Der betriebliche Fuhrpark im Verzeichnis der Verarbeitungstätigkeiten

Das Verarbeitungsverzeichnis

„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“ So steht es in Artikel 30 der DSGVO. Heißt mit anderen Worten: Ein Betrieb muss ein Verarbeitungsverzeichnis führen, worin alle Vorgänge mit Personendaten gesammelt und mit bestimmten Mindestangaben festgehalten sind.

Personenbezogene Daten aus dem Fuhrpark?

Wie steht es um Ihr Verarbeitungsverzeichnis? Ist eine Verarbeitungstätigkeit zum betrieblichen Fuhrpark darin enthalten – oder gehen Sie entspannt davon aus, dass der Fuhrpark gar keine personenbezogenen Daten verarbeitet und demzufolge nicht in dieses Verzeichnis muss? Wenn ja: Glauben Sie ernsthaft, dass ein Fahrzeug heutzutage keine personenbezogenen Daten verarbeitet? Wieder ja? Dann machen Sie sich auf etwas gefasst!

Verarbeitungstätigkeiten zum Fuhrpark

Sind Sie sich der Datenverarbeitung durch Geschäftswagen, Transporter & Co. bewusst und haben eine entsprechende Verarbeitungstätigkeit? Sehr gut! Allerdings auch hier: Glauben Sie, Sie haben einen realistischen Überblick über die personenbezogenen Daten, die mit dem Fuhrpark verarbeitet werden?

Keine Verarbeitungstätigkeiten zum Fuhrpark

Noch einmal zurück zum ersten Szenario. Eine Verarbeitungstätigkeit zum Fuhrpark ist nicht Bestandteil Ihres Verzeichnisses der Verarbeitungstätigkeiten. Vielleicht haben Sie bisher übersehen, dass mit der Nutzung des Fuhrparks personenbezogene Daten entstehen, oder vielleicht sind Sie einfach noch nicht dazu gekommen. So oder so sollten Sie das Thema jetzt angehen und eine Verarbeitungstätigkeit zur Nutzung betrieblicher Fahrzeuge erstellen.

Fahrzeugdaten sind personenbeziehbare Daten

Aber mal langsam – fallen Daten aus dem Fuhrpark überhaupt in den Geltungsbereich der DSGVO? Ja, das tun sie. Jedes Fahrzeug hat eine eindeutige Fahrzeugidentifikationsnummer (die früher auch als Fahrgestellnummer bezeichnet wurde) und ein Kfz-Kennzeichen. Beide Daten lassen sich Haltern und (wegen rechtlicher Verpflichtungen) Fahrern zuordnen. Damit sind alle im Fahrzeug anfallenden Daten auf Personen beziehbar und unterliegen uneingeschränkt den Bestimmungen der DSGVO. Und da jedes moderne Fahrzeug über eine stolze Zahl von SIM-Karten und/oder Kameras verfügt, handelt es sich um eine ganz beträchtliche Menge Daten.

Geschäftswagen & Co. im Verzeichnis der Verarbeitungstätigkeiten

Damit gilt der schon zitierte Artikel 30 der DSGVO mit der Verpflichtung, Fahrzeugdaten den Verarbeitungstätigkeiten zuzurechnen. Also muss es mindestens eine Verarbeitungstätigkeit geben, die sich mit Fuhrpark, Geschäftswagen, Poolfahrzeugen etc. befasst.

Wo ist das Risiko?

Wer einen Fuhrpark betreibt und eine solche Verarbeitungstätigkeit versäumt, verstößt gegen Pflichten aus dem Datenschutzrecht. Das betrifft nicht nur die Verpflichtung aus der DSGVO, ein Verarbeitungsverzeichnis zu führen. Damit hängen nämlich weitere Pflichten zusammen, etwa die, korrekte Auskünfte zu geben oder einer Aufforderung zur Löschung personenbezogener Daten nachzukommen. Diese Risiken lassen sich schnell ausmerzen, wenn Sie den Fuhrpark angemessen im Verarbeitungsverzeichnis berücksichtigen.

Überwachungsaufgabe des Datenschutzbeauftragten

Die DSGVO verpflichtet Datenschutzbeauftragte, zu überwachen, ob der Verantwortliche die Vorschriften zum Datenschutz umsetzt.
Konkret fordert die DSGVO die „Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen“. (Artikel 39 Absatz 1 DSGVO)

Verarbeitungstätigkeit vorhanden – ja oder nein?

Also müssen Datenschutzbeauftragte exakt diese Frage stellen: Gibt es eine Verarbeitungstätigkeit nach Art. 30 DSGVO zu Fahrzeugdaten aus dem Fuhrpark? Wenn nicht, muss im Datenschutz-Jahresbericht des oder der Datenschutzbeauftragten stehen, dass diese Verpflichtung nicht erfüllt ist.

Das droht bei „Nein“

Die DSGVO gibt Aufsichtsbehörden für den Datenschutz zehn Abhilfebefugnisse an die Hand. Die Geldbuße steht erst an neunter Stelle, sollte aber ernstgenommen werden. Wer wissen will, wie hoch sie ausfallen kann, wird in Artikel 83 der DSGVO fündig: Die Geldbuße bei nicht geführtem oder nicht vollständigem Verarbeitungsverzeichnis reicht bis zu 10 Millionen € oder 2 % des Vorjahresumsatzes – und zwar der gesamten Unternehmensgruppe. Dass eine fehlende Verarbeitungstätigkeit zum Fuhrpark jemals mit einer derart hohen Geldbuße geahndet wird, ist natürlich äußerst unwahrscheinlich. Aber: Für das Risikomanagement und damit für die Risikoprüfung durch Geschäftspartner ist dies weniger bedeutend als die Tatsache, dass es sich dabei faktisch um einen Rechtsverstoß handelt. Es geht den Datenschutz also sehr wohl etwas an, ob der Verantwortliche eine Verarbeitungstätigkeit zur Verarbeitung von personenbezogenen Daten in betrieblichen Fahrzeugen führt oder nicht.

Tipps, wie Sie den Fuhrpark im Verarbeitungsverzeichnis angemessen berücksichtigen

1.   sicherstellen, dass eine Verarbeitungstätigkeit zu personenbezogenen Daten in betrieblichen Fahrzeugen vorhanden, aktuell und möglichst vollständig ist,
2.   insbesondere sicherstellen, dass die Verarbeitungstätigkeit zur Verarbeitung personenbezogener Daten im Fahrzeug vollständig ist,
3.   dafür sorgen, dass die Beschreibung zur Verarbeitungstätigkeit vollständig ist,
4.   dafür sorgen, dass Daten zur Nutzung von Fahrzeugen in den Erläuterungen zum Datenschutz aufgeführt sind,
5.   dafür sorgen, dass Daten zur Nutzung von Fahrzeugen bei Auskunftsanfragen betroffener Personen enthalten sind, (Lesetipp: der Team Datenschutz Datentipp vom 30. Juni 2022: An alles gedacht? Betroffenenanfrage und Daten aus dem Fuhrpark)
6.   dafür sorgen, dass alle, deren Daten durch betriebliche Fahrzeuge verarbeitet werden, in Schulungen angemessen zu diesem Thema sensibilisiert werden,
7.   sicherstellen, dass die Beschreibung der Verarbeitungstätigkeit bei Anfragen der Aufsichtsbehörde vorgelegt werden kann.

Und die Kernfrage: Ist der Fuhrpark des Unternehmens im Verzeichnis der Verarbeitungstätigkeiten berücksichtigt und entspricht den Vorgaben aus Artikel 30 der DSGVO?