Das Thema Datenschutz wird immer bedeutender und das nicht erst seit der Einführung der EU-Datenschutz-Grundverordnung (EU-DSGVO) im Mai 2018. In unserem Beitrag beleuchten wir das Thema Datenschutz und die DSGVO im Allgemeinen und werfen einen spezifischen Blick auf den Datenschutz im Fuhrparkmanagement sowie die weiteren Auswirkungen auf Compliance-Anforderungen im Unternehmen.
Inhaltsverzeichnis:
- EU-DSGVO
- Datenschutz für Arbeitgeber
- Datenerhebung und Einwilligungen
- DSGVO im Fuhrparkmanagement
- Datenschutz bei der manuellen Führerscheinkontrolle
- Datenschutz bei der elektronischen Führerscheinkontrolle
- Datenschutz-Unterweisungen im Unternehmen
- Wie kann man bei der Wahl eines Anbieters auf Nummer sicher gehen?
EU-DSGVO
Bei der Datenschutz-Grundverordnung (EU-DSGVO) handelt es sich um eine Verordnung der europäischen Union. Im Rahmen dieser Verordnung werden Regelungen zur Verarbeitung personenbezogener Daten getroffen. Diese betreffen Unternehmen und öffentliche Stellen in der gesamten EU. Da es sich bei der Verordnung um EU-Recht handelt, gilt diese unmittelbar in allen EU-Mitgliedsstaaten. Die DSGVO basiert in Teilen auf den bereits bestehenden Regelungen der EG-Datenschutzrichtlinie 95/46. Neu hinzugekommen sind beispielsweise Regelungen zur Transparenz, das Marktortprinzip, Grundsätze der Verarbeitung personenbezogener Daten und Anforderungen an eine Einwilligung.
Datenschutz für Arbeitgeber
Aus der EU-DSGVO ergeben sich somit auch neue Datenschutzverpflichtungen für Arbeitgeber. Im Rahmen der Anpassung bestehender Gesetze an die DSGVO ist u. a. der Bußgeldrahmen auf bis zu 20 Millionen Euro erhöht worden. Um diesen Bußgeldern zu entgehen, ist der Arbeitgeber verpflichtet, die internen Datenverarbeitungsprozesse, bei denen Mitarbeiterdaten verwendet werden, anzupassen.
Betroffene Mitarbeitergruppen sind hier Arbeitnehmer, Leiharbeiter, Azubis und weitere Beschäftigtengruppen. Auch von der DSGVO betroffen sind Bewerber, da auch in diesen Fällen im Unternehmen personenbezogene Daten verarbeitet werden. Aber nicht nur der Arbeitgeber selbst ist von den neuen Regelungen der DSGVO betroffen, ebenfalls betroffen sind Personalvermittler, Betriebsräte und Behörden, die personenbezogene Daten im Rahmen eines Beschäftigungsverhältnisses verarbeiten.
Mit der Anpassung von Datenverarbeitungsprozessen allein ist es allerdings noch nicht getan. Zusätzlich müssen Arbeitgeber sicherstellen, dass die eigenen Mitarbeiter im Umgang mit personenbezogenen Daten sensibilisiert werden. Ein gängiges Mittel hierfür sind regelmäßige Datenschutzschulungen. Mehr hierzu in den nächsten Abschnitten.
Datenerhebung und Einwilligungen
Grundsätzlich sollte bei der Datenerhebung darauf geachtet werden, dass nur so viele personenbezogene Daten verarbeitet werden, wie für den verarbeitenden Prozess notwendig sind. Daten, die darüber hinausgehen und für keinen internen Prozess notwendig sind, sind grundsätzlich nicht mehr zu erfassen.
Dies ist bei allen Prozessen, in denen personenbezogene Daten erhoben werden, sicherzustellen.
Erhobene Daten von Arbeitnehmern dürfen somit für folgende Zwecke verarbeitet werden:
- Einstellung eines Bewerbers
- Durchführung, Ausübung oder Beendigung des Arbeitsverhältnisses
- Erfüllung gesetzlicher Rechte und Pflichten (Inhalte von Tarifverträgen, Betriebsvereinbarungen)
- zur Strafverfolgung
Um die Verarbeitung personenbezogener Daten rechtssicher zu dokumentieren, sind Einwilligungen des Mitarbeiters notwendig. In diesen Einwilligungen muss klar dargestellt werden, für welche Prozesse Daten verarbeitet werden. Ebenso muss auf das Widerrufsrecht zu dieser Einwilligung hingewiesen werden. Einwilligungen sollten darüber hinaus immer schriftlich eingeholt werden. Elektronische Einwilligungen sind je nach Geschäftsvorfall auch möglich.
