DSGVO

9/17/2024
 1 min

Datenschutz ist für Unternehmen genau wie für jede einzelne Person wichtig. Die Regeln zur Verarbeitung von personenbezogenen Daten sind in den letzten Jahren strikter geworden und sind mehr zu beachten. Grund dafür ist vor allem die Einführung der DSGVO. Die Bedeutung der DSGVO, also der Datenschutz Grundverordnung, ist für alle Unternehmen ohne Ausnahmen vorhanden. Wir betrachten genauer, was es mit der Verordnung auf sich hat und welche Auswirkungen im Arbeitsalltag zu beachten sind.

DSGVO Bedeutung: Was versteht man darunter?

Die Datenschutz Grundverordnung (DSGVO, englisch General Data Protection Regulation GDPR) ist eine Verordnung, mit der die Regeln der Europäischen Union zur Verarbeitung personenbezogener Daten in Deutschland umgesetzt werden. Dadurch soll der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt werden. Das Datenschutzrecht sorgt unter anderem dafür, dass eine Einwilligung vor der Speicherung und Verarbeitung von personenbezogenen Daten vorhanden sein muss. Zu diesen Daten zählen unter anderem die Anschrift, Geburtsdaten, der Familienstand, Kontoinformationen und Informationen rund um politische oder religiöse Einstellungen. Alle Daten rund um eine Person sind mit dem DSGVO Gesetz sorgfältig zu behandeln und dürfen nur nach Einwilligung genutzt werden.

Ziele der DSGVO

Das Datenschutzrecht hat den Schutz der natürlichen Personen oder, besser gesagt, der persönlichen Daten zum Ziel. Bei einem Verstoß gegen den Datenschutz ist die Pflicht zur Meldung von einem solchen zu beachten. Die DSGVO stellt eine einheitliche Verordnung für alle Länder der EU dar, die dazu führt, dass persönliche Daten mit Sorgfalt behandelt werden.

Die Stärkung von Persönlichkeitsrechten natürlicher Personen ist im Rahmen der DSGVO besonders wichtig und ist als Ziel der Verordnung anzusehen. Besondere Bedingungen sind beim Umgang mit sensiblen Daten zu beachten. Darüber hinaus spielen Transparenz sowie die Minimierung von gespeicherten Daten eine wichtige Rolle. Der Umgang mit Daten wird von der DSGVO stark reguliert. Besonders gestärkt werden Persönlichkeitsrechte natürlicher Personen aber durch die erforderliche Einwilligung in die Speicherung von Daten sowie durch das Recht auf die Löschung der Daten.

Insgesamt können Daten damit nicht einfach gespeichert werden. Immer ist eine Einwilligung erforderlich und die Auskunftspflicht der Unternehmen liegt ebenfalls vor. Bei Datenpannen ist eine Auskunft in der Regel erforderlich und bei der fehlenden Wahrung des Datenschutzes drohen Geldstrafen. Natürliche Personen müssen damit nicht einfach der Speicherung oder gar Nutzung ihrer personenbezogenen Daten zustimmen und werden von der Verordnung stärker geschützt.

Die gesetzliche Grundlage für die Datenschutz Grundverordnung

Die DSGVO ist seit 2016 in Kraft und seit Mai 2018 in allen Mitgliedstaaten der EU gültig. Die DSGVO gilt dabei für Unternehmen, Praxen, Vereine und Behörden oder für alle Stellen, die personenbezogene Daten für ihre Tätigkeiten nutzen und diese verarbeiten. Die Datenschutz Grundverordnung wurde in der EU als Gesetz anerkannt. Verabschiedet wurde die Verordnung, um den freien Datenverkehr innerhalb der EU zu ermöglichen. Die Verarbeitung der personenbezogenen Daten soll durch die Verordnung einheitlich geregelt werden. In der Datenschutz Grundverordnung sind Ziele der Verordnung genau wie Grundlagen und Bedingungen für die Verarbeitung besonders sensibler Daten sehr klar geregelt.

