Datenschutz im Fuhrpark Welche Daten sind betroffen, wie kann man sie schützen?

Foto: Fotolia

Die rechtliche Seite des Datenschutzes: firmenauto erklärt die wichtigsten Fragen rund um die EU-Datenschutzverordnung.

Die Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu) werfen ihre Schatten voraus, und wo mit personenbezogenen Daten gearbeitet wird, sind im Zweifel Anpassungen oder Veränderungen erforderlich. Wer als Fuhrparkleiter meint, dies würde ihn und seinen Arbeitsbereich nicht betreffen, der irrt. Bei der Fahrzeugübergabe, der Führerscheinkontrolle, der Bearbeitung von Ordnungswidrigkeiten oder Unfällen, der Abrechnung von Tankkarten und Werkstattrechnungen, bis hin zur Aussteuerung hat er es mit einer Vielzahl von Vorgängen zu tun, bei denen personenbezogene Daten nicht nur erhoben, sondern auch verarbeitet werden.

Um etwas Klarheit in die Gesetzestexte zu bringen: Verarbeiten bedeutet "das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung" (§ 46 Ziff. 2 BDSG-neu). Kurzum: Sind in Ihrem Bereich Daten im Umlauf, dann verarbeiten Sie diese quasi in jedem Arbeitsschritt. Ob es sich um die Daten Ihrer Mitarbeiter oder betriebsfremder Personen handelt, spielt dabei keine Rolle.

Flottenmanager sollten darauf achten, dass die Daten nur "auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise" verarbeitet werden (Art. 5 Abs. 1 lit. a. DSGVO). Im eigenen Haus sollte dies hoffentlich keine große Hürde sein. Sobald aber personenbezogene Daten an Dritte gegeben werden, beispielsweise wenn Sie Teile Ihres Fuhrparks auslagern, ist zwingend darauf zu achten, dass die Datensicherheit auch beim externen Dienstleister gewährleistet und dieser gegenüber dem Auftraggeber weisungsgebunden ist (Art. 28 f. DSGVO). Ein fortlaufend aktualisiertes Verfahrensverzeichnis ist schon aufgrund der Beweislastumkehr unverzichtbar.

Vorsicht beim Datenaustausch mit Firmen, deren Hauptsitz in Drittländern liegt

Besondere  Vorsicht ist geboten, wenn ein Auftragsdatenverarbeiter seinen Firmensitz in einem Drittland hat. So sollte – wenn  die Daten beispielsweise in die USA übertragen werden – unbedingt darauf geachtet werden, dass das Unternehmen unter dem sogenannten Privacy Shield agiert. Zu der eigenen Absicherung ist auch diesbezüglich ein fortlaufend aktualisiertes Verfahrensverzeichnis zu führen.

Foto: Fotolia
Werden Daten an externe Dienstleister weitergegeben, ist auch hier zwingend die Datensicherheit zu gewährleisten

Derjenige, dessen Daten gespeichert und verarbeitet werden, kann die Herausgabe einer Datenkopie in maschinenlesbarem Format, die Berichtigung, aber auch die Löschung seiner Daten verlangen. Zudem sind die Daten zu löschen, wenn sich der Zweck der Speicherung erledigt hat.

Bei der Datensicherheit geht es im Übrigen nicht nur um Daten, die elektronisch gespeichert wurden. Dringender Handlungsbedarf besteht beispielsweise auch dann, wenn in Ihrem Empfangsbereich Informationen über Kunden und Mitarbeiter von Dritten ungehindert von den Bildschirmen abgelesen werden können. Oder Dossiers und Stammblätter offen und für jedermann einsehbar auf dem Schreibtisch liegen. Nachbessern müssen Sie zudem, falls Ihre Computer oder gar Server infolge fehlender Sicherungskonzepte uneingeschränkt zugänglich sind. Ein USB-Stick mit Schadsoftware ist schnell gesteckt und offen liegende Datenblätter sind leicht abfotografiert. Auch drahtlose Netzwerke sollten hinreichend gesichert werden. Dasselbe gilt für Smartphones, Tablets oder andere Geräte, auf denen sowohl Kunden als auch Mit­arbei­ter­daten gespeichert sind oder mit denen ein Zugriff darauf möglich ist.

Wenn es nun dennoch gelungen ist, von außen auf Ihre gespeicherten Daten zuzugreifen, heißt es zunächst Ruhe bewahren. Denn nur wenn personenbezogene Daten betroffen sind, ist die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntnis von der Verletzung zu benachrichtigen. Die Meldepflicht betrifft jede Verletzung personenbezogener Daten, die zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen kann.

Betroffene Mitarbeiter müssen informiert werden

Gemäß Art. 33 DSGVO  (§ 66 Abs. 1 BDSG-neu) sind auch die Betroffenen selbst, also gegebenenfalls Ihre Mitarbeiter, zu informieren. Es sei denn, das Risiko besteht nicht mehr fort oder der Verantwortliche hat "geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen ... und diese Vorkehrungen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen Daten angewandt"

Dies gilt insbesondere dann, wenn die Daten durch Verschlüsselungen für unbefugte Personen unzugänglich gemacht wurden. Oder wenn der  Verantwortliche im Anschluss an den Datenklau Maßnahmen getroffen hat, um sicherzustellen, "dass aller Wahrscheinlichkeit nach keine erhebliche Gefahr  mehr besteht" (34 Abs. 3 lit. a DSGVO,
§ 66 Abs. 3 BDSG-neu).