DSGVO im Fuhrparkmanagement
Auch im Fuhrparkmanagement werden personenbezogene Daten der Dienstwagenfahrer verarbeitet. Betroffen sind hiervon unter anderem folgende Aufgabenbereiche des Fuhrparkmanagements:
- Fahrzeugübergabe
- Führerscheinkontrolle
- Strafzettelmanagement
- Tankkartenverwaltung
- Schadenmanagement
- Schulungen und Unterweisungen
Um die sichere Verarbeitung der personenbezogenen Daten zu dokumentieren, empfiehlt sich die Erstellung eines Verzeichnisses über Verarbeitungstätigkeiten nach Art. 30 EU-DSGVO. In diesem Verzeichnis werden der Zweck der Verarbeitung, die Art der verarbeiteten Daten und die verarbeitenden Stellen der Daten benannt.
Werden für bestimmte Dienstleistungen, wie z. B. die elektronische Führerscheinkontrolle, externe Dienstleister eingesetzt, ist der Abschluss eines Vertrags zur Auftragsverarbeitung sinnvoll. Dieser wird geregelt in Art. 28 Abs. 3 DSGVO.
Im Rahmen der Dienstwagenüberlassungsvereinbarung ist der Dienstwagenfahrer zusätzlich über die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Führen eines Dienstwagens zu informieren. Der Mitarbeiter hat in diesem Rahmen auch ein Recht auf Auskunft über die erfassten Daten, das Recht auf Löschung der Daten sowie das Recht auf Einschränkung der Verarbeitung.
Werden beispielsweise über das Fahrtenbuch private Fahrten erfasst, kann der Mitarbeiter darauf bestehen, dass Daten, die über die Fahrteckdaten hinausgehen, nicht weiterverarbeitet werden dürfen. Dies ist insbesondere dann möglich, wenn das Fahrzeug mit Tracking-Funktionalitäten ausgestattet ist, die für den Betrieb des Dienstwagens notwendig sind, für private Fahrten allerdings keine Relevanz haben. Diese Auskunftsrechte sind in Art 5 DSGVO geregelt.
Werden externe Hilfsmittel in Dienstfahrzeugen wie z. B. das Notrufsystem eCall, Telematiksysteme oder andere fahrtunterstützende Systeme eingesetzt, kann auch eine Datenschutz-Folgeabschätzung sinnvoll sein, wenn es sich hierbei um eine risikoreiche Datenverarbeitung handelt. Die Datenschutzfolgeabschätzung wird in Art. 35 DSGVO geregelt. Hierbei handelt es sich um eine umfassende Risikobewertung von Datenverarbeitungsvorgängen. Diese Risikobewertung kann allerdings nur durchgeführt werden, wenn vom Hersteller der Hilfsmittel alle Prozesse offengelegt werden, in denen Daten im Zusammenhang mit dem Hilfsmittel verarbeitet werden.
Wie genau sieht es nun aber speziell beim Datenschutz im Rahmen der erforderlichen Führerscheinkontrolle aus? Im Nachfolgenden stellen wir die manuelle und elektronische Führerscheinkontrolle gegenüber:
Datenschutz bei der manuellen Führerscheinkontrolle
Wenn Sie sich für die manuelle Umsetzung entscheiden, liegt die Verantwortlichkeit für die Erfassung und Verarbeitung von personenbezogenen Daten Ihrer Mitarbeiter bei Ihnen. Daher müssen auch bei einer internen Umsetzung der Führerscheinkontrolle datenschutzrechtliche Regeln berücksichtigt werden, die für Behörden auf Anfrage zu belegen sind:
- Eine Frage, die zu berücksichtigen ist, ist wie personenbezogene Daten verarbeitet werden.
Beispiel Führerscheinkontrolle: Viele Unternehmen archivieren hierzu Fotokopien der Original-Führerscheine. Unabhängig von der Frage, ob dieses Vorgehen in Zeiten elektronischer Möglichkeiten zur Umsetzung dieser Halterpflicht im Sinne der Datensparsamkeit überhaupt noch rechtlich zulässig ist, muss dieses Vorgehen dokumentiert werden.
- Sind diese Daten erfasst, müssen nach Art. 32 EU-DSGVO geeignete organisatorische und technische Maßnahmen zum Schutz dieser Daten vor dem Zugriff Unbefugter umgesetzt und dokumentiert werden. Hiermit ist IT-technischer und organisatorischer Aufwand verbunden.
Damit liefert die DSGVO Argumente für eine externe Umsetzung der Führerscheinkontrolle.
Datenschutz bei der elektronischen Führerscheinkontrolle
Haben Sie sich für eine elektronische Lösung zur Führerscheinkontrolle entschieden, ist dennoch Vorsicht geboten, denn nicht alle Anbieter erfüllen die nötigen datenschutzrechtlichen Anforderungen.
Bei der Suche nach dem passenden Anbieter für die automatisierte Führerscheinkontrolle ist dies ein kritischer Aspekt, da eine Auftragsverarbeitung stattfindet. Bedeutet: Auf den Servern eines Dienstleisters sind Daten Ihrer Mitarbeiter gespeichert.
