Daten im Fuhrpark werden auf vielen Ebenen gesammelt. Firmen sind gut beraten, sie lückenlos zu dokumentieren und eine Datenschutz-Folgenabschätzung anzulegen.
Carsharing liegt im Trend. Auch in Firmen verzichten Dienstwagenfahrer immer öfter auf ihr persönliches Fahrzeug. Fast 30 Prozent der Unternehmen organisieren mittlerweile die Mitarbeitermobilität über Fahrzeugpools. Das zeigte eine Blitzumfrage auf dem letzten Verbandsmeeting des Bundesverbands Fuhrparkmanagement (siehe Infokasten unten). Knapp jeder fünfte Fuhrpark lokalisiert demnach zudem seine Fahrzeuge per GPS. Dafür nutzen die Unternehmen moderne Technik, die Datenschützer für hochbrisant halten.
"Beim Carsharing wird auf die Sekunde genau erfasst, wer wo wann das Fahrzeug genutzt hat", erläutert Rechtsanwalt Lutz Fischer, der dadurch Mitarbeiter in ihren Datenschutzrechten verletzt sieht. Das erstrecke sich auf jede Art von Telematiksystem. "Kann das Unternehmen über den Spritverbrauch, das Beschleunigungs- und Bremsverhalten Rückschlüsse auf das Fahrverhalten ziehen oder gar ein Bewegungsprofil erstellen, gilt es, den Datenschutz zu wahren", warnt Fischer. Selbst die einfache Führerscheinkontrolle der Dienstwagenfahrer falle bereits unter die Datenschutzgrundverordnung (DSGVO), denn es spiele keine Rolle, wie sensibel die Daten seien.
Es gibt Unsicherheiten, wo persönliche Daten verarbeitet werden
Nach der neuen Datenschutzverordnung muss jedes Unternehmen dokumentieren, in welchem Umfang, wofür, wie und mit wem persönliche Daten verarbeitet werden. Die Blitzumfrage beim Verbandsmeeting zeigte allerdings, dass es bei vielen Fuhrparkverantwortlichen deutliche Unsicherheiten gibt. Werden besonders umfangreich persönliche Daten erhoben, wie es beim Carsharing oder bei der Geolokalisierung üblich ist, dann schreibt das neue Datenrecht zudem vor, dass die Risiken für den Dienstwagenfahrer hinsichtlich seiner Rechte und Freiheiten zu bewerten sind. "Dabei muss dargelegt werden, welche Sicherheitsmaßnahmen bestehen", so Fischer. Außerdem sei es erforderlich, die Notwendigkeit und die Verhältnismäßigkeit der Datenschutzeinschränkungen in Bezug auf den Zweck zu begründen.
Mittlerweile haben die Datenschutzbeauftragten der Bundesländer und der Datenschutzkonferenz (DSK) sogenannte Negativlisten vorgelegt. Aus ihnen geht hervor, für welche Risiken eine Datenschutz-Folgenabschätzung (DSFA) zwingend erforderlich ist. Fuhrparkbetreiber sollten diese Listen akribisch prüfen. Aus der DSK-Liste wird deutlich, dass nicht nur die "umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von Menschen" eine DSFA erforderlich macht, sondern bereits der Fall, dass "personenbezogene Daten aus verschiedenen Quellen zusammengeführt werden".
"Die Datenschutz-Folgenabschätzung muss das Unternehmen jederzeit vorlegen können", erläutert Jurist Fischer. Werden die Auflagen aus dem Datenschutz nicht erfüllt, können die Behörden hohe Bußgelder verhängen. Fischer weiter: "Das neue Datenschutzrecht ist ein Einfallstor für Beschwerden, wenn ein Mitarbeiter beispielsweise nicht mehr gut auf die Firma zu sprechen ist." Will er etwa wissen, was alles über ihn gespeichert wird, kann es brenzlig werden. Kommt die Auskunft nämlich zu spät oder fällt sie unvollständig aus, kann die Aufsichtsbehörde ein Bußgeld von bis zu 50.000 Euro verhängen.
GPS-Überwachung im Firmenwagen
Datenschutz geht vor Kontrolle
Der Experte macht deutlich, dass auch Fuhrparkmanager den Pflichten des Datenschutzrechts unterliegen können. Denn wer als Fuhrparkmanager von der Geschäftsführung konkret mit der Datenverarbeitung beauftragt sei, trage auch die datenschutzrechtliche Verantwortung. In welchem Umfang der Fuhrparkverantwortliche im Einzelfall tatsächlich für Datenverstöße haftbar gemacht werden kann, ist aber von seinem Handlungsumfang abhängig.
