmanagement?
Personalnummer, Telefonnummer, Kreditkartenabrechnung, Kontodaten, Kfz-Kennzeichen, Fahrzeugidentifizierungsnummer (FIN) – all dies sind personenbezogene Daten, durch die eine natürliche Person (eindeutig) identifiziert werden kann. Unterlagen wie Fahrtenbuch, Leasingvertrag, Tankabrechnung und Unfallbericht enthalten ebenfalls personenbezogene Daten. Im Fuhrparkmanagement werden folglich regelmäßig personenbezogene Daten verarbeitet. Es spielt dabei keine Rolle, ob es sich dabei um Daten von Beschäftigten handelt oder um die von betriebsfremden Personen.
Auf rechtmäßige Art und informiert
Die betroffene Person hat ein Recht darauf, dass die Daten nur „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise“ verarbeitet werden. Mitarbeiter wie auch Dritte, die beispielsweise ein Firmenfahrzeug nutzen, müssen von der Führerscheinkontrolle über den Abschluss eines Leasingvertrages bis hin zum Fahrtenbuch durch das Unternehmen über den Umgang mit ihren personenbezogenen Daten transparent und umfassend informiert sowie über ihre Rechte aufgeklärt werden. Eine Unterschrift über die Kenntnisnahme, den Erhalt oder gar eine Zustimmung ist dabei nicht erforderlich. Es ist ausreichend, wenn bei der Führerscheinkontrolle beispielsweise das Informationsschreiben zum Zeitpunkt der Schlüsselübergabe am Tresen bereit liegt und einsehbar ist.
Das Verzeichnis der Verarbeitungstätigkeiten
Damit personenbezogene Daten nach den Maßgaben der
DS-GVO durch den Verantwortlichen geschützt werden können, muss das Unternehmen ermitteln, in welchen Fällen personenbezogene Daten verarbeitet und genutzt werden. Zu dokumentieren und nachzuweisen („Rechenschaftspflicht“ gemäß Art. 5 Abs. 2 DS-GVO) sind u. a.:
Im Verzeichnis der Verarbeitungstätigkeiten (VVT) sind die entsprechenden Prozesse, wie z. B. Führung des Fahrtenbuches, Führerscheinkontrolle, Unfallmeldung, zu dokumentieren. Es geht dabei nicht nur um Daten, die auf elektronischem Wege erhoben und verarbeitet werden, sondern auch um Papierdokumente wie z. B. Stammblätter, (Leasing-)Verträge, Dokumentation der Führerscheinkontrolle etc.
Auftragsverarbeitung
Sobald personenbezogene Daten im Rahmen des Fuhrparkmanagements an einen Dritten, z. B. (teilweise) Auslagerung des Fuhrparks, Hosting, Support-Dienstleister zur Verarbeitung weitergegeben werden, ist eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO mit dem Dienstleister abzuschließen. In diesem Vertrag sind Rechte und Pflichten beider Vertragsparteien zu definieren: u.a. Information bei Datenschutzverletzungen, Vorgehensweisen bei Auskunftsersuchen, Löschungen während der Vertragslaufzeit und nach Beendigung des Vertrages.
Die Tücken der Datensicherheit
Wie im gesamten Unternehmen ist auch im Rahmen des Fuhrparkmanagements die Sicherheit der Verarbeitung (technische und organisatorische Maßnahmen) zu gewährleisten. Hierbei geht es nicht nur um die elektronische Datensicherheit, sondern auch um Daten die z. B. ungehindert von Bildschirmen abgelesen werden können. Als Maßnahme ist hier ein Sichtschutz empfehlenswert sowie Datenblätter in Papierform in verschlossenen Schränken aufzubewahren. Im Rahmen der Dokumentations- und Nachweispflicht sind diese technischen und organisatorischen Maßnahmen zu dokumentieren und nachzuweisen.
Zwei Verarbeitungsbeispiele
Der Arbeitgeber hat im Rahmen seiner Sorgfaltspflicht zu prüfen, ob der Mitarbeiter über eine gültige Fahrerlaubnis verfügt. In welcher Regelmäßigkeit diese Prüfung zu erfolgen hat, ist u. a. davon abhängig, ob ihm ein Leasingfahrzeug zur Verfügung gestellt wird oder ob er sich „gelegentlich“ ein Fahrzeug aus der Flotte ausleiht. Folgende Prozessschritte sind sinnvoll:
Es kommt immer wieder vor, dass Beschäftigte bei Dienstfahrten oder -reisen gegen die Straßenverkehrsordnung verstoßen, z. B. bei Geschwindigkeitüberschreitungen. Dabei sind im Prozess zwei Punkte zu berücksichtigen:
Gerade im Fuhrpark werden personenbezogene, gelegentlich auch sensible Daten (i.S.d. Art. 9 DS-GVO), verarbeitet. Der Flottenmanager muss also darauf achten, dass dies auf rechtmäßige Weise geschieht und die datenschutzrechlichen Anforderungen eingehalten werden. Ist das Fuhrparkmanagement ein eigener Unternehmensbereich oder innerhalb eines Bereiches wie dem Personalmanagement angesiedelt, stellt dies meist keine große Hürde dar. Im Fall der Auslagerung an einen Dienstleister, ist mit diesem eine Auftragsverarbeitungsvereinbarung abzuschließen. Im Rahmen der Kontroll- und Überwachungsaufgaben des Verantwortlichen sind die Vereinbarungen regelmäßig zu prüfen und zu dokumentieren
Publikationen: 6
Aufrufe seit 03/2015: 33
Aufrufe letzte 30 Tage: 2