Ab Mai 2018 wird es ernst, dann gilt die neue EU-Datenschutzverordnung für alle Firmen.
Welche Aufgaben der Fuhrparkleiter übernimmt und warum er sich nicht für den Chefposten
als Datenschutzbeauftragter eignet.
Fragt man in Firmen nach dem Datenschutz, zucken viele Mitarbeiter und auch Führungskräfte unwissend mit den Schultern. Obwohl die neue Datenschutzverordnung (EU-DSGVO) ab 25. Mai 2018 wirksam wird, scheint das Thema noch nicht alle Betriebe erreicht zu haben. Das Gesetz verpflichtet Unternehmen dazu, einen wirksamen Datenschutz in ihrem Geschäftsbereich zu etablieren. Kurzum: Ein Mitarbeiter oder ein externer Berater muss sich federführend um den Datenschutz kümmern. Eine Aufgabe, die sich nicht einfach nebenbei erledigen lässt.
Die einschlägigen Pflichten auf einen Mitarbeiter zu delegieren, wie es im Fuhrparkmanagement häufig Usus ist, das reicht für eine wirksame Bestellung als Datenschützer jedenfalls nicht aus. Den Fuhrparkleiter zum Verantwortlichen für den Datenschutz zu befördern, wäre ebenfalls keine gute Idee. Der müsste sich dann als Führungskraft im Fall einer Datenpanne selbst maßregeln, was in der Praxis kaum funktionieren dürfte. "Datenschutz ist Chefsache und eine Querschnittsaufgabe für das ganze Unternehmen", sagt Ioannis Dimas, Berater und Datenschutzbeauftragter beim IT-Systemhaus ETES.
Fuhrparkleiter muss Daten bereitstellen
Ein effektiver Datenschutz im Unternehmen setzt voraus, dass alle Abteilungen klären, wie sie mit den persönlichen Daten der Mitarbeiter umgehen. Das neue Recht schreibt vor, dass die Mitarbeiter umfassend und nachvollziehbar darüber zu informieren sind, ob und wie ein Unternehmen ihre Daten verarbeitet. Personenbezogene Daten dürfen nur verarbeitet werden, wenn die Betroffenen dazu ihre Einwilligung geben oder das betriebliche Interesse daran Vorrang hat (Erlaubnistatbestand).
Damit alle Informationen aus dem Fuhrpark zur Datenerhebung und Datenverarbeitung vollständig auf den Tisch kommen, ist die Expertise des Flottenmanagers gefragt. Schließlich sind bei der Verwaltung der Fahrzeuge rund um Bestellung, Nutzung und Rückgabe jede Menge Daten aus unterschiedlichen Quellen im Spiel. Die Daten der Dienstwagennutzer tauchen zum Beispiel im Überlassungsvertrag, bei der Kontrolle des Führerscheins und der Gehaltsabrechnung auf. Auch Leasinggeber, Versicherer sowie Dienstleister für Tankkarten, Reifenservice und Werkstatt arbeiten mit Daten aus dem Fuhrpark und denen der Fahrer.
"Der Datenschutz im Unternehmen steht und fällt mit der akkuraten Dokumentation der Maßnahmen und Vereinbarungen im Hinblick auf die Datenerhebung und den Umgang mit den Daten", erklärt Ioannis Dimas. Auf den Fuhrparkverantwortlichen kommt damit viel Arbeit zu, für die es eine gute Organisation und Arbeitsvorbereitung benötigt. Als Erstes gilt es alle Arbeitsschritte im Fuhrpark, in denen Daten verarbeitet werden, systematisch in einer Liste zu erfassen. Dabei geht es stets um dieselben Fragen: Welche Mitarbeiter arbeiten mit den Daten der Dienstwagennutzer? Welche Daten werden erhoben? Was ist der Zweck der Verarbeitung? Auch die Frage nach der jeweiligen Rechtsgrundlage spielt eine Rolle: Benötigt das Unternehmen zur Verarbeitung der Daten die Zustimmung des Mitarbeiters oder liegt dafür ein Erlaubnistatbestand vor? Zur Bestandsaufnahme gehört auch, wie das Unternehmen die persönlichen Daten tatsächlich schützt. Stehen sie abgeheftet in einem Aktenordner in einem Regal im Flur, wäre akuter Handlungsbedarf gefragt. Auch externe Dienstleister, die mit den Personaldaten zugange sind, gehören auf die Liste.