Unternehmen können in der Verordnung unter anderem einsehen, welche Bedingungen für die Einwilligung zu beachten sind. Festgelegt sind darin aber ebenfalls die Rechte von natürlichen Personen, die Auskunftspflicht sowie das Vorgehen bei Datenpannen. Insgesamt sind alle Details zur Verarbeitung oder Übertragung von Daten sowie die Pflicht zur möglichen Löschung dieser festgelegt. Die DSGVO ist umfangreich ausgearbeitet, um möglichst geringe Lücken in Bezug auf die Verarbeitung von Daten aufzuweisen. Das führt zu erhöhtem Aufwand für Unternehmen, die personenbezogene Daten speichern und verarbeiten, jedoch ebenfalls zu einer stärkeren Regulierung des Vorgehens.

Artikel 5 DSGVO: Grundprinzipien der Datenverarbeitung personenbezogener Daten

In Artikel 5 DSGVO sind Grundsätze der Datenverarbeitung umfassend festgehalten. Es handelt sich um einzuhaltende Grundregeln, die sich auf die Verarbeitung von personenbezogenen Daten beziehen, die besonders sorgfältig zu betrachten sind. Die Vorgaben in Bezug auf den Datenschutz sollen durch die Grundsätze genauer erfüllt werden. Nachzulesen ist der jeweilige Wortlaut von Artikel 5 DSGVO in der verlinkten Verordnung. Folgende Grundsätze spielen dabei eine Rolle:

Rechtmäßigkeit und Transparenz

Alle rechtlichen Vorgaben sind bei der Verarbeitung von personenbezogenen Daten genau einzuhalten. Nur dann ist der Grundsatz der Rechtmäßigkeit erfüllt. Betroffene Personen können eine Auskunft anfordern. Verarbeitete Daten müssen transparent bleiben, sodass die jeweilige Person erfahren kann, welche Daten betroffen sind. Die Verarbeitung muss nach Treu und Glauben erfolgen. EU-Bürger haben ein Auskunftsrecht über die Verarbeitung ihrer Daten genau wie über weitere Informationen zu diesem Vorgang. Die Einwilligung lässt sich widerrufen und es besteht die Möglichkeit, auf eine Löschung der Daten zu bestehen. Für diese Löschung ist eine Anfrage beim jeweiligen Unternehmen erforderlich.

Zweckbindung

Die Daten sind für festgelegte und eindeutige Zwecke zu erheben. Im Rahmen der Zweckbindung ist es nicht möglich, die Daten außerhalb des geplanten Einsatzes zu verarbeiten. Die Einwilligung der Personen zur Speicherung der Daten ist daher nicht auf eine Verwendung dieser für unterschiedliche Zwecke möglich.

Richtigkeit

Alle Daten müssen sowohl auf dem neuesten Stand als auch sachlich korrekt sein. Im Zuge der Richtigkeit sind falsche oder überholte Daten zu löschen oder zu berichtigen.

Integrität und Vertraulichkeit

Von großer Bedeutung sind außerdem die Grundsätze der Integrität und Vertraulichkeit im Zusammenhang mit gespeicherten Daten. Diese sind so zu verarbeiten, dass die Sicherheit der Daten zu gewährleisten ist. Grundsätzlich sind Unternehmen dazu verpflichtet, den Datenschutz durch die gesamte Gestaltung der Erhebung und durch technische Prozesse zu maximieren. Zu den Rechten der EU-Bürger zählt damit, dass die Unternehmen die Prozesse möglichst sicher gestalten müssen, um die jeweiligen Daten zu schützen.

Datenminimierung

Die Daten sind auf das Wesentliche zu reduzieren. Eine Abfrage oder Verarbeitung von über das Notwendige hinausgehende Daten ist nicht möglich. Das zählt zur Grundlage der Datenminimierung genau wie zum Grundsatz der Zweckbindung, da die Daten zusätzlich nur für den definierten Zweck zum Einsatz kommen können.

