Aktuelle Fragen des Datenschutzes im Fuhrpark nach neuem BDSG und EU-DSGVO

Ab diesem Tage gilt somit für alle Unternehmen innerhalb der Europäischen Union unmittelbar ein einheitliches Datenschutzrecht, ohne dass es dazu einer nationalen Umsetzungsregelung bedarf. Da die europäische Verordnungsregelung jedoch zahlreiche Öffnungsklauseln beinhaltet, hat der deutsche Bundesgesetzgeber am 30. Juni 2017 ergänzend ein neues Bundesdatenschutzgesetz (BDSG) erlassen. Dieses tritt ebenfalls am 25. Mai 2018 in Kraft und wird das bisherige BDSG – in der bis zum 24. Mai 2018 weiter gültigen Fassung (siehe Flottenmanagement 1/2015, S.52 ff., Flottenmanagement 1/2016, S.78 ff.) – vollständig ersetzen. Daneben wurde bereits im vergangenen Jahr mit § 63a Straßenverkehrsgesetz (StVG) eine neue Regelung zur Datenverarbeitung bei Kfz mit hoch- oder vollautomatisierter Fahrfunktion geschaffen, die bereits zum 21. Juni 2017 in Kraft getreten ist (siehe Flottenmanagement 6/2017, S. 86 ff.).

Die Bestellung eines Datenschutzbeauftragten allein reicht aber dafür bei Weitem nicht aus. Denn der Datenschutzbeauftragte unterstützt und berät den für die Datenverarbeitung im Unternehmen „Verantwortlichen“, nimmt ihm diese Verantwortung aber in der Regel nicht ab. Der Fokus soll hier deshalb auf ausgewählten „neuen“ Herausforderungen liegen, die den Fuhrparkmanagern zurzeit unter den Nägeln brennen.

Daten im Fuhrpark – fahrzeug- oder personenbezogen?
Da Fuhrparks schon wegen der Personaldaten im Zusammenhang mit der Führerscheinkontrolle und der Abrechnung des geldwerten Vorteils für die Privatnutzung von Dienstwagen nicht datenneutral arbeiten können, müssen sich Unternehmen mit Fuhrpark auf die Besonderheiten der neuen Datenschutzregelungen angemessen vorbereiten. Hinzu kommt auch, dass durch den zunehmenden Einbau von moderner Elektronik in Kraftfahrzeuge immer mehr Daten im Dienstwagen gespeichert werden. Üblicherweise verfügen Fahrzeuge heutzutage über zahlreiche Mikroprozessoren in Steuergeräten, die über ein Datenbus- System miteinander sowie mit Sensoren vernetzt sind. Für die ordnungsgemäße Funktion beziehungsweise für Wartung und Reparatur von einzelnen Fahrzeugkomponenten und Assistenzsystemen werden von diesen Mikroprozessoren verschiedene Daten wie Geschwindigkeit, Beschleunigung und Bremsbetätigung, Betätigung der Blinker et cetera erfasst und kurz- oder (im Falle von Unfällen auch) längerfristig abgespeichert. Kfz-Werkstätten, Automobilhersteller oder Unfallsachverständige können mit entsprechenden Diagnosegeräten diese wichtigen Daten bei Bedarf auslesen, und zwar auch ohne Einbau von sogenannten Unfalldatenspeichern.

Diese im Fahrzeug gespeicherten Daten sind zunächst rein technischer Natur und sollen in erster Linie den sicheren sowie störungsfreien Fahrbetrieb gewährleisten. Auch sollen Wartung und Reparaturen des Fahrzeugs damit erleichtert werden. Üblicherweise beziehen sich die erfassten Daten auf Betriebszustände von Systemkomponenten, Statusmeldungen des Fahrzeugs und von dessen Einzelkomponenten (wie Bremsen und -verzögerung), Fehlfunktionen und Defekte bei wichtigen Systemkomponenten wie Licht- und Bremsanlage, Reaktionen des Fahrzeugs in speziellen Fahrsituationen (Auslösen eines Airbags) sowie Umgebungszustände (wie Temperatur). Jedoch können diese Daten nach einem Unfall oder einem Werkstattbesuch Aussagen über das Fahrverhalten des einzelnen Dienstwagennutzers geben, beispielsweise über das Fahr-, Beschleunigungs- oder Bremsverhalten. In solchen Konstellationen werden fahrzeugbezogene Daten dann zu personenbezogenen Daten im Sinne datenschutzrechtlicher Bestimmungen.