"Wenn es im Unternehmen grundsätzlich das Vieraugenprinzip gibt und der Fuhrparkchef keine Entscheidung allein ohne den Geschäftsführer treffen kann, hat er mit dem Datenschutz nichts mehr zu tun", stellt Fischer klar. Problematisch sei es aber, wenn im Fuhrpark moderne Technik eingesetzt, aber die notwendige Datenschutz-Folgenabschätzung nicht durchgeführt werde. Hier rät Jurist Fischer, eine Aktennotiz mit einem deutlichen Hinweis an die Geschäftsleitung zu senden und sie gut zu archivieren. Gibt es später Ärger, kann der Fuhrparkleiter darauf verweisen.
Grundsätzlich ist es ratsam, Mitarbeiter eine datenschutzrechtliche Einwilligung unterzeichnen zu lassen, falls das Unternehmen im Fuhrpark Telematik einsetzt. Bei Dienstwagenfahrern sieht Fischer in der Praxis aber keine großen Probleme, denn der Arbeitnehmer habe ja auch durch die Privatnutzung Vorteile, die nicht sein Arbeitsverhältnis beträfen.
Moderne Fahrzeuge erfassen Fahrdaten
Problemfelder, die nicht gänzlich geklärt seien, gebe es dennoch. So erfassen moderne Fahrzeuge automatisch viele Fahrdaten, allein, um einen Airbag im richtigen Moment auslösen zu können. Zwar passiert das ohne Einfluss des Unternehmens, sicherheitshalber sollten die Mitarbeiter aber auch auf diese Datensammlung hingewiesen werden.
Keine datenschutzrechtliche Verantwortung trifft den Betrieb hinsichtlich der Maßnahmen von Strafverfolgungsbehörden. »Sie haben eine deutlich größere Berechtigung, auf Daten zuzugreifen, als die Privatwirtschaft«, stellt Fischer fest. Datenschutzrechtlich unproblematisch ist auch der Einsatz automatischer Notrufsysteme. Seit dem 31. März 2018 muss der eCall in alle neuen Pkw und in leichte Nutzfahrzeuge eingebaut werden. Für sie gibt es aber nach Auskunft des Juristen ein spezielles Datenschutzrecht. Es erlaubt die ständige Datenerhebung, damit der Serviceleister im Notfall, wenn sich der Verunfallte nicht mehr meldet, einen Rettungswagen schicken kann. »Rein theoretisch könnte ein Fahrer dieser Datenerhebung wohl widersprechen«, sinniert Fischer. Doch realistisch sei das nicht, denn jeder wolle schließlich im Ernstfall gerettet werden.
Datenschutz-Folgenabschätzung
Firmen und deren Fuhrparkverantwortliche stehen in der Pflicht, vor Beginn einer geplanten Datenverarbeitung die daraus resultierenden Folgen abzuschätzen und zu dokumentieren. Grundsätzlich ist die Datenschutz-Folgenabschätzung immer dann durchzuführen, wenn die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten von Mitarbeitern zur Folge hat. Dazu zählen beispielsweise das Profiling von Personen, eine systematische Überwachung, die Verarbeitung von personenbezogenen Daten sowie Daten im großen Umfang oder das Zusammenführen von Daten. Im Zweifelsfall sollte sicherheitshalber immer eine DSFA durchgeführt werden. Sie muss alle drei Jahre wiederholt werden.
Rechtssicherheit über die Betriebsvereinbarung
"Nutzt der Arbeitgeber IT-Systeme oder sonstige automatisierte Einrichtungen, die geeignet oder auch nur in der Lage sind, das Verhalten von Arbeitnehmern zu überwachen, hat der Betriebsrat ein gesetzliches Mitbestimmungsrecht", erläutert Rechtsanwalt Tim Wybitul. Zudem müsse der Betriebsrat die Einhaltung des Datenschutzrechts überwachen. Daher empfiehlt der Arbeitsrechtler eine individuelle Betriebsvereinbarung. So könne ganz konkret geregelt werden, welche Protokolle, Logfiles oder Inhaltsdaten auf welche Weise genutzt werden. Den Betriebsparteien gebe dies Rechtssicherheit und den Mitarbeitern ein hohes Maß an Transparenz bei der Verarbeitung ihrer personenbezogenen Daten.