Rechenschaftspflicht

Der jeweilige Verantwortliche für den Datenschutz ist dazu verpflichtet, die Grundsätze des Datenschutzes einzuhalten. Die Einhaltung der Vorgaben ist nachzuweisen, es liegt somit eine Rechenschaftspflicht über die Verarbeitung von Daten und den Umgang mit diesen vor. Sowohl die Erhebung als auch die Verarbeitung von personenbezogenen Daten erfordert eine Einwilligung. Die Einwilligung ist unter Umständen vom jeweiligen Unternehmen nachzuweisen.

Begrenzung des Speicherns

Ebenfalls im Artikel 5 DSGVO ist festgelegt, dass personenbezogene Daten nur für einen begrenzten Zeitraum zu speichern sind. Die Identifizierung der Personen über genau festgelegte Zwecke hinaus ist damit nicht erlaubt.

Art. 6 DSGVO: Rechtmäßigkeit der Verarbeitung

Im Zusammenhang mit dem vorliegenden Thema ist Art. 6 DSGVO über die Rechtmäßigkeit der Verarbeitung ebenfalls von großer Bedeutung. Im Art. 6 DSGVO ist genau definiert, wann die Verarbeitung der Daten rechtmäßig ist. Neben der direkten Einwilligung der Personen in Bezug auf die Verarbeitung der Daten gibt es entsprechend noch einige Ausnahmen, bei denen keine persönliche Einwilligung der jeweiligen Person erforderlich ist. Das wäre beispielsweise der Fall, wenn die Verarbeitung im Rahmen einer rechtlichen Verpflichtung erforderlich ist. Oder wenn die Verarbeitung zur Wahrung von lebenswichtigen Interessen der betroffenen Person erforderlich ist. Daher ist immer genau zu prüfen, ob die Rechtmäßigkeit der Verarbeitung vorliegt, um eventuelle Verstöße gegen die Vorschriften von Anfang an auszuschließen.

Kritische Unternehmensprozesse im Zusammenhang

In jedem Unternehmen ist der Zugriff auf zahlreiche personenbezogene Daten vorhanden. Es handelt sich um sehr umfassende, sensible Daten, die vom Wohnort bis hin zu Kontoinformationen über das erhaltene Gehalt reicht. Die vorhandenen Daten legen das Leben der Mitarbeiter regelrecht offen und können entsprechend missbraucht werden, wenn hier nicht Vorsicht geboten ist. Daher sind für die Beachtung der DSGVO verschiedene Prozesse im Unternehmen besonders genau zu betrachten. Eine kritische Überprüfung einzelner Prozesse kann in vielen Fällen dabei unterstützen, dass Datenpannen so selten wie nur möglich vorkommen.

Folgende Prozesse sind besonders kritisch und sollten in der Compliance mit Blick auf den Datenschutz übergreifend für die Abteilungen beachtet werden:

  • Datenschutzerklärungen
  • Einwilligungserklärungen
  • Prozesse für die Verarbeitung der Daten
  • Vorgehen bei Datenpannen
  • Prozesse für den Umgang mit allen Kundendaten
  • Umgang mit Daten aus dem Bereich Online-Marketing wie beispielsweise der Umgang mit Daten einer Webseite
  • Risikobeurteilung für eine Festlegung aller technischen Maßnahmen

Unternehmen müssen daher nicht nur die DSGVO kennen und die Auswirkungen der Regelungen abschätzen. Vielmehr sind Prozesse im Unternehmen zu integrieren, die den Schutz der Daten ermöglichen. Einwilligungserklärungen müssen ebenfalls vorhanden sein, genau wie ein anwendbares Protokoll, wenn es um den Umgang mit Datenpannen geht. Die entsprechenden technischen Lösungen unterstützen dabei, die Daten zu sichern und allen Vorgaben zu entsprechen.