Das praktische Problem war bislang, das weder Dienstwagennutzer noch Fuhrparkmanager Zugriff auf alle diese Daten hatten, geschweige denn Kenntnis davon. Hier haben die deutschen Datenschutzaufsichtsbehörden zusammen mit dem Verband der Automobilindustrie eine Muster-Information entwickelt, die vor allem in die Betriebsanleitungen der Fahrzeuge aufgenommen werden soll. Damit soll künftig eine transparente Information für Halter und Fahrer geschaffen werden. Die konkret im Auto einzelnen verarbeiteten Daten kennt aber das Fuhrparkmanagement eher nicht. Diesbezüglich müsste man schon über die mit der Wartung beauftragte Kfz-Werkstatt oder den Fahrzeughersteller in Erfahrung bringen, welche konkreten Daten aus dem Fahrzeug im Einzelnen ausgelesen und für welchen Zweck sie verwendet worden sind.

Wer ist Verantwortlicher für den Datenschutz?
Verantwortlicher für den Datenschutz ist gemäß Art. 4 Nr. 7 EU-DSGVO die Stelle, die allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Hierbei kommt es maßgeblich auf die Entscheidung über die Verarbeitungszwecke an.

Die Gesamtverantwortung für den Datenschutz im Unternehmen und damit auch die Verantwortung für die Umsetzung der EU-DSGVO liegt bei der Geschäftsleitung (AG-Vorstand, (GmbH-) Geschäftsführer, Vereinsvorstand), weil diese für die Leitung desjenigen zuständig ist, der im Unternehmen Daten erhebt und verarbeitet. Damit verbunden ist die Organisationsverantwortung im Hinblick auf die Umsetzung des Datenschutzes nach EU-DSGVO mittels Anweisungen oder Policys, sonst droht eine Haftung aus Organisationsverschulden. Des Weiteren kann eine Delegation an die einzelnen Fachabteilungen erfolgen, also auch an das Fuhrparkmanagement, für den Bereich der Poolfahrzeuge, Abteilungsfahrzeuge und der zur Privatnutzung überlassenen Dienstwagen. Dabei muss die Geschäftsleitung – wie bei jeder Delegation – sicherstellen und stichprobenartig kontrollieren, dass datenschutzrelevante Unternehmensprozesse durch Einrichtung ausreichender Kontrollmechanismen und -systeme eingerichtet werden. Hierzu sind gegebenenfalls auch die erforderlichen finanziellen Mittel beziehungsweise Sach- und Personalmittel zur Umsetzung der EU-DSGVO bereitzustellen, und zwar auch für die spätere Datenschutzorganisation. Dazu gehört unter Umständen die Bestellung eines Datenschutzbeauftragten, und – falls eine Bestellpflicht nicht besteht – die Beschaffung der nötigen Datenschutzfachkunde.

Der Fuhrpark in seiner Eigenschaft als Fachabteilung ist dann – neben der Personalabteilung – im Einzelnen in der Prozessverantwortung für die Ausführung der Anweisungen der Unternehmensleitung zur Umsetzung datenschutzrechtlicher Regelungen wie der EU-DSGVO. Dies beinhaltet vor allem die Feststellung und Definition der datenrelevanten Schnittstellen sowie die Erfüllung von Dokumentationspflichten. Unter Letzteres fallen das Führen des Verzeichnisses der Verarbeitungstätigkeiten, die Erstellung der Datenschutz- Folgenabschätzung sowie der Nachweis der Einwilligung zur Datenverarbeitung. Gerade beim letzten Punkt zeigt sich die Schnittstelle zur Personalabteilung und zum Arbeitnehmerdatenschutz.

Daneben besteht eine Verantwortung für die Vermeidung datenschutzrechtlicher Risiken durch Prozess- und Technikgestaltung (sogenanntes privacy by design). Hier wird sicherlich vor allem ein Löschkonzept für die Löschung von Daten in Navigationssystemen und mobilen Telekommunikationssystemen und Bordcomputern in Fahrzeugen relevant werden, das vor allem bei der Gestaltung der Fahrzeugrückgabe eine Rolle spielt. Die einzelnen dienstwagenberechtigten Mitarbeiter sind insoweit „arbeitsplatzbezogen“, also in Bezug auf das genutzte Fahrzeug und die dort gespeicherten Daten, zu instruieren. Daten dürften jedenfalls bei den vorgenannten Systemen manuell zu löschen sein. Löschungsansprüchen des betroffenen Dienstwagenberechtigten muss aber nach Art. 17 EU-DSGVO (Recht auf Vergessenwerden) nur dann nachgekommen werden, wenn die Speicherung der Daten nicht mehr notwendig ist, wenn der Dienstwagennutzer seine Einwilligung zur Datenverarbeitung widerrufen hat oder die Daten von vornherein mangels wirksamer Einwilligung zu Unrecht verarbeitet wurden oder bei Bestehen einer Rechtspflicht zum Löschen nach EU-DSGVO oder neuem BDSG. Dennoch gibt es wichtige Ausnahmen von der Löschpflicht: Wenn nämlich die Datenspeicherung der Erfüllung rechtlicher Verpflichtungen dient, wie zur Verwaltung der Personal- oder Arbeitsvertragsunterlagen zur Dienstwagenüberlassung, zur Dokumentation der Führerscheinkontrolle oder bei der Erfassung der Fahrtenbuchdaten nach § 32a StVZO zum Nachweis der Halterpflichten gegenüber der Verkehrsbehörde.

