Datenschutz im Fuhrparkmanagement: Darauf sollten Sie achten
Personenbezogene Daten

Datenschutz im Fuhrparkmanagement: Darauf sollten Sie achten

Porträtfoto von Regina Mühlich, Geschäftsführerin von AdOrga Solutions GmbH
Am

Fahrzeugübergabe, Kontrolle des Führerscheins, Bearbeitung von Strafzetteln oder Unfällen, Abrechnung von Tankkarten und Werkstattrechnungen – geht es im und für das Unternehmen auf Achse, werden jede Menge personenbezogene Daten erhoben und verarbeitet. Datenschutzrechtlich gibt es dabei einiges zu beachten. Welche Auswirkungen die DS-GVO auf das Fuhrparkmanagement hat, lesen Sie in diesem Beitrag.

Personalnummer, Telefonnummer, Kreditkartenabrechnung, Kontodaten, Kfz-Kennzeichen, Fahrzeugidentifizierungsnummer (FIN) – all dies sind personenbezogene Daten, durch die man eine natürliche Person (eindeutig) identifizieren kann. Unterlagen wie Fahrtenbuch, Leasingvertrag, Tankabrechnung und Unfallbericht enthalten ebenfalls personenbezogene Daten. Im Fuhrparkmanagement verarbeitet man folglich regelmäßig personenbezogene Daten.

Auf rechtmäßige Art und informiert

Die betroffene Person hat ein Recht darauf, dass man die Daten nur „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise“ verarbeitet. Mitarbeiter wie auch Dritte (betriebsfremde Personen), die beispielsweise ein Firmenfahrzeug nutzen, müssen von der Führerscheinkontrolle bis hin zum Abschluss eines Leasingvertrages durch den Arbeitgeber über den Umgang mit ihren personenbezogenen Daten transparent und umfassend informiert sowie über ihre Rechte aufgeklärt werden. Eine Unterschrift über die Kenntnisnahme, den Erhalt oder gar eine Zustimmung ist dabei nicht erforderlich. Es ist ausreichend, wenn bei der Führerscheinkontrolle beispielsweise das Informationsschreiben zum Zeitpunkt der Schlüsselübergabe am Tresen bereit liegt und einsehbar ist.

Das Verzeichnis der Verarbeitungstätigkeiten

Damit personenbezogene Daten nach den Maßgaben der DSGVO durch den Verantwortlichen geschützt werden können, muss das Unternehmen ermitteln, in welchen Fällen personenbezogene Daten verarbeitet und genutzt werden. Zu dokumentieren und nachzuweisen (Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO) sind u. a.:

  • Welcher Zweck wird mit der Verarbeitung verfolgt?
  • Welche personenbezogenen Daten werden von den Betroffenen verarbeitet?
  • Welchen Empfängern werden die personenbezogenen Daten übermittelt?
  • Welche Rechtsgrundlage berechtigt zur Verarbeitung der personenbezogenen Daten?
  • Wie lange speichert man die personenbezogenen Daten?

Im Verzeichnis der Verarbeitungstätigkeiten (VVT) sind die entsprechenden Prozesse, wie z. B. Führung des Fahrtenbuches, Führerscheinkontrolle, Unfallmeldung, zu dokumentieren. Es geht dabei nicht nur um Daten, die man auf elektronischem Wege erhoben und verarbeitet, sondern auch um Papierformate wie z.B. Stammblätter, (Leasing-)Verträge, Dokumentation der Führerscheinkontrolle etc.

Auftragsverarbeitung

Sobald personenbezogene Daten im Rahmen des Fuhrparkmanagements an einen Dritten, z. B. (teilweise) Auslagerung des Fuhrparks, Hosting, Support-Dienstleister zur Verarbeitung im Auftrag weitergegeben werden, ist eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO mit dem Dienstleister abzuschließen. In diesem Vertrag sind Rechte und Pflichten beider Vertragsparteien zu definieren, z.B. Informationspflicht bei Datenschutzverletzungen, Vorgehensweisen bei Auskunftsersuchen, Löschungen während der Vertragslaufzeit sowie nach Beendigung des Vertrages.

Zwei Verarbeitungsbeispiele

Der Arbeitgeber hat im Rahmen seiner Sorgfaltspflicht zu prüfen, ob der Mitarbeiter über eine gültige Fahrerlaubnis verfügt. In welcher Regelmäßigkeit man diese Prüfung vornimmt, ist u. a. davon abhängig, ob das Unternehmen ihm ein Leasingfahrzeug zur Verfügung stellt oder ob er sich „gelegentlich“ ein Fahrzeug aus der Flotte ausleiht. Folgende Prozessschritte sind sinnvoll:

  • Wer ist für die Prüfung der Fahrerlaubnis und für den Prozess (Dokumentation und Nachweise) verantwortlich?
  • Wie dokumentiert man den Vorgang?
  • Wer hat Zugriff auf diese Daten?
  • An wen werden diese Informationen noch weitergeleitet (z. B. Leasingunternehmen)?

Es kommt immer wieder vor, dass Beschäftigte bei Dienstfahrten oder -reisen gegen die Straßenverkehrsordnung verstoßen, z. B. Parken ohne Parkschein. Dabei sind im Prozess u.a. zwei Punkte zu berücksichtigen:

  • Wer darf im Unternehmen Post von z. B. Stadtverwaltung, Ordnungsamt, Polizei öffnen?
  • Wie gewährleistet man eine datenschutzkonforme Weiterleitung an den Fahrer?

Gerade im Fuhrpark werden personenbezogene, gelegentlich auch sensible Daten (i.S.d. Art. 9 DSGVO), verarbeitet. Der Flottenmanager muss daher darauf achten, dass dabei die datenschutzrechtlichen Anforderungen eingehalten werden.

Foto/Thumbnail: ©Depositphotos.com

Über den Autor

Porträtfoto von Regina Mühlich, Geschäftsführerin von AdOrga Solutions GmbH

Regina Mühlich Regina Mühlich ist Geschäftsführerin der Managementberatung AdOrga Solutions GmbH. Sie ist Expertin für Datenschutz, Sachverständige für EDV und Datenschutz sowie Datenschutz-Auditorin und Compliance Officer. Als Datenschutzbeauftragte und Compliance Officer berät und unterstützt sie nationale und internationale Unternehmen aus unterschiedlichsten Branchen. Im Datenschutz ist sie seit über 20 Jahren tätig. Sie ist gefragte Referentin für Seminare und Vorträge sowie Mitglied des Vorstandes des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e. V. www.adorgasolutions.de/
Zum Autorenprofil

Kommentare

Kommentar schreiben:

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.