Datenschutzverletzung: Das droht bei Nichteinhaltung der DSGVO

Bei einer Datenschutzverletzung ist mit Konsequenzen zu rechnen. Zunächst einmal müssen Unternehmen bei einer Datenpanne eine solche melden und mit Geldbußen rechnen, wenn sie den Datenschutz nicht erfüllen. Bei Datenschutzverstoß haben die Unternehmen keine Option, sodass die Meldung für einen besseren Schutz erfolgen muss. Eine Datenschutzverletzung liegt dann vor, wenn gespeicherte, verarbeitete oder übermittelte Daten vernichtet, verloren, verändert oder unbefugt offen gelegt werden. Eine solche Datenschutzverletzung ist entsprechend zu melden.

Zusätzlich ist mit einem DSGVO Bußgeld bei der Nichteinhaltung der Datenverordnung zu rechnen. Das DSGVO Bußgeld bei einer Datenschutzverletzung beträgt wahlweise bis zu 4 Prozent des weltweiten Jahresumsatzes oder eine Summe von bis zu 20 Millionen Euro. Dabei ist zu prüfen, welche Summe am Ende höher ausfällt.

BDSG-neu oder DSGVO: Wann gilt was?

Als wesentliche Vorschrift für alle Länder der EU gilt die DSGVO. Ergänzend dazu gilt auf nationaler Ebene seit dem 25. Mai 2018 das BDSG-neu. BDSG steht dabei für das Bundesdatenschutzgesetz, welches in der Bundesrepublik Deutschland gilt. Wichtig ist an dieser Stelle, dass das BDSG-neu der DSGVO nicht widerspricht. Vielmehr handelt es sich um eine Ergänzung, die in bestimmten Fällen zu beachten ist. Das BDSG-neu gilt seit 2018 gleichzeitig mit der DSGVO, wobei letztere immer den Vorrang hat. Es gibt einige Lücken, die bei der europaweiten Verordnung vorhanden sind und beim BDSG-neu Anwendung finden. An dieser Stelle sollen die wichtigsten Punkte kurz genannt werden, bei denen das Bundesdatenschutzgesetz wichtig ist:

  • Ergänzende Straf- und Bußgeldvorschriften

Das Bundesdatengesetz ergänzt die bestehenden Bußgelder und führt zusätzliche Strafvorschriften ein, die eine Freiheitsstrafe enthalten können.

  • Die Stellung eines Datenschutzbeauftragten

Im Bundesdatengesetz wird festgelegt, wann ein Datenschutzbeauftragter zum Schutz der verarbeiteten Daten beauftragt wird. Da diese Details in der DSGVO nicht klar geregelt sind, gibt es hier entsprechend konkrete Vorgaben im Bundesdatengesetz.

  • Der Datenschutz des Arbeitnehmers

Ergänzende Maßnahmen zum Datenschutz des Arbeitnehmers sind ebenfalls im BDSG-neu zu finden.

Es gelten daher beide Regelungen gleichzeitig, ohne dass eine plötzlich die andere aufhebt. Durch diese Ergänzung auf nationaler Ebene ist es entsprechend möglich, dass im Falle von gesetzlichen Lücken eine passende Regelung vorhanden ist.

Die Bedeutung der DSGVO im Fuhrpark

Im Fuhrpark werden eine Vielzahl personenbezogener Daten der Fahrerinnen und Fahrer verarbeitet, sodass der Einsatz einer Fuhrparkmanagement Software mit einem klaren Fokus auf der sicheren Speicherung von Daten hilfreich bei der Einhaltung der Gesetze im Rahmen der Compliance sein kann. Die Regelungen der Datenschutz Grundverordnung haben somit erhebliche Auswirkungen auf das Tagesgeschäft im Fuhrpark. Gerade im Fuhrpark gibt es einige Punkte, die gesondert zu beachten sind, um der Datenschutz Grundverordnung zu entsprechen, jedoch trotzdem alle wesentlichen Daten zu nutzen. Schließlich ist ein Fuhrparkmanagement ohne Daten nicht möglich, da verschiedene Daten in der Praxis erforderlich sind.

