Categories
Recent Posts
Datenschutz und Firmenwagen
Firmenwagen sind einerseits begehrte Boni für Beschäftigte, andererseits auch für Unternehmen selbst von wirtschaftlicher Bedeutung. Wie sieht es aber mit dem Datenschutz und Firmenwagen aus? Welche personenbezogenen Daten sind hierfür notwendig?
Personenbezogene Daten und Firmenwagen
Es ist möglich, dass ein Beschäftigter einen Firmenwagen aus einer ständig zur Verfügung stehenden Flotte an Fahrzeugen oder ein speziell dem Beschäftigten zugeordnetes Fahrzeug nutzt. Möglicherweise ist auch die Privatnutzung gestattet. Ganz gleich, welche Variante vorliegt, kommt es dabei durch den Arbeitgeber – dem Verantwortlichen – zu einer Verarbeitung von mindestens folgenden personenbezogenen Daten:
1) Führerscheindaten,
2) Daten zu besonderen Vorgängen, wie Ordnungs- und Bußgeldbescheide, Unfälle etc. oder auch
3) Daten aus dem Fahrtenbuch.
Führerscheindaten
Bei Bereitstellung eines Firmenwagens ist der Arbeitgeber Fahrzeughalter. Um etwaige Strafen von sich abzuwenden, muss er sich vergewissern, dass die betroffenen Personen (Beschäftigte), die einen Firmenwagen nutzen, auch dazu berechtigt sind. Die Vorgabe hierfür finden wir in § 21 Abs. 1 Nr. 2 StVG. Demnach muss er überprüfen, ob der jeweilige Beschäftigte einen gültigen Führerschein besitzt. Im Zuge dessen und bei eventuellen Behinderungen eines Beschäftigten kommt es eventuell auch zur Verarbeitung sensibler Daten nach Art. 9 Abs. 1 DSGVO). Ist eine Kopie des Führerscheins zulässig? Der Bayerische Landesbeauftragte für den Datenschutz hält eine Kopie gemäß einer von ihm veröffentlichten Kurzinformation für unzulässig. Stattdessen empfiehlt er die für die Dokumentation notwendigen Angaben zu notieren. Dieser Ansicht sind u. a. auch die Kirchliche Datenschutzaufsicht der ostdeutschen Bistümer und des Katholischen Militärbischofs in ihrem Tätigkeitsbericht 2019 (Punkt 8.3.5) und die Landesbeauftragte für den Datenschutz Niedersachsen im Informationsblatt “Typische Fallbeispiele im Beschäftigtendatenschutz” (Punkt 7).
Daten zu besonderen Vorgängen
Bei etwaigen Verkehrsordnungsverstößen, Unfällen etc. geht eine entsprechende Benachrichtigung an den Fahrzeughalter. Im Fall, dass der Arbeitgeber der Fahrzeughalter ist, ist er also auch Adressat eines solchen Schreibens. Unweigerlich erhält der Arbeitgeber also Kenntnis von sensiblen Daten nach Art. 10 DSGVO.
Daten zu Fahrten
Wenn Firmenwagen zur Verfügung gestellt werden, hat ein Arbeitgeber das Recht, nachvollziehen zu können, wer wann wohin und wofür mit einem jeweiligen Fahrzeug unterwegs gewesen ist. Umsetzen kann ein Arbeitgeber dies durch die Führung eines Fahrtenbuches. Eine direkte Pflicht zur Führung eines Fahrtenbuches gibt es nicht. Allerdings kann eine zuständige Behörde die Führung eines Fahrtenbuches anordnen (§ 31 a Abs. 1 StVZO). Die Führung eines Fahrtenbuches ist jedoch u. a. aus steuerlichen Gründen empfehlenswert. Hat ein Unternehmen eine Fahrzeugflotte, die den Arbeitnehmern zur Verfügung steht, ist das Fahrtenbuch für den Nachweis dienstlicher Fahrten und demnach zur Abrechnung unabdinglich. Speziell hierbei erfasst der Verantwortliche dann gemäß § 31a StVZO mindestens folgende Daten:
1) vollständiger Name des Fahrzeugführers,
2) Anschrift des Fahrzeugführers,
3) amtliches Kennzeichen des Fahrzeugs,
4) Datum und Uhrzeit des Fahrtbeginns und des -endes sowie
5) Unterschrift des Fahrzeugführers.
