An alles gedacht? Betroffenenanfrage und Daten aus dem Fuhrpark

Auskunftsrecht zentral im Datenschutz

Das Auskunftsrecht der von Datenverarbeitung betroffenen Personen nach Artikel 15 der Datenschutz-Grundverordnung (DSGVO) gehört zu den Betroffenenrechten, die einst Anlass für die Entstehung der DSGVO waren. Entsprechend hoch ist ihr Stellenwert: Werden Rechte betroffener Personen verletzt, führt das zum höheren der beiden Geldbußerahmen, die die DSGVO in petto hat. Wer sie verletzt, riskiert eine Geldbuße bis 20 Millionen Euro oder 4 Prozent des Vorjahresumsatzes der gesamten Unternehmensgruppe.

Zahlreiche Datenkategorien

Entsprechend ernst nehmen viele Verantwortliche die Erfüllung der Betroffenenrechte und insbesondere des Auskunftsrechts. Allerdings: Den dafür nötigen Überblick zu behalten, ist gar nicht so einfach. Mit zunehmender Digitalisierung werden auch die Personenkategorien betroffener Personen und die Datenkategorien der verarbeiteten personenbezogenen Daten immer umfangreicher. Das bedeutet auch: Eine vollständige Auskunft auf eine solche Anfrage zu erteilen, wird immer herausfordernder.

Anwälte und das lukrative Auskunftsrecht

Viele Arbeitgebende beobachten in letzter Zeit ein ganz eigenes Phänomen: Es häufen sich Auskunftsanfragen durch Beschäftigte. Und zwar besonders dann, wenn diese das Unternehmen verlassen müssen oder wollen. Das Unternehmen muss darlegen, welche Daten es über Anfragende verarbeitet. Arbeitsrechtsanwälte scheinen dieses Mittel sehr gezielt zu nutzen. Das Kalkül könnte sein: Man macht dem Verantwortlichen einen Haufen Arbeit und bietet dann an, auf die Erfüllung zu verzichten, wenn das Unternehmen einer (höheren) Abfindung zustimmt. Für manchen Anwalt ein lukratives Instrument.

Umfassende Liste der Datenkategorien

Umso wichtiger, bei Auskunftsanfragen durch Beschäftigte keine Daten zu übersehen. Idealerweise führen Sie eine Liste, wo Sie alle Kategorien personenbezogener Daten der Beschäftigten erfassen. Viele denken an Bereiche wie Arbeitsvertrag, Lohn- und Gehaltszahlung, Fortbildung, Schicht- und Einsatzplanung.

Oft vergessen: Daten aus dem Fuhrpark

Allerdings gibt es Bereiche, wo Personendaten von Beschäftigten verarbeitet werden, an die nicht jeder sofort denkt. Dazu zählt häufig die Nutzung von Fahrzeugen aus dem Fuhrpark. Und zwar nicht nur PKWs, Transporter, LKWs, sondern etwa auch E-Bikes. Denn auch mit E-Bikes werden personenbezogene Daten verarbeitet.

Datenkrake Fahrzeug

Dass solche Daten bei Betroffenenanfragen häufig übersehen werden, ist umso heikler, als sie zahlreich und umfangreich sind. Und auch wenn man daran denkt – wer kann schon behaupten, er kenne alle Personendaten, die moderne Fahrzeuge verarbeiten? Das Thema ist hochkomplex. Das perfekte Einfallstor für Versuche aller Art, einem Unternehmen mal so nebenbei Geld aus der Tasche zu ziehen.

Risikoabwägung

Artikel 24 der Datenschutz-Grundverordnung verpflichtet Verantwortliche, eine Abwägung der Risiken vorzunehmen, die bei der Verarbeitung personenbezogener Daten entstehen. Welche Risiken drohen in Zusammenhang mit dem Fuhrpark?

