Bis vor wenigen Jahren hatten Flottenmanager mit dem Thema Datenschutz nicht wirklich viel zu tun. Bis die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft trat. Dies war die größte Aktualisierung seit 20 Jahren.
Doch was bedeutet das für Flottenmanager?
Einfach ignoriert werden kann die DSGVO jedenfalls nicht, da die Einhaltung der Regeln gesetzlich vorgeschrieben ist. Die meisten Fuhrparkmanager arbeiten mit „personenbezogenen Daten“. Deshalb gilt es zunächst einmal zu verstehen, wie sich die Änderungen auswirken.
Trotz ihrer Komplexität ist die DSGVO eine evolutionäre Veränderung. Viele Betreiber sollten in der Lage sein, ihre derzeitigen Datenschutzregelungen anzupassen, anstatt sie komplett neu aufzusetzen. Es gibt jedoch einige wesentliche Unterschiede zu früheren Datenschutzrichtlinien.
Personenbezogene Daten
Die DSGVO erweitert die Definition von personenbezogenen Daten um digitale Identifikatoren wie IP-Adressen sowie pseudonymisierte Daten, die mit Einzelpersonen in Verbindung gebracht werden können. Identifikatoren in Telematiksystemen, die Daten und Fahrer miteinander in Beziehung setzen, einschließlich Informationen über Standort, Geschwindigkeit oder Fahrereignisse, können somit personenbezogene Daten sein. Dies hat Auswirkungen auf die Betreiber, da Einzelpersonen neue Rechte in Bezug auf personenbezogene Daten genießen. Dazu gehört das Recht, über die erfassten Daten informiert zu werden, Zugang zu ihnen zu erhalten, falsche oder fehlerhafte Daten zu berichtigen und ihre Löschung zu verlangen.
Rechtmäßige Grundlage für die Verarbeitung von Daten
Um mit personenbezogenen Daten umgehen zu können, benötigen die Betreiber eine rechtmäßige Grundlage für die Verarbeitung dieser Daten. Als Grundlage für die Verarbeitung stehen mehrere Optionen zur Verfügung, darunter die Einwilligung des Fahrers, die Erfüllung eines Vertrags, die Einhaltung einer rechtlichen Verpflichtung, die Erfüllung einer Aufgabe im öffentlichen Interesse oder die Wahrnehmung berechtigter Interessen. Die meisten Betreiber werden wahrscheinlich vermeiden, die Zustimmung des Fahrers einzuholen, und stattdessen ein berechtigtes Interesse oder die Erfüllung eines Vertrags geltend machen.
Die Zustimmung des Fahrers ist nicht erforderlich, wenn die Daten beispielsweise für die Lohnabrechnung verwendet werden. Wenn ein Arbeitnehmer für seine Lenkzeiten bezahlt wird und die Telematikdaten zur Erfassung dieser Zeiten verwendet werden, ist die Verarbeitung durch den Arbeitsvertrag abgedeckt. Eine solche Verwendung fällt unter die Ausnahme der Verarbeitung für die Erfüllung eines Vertrags.
Wenn sich die Betreiber dagegen auf berechtigte Interessen berufen, müssen sie sicherstellen, dass die Entscheidungsfindung in Bezug auf das Gleichgewicht zwischen den Interessen des Betreibers und den Rechten der Fahrer dokumentiert wird. Die Unternehmer müssen zudem sicherstellen, dass die Fahrer vernünftigerweise erwarten können, dass ihre Daten auf der Grundlage der berechtigten Interessen des Unternehmers verarbeitet werden, wozu unter anderem Betrugsverhütung und Sicherheit gehören können.
Liegt keine vertragliche Grundlage oder keine Grundlage für ein berechtigtes Interesse vor, müssen die Betreiber die Zustimmung der Fahrer einholen, die spezifisch, eindeutig und freiwillig erteilt werden muss. Die Fahrer sollten wissen, welche Daten erfasst werden und warum, was mit ihnen geschieht und an wen sie weitergegeben werden. Diese Zustimmung sollte dokumentiert und idealerweise in Arbeits-, Lieferanten- und Fahrerverträge sowie in die Allgemeinen Geschäftsbedingungen für die Beschaffung aufgenommen werden. Die Einbeziehung der Zustimmung in diese Verfahren dürfte das Risiko künftiger Konflikte verringern.
Verwaltung
Die Datenschutz-Grundverordnung enthält Bestimmungen zu Rechenschaftspflicht, Governance und Transparenz. Die Betreiber sollten über dokumentierte Maßnahmen wie Datenschutz-Folgenabschätzungen verfügen und die Grundsätze des rechtlich konformen Datenschutzes anwenden. Dies gilt für alle Daten, die mit Fahrern in Verbindung stehen, einschließlich der Daten aus Telematik- oder Flottenmanagementsystemen.
Sicherheit
Flottendaten sollten unter gebührender Berücksichtigung der Sicherheit verwaltet werden. Die Betreiber sollten prüfen, ob auch ihre Zulieferer die Bestimmungen der Datenschutz-Grundverordnung einhalten, und diejenigen auswählen, die ihre Kompetenz nachweisen können, z. B. durch eine Zertifizierung nach ISO.
Fazit
Auch wenn die Anforderungen zur Einhaltung der DSGVO überwältigend erscheinen mögen, ist vieles von dem, was sie enthält, lediglich eine Erweiterung der bestehenden Gesetzgebung. Viele Unternehmen mussten bzw. müssen daher keine wesentlichen Änderungen vornehmen. Eine Konsultation der Rechtsberater Ihres Unternehmens ist jedoch immer eine Empfehlung.