Beachten Sie folgende Tipps für die Umsetzung der Vorgaben im Fuhrpark:

  • Die Einwilligung der Fahrer ist erforderlich

Vor der Erhebung, Verarbeitung und Verwendung von Daten muss eine Einwilligung des Fahrers erfolgen. Ohne diese Einwilligung können nur unbedingt für das Unternehmen erforderliche Daten erhoben werden, jedoch keine personenbezogenen Daten.

  • Die Ortung der Fahrzeuge ist vorsichtig zu behandeln

Es gibt die eine oder andere Flotte, die eine Ortung der Fahrzeuge nutzt. Natürlich gehen damit zahlreiche Vorteile einher, da gefahrene Strecken, die Entfernung, die Auslastung und vieles mehr als Daten zur Verfügung stehen. In datenschutzrechtlicher Hinsicht ist die Ortung der Fahrzeuge jedoch vorsichtig zu behandeln und auf keinen Fall einfach so durchzuführen. Eine zusätzliche Einwilligung muss erfolgen, die Überwachung des Mitarbeiters ist zu unterbinden. Schließlich soll die Ortung der Fahrzeuge zum Sammeln von Daten sowie zur Sicherheit dienen, jedoch nicht zur gezielten Mitarbeiterüberwachung. Wichtig ist in diesem Zusammenhang noch, dass ein Unternehmen die Einwilligung nicht erzwingen kann. Diese muss freiwillig erfolgen.

Nicht zuletzt erfolgt die Ortung der Fahrzeuge nur während der Dienstzeit und kann bei privater Nutzung ausgeschaltet werden. Da eine heimliche Ortung ohne freiwillige Zustimmung strafbar ist, sollte von einem solchen Vorgehen Abstand genommen werden.

  • Nicht bei allen Daten ist die DSGVO von Bedeutung

Für das Fuhrparkmanagement sind eine Vielzahl von Daten von Bedeutung, ohne die eine ordentliche Entscheidungsgrundlage kaum vorhanden ist. Dabei sind aber nicht alle Daten von der Datenschutzverordnung betroffen. So können anonyme Daten, die eben nicht direkt auf eine Person zu beziehen sind, problemlos genutzt werden. Daten, die mit einem Fahrer in Verbindung stehen, sind entsprechend vorsichtig zu behandeln. Dazu zählen zurückgelegte Strecken genau wie der individuelle Kraftstoffverbrauch oder der Fahrstil eines Fahrers.

  • Fahrzeugmanager haften bei einer Datenschutzverletzung

Wenn Fahrzeugmanager mit dem Thema Datenverarbeitung beauftragt werden, müssen sie den Datenschutz sicherstellen. Dabei helfen geeignete Maßnahmen zur Sicherung der Daten, die einzuhalten sind. Der Fuhrparkmanager haftet in einem solchen Fall bei einer Datenschutzverletzung. Da ein DSGVO Bußgeld empfindlich hoch ausfallen kann, ist der Aspekt der vorhandenen Haftung nicht zu unterschätzen, um geeignete Maßnahmen zu ergreifen.

  • Der Mitarbeiter verlässt das Unternehmen zusammen mit den Daten

An diesem Punkt ist zu beachten, dass ein Fahrer beantragen kann, dass die Daten zu löschen sind, sobald er das Unternehmen verlässt. Daher ist beim Austritt eines Mitarbeiters aus dem Unternehmen genau zu beachten, was mit den Daten passiert.

  • Vorsicht vor der Speicherung von Daten in einer Cloud

Sensibel ist das Vorgehen bei der Speicherung von Daten in einer externen Cloud. Das soll eigentlich die Speicherung der Daten absichern. Allerdings ist bei der Nutzung einer Cloud zu beachten, ob der Anbieter dieser ebenfalls DSGVO konform arbeitet. Denn genau das ist in einem solchen Fall unbedingt erforderlich, um weitere Schwierigkeiten in Bezug auf den Datenschutz zu vermeiden.