Risiko unvollständige Auskunft

Wenn Sie bei der Beantwortung einer Betroffenenanfrage Daten übersehen, kann diese unvollständige Auskunft dazu führen, dass die betroffene Person die Datenschutz-Aufsichtsbehörde einschaltet, da Sie ihre Grund- und Freiheitsrechte verletzt haben. Oder sie meldet Sie nicht der Aufsichtsbehörde, sondern wendet sich an einen Anwalt.

Schadenersatz und andere Zahlungen

Immer mehr Anwälte entdecken, dass nicht jedes Unternehmen die komplexen Regelungen der DSGVO komplett umsetzt, und nutzen diesen Umstand. Sie stellen Forderungen. Ob es sich dabei um Schadenersatz für einen wie auch immer gearteten Schaden handelt oder um Zahlungen wie eine Abfindung, ist letztlich unerheblich.

Schuld daran ist übrigens nicht der Datenschutz, schuld ist mangelnde Organisation beim Verantwortlichen. Denn überall dort, wo Prozessmanagement richtig geführt wird, kann Datenschutz sauber umgesetzt werden. Durch Fehler in der Organisation können Lücken entstehen, die Geld kosten, in Einzelfällen sogar richtig teuer werden. Das muss nicht sein.

Erfolgreiches Datenschutzmanagement

Um Geldbußen und andere Zahlungen zu vermeiden, gilt es, das Datenschutzmanagement einzubinden. Datenschutzbeauftragte haben eine Überwachungsaufgabe gemäß Artikel 39 Absatz 1 DSGVO. Allein darum brauchen sie eine vollständige Übersicht, welche Geschäftsprozesse welche Daten verarbeiten. Dann können sie dafür sorgen, dass diese Daten der DSGVO gemäß gehandhabt werden. Voraussetzung ist, dass Datenschutzbeauftragte von diesen Prozessen wissen.

Checkliste aller Verarbeitungen

Es gilt also, eine Checkliste aller möglichen Verarbeitungen personenbezogener Daten der Beschäftigten anzufertigen. Diese Liste muss regelmäßig überarbeitet und bei Bedarf ergänzt werden. Wer eine solche Liste hat, kann nachsehen, ob der Fuhrpark und die Daten daraus berücksichtigt sind. Wer keine solche Liste hat, sollte sie so schnell wie möglich erstellen – und die Daten aus dem Fuhrpark gleich mit aufnehmen.

Ernsthaft – welche Daten verarbeitet ein modernes Fahrzeug?

In der Praxis beginnen damit erst die Herausforderungen. Nun gilt es zu ermitteln: Welche Daten werden überhaupt mit den Fahrzeugen des Fuhrparks verarbeitet? Gar nicht so einfach! Fahrzeughersteller, so hat der ADAC ermittelt, halten solche Informationen oft lieber zurück. Tatsache ist: Ein Neufahrzeug, egal ob Verbrenner oder Elektromobil, hat heute um die 20 SIM-Karten, die allesamt Daten verarbeiten und weitergeben. Diese Daten lassen sich auf den Halter und den Fahrer zurückführen. Sie sind also Personendaten.

Aufsichtsbehörden und Gerichte gefragt

Obwohl der ADAC vier Fahrzeugtypen untersucht hat, ist in keinem Fall ein vollständiger Überblick gelungen, welche Daten sie tatsächlich verarbeiten. Ob das im Zweifelsfall dem Hersteller oder dem Verantwortlichen als Betreiber des Fuhrparks angelastet wird, werden früher oder später Gerichte entscheiden. Dazu wird es kommen, wenn die Aufsichtsbehörden auf das Thema aufmerksam werden. Noch sind sie das nicht, das kann sich jedoch ändern.

Datenschutz muss auch ohne Sanktionen erfüllt werden

Der Datenschutz verpflichtet Sie unabhängig von Kontrollen und möglichen Strafen zu einem sauberen Überblick der Verarbeitung personenbezogener Daten am Arbeitsplatz. Dazu sollten Sie als Allererstes die Beschreibung der Verarbeitungstätigkeiten zum Fuhrpark anfertigen. Dann gilt festzustellen, wer Fahrzeuge des Fuhrparks nutzen darf. Bei all diesen Personen müssen Sie im Fall einer Betroffenenanfrage die Nutzungsdaten aus dem Fuhrpark berücksichtigen.

