Mit der neuen EU-Datenschutz-Verordnung sind Firmen für den Schutz der Daten ihrer Dienstwagenfahrer verantwortlich. Auch, wenn Dritte die Informationen gewinnbringend sammeln. Datenschutzexperte Professor Volker Lüdemann erklärt, was auf Fuhrparkleiter zukommt.
Wir schützen keine Daten, sondern Grundrechte. Dienstwagennutzer haben das Grundrecht auf informationelle Selbstbestimmung. Dies bedeutet, dass der Betroffene grundsätzlich allein über die Preisgabe und Verwendung seiner personenbezogenen Daten entscheiden kann. Dritte dürfen auf die Daten nur zugreifen, wenn eine Einwilligung vorliegt oder eine Rechtsvorschrift dies erlaubt. Bei allen Datenumgängen ist die entscheidende Frage für den Fuhrparkverantwortlichen, ob der Dienstwagennutzer in die Verarbeitung seiner Daten eingewilligt hat oder ob eine gesetzliche Vorschrift dies zulässt.
Verantwortlich für den Datenschutz ist unter der DSGVO die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Erhebt der Arbeitgeber Daten der Dienstwagennutzer, ist er für den Datenschutz und die Datensicherheit verantwortlich. Er muss daher alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes treffen.
Und bei Datenverarbeitungen durch Dritte?Der Arbeitgeber ist mitverantwortlich, wenn er dazu die Veranlassung gegeben hat. Das gilt etwa beim Engagement einer Fuhrparkmanagementgesellschaft. Auch Verarbeitungen von Daten, auf die ein Unternehmen keinen Einfluss hat, können eine Verantwortung auslösen. Der Arbeitgeber ist verpflichtet, seinen Betrieb so zu organisieren, dass seine Mitarbeiter keinen Grundrechtsverletzungen ausgesetzt sind. Stellen Fuhrparkleiter fest, dass Fahrzeuge oder Fahrzeugkonfigurationen offensichtlich und erkennbar gegen Datenschutzbestimmungen verstoßen, sollten sie unbedingt tätig werden.
Foto: Lüdemann
Sie haben einen datenschutzrechtlichen Auskunftsanspruch. Sie können vom Arbeitgeber eine Bestätigung darüber verlangen, ob er personenbezogene Daten von ihnen verarbeitet. Ist das der Fall, sieht die DSGVO umfangreiche Informationsrechte vor. Der Arbeitgeber muss unter anderem mitteilen, welche Daten er zu welchem Zweck verarbeitet und an wen er sie weitergibt. Wenn ein Autohersteller oder eine Leasinggesellschaft Daten verarbeitet, kann der Dienstwagennutzer im Einzelfall auch von ihnen Auskunft verlangen und seine Rechte geltend machen.
Und wenn der Mitarbeiter nicht weiß, wer für die Datenverarbeitung verantwortlich ist?Er kann sich stets an seinen Arbeitgeber als unmittelbaren Vertragspartner wenden, der ihm das Auto zur Verfügung gestellt hat. Der Arbeitgeber hat datenschutzrechtlich die Verantwortung, nur solche Datenverarbeitungen zuzulassen, die im Innenverhältnis durch Einwilligung oder gesetzlichen Erlaubnistatbestand gedeckt sind. Ihn trifft zudem die arbeitsvertragliche Nebenpflicht, seinem Mitarbeiter nur solche Arbeitsmittel an die Hand zu geben, die nicht zu einer Einschränkung seiner Grundrechte führen.
Welche Rolle spielt der gesetzliche Erlaubnistatbestand?Gesetzlich erlaubt sind etwa alle Datenverarbeitungen, die für die Durchführung des Beschäftigungsverhältnisses erforderlich sind. Das gilt für die Erfassung bestimmter Standortdaten bei Geldtransportern, technischen Bereitschaften oder Paketdiensten. Hierüber lässt sich unter Umständen auch die Verwendung von Daten zu Kraftstoffverbrauch, Laufleistung und Wartung abdecken. Vorsicht allerdings bei Verhaltens- und Leistungskontrollen. Vor allem verdeckte Kontrollen sind regelmäßig unzulässig.
Wie steht’s mit Fuhrparks, die selbst Daten von ihren Fahrzeugen erheben?Wenn ein Unternehmen selbst technisches Equipment wie Telematik-Boxen, Tracking-Tools und elektronische Fahrtenbuchschreiber in seine Fahrzeuge installiert, arbeiten diese Geräte mit personenbezogenen Daten der Mitarbeiter. Auch wenn der Mitarbeiter in die technische Überwachung einwilligt, ist Vorsicht geboten. Die Einwilligung ist stets persönlicher Natur. Da sie einen Grundrechtseingriff rechtfertigt, kann nur der Betroffene selbst einwilligen. Wird also ein Fahrzeug von mehreren Personen geführt, sollte jede Person ihre Einwilligung zur Überwachung geben.
Wie kann ein Fahrplan im Fuhrpark für das neue Datenschutzrecht aussehen?Unternehmen sollten den Umstellungsbedarf feststellen und für rechtzeitige Abarbeitung sorgen. Datenbestand und Datenverarbeitungsprozesse sollten dokumentiert werden. Die Schnittstellen zur Personalabteilung und zu externen Dienstleistern müssen neu justiert werden. Bestehende Betriebsvereinbarungen sind auf Vereinbarkeit mit den neuen Regelungen abzugleichen. Die Car Policy gehört auf den Prüfstand und es braucht Richtlinien zur Erhebung und Verwendung der Daten aus dem Dienstfahrzeug.
Ein berufener Partner wäre der betriebliche Datenschutzbeauftragte. Auch externe datenschutzrechtliche Begleitung kann in der Umbruchphase sinnvoll sein, um die Haftungsrisiken zu begrenzen und die Unternehmensleitung vor dem Vorwurf des Organisationsverschuldens zu schützen.
Zur Person: Volker Lüdemann
Volker Lüdemann ist Professor für Wirtschafts- und Wettbewerbsrecht an der Hochschule Osnabrück und wissenschaftlicher Leiter des Niedersächsischen Datenschutzzentrums (NDZ). Der Jurist beschäftigt sich mit datenschutzrechtlichen Fragestellungen. Sein
Spezialgebiet ist das Recht der Digitalisierung mit Arbeitsfeldern wie autonomes
Fahren und Connected Car. Als externer Datenschutzbeauftragter ist Volker Lüdemann für private Unternehmen und Körperschaften des öffentlichen Rechts tätig. Seit 2014 ist er Vorsitzender der Ethikkommission der Hochschule Osnabrück.
