Worauf Unternehmen in NRW bei der Umsetzung der DS-GVO in Ihrem Fuhrpark achten sollten
Moderne Fahrzeuge zeichnen sich nicht selten durch die Nutzung von neuen Datenverarbeitungen aus. Immer öfter werden Bordcomputer und auch das Kfz selbst zu mobilen Endgeräten, vergleichbar mit Mobiltelefonen und Tablets.
Was den Datenschutz angeht, so beginnt bei der Nutzung des Fahrzeugs meist auch die Verarbeitung von personenbezogenen Daten. Das bedeutet für Betroffenen und Verantwortlichen, dass die gesetzlichen Vorgaben von Datenschutzgrundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG) greifen.
Werden im Auto personenbezogene Daten verarbeitet?
Um diese Frage zu beantworten, sollte man sich verdeutlichen, welche Daten als personenbezogene Daten im Sinne des Datenschutzes gelten. Personenbezogene Daten sind jene Daten, die einen Rückschluss auf eine natürliche Person zulassen können. Dazu gehören auch jene Daten, die in modernen Autos verarbeitet werden. Dabei geht man im Datenschutz davon aus, dass auch Kennzeichen, registrierte Fahrzeugnummern, aber auch Bewegungs- oder Bremsprofile sowie andere Daten einen Rückschluss auf den Betroffenen zulassen könnten. Man kann also davon ausgehen, dass in nahezu jedem neuen Fahrzeug, welches auf die entsprechenden Betriebssysteme zurück greift, personenbezogene Daten verarbeitet werden.
Diese Daten dürfen nur anonymisiert und ohne die Möglichkeit auf eine Rückverfolgbarkeit ohne Einschränkung verwendet werden. Sobald diese Daten als personenbezogene Daten zu identifizieren sind, ist deren Verarbeitung erst einmal verboten. Unter bestimmten Umständen, dürfen personenbezogene Daten aber verarbeitet werden (Verbot mit Erlaubnisvorbehalt). Dazu gehört zum Beispiel die Einwilligung zur Datenverarbeitung.
Lesen Sie hier mehr zum Thema: Was sind personenbezogenen Daten nach DS-GVO? und Wann ist die Verarbeitung von personenbezogenen Daten nach DS-GVO erlaubt?
Einwilligung oder gesetzliche Regelung
Auch die personenbezogenen Daten aus Autos dürfen nur dann verarbeitet werden, wenn eine gesetzliche Regelung oder eine Einwilligung vorliegen. Die mögliche Datenverarbeitung muss dem Betroffenen in jedem Fall mitgeteilt werden. Das muss eindeutig und verständlich geschehen. Eine Möglichkeit zum Widerruf muss ebenfalls gegeben sein.
Betrachtet man die Datenverarbeitung in modernen Fahrzeugen, so gilt es dies von verschiedenen Seiten aus zu sehen. Nicht nur der Autobauer und/oder der Verkäufer der Fahrzeuge muss sich mit dem Datenschutz und den damit verbundenen gesetzlichen Vorgaben auseinandersetzen. Auch der (externe) Datenschutzbeauftragte jeglicher Organisationen muss den möglichen Fuhrpark der verschiedenen Firmenwagen unter die Lupe nehmen und bestimmte Vorkehrungen treffen.
Wichtig ist dabei zu beachten, dass jede Organisation, in der personenbezogene Daten regelmäßig in irgendeiner Art verarbeitet werden, den Datenschutz und seine Vorgaben umsetzen muss. Dabei ist es egal um welche Art von Organisation es sich handelt (Unternehmen, Schule, Kindergarten, Verein, Kanzlei, Arztpraxis, Krankenhaus, Selbstständiger usw.) und wie groß diese ist.
Betriebssysteme im Kfz und der Datenschutz
Der Datenschutz spielt durch das Einsetzen neuer Techniken nicht mehr nur bei der Ortung von Firmenfahrzeugen (z.B. Routen- und Auslieferplanungen) eine Rolle. Die Autos selber verfügen mittlerweile über die bekannten Betriebssysteme, koppeln sich über Smartphone und Tablet der Benutzer mit Betriebssystemen oder verfügen über markenspezifische Schnittstellen.