Fuhrpark und Risikomanagement

  Datenschutz ist Risikomanagement. Angesichts fehlender Kontrollen durch Aufsichtsbehörden können Verantwortliche entscheiden, das Risiko etwaiger Strafzahlungen als gering einzustufen, kostspielige Anstrengungen lieber zu unterlassen und drohende Folgen bewusst in Kauf zu nehmen. Die Entscheidung liegt beim Verantwortlichen, genau so sieht es die DSGVO etwa in Artikel 24 vor. Klar muss aber sein: Wer dieses Risiko eingeht und ertappt wird, kommt womöglich nicht um eine Geldbuße herum. Allerdings: Datenschutz ist ein Grundrecht, und das kann ein guter Grund sein, angemessene Kosten oder Mühen auf sich zu nehmen, um dieses Grundrecht ernst zu nehmen und zu wahren.

Tipps für mehr Überblick bei den Fuhrpark-Daten

•   Prüfen Sie, ob es überhaupt Fahrzeuge gibt, die von Beschäftigten genutzt werden.

•   Sehen Sie in den Verträgen für die Beschaffung der Fahrzeuge nach, ob umfassende Datenschutzerklärungen vorhanden sind. Berücksichtigen Sie dabei Kauf-, Leasing- und Mietfahrzeuge.

•   Sind die Datenschutzerklärungen vorhanden, prüfen Sie, ob die Formulierungen darin verständlich und nachvollziehbar sind.

•   Ist dies nicht der Fall, wenden Sie sich an den Hersteller, um Klarheit zu erhalten. Die Wahrscheinlichkeit, dass das gelingt, ist zugegebenermaßen gering. Aber: Im Ernstfall werden Ihre Anstrengungen der Aufsichtsbehörde zeigen, dass Sie sich um die nötigen Informationen bemüht haben – und etwaige Sanktionen werden mutmaßlich geringer ausfallen.

•   Bedenken Sie, dass unabhängig davon im Fuhrpark personenbezogene Daten von Beschäftigten verarbeitet werden, die Ihnen bekannt sind. Zu den bekannteren zählen Fahrtenbücher, Reservierungslisten, Daten in Navigationsgeräten und Telefonlisten zur Nutzung dienstlicher Smartphones. Prüfen Sie, welche weiteren anfallen, und nehmen Sie sie in die Übersicht auf.

•   Sorgen Sie dafür, dass die im Fuhrpark verarbeiteten Personendaten in der Erfüllung der Informationspflicht nach Artikel 13 DSGVO enthalten sind. Wird der Fuhrpark von einem externen Dienstleister betrieben, kommt Artikel 14 hinzu.

•   Stellen Sie sicher, dass bei Beantwortung von Betroffenenanfragen die Fuhrparkdaten aufgeführt werden.

•   Bedenken Sie, dass der Fuhrpark nicht nur Straßenfahrzeuge umfasst, sondern auch Fahrzeuge wie Gabelstapler, Transporter und Fahrzeuge, die nur auf dem Werksgelände genutzt werden – auch diese verarbeiten personenbezogene Daten.

•   Sorgen Sie dafür, dass regelmäßig überprüft wird, welche Daten im Fuhrpark verarbeitet werden.

•   Überprüfen Sie regelmäßig, ob Datenverarbeitungen rechtens sind oder Änderungen nötig machen.


•   Stellen Sie sicher, dass alle darüber hinaus verarbeiteten personenbezogenen Daten in diesem Zusammenhang, beispielsweise auch E-Bikes, die auf dem Werksgelände im Einsatz sind, erfasst werden und in die Auskunft an Betroffene einfließen.

Und die Kernfrage: Haben Sie sichergestellt, dass in der Betroffenenauskunft Daten aus dem Fuhrpark enthalten sind?