Mit der neuen Datenschutzgrundverordnung bleibt im Unternehmen kein Stein auf dem anderen. Alle Prozesse müssen auf die darin verarbeiteten Daten und deren Verwendung überprüft und abgesichert werden. Im Fuhrpark betrifft das nicht nur die Mitarbeiter, die den Dienstwagen nutzen, sondern auch externe Dienstleister wie etwa Tankkartenorgansationen und Leasinggesellschaften, jedes Vertragswerk, jeden Reparaturauftrag.
Die neue Datenschutzverordnung (EU-DSGVO) wird ab 25. Mai 2018 wirksam. Sie verpflichtet Unternehmen dazu, einen wirksamen Datenschutz in ihrem Geschäftsbereich einzurichten. Nahezu zeitgleich tritt das Bundesdatenschutzgesetz (BDSG-neu) in Kraft.
Datensicherheit im Fuhrpark? Es wird oft unterschätzt, welche Fülle an personenbezogenen Daten hier verarbeitet wird: Allein jeder Dienstwagennutzer ist in der Regel mit mehreren Abteilungen im Unternehmen verbunden – ob Personalabteilung, Buchhaltung und dem Fuhrpark. Kurz – der Datenschutz betrifft den ganzen Betrieb, deren Leitung auch die Gesamtverantwortung dafür trägt.
Jedes Unternehmen ist betroffen
Von der Verpflichtung ist niemand ausgenommen. Auch kleine Betriebe müssen für die Einhaltung sorgen. Der Unterschied: Firmen mit mehr als neun Mitarbeitern, die regelmäßig mit Personendaten arbeiten, müssen einen Datenschutzbeauftragten benennen. Dabei ist es unerheblich, ob es sich um Vollzeit- oder Teilzeitkräfte handelt.
Die Aufgabe dieses Datenwächters ist die Einhaltung der DSGVO. Dazu muss er sowohl die Verfahren und Techniken der automatisierten Datenverarbeitung kennen wie auch die rechtlichen Bedingungen. Er muss Kollegen und Vorgesetzte unter Umständen maßregeln, weshalb es wenig sinnvoll ist, mit diesem Job den Fuhrparkleiter oder den Geschäftsführer zu betrauen. Idealerweise sollte der Datenschutzbeauftragte keine Verantwortung als leitender Mitarbeiter haben.
Akkurate Dokumentation als Basis
Der Datenschutz hängt vor allem von der einwandfreien und transparenten Dokumentation rund um den Umgang mit Daten ab. Das beginnt mit dem Überblick über die Arbeitsschritte, in denen persönliche Informationen verarbeitet werden. Zum Beispiel: Wer nutzt einen Dienstwagen, welche Daten sind dabei hinterlegt und zu welchem Zweck? Wird für die Verarbeitung der Daten das Einverständnis des Mitarbeiters benötigt? Haben beispielsweise externe Dienstleister ebenfalls Zugang zu den Informationen? Wie werden die Daten aktuell geschützt?
Das Internet der Dinge macht es möglich – auch in vernetzten Dienstwagen können personenbezogene Informationen gespeichert sein. Zudem greifen Hersteller auf Hardware im Wagen zu. Sie haben ebenfalls die Verpflichtung zur Transparenz und müssen Erhebung und Verarbeitung offenlegen.
Mitarbeiter einbinden
Wie eine Gesellschaft mit Firmenwagendaten umgeht, sollte klar definiert und in einer Art Datenschutzerklärung fixiert werden. Das ist hilfreich im Umgang mit den Mitarbeitern. Denn sie müssen informiert und geschult werden. Denkbar ist, dass Angestellte, die ein Fahrzeug aus dem Fuhrpark nutzen, eine entsprechende Erklärung unterzeichnen.
Die Verordnung betrifft nicht nur elektronisch gespeicherte Daten. In manchen Unternehmen gibt es einsehbare Bildschirme, zugängliche Dossiers oder Stammblätter, die abfotografiert werden könnten. Auch Tablets beziehungsweise Smartphones, auf denen Kunden- wie Mitarbeiterdaten gespeichert sind und auf die Zugriff möglich ist – in all diesen Fällen besteht Handlungsbedarf.
Datenschutz im globalen Markt
Wer seine Dienstleistungen im Ausland anbietet, für den gibt es eine wesentliche Änderung. Das sogenannte Territorialprinzip wird vom Marktortprinzip abgelöst. Das heißt, dass mit Inkrafttreten sowohl die Bestimmungen der neuen DSGVO einzuhalten sind als auch die des jeweiligen Landes. Beispiel: Unternehmen mit Sitz in den USA oder China müssen sich künftig an die Regeln des europäischen Datenschutzes halten.
Sollten sich trotz aller Vorsichtsmaßnahmen Unbefugte Zugriff auf personenbezogene Daten verschafft haben, gibt es eine Meldepflicht. Die zuständige Aufsichtsbehörde muss innerhalb von 72 Stunden benachrichtigt werden.
Auch wenn mit dem Stichtag nicht mit sofortigen Kontrollen zu rechnen ist: Wer die Verordnung nicht ernst nimmt, dem drohen unangenehme Sanktionen. Sie müssen wirksam, verhältnismäßig und abschreckend sein, so die EU-DSGVO. Deshalb sieht das Gesetz Bußgelder bis zu 20 Millionen Euro oder vier Prozent des Umsatzes des letzten Geschäftsjahres vor. Schon das sollte deutlich machen, dass Unternehmen die neue Datenschutz-Grundverordnung nicht auf die leichte Schulter nehmen dürfen.