Dass dies wichtig ist, zeigt sich auch durch eine eventuelle persönliche Haftung des verantwortlichen Fuhrparkmitarbeiters bei Datenschutzverstößen gegenüber dem Arbeitgeber beziehungsweise den hiervon betroffenen Dienstwagennutzern. Zudem kommt der verantwortliche Mitarbeiter einer Fachabteilung wie dem Fuhrpark als möglicher Adressat von Bußgeldbescheiden seitens Datenschutzaufsicht (durch die Landesbeauftragten für Datenschutz) und als möglicher Täter im Bereich des Datenschutzstrafrechts in Betracht.

Datenschutz-Folgenabschätzung und Dokumentation
Konzeptionell neu gefasste Pflichten der Verantwortlichen sind die Datenschutz-Folgenabschätzung nach Art. 35 EU-DGVO sowie das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 EU-DGVO. Aus der bisherigen Vorabkontrolle nach § 4d Abs. 5 BDSG a. F. wird die Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 EU-DSGVO. Diese soll (wie auch eine Technikfolgenabschätzung) eine Risikobewertung von Datenverarbeitungsvorgängen umfassend ermöglichen. Das ist auch im Fuhrpark relevant. Denn hierunter dürften moderne Systeme des (teil-)autonomen Fahrens ebenso fallen wie fortgeschrittene Fahrerassistenzsysteme, die im Kontext mit anderen vom Bordcomputer gespeicherten Daten (Navigationssystem, Smartphone-Anbindung, E-Mail-System) Rückschlüsse auf die Leistung und das Verhalten des Dienstwagennutzers haben. Gerade bei der Anschaffung von Fahrzeugen mit einer Vielzahl automatischer Systeme wird das Fuhrparkmanagement künftig wohl gehalten sein, eine entsprechende Datenschutz-Folgenabschätzung vorzunehmen.

Die Folgenabschätzung ist (vorab) durchzuführen, wenn eine Form der Datenverarbeitung oder die sonstige Verwendung neuer Technologien voraussichtlich das Risiko beinhaltet, die Rechte und Freiheiten natürlicher Personen zu beeinträchtigen, hier insbesondere das Recht auf informationelle Selbstbestimmung der Dienstwagennutzer. Inhalt und Verfahren der Folgenabschätzung werden durch Art. 35 Abs. 7 und 9 EU-DSGVO näher präzisiert.

Die Datenschutz-Folgenabschätzung beinhaltet eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung (beispielsweise Führerscheinkontrolle), gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen. Dabei müssen Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck bewertet werden. Hinzu kommen eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (im Fuhrpark: Dienstwagennutzer) sowie eine Aufstellung der zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt werden soll. Hiermit soll der Nachweis erbracht werden, dass die EU-DSGVO eingehalten und den Rechten und berechtigten Interessen der betroffenen Personen Rechnung getragen wird.

Daneben finden sich Dokumentationspflichten im zentralen Art. 30 EU-DSGVO. Danach hat künftig jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die seiner Zuständigkeit unterliegen. Für Fälle der Auftragsdatenverarbeitung ist dies in Art. 30 Abs. 2 EU-DSGVO als eigenständige Pflicht geregelt. Nach Art. 30 Abs. 5 EU-DSGVO gilt die Dokumentationspflicht jedoch nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Eine Rückausnahme besteht jedoch insoweit, dass eine Dokumentation auch in diesem Falle zu erfolgen hat, wenn die Datenverarbeitung voraussichtlich ein Risiko für Rechte und Freiheiten der betroffenen Personen birgt. Dies wiederum ergibt sich aus dem Ergebnis der Folgenabschätzung.

