Es ist nicht zu übersehen. Das am 25. Mai 2018 in Kraft tretende neue Bundesdatenschutzgesetz (BDSG), welches auf der nun schon seit beinahe zwei Jahren verabschiedeten Datenschutz-Grundverordnung (DSGVO) der EU basiert, beherrscht in diesen Tagen die Wirtschaftsmedien. Es setzt der Erhebung, Speicherung und Verarbeitung personenbezogener Daten enge Grenzen und fordert von Unternehmen diverse Maßnahmen zur Sicherstellung des Datenschutzes. Laut DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dabei wird eine natürliche Person dann als identifizierbar angesehen, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Onlinekennung oder zu einem oder mehreren besonderen Merkmalen, identifiziert werden kann.
Selbst dynamische IP-Adressen sind personenbezogen
Schon die unkomplizierte Werbe-Webseite des Handwerkers um die Ecke, die mittels Google Analytics die Zugriffe auf diese Homepage protokolliert und auswertet, ist von dem BDSG betroffen. Denn gemäß einer Entscheidung des Bundesgerichtshofs sind selbst dynamische IP-Adressen als personenbezogene Daten anzusehen. Spätestens beim Lesen des Begriffs Standortdaten in vorstehendem Absatz wird dem Betreiber eines Telematiksystems dämmern, dass auch sein Unternehmen hinsichtlich der Nutzung der Telematik vom BDSG betroffen sein könnte. Typischerweise werden ja auch bei einfachen Telematiksystemen nicht nur die Standorte der Fahrzeuge erhoben, sondern auch die Namen der zugehörigen Fahrer. Schon hat man personenbezogene Daten.
Und wenn das genutzte Telematiksystem explizit Fahrerdaten erhebt, wie etwa Arbeitszeiten, Verstöße gegen Lenkzeitverordnungen, ist natürlich besondere Aufmerksamkeit in Sachen Datenschutz notwendig. Was heißt das jetzt für den Telematiknutzer? Grob vereinfacht wiedergegeben, fordern die DSGVO und das BDSG zunächst einmal von dem Unternehmen die Dokumentation aller die personenbezogenen Daten betreffenden Verarbeitungstätigkeiten, das sogenannte Verarbeitungsverzeichnis. In diesem Zuge ist unter anderem eine Zulässigkeitsprüfung vorzunehmen. Zur Datenerhebung und -verarbeitung muss entweder eine Erlaubnis des Betroffenen vorliegen oder eine andere der in Artikel 6 der DSGVO definierten Voraussetzungen, wie etwa ein öffentliches Interesse.
Telematikanbieter sind als Auftragsverarbeiter anzusehen
Weiterhin ist eine Folgenabschätzung vorzunehmen, in der die Notwendigkeit und die Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den verfolgten Zweck bewertet werden. Entscheidender Teil der Folgenabschätzung ist die Festlegung von Sicherheitsvorkehrungen und Verfahren zum Schutz der personenbezogenen Daten, die sogenannten technischen/organisatorischen Maßnahmen, wie etwa die Zutritts- und Zugriffskontrolle, das Protokollieren von Datenänderungen und vieles mehr. Für diesbezügliche Details sei auf die einschlägigen Publikationen verwiesen. Aus Sicht der Telematik ist ein weiterer Aspekt nicht zu vernachlässigen. Die Zeiten, in denen ein Flottenbetreiber den Telematikserver – und damit die Datenspeicherung und -verarbeitung – selbst betrieben hat, dürften bei den meisten Unternehmen Vergangenheit sein.
Heutige Systeme sind meist webbasiert, demnach dürfte der Telematikanbieter beziehungsweise Portalbetreiber im Sinne der DSGVO als Auftragsverarbeiter anzusehen sein, dessen Beauftragung und dessen Überwachung durch den Telematiknutzer weiteren Regularien unterliegt. Falls dieser Auftragsverarbeiter dann auch noch in einem Drittstaat sitzt (Achtung: Brexit), kommen weitere verschärfende Regelungen hinzu. Den Anwendern von Telematiksystemen sei daher dringend empfohlen, sich intensiv mit den bevorstehenden Änderungen im Datenschutz auseinanderzusetzen. Im Zweifelsfall ist es kein Fehler, sich juristisch beraten zu lassen – um mögliche Stolpersteine zu umfahren.
