Die neue Datenschutz-Grundverordnung (EU-DSGVO) ist seit dem 25. Mai 2018 wirksam. Sie verpflichtet Unternehmen dazu, einen wirksamen Datenschutz in ihrem Geschäftsbereich einzurichten. Was dies für den Fuhrpark bedeutet, erläutert RECHTSANWALT LUTZ D. FISCHER, Verbandsjurist beim Bundesverband Fuhrparkmanagement e. V. und Mitglied der ARGE Verkehrsrecht im Deutschen Anwaltverein.
Mit der europäischen Datenschutzverordnung tritt zeitgleich das Bundesdatenschutzgesetz (BDSG-neu) in Kraft. Wie greifen sie ineinander?
Die EU-DSGVO gilt als Rechtsrahmen für den Datenschutz ab dem Stichtag 25. Mail 2018 in allen EU-Mitgliedstaaten unmittelbar, ohne dass es einer Umsetzung in nationales Recht bedarf. Sie regelt die grundsätzlichen Anforderungen an den Datenschutz, darunter auch einige ganz neue Dinge. Der Umgang mit personenbezogenen Daten ist grundsätzlich verboten, sofern nicht die Voraussetzungen eines Erlaubnistatbestands vorliegen. Solche Erlaubnistatbestände finden sich in der EU-DSGVO (Art. 6 EU-DSGVO), aber auch im neuen Bundesdatenschutzgesetz (BDSG n.F.). Neu sind die Datenschutz-Folgeabschätzung (Art. 35 EU-DSGVO), die Dokumentationspflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 EU-DSGVO) sowie die Regelung zur Auftragsdatenverarbeitung (Art.4 Nr.8 EU-DSGVO).
Was wird national geregelt?
Die EU-DSGVO sieht sogenannte Öffnungsklauseln vor, die den nationalen Gesetzgebern die Möglichkeit lassen, einzelne Bereiche durch nationales Recht zu regeln. Beispielsweise wird der Arbeitnehmerdatenschutz im Beschäftigungsverhältnis in § 26 des neuen Bundesdatenschutzgesetzes national geregelt. Das ist im Fuhrpark deshalb relevant, da Fahrzeuge für dienstliche und private Zwecke überlassen werden, was meist in Dienstwagenüberlassungsverträgen ergänzend zum Arbeitsvertrag geregelt wird. Diese Verträge sind zur Durchführung des Arbeitsverhältnisses erforderlich und hier greift § 26 des neuen BDSG. Beim Thema Datenschutz sind die meisten aktuell fokussiert auf die EU-DSGVO und das Bundesdatenschutzgesetz. Doch es gibt es noch zwei weitere Punkte, die hier relevant sind: § 63a des Straßenverkehrsgesetzes (StVG) ist seit 21. Juni 2017 in Kraft und regelt die Datenverarbeitung bei Kraftfahrzeugen mit hoch- oder vollautomatisierter Fahrfunktion – das ist absolut fuhrparkrelevant. Daneben gibt es die eCall-Verordnung zum europaweiten Notrufsystem eCall. Sie ist für alle neu typengenehmigten Fahrzeugtypen seit dem 31. März 2018 gültig. Und auch da gibt es in Artikel 5 der eCall-Verordnung eine bereichsspezifische Regelung für Privatsphäre und Datenschutz.
Was wird im Bezug auf die neue Datenschutzverordnung unterschätzt?
Durch aktuelle Berichterstattungen zu massenhaften Datenzugriffen bei Facebook ist die Brisanz des Themas Datenschutz wieder in den Vordergrund gerückt. Viele Fuhrparkmanager halten das Thema irrigerweise für nicht fuhrparkrelevant, wenn sie einen Datenschutzbeauftragten im Unternehmen haben. Nach Artikel 39 der neuen EU-DSGVO hat der Datenschutzbeauftragte Unterrichtungs-, Beratungs- und Überwachungsaufgaben – und zwar in Bezug auf den Datenschutz-Verantwortlichen im Unternehmen. Er hat zudem eine Beratungspflicht gegenüber den betroffenen Personen wie dem Dienstwagennutzer bei der Wahrnehmung seiner Rechte – das ist in Artikel 8 der EU-DSGVO geregelt. Mit anderen Worten, der Datenschutzbeauftragte berät den Verantwortlichen – doch er nimmt ihm weder die Verantwortung ab, noch die Arbeit bei der Umsetzung des Datenschutzes im Fuhrpark.
Um welche Daten geht es im Kern?
Der Datenschutz betrifft alle Informationen, die einer Person zugeordnet werden können, unabhängig davon, wie sensibel die Daten sind. Das können auch Fahrzeugkennzeichen sein, die einen Rückschluss auf die Identität des Fahrers zulassen oder Bewegungsprofile, Fahrverhalten etcetera. Grundsätzlich ist im Unternehmen in erster Linie die Unternehmensleitung für den Datenschutz verantwortlich. Die Geschäftsleitung kann diese Aufgabe aber an einzelne Fachabteilungen delegieren wie zum Beispiel die Personalabteilung oder den Fuhrpark, die dann den Datenschutz nach Vorgabe der Unternehmensleitung umsetzen.
