EU Datenschutzgrundverodnung 2018

Die neue EU-Datenschutzgrundverordnung tangiert auch die (elektronische) Führerscheinkontrolle. Sind Sie als Arbeitgeber up to date?

Im kommenden Jahr tritt die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Sie wird das bestehende Datenschutzrecht fast vollständig ablösen. 
Mit der Novelle soll die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen in der Europäischen-Union vereinheitlicht werden. Bis Mai 2018 müssen alle Aktivitäten, Prozesse und Verträge – also auch Dienstwagenvereinbarungen und die betriebliche Führerscheinkontrolle – dem neuen Recht genügen.
So müssen Verstöße gegen den Datenschutz nicht länger von der zuständigen Behörde nachgewiesen werden, sondern Unternehmen müssen proaktiv belegen, dass sie die Regeln einhalten. Auf Unternehmen kommt damit ein erheblicher Mehr-Aufwand zu. Wird gegen die neuen datenschutzrechtlichen Regeln verstoßen, müssen Unternehmen mit hohen Bußgeldern rechnen. Aktuell können für Verstöße gegen datenschutzrechtliche Bestimmungen in Deutschland laut § 43 Abs. 3 S. 1 BDSG Bußgelder bis zu einer Höhe von 300.000 Euro pro Verstoß verhängt werden.
Mit Inkrafttreten der Novelle drohen weitaus höhere Sanktionen als unter den bisher geltenden nationalen Bestimmungen. Die Bußgelder für Datenschutzverstöße können zukünftig gemäß Art. 83 Abs. 5 DSGVO bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten, weltweit erzielten Umsatzes (!) des letzten Geschäftsjahres  betragen, je nachdem welcher Wert höher ist. Für größere Unternehmen und Konzerne multipliziert die vier Prozent-Klausel die finanziellen Risiken erheblich.
Dazu kommt, dass die Aufsichtsbehörden Bußgeldverfahren nicht in die sprichwörtliche Schublade legen. Nein, sie versenden entsprechende Hinweise gegebenenfalls als Pressemitteilung und machen den Fall unter Nennung des Unternehmens öffentlich bekannt. Die Folgen solcher „Öffentlichkeitsarbeit“ sind Image- und Umsatzverluste.
Unternehmen sollten daher eine neue Einschätzung ihrer Datenschutzrisiken vornehmen und Strategien zur Risikominimierung entwickeln.

Elektronische Führerscheinkontrolle: Datenschutz erweitert das Recht auf informationelle Selbstbestimmung bei Arbeitnehmern

Make or buy – die Frage, ob Risiken ausgelagert werden können, ist also dringlicher denn je.

De facto müssen Unternehmen belegen, warum personenbezogene Daten verarbeitet werden dürfen, wie die Verarbeitung stattfindet und welche Sicherheitsmaßnahmen eingesetzt werden, um die Daten zu schützen. Das erfordert den neuen Aufbau eines Dokumentationssystems. Die Datenschutzaufsichts-behörden dürfen die Verfahrensübersicht zur automatisierten Datenverarbeitung, die gespeicherten, personenbezogenen Daten und die Datenverarbeitungsprogramme kontrollieren. Mehr noch: bei Verstößen gegen die Konformität können sie die Erhebung, Verarbeitung, Nutzung von Daten und den Einsatz einzelner Verfahren untersagen. Geschäftsmodelle, Prozesse und Verträge sind detailliert an das neue Recht anzupassen. Geschäftsführer und Vorstände laufen ansonsten Gefahr, persönlich zur Haftung herangezogen zu werden. Wie hoch der Umstellungsaufwand sein wird, hängt individuell vom Unternehmen ab. Sicher ist, dass überall Anpassungsbedarf besteht. Besonders im Fuhrpark.

Denn der Gesetzgeber schreibt zwingend vor, dass Arbeitgeber die ihren Mitarbeitern ein Fahrzeug überlassen, überprüfen, ob der Führer des Fahrzeugs über eine gültige Fahrerlaubnis verfügt. Der Arbeitgeber muss sich durch die regelmäßige, schriftlich dokumentierte Einsichtnahme in den Führerschein im Original davon überzeugen, dass der Fahrzeugführer die entsprechende Fahrerlaubnis besitzt. Dabei sind die Bestimmungen des Datenschutzes einzuhalten und das Mitspracherecht der Mitarbeiter bei der Erhebung  personenbezogenen Daten zu gewährleisten.  Denn Arbeitnehmer haben ein Recht auf informationelle Selbstbestimmung. Das bedeutet per definitionem, dass auch im Arbeitsverhältnis das Recht des Einzelnen besteht, selbst über die Verwendung seiner personenbezogenen Daten zu bestimmen.
Dieses Recht wird mit Inkrafttreten der Gesetzesnovelle ausgeweitet.
Mitarbeiter haben einen Rechtsanspruch darauf zu erfahren, welche Daten, zu welchem Zweck und wie lange verarbeitet und gespeichert werden. Sie haben das Recht auf Zugang, Widerspruch, Berichtigung, Einschränkung und ganz wichtig: Löschung der erhobenen Daten (Recht auf Vergessen). Unternehmen müssen zudem den Nachweis erbringen, dass alle personenbezogenen Daten unter Berücksichtigung der neuen EU-Regelung verarbeitet wurden.
Ab Mai 2018 haben Unternehmen neuen Transparenz – und Informationspflichten nachzukommen. Die Rechte und Pflichten tangieren die Verarbeitung aller Personaldaten – egal ob automatisiert oder nichtautomatisiert-  vom Dienstwagenüberlassungsvertrag als Ergänzung zum Arbeitsvertrag bis hin zur Dokumentation der Führerscheinkontrolle. Da die EU-Mitgliedsstaaten den Beschäftigungsdatenschutz eigenständig regulieren dürfen, bestehen jedoch bis dato noch Rechtsunsicherheiten.