Wenn ein Beschäftigter ein Firmenfahrzeug aus der Fahrzeugflotte oder ein ihm persönlich zur Verfügung gestelltes Fahrzeug, besonders bei erlaubtem Privatgebrauch, nutzt, besteht die Möglichkeit für den Arbeitgeber anhand der einzelnen Fahrten zu sehen, wo sich ein Beschäftigter zu bestimmten Zeiten aufgehalten hat.
Rechtsgrundlage
Bietet ein Arbeitgeber für die Arbeitnehmer den Gebrauch von Fahrzeugen aus der Flotte an, ist genau zu betrachten, wofür er die dabei anfallenden personenbezogenen Daten verarbeitet. Bei der Einschätzung helfen u. a. folgende Fragen:
1) Wer ist der Fahrzeughalter?
2) Ist die Nutzung eines Fahrzeuges notwendig für die Erfüllung der Aufgaben als Beschäftigter?
Wenn der Arbeitgeber also Fahrzeughalter ist, ergibt sich die Rechtsgrundlage für gewöhnlich aus § 26 Abs. 1 BDSG. So auch, wenn eine Fahrzeugnutzung durch den Arbeitnehmer notwendig ist, damit er überhaupt seine Aufgaben – oder einen Teil davon – erfüllen kann.
Minimierung des Umfangs der verarbeiteten Daten
Die erfassten Daten sind auf ein Minimum zu beschränken (siehe Art. 5 Abs. 1 lit. c) DSGVO). Dabei ist es auch interessant, im Auge zu behalten, welche Datenverarbeitung technisch durch das jeweilige Fahrzeug möglich ist. Lassen sich Fahrstrecken und -zeiten erfassen? Besteht die technische Möglichkeit, Gespräche im Auto aufzuzeichnen? Sammelt eine eventuelle Software Daten zum Fahrverhalten des Beschäftigten? Schon, wenn ein Arbeitgeber nur eine diese Beispielfragen positiv beantworten kann, ist anzunehmen, dass er durch Einsatz bestimmter Technik mehr als die notwendigen Daten verarbeitet. Die Folge wäre ein möglicher unerlaubter Eingriff in die Privatsphäre des Beschäftigten, der das Auto fährt.
Datenschutzfreundliche Technikgestaltung und Voreinstellungen
Schon beim Kauf eines Fahrzeuges kann ein Arbeitgeber die technischen Möglichkeiten insofern betrachten, ob sie eine übergreifende Verarbeitung personenbezogener Daten ermöglichen. Also auch hier spielen wir auf die Sammlung von Daten, die über das Maß des Notwendigen zur Erfüllung der Aufgaben hinausgehen, an. Entscheidet sich ein Arbeitgeber für den Kauf eines Autos für seine Flotte, bei dem es aufgrund einer Software beispielsweise Umgebungsbilder aufzeichnen, das Telefonadressbuch speichern oder auch GPS-Ortung durchführen kann, muss er darauf achten, dass er diese Funktionen abstellen kann. Eine Ausnahme hierfür bestünde darin, dass es für solch eine Verarbeitung eine Rechtsgrundlage gibt. Dies wäre von Fall zu Fall separat zu betrachten und abzuwägen, um sicherzustellen, dass der Arbeitgeber Art. 25 DSGVO einhält.
Weitere Pflichten des Arbeitgebers
Den Arbeitgeber treffen weitere Pflichten. Er muss die Beschäftigten über die Verarbeitung von personenbezogenen Daten im Zuge der Nutzung der Firmenwagen informieren (Datenschutzhinweis). Auch ist das Verzeichnis von Verarbeitungstätigkeiten entsprechend zu ergänzen. Gegebenenfalls sind auch datenschutzrechtliche Verträge abzuschließen (Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO oder Vertrag zu gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO). Nicht zu vernachlässigen sind Berechtigungsvorgaben und Löschprozesse für diese Verarbeitungstätigkeit.
Fazit
Arbeitnehmer wissen die Nutzungsmöglichkeit von Firmenfahrzeugen zu schätzen. Auch für Arbeitgeber kann eine Fahrzeugflotte wirtschaftliche Vorteile bringen. Dabei gilt auch hier für Arbeitgeber als Verantwortliche ihren Pflichten aus der DSGVO nachzukommen. Bei der Umsetzung der DSGVO bei Bereitstellung von Firmenfahrzeugen für die Beschäftigten können wir Sie unterstützen und beraten. Kontaktieren Sie uns gern heute noch dazu.