Nicht nur im Datenschutz, sondern auch in der IT-Sicherheit stellen diese Schnittstellen ohne ausreichende Absicherung eine enorme Schwachstelle dar. Nach den Vorgaben im Datenschutz müssen also hier vor allem erst einmal die notwendigen technischen und organisatorischen Maßnahmen (TOM) eingerichtet und geprüft werden. Sie müssen sicherstellen, dass die Daten ausreichen und auf aktuellem Stand vor Zugriffen geschützt sind.
Freigabe und Beschränkung muss durch Nutzer möglich sein
Bei Fahrzeugdaten im Firmenwagen ist es zu beachten, dass die Daten des Betroffenen, also des Nutzers, nicht ohne dessen Wissen verarbeitet werden dürfen. Je nach vertraglicher Lage muss es hier eine Einwilligung mindestens aber eine Information des Betroffenen geben (Betroffenenrechte). Das sollte in jedem Fall genau geprüft werden, um mögliche Schwachstellen im Datenschutz frühzeitig zu erkennen.
Auch bei Firmenfahrzeugen, müssen die Grundsätze des Datenschutzes eingehalten werden, welche sind:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Gemeinsame Erklärung von DSK und VDA
Die Datenschutzbehörden des Bundes und der Länder (DSK) und der Verband der Autoindustrie (VDA) haben sich bereits 2016 auf eine gemeinsame Erklärung zum Thema „Datenschutzrechtliche Aspekte bei der Nutzung vernetzter und nicht vernetzter Kraftfahrzeuge“ geeinigt. Dabei haben Sie unter anderem folgende Punkte definiert:
- Personenbezogenheit der anfallenden Daten im Fahrzeug
- Zeitpunkt der Datenerhebung
- Verantwortliche Stelle
- Zulässigkeit der Datenerhebung und -verarbeitung
- Auskunftsrecht gegenüber dem Hersteller
- Datenhoheit des Fahrzeugnutzers
Die gemeinsame Erklärung besagt im Kern, dass dann personenbezogene Daten vorliegen, wenn eine Verknüpfung der Daten aus der Fahrzeugnutzung mit der Identifikationsnummer oder des Kennzeichens des Kfz vorliegen. Ein wichtiger Anhaltspunkt für die Verarbeitung der personenbezogenen Daten ist der Zweck und die vertragliche Regelung bzw. die Einwilligung des Fahrzeughalters.
Es besteht ein unentgeltliches Auskunftsrecht des Halters gegenüber dem Hersteller über die erhobenen Daten. In der Borddokumentation sollen alle wichtigen Fragen zur Datenverarbeitung erfasst sein und den Betroffenen informieren können. Die Datenhoheit bleibt beim Fahrzeugnutzer, welcher die Verarbeitung durch unterschiedliche Optionen selbst bestimmen kann.
Firmenwagen und externer Datenschutzbeauftragter
Um den Datenschutz bei einem Firmenwagen zu gewährleisten, reicht es aber nicht aus, sich auf die gemeinsamen Erklärung von DSK und VDA zu stützen. Diese versucht nur den Umgang mit den personenbezogenen Daten aus der Nutzung von Fahrtzeugen gegenüber dem Hersteller besser abzusichern.
Wie oben schon beschrieben, muss von Seiten des Verantwortlichen in der Organisation ebenfalls der Datenschutz geprüft und gesichert werden. Dieser muss daher sowohl die Vorgaben gegenüber dem Datenschutz zum Hersteller prüfen, als auch die notwendigen Schritte zum Schutz der personenbezogenen Daten einleiten und regelmäßig überprüfen.
Bei der komplexen Prüfung, wann und in welchem Umfang personenbezogene Daten in einem Firmenfahrzeug verarbeitet werden, sollte der (externe) Datenschutzbeauftragte hinzugezogen werden. Dieser kann die unterschiedlichen Prozesse beurteilen und an der richtigen Stelle die ausreichenden Maßnahmen empfehlen.
Die Entwicklung des Automobilsektors und der genutzten Betriebssysteme zeigt, dass der Datenschutz hier wie bei allen anderen Endgeräten zu behandeln ist und sich nicht mehr nur auf die Übermittlung von einzelnen Bereichen bezieht.
Datenschutzberater.NRW stellt einen externen Datenschutzbeauftragten (TÜV) und berät Sie mit einem Team aus Datenschutz, IT-Sicherheit und Steuerrecht. Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.