Beispiel Führerscheinkontrolle: Die Durchführung von Führerscheinkontrollen erlaubt den Zugriff auf personenbezogene Daten in Form von Einsicht in die Originalführerscheine. Aber darf das Fuhrparkmanagement auch Fotokopien der Originalführerscheine für seine Unterlagen zwecks Durchführung der Führerscheinkontrollen anfertigen? Das Bayerische Landesamt für Datenschutzaufsicht als Spezialbehörde für den Datenschutz in der Privatwirtschaft hat deutlich beschieden, dass die Anfertigung einer Kopie für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Der Arbeitgeber dürfe eine Kopie des Führerscheins anfertigen und aufbewahren. (§ 32 Abs. 1 Satz 1 des Bundesdatenschutzgesetzes regelt den Datenschutz im Beschäftigungsverhältnis).
Dabei stellt sich allerdings die Frage, ob die Anfertigung einer Fotokopie für die betriebliche Führerscheinkontrolle noch zeitgemäß ist. Denn § 3a BDSG verpflichtet den Halter zur Datenvermeidung und Datensparsamkeit. Personenbezogene Daten, die zur Erfüllung der Halterpflichten nicht dienlich sind, sollen demnach erst gar nicht erhoben und nicht gespeichert werden. Die gesetzlichen Erlaubnistatbestände – (sind ab Mai 2018 nur gegeben, wenn der Nutzer aktiv und schriftlich der Datenvereinbarung zugestimmt hat). Liegt keine Zustimmung vor, ist eine Verarbeitung rechtswidrig.
§ 32 Abs. 1 S. 1 BDSG und § 28 Abs. 1 S. 1 Nr. 2 BDSG, lassen nur den “erforderlichen” Umgang mit personenbezogenen Daten gesetzlich zu. Heißt also: Es genügt im Sinne der Datenvermeidung, wenn der Original-Führerschein in Augenschein genommen, ein aufgebrachter Echtheitscode abgelesen und das Ergebnis protokolliert wird. Mit anderen Worten: es ist datenschutzkonform, wenn nicht der Führerschein selbst dauerhaft abgelegt ist, sondern „nur“ das Ergebnis der Sichtkontrolle. Die Erforderlichkeit der Fotokopie von Führerscheinen hat sich also durch „intelligentere“ zeitgemäße und somit datenschutzkonforme Prüfverfahren längst erübrigt.
Sicher – das  Fuhrparkmanagement muss Zugriff auf Dienstwagenregelungen in Arbeitsverträgen und separate Dienstwagenüberlassungsverträge mit einzelnen Dienstwagennutzern sowie auf Führerscheine haben. Aber muss es entsprechende Mehrausfertigungen in Form von Kopien aufbewahren und verwalten?
Wie werden solche Dokumente unter Verschluss gehalten werden und wie wird gewährleistet, dass Unbefugte keinen Zugriff erlangen? Abschließbare Schränke, passwortgeschützte EDV-Zugänge ergeben in Summe noch kein schlüssiges Konzept.
Der Arbeitgeber ist als Fahrzeug-Halter für den Umgang mit diesen besonders schutzbedürftigen Daten verantwortlich und nach § 9 BDSG verpflichtet, die „technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind“ um Datenschutz und Datensicherheit zu gewährleisten. Das alles erfordert bereits einen erheblichen organisatorischen Aufwand in Organisationsstruktur und  IT.

Erhöhter Mehraufwand für den Fuhrparkleiter durch die EU-Datenschutzverordnung 2018

Ab Mai 2018 wird sich dieser Aufwand noch weiter erhöhen. Nochmals: Unternehmen müssen dann proaktiv und von sich aus nachweisen, warum personenbezogene Daten verarbeitet werden dürfen, wie die Verarbeitung stattfindet und welche Sicherheitsmaßnahmen eingesetzt werden, um die Daten zu schützen. Heißt für den Fuhrpark: die bisherigen unternehmensinternen Prozesse der Datenverarbeitung sind den neuen Regelungen anzugleichen. Die neuen Richtlinien nehmen alle Fuhrparkbetreiber in die Pflicht. Um zukünftig auf der rechtssicheren Seite zu sein, können sie eigene datenschutzkonforme Prozesse installieren, zertifizieren lassen und regelmäßig per Compliance-Audit intern die Regelkonformität überprüfen lassen. Oder aber sie sourcen die Führerscheinkontrolle aus. Und beauftragen einen ausgewiesenen Experten. Einen der das Zertifikat für Regelkonformität bereits vorweisen kann. Einen geprüften Anbieter.
fleetinnovation wird regelmäßig von einer externen Instanz – der Dekra – auf Datensicherheit geprüft. Und ist immer up to date. Die Beantwortung der Frage „Make or buy?“ kann Ihnen fleetinnovation nicht abnehmen. Die Unsicherheit schon.

http://www.arr-rechtsanwaelte.de/

arr Rechtsanwälte