Fehlende Maßnahmen oder die nicht vorhandene Einhaltung der DSGVO können zu erheblichen Geldstrafen führen. Personenbezogene Daten der Fahrer sind entsprechend zu schützen, um vorbeugend zu handeln. Je besser die Organisation der Speicherung von Daten und je sicherer dieser Vorgang erfolgt, desto geringer ist am Ende das Risiko. Dabei helfen klare Regelungen im Bereich Compliance genau wie eine Fuhrparkmanagement Software, um hier Problemen vorzubeugen.

In diesem Zusammenhang ist hervorzuheben, dass die Avrios Fuhrparkmanagement Software die Bedeutung der DSGVO klar erkennt. Die Software ist entsprechend DSGVO konform, um alle in diesem Zusammenhang wichtigen Vorgaben zu beachten und umzusetzen. Mit einem Blick auf die Bedeutung der DSGVO im Fuhrpark ist die Verwendung einer geeigneten Fuhrparkmanagement Software in den Fokus gerückt, die mit den Vorschriften konform ist.

Häufige Fragen zur DSGVO

Welches Ziel verfolgt die DSGVO?

Die Verarbeitung personenbezogener Daten in der EU soll einheitlich geregelt sein. Im Europäischen Binnenverkehr soll die im Jahr 2016 in Kraft getretene DSGVO den freien Datenverkehr ermöglichen. Die Rechte von EU-Bürgern sollen gestärkt werden. Ziel ist außerdem die Regulierung der Erhebung, Speicherung und Verarbeitung personenbezogener Daten.

Welche personenbezogenen Daten dürfen gespeichert werden?

Zu den personenbezogenen Daten, die gespeichert werden dürfen, zählen unter anderem Name, Wohnort, Geburtstag sowie Geburtsort genau wie eine E-Mail-Adresse. Einige Daten wie beispielsweise die ethische Herkunft sind jedoch besonders stark geschützt. Es muss sich nach Art. 4 Nr. 1 DSGVO um die Daten einer natürlichen Person handeln. Besondere Merkmale wie die politischen, religiösen oder sozialen Besonderheiten zählen ebenfalls zu den personenbezogenen Daten. Das Gleiche gilt für gesundheitsbezogene Daten.

Wie wirken sich DSGVO-Verstöße aus?

Bei einem DSGVO-Verstoß ist mit Geldbußen zu rechnen. Diese können je nach erzieltem Umsatz bis zu 20 Millionen Euro betragen. Geldbußen betragen in der Regel 4 Prozent des weltweiten Jahresumsatzes, der erzielt wurde, wobei das Maximum von 20 Millionen Euro zu beachten ist.

Welche Pflichten müssen Unternehmen bei Datenpannen erfüllen?

Eine Datenpanne liegt unter anderem vor, wenn durch Hacking personenbezogene, sensible Daten in die Hände von Unberechtigten gelangten. Ein Kreditkartenmissbrauch stellt damit ebenfalls eine Datenpanne dar. Sobald es sich um personenbezogene Daten handelt, muss die Datenpanne innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Die Panne ist nur zu melden, wenn die Rechte und Freiheiten der betroffenen Personen gefährdet sind. Ein Unternehmen kann selbst abwägen, ob diese Gefahr vorhanden ist. In der DSGVO ist geregelt, wie bei einer solchen Datenpanne im Detail vorzugehen ist.

Was zählt nicht zu den personenbezogenen Daten?

Daten, die sich auf eine nicht natürliche Person beziehen, zählen nicht zu den personenbezogenen Daten. Darüber hinaus sind anonyme Daten über Personen nicht den personenbezogenen Daten zuzurechnen.

Weitere Artikel zur Fuhrparkverwaltung

Text von:
Sina Burghardt

Lernen Sie Avrios kennen.

Wir erklären Ihnen gerne die Vorteile unserer Fuhrparkmanagement Software. Noch besser ist es jedoch, Sie testen einfach unsere Anwendung für Ihre Flotte