Ist das Thema Datenschutz auch bei Firmenwagen relevant?
In diesem Video beantwortet Datenschutzberater Aaron Nourbakhsh die Frage:
„Gibt es bei der Anschaffung von Firmenwagen Datenschutz-Themen, die wir beachten müssen?“
Er erklärt, unter welchen Bedingungen Datenschutzbestimmungen relevant sind – insbesondere wenn Tracking oder die Erfassung von Nutzungsdaten involviert sind.
Anhand eines konkreten Beispiels zeigt er die Konsequenzen mangelnder Datenschutzkonformität auf. Aaron Nourbakhsh gibt praktische Tipps zur Erforderlichkeit der Datenerhebung, Anonymisierung von Fahrzeugdaten, den vertraglichen Regelungen mit Flottenmanagementanbietern sowie die Bedeutung der Information der Mitarbeiter über die Datenverarbeitung.
Transkript des Videos:
Ein Mammut Datenvernichtung Kunde fragt:
Wenn ich meinen Mitarbeitern ein Firmenwagen zur Verfügung stellen muss, gibt es da eigentlich Dinge, die ich im Datenschutz beachten muss?
Wir erörtern heute diese Frage in diesem Video. Mein Name ist Aaron Nourbakhsh und ich bin Berater für Datenschutz und Informationssicherheit seit dem Jahre 2018.
Die Frage, ob Datenschutz relevant ist, wenn ich einen Firmenwagen zur Verfügung stelle, ist natürlich hoch interessant.
Wir müssen uns zuerst die Frage stellen: händige ich meinem Mitarbeiter nur den Schlüssel aus? Dann haben wir eigentlich keine Datenschutzrelevanz.
Oder möchte ich gewisse Parameter nachverfolgen, wie z.B.: stelle ich eine Tankkarte zur Verfügung, ich möchte gern die Spesenabrechnung vielleicht automatisiert machen oder ich möchte gerne nachverfolgen, wo sich das Auto befindet.
Wir gehen den Datenschutzanforderungen in diesem Video auf den Grund. Wir beginnen dafür mit einer interessanten Story aus Bremen. Die Datenschutzaufsichtsbehörde Bremen untersuchte kürzlich einen Fall, bei dem es genau um dieses Thema ging.
Ein Arbeitgeber hatte ausgewertet, wie schnell seine Mitarbeiter fuhren und auch wohin sie fuhren. Die Datenschutzaufsichtsbehörde fand das nicht legitim und verhang ein Bußgeld in fünfstelliger Höhe.
Wir sehen also, Datenschutz kann auch schnell ins Geld gehen. Nun könnten Sie als Arbeitgeber sagen: aber warum ist das denn so ich? stelle meinen Mitarbeitern noch ein Fahrzeug zur Verfügung. Ich habe ein Recht darauf, zu wissen, wie die Mitarbeiter es nutzen.
Dazu müssen wir auf das Gefälle zu sprechen kommen zwischen technischen Möglichkeiten einerseits und der beschränkenden Kraft vom Datenschutz auf der anderen Seite.
Auf der technischen Möglichkeitenseite sehen wir in Fahrzeugen immer mehr Sensorik verbaut, die ein nahtloses Tracking erlauben.
Auf der Datenschutzseite haben wir aber das sogenannte Erforderlichkeitsprinzip, das ihnen als Arbeitgeber im Wege steht. Das bedeutet, sie dürfen nur Daten erheben und verarbeiten über den Mitarbeiter, die wirklich erforderlich sind für Ihre legitimen berechtigten Interessen oder aber auch zur Durchführung des Arbeitsverhältnisses.
Um diesen doch etwas schwammigen Begriff der Erforderlichkeit aus Artikel 6 Absatz 1 DSGVO Ihnen ein bisschen näherzubringen, habe ich einige Beispiele mitgebracht, was erforderlich sein kann und was nicht.
Wenn sie z.B. ein Unternehmen haben, das Geldtransporter in der Republik herum schickt, um Geld abzuholen, dann haben Sie wegen einer großen Diebstahlgefahr durchaus ein Interesse daran, permanent zu tracken, wo sich Mitarbeiter aber auch das Fahrzeug befindet.
Oder nehmen wir Speditionsunternehmen wie Amazon. Wie zur Lieferungsverfolgung auch dort kann es legitim sein, den Standort des Autos nachzuverfolgen.
Bei dem generellen Vertriebsmitarbeiter müssen wir allerdings genauer nachschauen, denn der ist im Außendienst, fährt verschiedene Kunden an und es ist nicht unbedingt notwendig oder in Ihrem Interesse, die Standortdaten meinetwegen oder weitere Daten auszuwerten.
Für ein elektronisches Fahrtenbuch z.B kann das aber legitim sein, muss aber im Einzelfall geprüft werden. Wenn Sie sich sagen: „ach, mit dieser Erforderlichkeit möchte ich mich eigentlich nicht so gerne herumschlagen“, dann kann ich Ihnen noch ein Instrument an die Hand geben, nämlich die Anonymisierung von Fahrzeugdaten.
Wenn Sie Nutzungsdaten von Fahrzeugen aggregieren, in Gruppen von mehr als 10 Mitarbeitern, damit die Personenbeziehbarkeit ausgeschlossen ist, auch dann haben Sie die Möglichkeit mit relativ wenig datenschutzrechtlichem Aufwand die Daten auszuwerten und zu wissen, was mit ihren Fahrzeugen passiert.
Kommen wir nun zum vertraglichen. Die vertraglichen Regelungen mit Flottenmanagementanbietern sollten ganz klar definiert sein. Auch sollten Sie definieren, welche technischen und organisatorischen Maßnahmen die Mitarbeiterdaten optimal schützen.
Ein Auftragsverarbeitungsvertrag hilft Ihnen dabei, rechtskonform zu sein. Auch intern sollten Sie versuchen, den Zugriff auf die Fahrdaten möglichst zu beschränken.
Ein weiterer Aspekt sind die Informationspflichten. Sie haben die Pflicht, ihre Mitarbeiter informiert darüber zu halten, inwiefern sie ihre Daten aus dem Auto verarbeiten und zu welchen Zwecken. Wir haben uns also verschiedene Aspekte jetzt angeguckt. Die Erforderlichkeit, vertragliche Gesichtspunkte aber auch die Information von Mitarbeitern und das sind die Mindestanforderungen.
Haben Sie vertiefende Fragen oder weitere Fragen zum Thema, melden sich gern jederzeit bei mir.
Ich hoffe, das Video hat Ihnen weitergeholfen.
Bleiben Sie datenschutzkonform und machen Sie es gut
Ihr Team Datenschutz
Unsere Datenschutzexperten beantworten Ihre Fragen und bieten Ihnen bei Bedarf umfassende Unterstützung rund um den Schutz Ihrer Daten. Mit langjähriger Erfahrung, klarem Blick auf aktuelle Entwicklungen und fundiertem Fachwissen entwickeln sie maßgeschneiderte Lösungen, die genau auf Ihre Bedürfnisse zugeschnitten sind.
Thomas Rosin
Bad Schwartau
Berater für Datenschutz und Informationssicherheit
Melodie Lange
Ingolstadt
Beraterin für Datenschutz und Informationssicherheit
Christian Schröder
Oberhausen b. München
Berater für Datenschutz und Informationssicherheit
Aaron Nourbakhsh
Hannover
Berater für Datenschutz und Informationssicherheit