Auftragsdatenverarbeitung und Führerscheinkontrolle 
Zur Anpassung der Datenschutzorganisation an die neuen Anforderungen gehört vor allem die Überprüfung bestehender Vertragsverhältnisse sowie die Anpassung der Vertragsmuster für zukünftige Outsourcing- Dienstleistungen. Dies spielt vor allem bei der Durchführung der Führerscheinkontrolle sowie bei der Abrechnung des geldwerten Vorteils im Rahmen der Lohnbuchhaltung durch externe Dienstleister eine Rolle. Denn nach Art. 4 Nr. 8 EU-DSGVO ist der Auftragsverarbeiter eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, wobei die Entscheidung über die technisch-organisatorischen Fragen der Verarbeitung an den Auftragsverarbeiter delegiert werden kann.

Rechtsgrundlage im Sinne von Art. 6 bis 10 EU-DSGVO für die Weitergabe von personenbezogenen Daten der Dienstwagennutzer an den Auftragsverarbeiter und die Verarbeitung durch denselben ist regelmäßig die gleiche, auf welche der Verantwortliche selbst seine eigene Datenverarbeitung stützt.

Unter die fuhrparkbezogene Auftragsdatenverarbeitung können neben der Führerscheinkontrolle durch externe Dienstleister auch folgende Dienstleistungen fallen:
• Zentralisierung bestimmter Shared Services innerhalb eines Konzerns, wie Dienstreisen- Planungen oder Reisekostenabrechnungen
• EDV-technische Arbeiten durch ausgelagerte Rechenzentren für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung
• Auslagerung der Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten
• Auslagerung von Datendiensten oder der E-Mail-Verwaltung
• Auslagerung personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing
• Auslagerung der Back-up-Sicherheitsspeicherung und anderer Archivierungen
• Datenträgerentsorgung durch Dienstleister
• Prüfung oder (Fern-)Wartung von Datenverarbeitungsanlagen, wenn ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann

Hier muss vor allem eine schriftliche Vereinbarung zur Auftragsdatenverarbeitung mit dem externen Dienstleister geschlossen werden. 

Beschäftigtendatenschutz und aufgeklärte Einwilligung
Die EU-DSGVO enthält keinerlei spezifische, rechtsgestaltende Regelungen zum Beschäftigtendatenschutz. Bislang ist die Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses national in § 32 BDSG geregelt. Ab dem 25. Mai 2018 gibt es diesbezüglich die neue Regelung des § 26 BDSG n. F. Dieser regelt die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Beschäftigte in diesem Sinne sind Arbeitnehmerinnen und Arbeitnehmer.

Grundsätzlich dürfen danach personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Damit bleibt es dabei, dass ein grundsätzliches Verbot der Datenverarbeitung mit Erlaubnisvorbehalt besteht. Sofern also nicht die Voraussetzungen eines Erlaubnistatbestands vorliegen, ist der Umgang mit personenbezogenen Daten also verboten. Für den Fuhrpark ist insoweit von Bedeutung, dass entsprechende Erlaubnistatbestände zum Beispiel in der Einwilligung des betroffenen Dienstwagenberechtigten oder in einer entsprechenden Betriebsvereinbarung liegen können. Dies gilt es auch künftig bei der arbeitsvertraglichen Regelung der Dienstwagenüberlassung zu berücksichtigen.

Nach § 26 Abs. 2 BDSG n. F. sind im Falle der Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird (wie Privatnutzung von Dienstwagen) oder Arbeitgeber und beschäftigte Person gleich gelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Art. 7 Abs. 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.

Die grundsätzlichen Anforderungen an die Wirksamkeit einer rechtsgültigen Einwilligung werden durch die EU-DSGVO nicht verändert. Dies bedeutet also, dass alle „alten“ Einwilligungserklärungen nicht quasi über Nacht zum 25. Mai unwirksam werden. Obwohl an die neuen Einwilligungserklärungen strengere Anforderungen gestellt werden, bleiben bisherige Einwilligungen wirksam. Denn alte rechtswirksame Einwilligungen werden nicht unzulässig. Jedoch ist zu beachten, dass sämtliche neuen Datenerhebungen sich an den neuen Regeln orientieren und messen lassen müssen. Die bisherigen Vorlagen für Einwilligungserklärungen sollten deshalb hinsichtlich der Anforderungen der EU-DSGVO überarbeitet werden. Insoweit kommt auf die Fuhrparkleiter und Datenschutzbeauftragten in Unternehmen noch viel Arbeit zu. Vorbereitung ist das Gebot der Stunde.