Foto: Thomas Küppers
Hersteller müssen gesammelte Daten offenlegen
Ein Unternehmen muss sicherstellen, dass seine Daten auch außerhalb der eigenen Wände geschützt sind. In diesem Fall ist eine Auftragsdatenverarbeitung angesagt. Sie legt fest, wie Dienstleister die zur Verfügung gestellten Daten verwenden dürfen. Klärungsbedarf in Sachen Datenschutz besteht in vielen Fuhrparks jedoch nicht nur in der Verwaltung. Auch bei der Hardware sollten Fuhrparkleiter aktiv werden. Die Verantwortlichen müssen zum Beispiel vernetzte Dienstwagen im Blick behalten, weil die darin gespeicherten technischen und funktionellen Daten ebenfalls in die Kategorie der personenbezogenen Daten fallen.
Zwar haben Fuhrparks kaum die Möglichkeit, einer Datenerhebung der Hersteller in Eigenregie nachzuspüren. Die Pflicht zur Transparenz gilt jedoch für alle Beteiligten im Fuhrparkgeschäft. Ein Autohersteller muss demnach bei der Erhebung und Verarbeitung von Personendaten seinerseits mit offenen Karten spielen. Flottenmanager sollten prüfen, ob der Hersteller alle Informationen zur Verfügung stellt. Bleibt er sie schuldig, könnte vielleicht ein Anruf bei der Aufsichtsbehörde Wunder wirken.
Foto: BMW
Regelungen für den Fuhrpark in einer Data Policy festhalten
Selbst bei maximaler Transparenz der umlaufenden Daten ist das Thema Datenschutz für den Fuhrparkleiter aber noch nicht vom Tisch. Wenn der Dienstwagennutzer zum Beispiel partout nicht damit einverstanden ist, dass ein Hersteller seine Daten verarbeitet, dann darf der Kollege mit dem Auto auch nicht fahren. Steht lediglich die Nutzung vernetzter Services des Autoherstellers zur Debatte, sollte dem Mitarbeiter die Entscheidung darüber am besten selbst überlassen sein.
Die Regeln, die ein Unternehmen für den Umgang mit Firmenwagendaten definiert, sollten in einer Data Policy festgehalten werden. Denkbar wäre eine Datenschutzerklärung, die ins Regelwerk für den Fuhrpark aufgenommen wird. Auf praktischer Ebene dürften Dienstanweisungen dem Fuhrparkleiter dabei helfen, die Kontrolle im Fuhrpark zu behalten. Beispiel Poolfahrzeuge: Hier bietet es sich an, alle Mitarbeiter, die befugt sind, mit den Autos zu fahren, die Dokumentation zur Nutzung der Daten im Auto unterschreiben zu lassen. Fahren auch Familienangehörige mit dem Dienstfahrzeug, so könnte der Fuhrparkchef den Mitarbeiter dazu verpflichten, die Familie über die Datenerhebung zu instruieren.
Teilen sich mehrere Mitarbeiter einen Dienstwagen, sollten Flottenmanager überdies eine Regelung für das Smartphone einführen. So könnte man es verbieten, das private Endgerät überhaupt mit dem Dienstfahrzeug zu koppeln. Oder die Mitarbeiter löschen den Telefonspeicher im Fahrzeug nach jeder Dienstfahrt. Das dürfte in der Praxis allerdings schwierig werden. Außerdem bräuchte es dazu wieder eine Dokumentation, die aufzeigt, wie das geht.