Gibt es im Fuhrpark Besonderheiten, auf die geachtet werden müssen?
Bislang hatte man sich außerdem wenig Gedanken um Systemdaten in den Fahrzeugen gemacht, die in erster Linie für die Wartung oder das ordnungsgemäße Funktionieren von Fahrzeugsystemen relevant sind. Hierbei handelt es sich um Daten, die automatisiert in Fahrzeugsystemen, Bus-Systemen und Mikroprozessoren zwischengespeichert und wieder überschrieben werden. Airbagsensoren, ESP-Sensoren und diverse andere Fahrzeugsysteme speichern ebenfalls Daten im Rahmen ihrer Funktion. In Fuhrparks war beispielsweise bislang wenig bekannt, dass seit 2008 alle auf dem US-amerikanischen Markt verkauften Fahrzeugmodelle zwingend ein System beinhalten müssen, das die Daten zum Zeitpunkt eines Unfalls „einfriert“. Nach einem Crash werden diese Daten nicht mehr überschrieben. Sie sind beispielsweise von Sachverständigen oder von Werkstätten auslesbar. Das heißt, sie können auf diese Daten zugreifen.
Wer einen Dienstwagen nutzt, ahnt bislang kaum, welche Daten erfasst werden oder erfasst werden können. Welche Transparenzpflicht hat ein Unternehmen?
Tatsächlich muss der Arbeitgeber den Arbeitnehmer – zum Beispiel den Dienstwagennutzer – informieren, welche Systeme im Fahrzeug verbaut sind, welche Daten automatisiert generiert werden, für welche Zwecke und an wen sie weitergegeben werden. Über manche Prozesse weiß noch nicht mal der Fuhrparkleiter Bescheid. Das erfährt man nur, wenn der Hersteller darüber informiert. Für die Datenverarbeitung im Fahrzeug hat nunmehr aktuell die Datenschutzkonferenz (das heißt die unabhängigen Datenschutzbehörden des Bundes und der Länder) gemeinsam mit dem Verband der Automobilindustrie e. V. (VDA) einen Mustertext für eine Herstellerinformation erarbeitet, die in die Betriebsanleitungen der Fahrzeuge integriert werden soll. Diese wurde Ende April 2018 veröffentlicht.
Gibt es Besonderheiten?
Ja, beispielsweise beim Datenschutz für das bordeigene Notrufsystem eCall. Die Hersteller sind nach Artikel 5 der eCall-Verordnung verpflichtet, Maßnahmen zu ergreifen, um sicherzustellen, dass das bordeigene eCall-System nicht verfolgbar ist und im Normalbetrieb auch keine dauerhafte Verfolgung möglich ist. Das heißt aber auch, dass das technisch durchaus möglich ist. Daten im Speicher dürfen nicht von anderen Systemen zugänglich sein, solange nicht der Notfall eingetreten ist und sollen kontinuierlich entfernt werden. Damit verbunden sind Betroffenenrechte, die Zugang, Berichtigung oder Löschung fordern können. Wenn dem nicht nachgekommen wird, kann es eine Beschwerde bei der zuständigen Datenschutzbehörde geben. Wichtig ist, dass der Mitarbeiter informiert wird, welche Daten im Falle eines Unfalls anfallen. Daran interessiert sind neben Staatsanwaltschaft und Gerichten bei erheblichen Verkehrsübertretungen im Zusammenhang mit Personenschäden bei Verkehrsunfällen sicherlich auch die Kfz-Versicherer vor allem bei Versicherungstelematik-Tarifen sowie der Arbeitgeber für die Frage des Regresses.
Welche Basis muss dafür geschaffen werden?
Der Fuhrparkmanager muss hier Verarbeitungsverzeichnisse erstellen und dokumentieren, wo – auch automatisch generierte – Daten anfallen. Eine Hilfestellung hierbei geben die Datenschutzaufsichtsbehörden, die nach Art. 35 Abs. 4 EU-DSGVO den Auftrag haben, sogenannte „Blacklists“ für diejenigen Datenverarbeitungsvorgänge zu erstellen, für die stets eine Datenschutz-Folgeabschätzung durchzuführen ist. Außerdem können durch sogenannte „Whitelists“ spezifische Ausnahmen von der Datenschutz-Folgeabschätzung erfasst werden, vgl. Art. 35 Abs. 5 EU-DSGVO. Noch existieren diese Listen nicht, sie werden aber sicherlich bald veröffentlicht. Das wäre eine echte Hilfestellung im Fuhrpark bei der Klärung der Frage, welche Technologie im Fahrzeug datenschutzrechtlich als unbedenklich eingestuft wird und welche nicht. Aktuell gibt es hierzu ein Kurzpapier der Datenschutzkonferenz zum Risiko für die Rechte und Freiheiten natürlicher Personen als erste Orientierung insbesondere für den nicht-öffentlichen Bereich.