Gemäß Paragraf 11 Bundesdatenschutzgesetz bzw. Art. 28 EU-DSGVO muss der Auftraggeber bei der Auswahl des Anbieters darauf achten, ob die technischen und organisatorischen Maßnahmen des Anbieters die Anforderungen an eine datensichere Auftragsverarbeitung erfüllen. So muss beispielsweise sichergestellt werden, dass die aktuellen Verschlüsselungsverfahren verwendet werden oder dass Unbefugten der Zugang und der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird (siehe Anlage zu § 9 Satz 1 BDSG bzw. Art. 28 und 32 EU-DSGVO). Die Kontrolle dieser Anforderungen obliegt dabei dem Auftraggeber.
Bei den Methoden zur elektronischen Führerscheinkontrolle von LapID findet keine Archivierung von Führerschein-Fotokopien statt und die erfassten personenbezogenen Daten sind im Sinne des Art. 5 c) DSGVO auf ein Minimum reduziert. Es werden lediglich die Daten erfasst, die für die vollumfängliche Kontrolle des Führerscheins, inkl. Fahrerlaubnisklassen und Schlüsselzahlen, erforderlich sind. Aufnahmen, die im Rahmen der Kontrolle mit der LapID Driver App aufgenommen wurden, werden im Rahmen der Kontrolle auf gesicherten Servern in Deutschland und der EU gespeichert und nach der erfolgreich durchgeführten Kontrolle rechtssicher gelöscht. Einen ausführlichen Vergleich verschiedener Methoden zur Durchführung der elektronischen Führerscheinkontrolle finden Sie, inkl. der jeweiligen Vor- und Nachteile in unseren Beiträgen:
- Methoden zur Führerscheinkontrolle im Vergleich
- Entwicklungsstufen der Führerscheinkontrolle via Smartphone
Datenschutz-Unterweisungen im Unternehmen
Eine Möglichkeit, um Mitarbeitern die Relevanz des Datenschutzes näherzubringen und zu vermitteln, sind Unterweisungen. Datenschutz-Unterweisungen behandeln dabei die Grundlagen der Datenschutz-Grundverordnung, klären, was unter personenbezogenen Daten zu verstehen ist und geben Tipps im Umgang mit diesen Daten.
Die Inhalte sind dabei immer abhängig von der Position des Mitarbeiters und der Art der Daten, die verarbeitet werden. Eine grundlegende Schulung sollte allerdings für alle Mitarbeiter durchgeführt werden.
Mehr über die Inhalte und die rechtlichen Grundlagen der Datenschutz-Unterweisung und was die IT-Sicherheit damit zu tun hat, haben wir in unserem Beitrag für Sie zusammengefasst:
Wie kann man bei der Wahl eines Dienstleisters auf Nummer sicher gehen?
Wird die Auftragsverarbeitung eines Anbieters von offizieller Stelle regelmäßig geprüft, kann der Auftraggeber sicher sein, dass die datenschutzrechtlichen Anforderungen an die Auftragsdatenverarbeitung erfüllt sind. Eine solche Prüfung sollte sinnvollerweise auf Dokumentenprüfungen, Audits vor Ort und Schwachstellen-Scans basieren.
Wie ist Datenschutz bei LapID geregelt?
Bei LapID hat die sichere Verarbeitung der Daten Ihrer Mitarbeiter höchste Priorität. Das bestätigt auch die jährliche Prüfung durch die TÜV SÜD Sec-IT GmbH. Alle Anforderungen an den Datenschutz werden bei LapID erfüllt. Dazu gehören beispielsweise:
Organisatorisch:
- Zugriffs- und Zugangskontrollen
- gelebter Datenschutz
- Stichproben bei Partnern
- Datenschutzschulungen für unser Team und unsere Partner
Produktbezogen / technisch:
- Wir verwenden Verschlüsselungsverfahren, die dem aktuellen Stand der Technik entsprechen.
- Bei unseren App-Lösungen erfolgen eine verschlüsselte Erfassung und Übertragung von Daten.
- Auf unserem Siegel werden keine personenbezogenen Daten gespeichert. Ein Tracking ist ausgeschlossen.
- Nach einer erfolgreichen Kontrolle via Driver App werden die Aufnahmen des Führerscheins von unseren Servern gelöscht.
Datenschutz liegt uns am Herzen: Gerne stellen wir Ihnen auf Nachfrage unser ausführliches Datenschutz- und Datensicherheitskonzept zur Verfügung sowie weitere Informationen, die den Datenschutz in unseren Produkten betreffen, zur Verfügung. Der Abschluss eines Auftragsverarbeitungsvertrags bei Nutzung unserer Produkte ist für uns selbstverständlich und unumgänglich.
Mehr zum Datenschutz bei LapID erfahren Sie hier: Datenschutz bei LapID
Hinweis:
Dieser Artikel stellt keine Rechtsberatung dar. Die Besonderheiten des jeweiligen Fuhrparks sind daher mit einem entsprechenden Fachanwalt im Detail zu besprechen und umzusetzen.