Gibt es in Bezug auf den Datenschutz eine Standardeinwilligungserklärung?
Nein, das gibt es nicht. Allerdings ist wesentlich, dass der dienstwagenberechtigte Mitarbeiter – wie erwähnt – zunächst transparent über die datenrelevanten Vorgänge im Fahrzeug informiert wird. Er muss die Tragweite der Datenerhebung erfassen können, um überhaupt eine wirksame „aufgeklärte“ Einwilligung unterschreiben zu können.
Mit welchen Konsequenzen muss ein Unternehmen rechnen, wenn die Grundverordnung nicht eingehalten wird und wer überprüft das?
Es gibt Bußgeld- und Sanktionsmöglichkeiten nach der EU-DSGVO von maximal 20 Millionen Euro oder 4 Prozent der weltweit erzielten Umsätze des vergangenen Jahres, je nachdem, was höher ist. Auch das neue Bundesdatenschutzgesetz beinhaltet strafrechtliche Sanktionen und Bußgeldtatbestände (§§ 41-43 BDSG n.F.), die auch Geldbuße bis 50.000 Euro vorsehen.
Für die Überprüfung von Datenschutzverstößen sind die Datenschutzbeauftragten des Bundes und der einzelnen Bundesländer zuständig. Ich gehe davon aus, dass diese im Wesentlichen erst tätig werden, wenn eine Beschwerde oder Eingabe zu Datenschutzverstößen eingereicht wird.
Gibt es eine Schonfrist?
Die EU-DSGVO vom 27. April 2016 ist seit dem 25. Mai 2016 in Kraft. Sie wirkt erst ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten. Das hatten auch viele Fuhrparkmanager nicht wirklich „auf dem Schirm“. Es gab also eine zweijährige Übergangsfrist, in der man Zeit hatte , sich vorzubereiten. Weitere Schonfristen wird es wohl nicht geben.
Der Countdown läuft: Wie sieht Ihre Checkliste für Fuhrparks aus? Was hat Priorität?
Das ist ein dreistufiger Prozess.
1.Unternehmensinterne Prozesse und Technologien müssen an die Vorgaben der EU-DSGVO und des neuen Bundesdatenschutzgesetzes angepasst werden. Dazu muss man zuerst den Ist-Zustand analysieren und die Frage klären,welche datenrelevanten Vorgänge gibt es in meinem Fuhrpark? Das ist eine Frage der individuellen Zusammensetzung des Fuhrparks nach Art der Fahrzeuge und der Einbindung des Fuhrparkmanagements in die Unternehmensstruktur.
2. 2. Als zweites sind angesichts der neuen datenschutzrechtlichen Pflichten und Vorgaben die Lücken zu erfassen und der Geschäftsleitung zu melden. Das betrifft natürlich nicht nur den Fuhrpark, sondern auch andere Abteilungen wie die Personalabteilung oder den Vertrieb. Es wird aber oftmals übersehen, dass es in einem Fuhrpark auch viele datenrelevante Vorgänge gibt, die berücksichtigt werden müssen. Die Unternehmensleitung muss letztlich die Entscheidung treffen über den Detailgrad der Umsetzung des Datenschutzes im Unternehmen, d.h. auch über das diesbezügliche finanzielle Budget.
3. In der Umsetzungsphase müssen dann die Lücken geschlossen werden. Liegen beispielsweise „alte“ Einwilligungserklärungen zur Datenverarbeitung vor, die den aktuellen Erfordernissen entsprechen oder müssen diese angepasst werden? Hier erfolgt dann auch die Datenschutzunterweisung und -verpflichtung der Mitarbeiter.
Wer sich nicht organisiert, riskiert satte Bußgelder. Angesichts der drakonischen Strafen werden Datenschutzbeauftragte von Bund und Ländern solche Verfahren nicht einfach einstellen, auch wenn man „Besserung gelobt“.
RECHTSANWALT LUTZ D. FISCHER ist Verbandsjurist beim Bundesverband Fuhrparkmanagement e. V. und Mitglied der ARGE Verkehrsrecht im Deutschen Anwaltverein. Ein besonderer Kompetenzbereich liegt im Bereich des Dienstwagen- und Verkehrsrechts. Als Autor hat er zahlreiche Publikationen zum Dienstwagenrecht veröffentlicht, u.a. in der Fachzeitschrift »Flottenmanagement« sowie im Ratgeber »Dienstwagen- und Mobilitätsmanagement 2018« (Kapitel Datenschutz). Als Referent hält er bundesweit offene Seminare und Inhouse-Veranstaltungen zur Dienstwagenüberlassung mit thematischen Bezügen zu Arbeitsrecht/ Entgeltabrechnung/ Professionellem Schadenmanagement / Datenschutz) sowie Vorträge u.a. für FleetSpeakers und das »Dialogforum für Fuhrpark- & Flottenmanagement« von Management Circle.