Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Die DSGVO ersetzt die bestehenden nationalen Datenschutzbestimmungen in den 28 Mitgliedsstaaten der Europäischen Union. Die DSGVO stellt eine Aktualisierung des Datenschutzrechts dar, das neben den neuesten Erkenntnissen und Urteilen der verschiedenen Datenschutzbehörden aus der gesamten EU auch die wichtigsten Elemente aus dem heutigen Online-Umfeld berücksichtigt. Der Großteil der damit einhergehenden Anforderungen war bereits gesetzlich verankert. Nach unserer Auffassung stellt die DSGVO daher keine grundlegende Änderung dar.*
Wesentliche Aspekte der Datenschutz-Grundverordnung
Wie schon die bisherigen Gesetze und Bestimmungen zielt auch die DSGVO auf den Schutz von Einzelpersonen ab, während deren Daten zu verschiedenen Zwecken verwendet werden, die ihrem eigenen Interesse oder dem Interesse Dritter zu einem wirtschaftlichen Vorteil oder dem Allgemeinwohl dienen. Die DSGVO hat daher beträchtliche Relevanz für Unternehmen.
Wir stellen hier einige wichtige neue Aspekte der DSGVO vor, die nach unserer Auffassung das besondere Augenmerk der Webfleet Solutions-Kunden erfordern:
Die wichtigsten Änderungen bei den neuen Bestimmungen:
- Im Mittelpunkt steht die Einzelperson, also auch der einzelne Mitarbeiter.
Die DSGVO räumt Einzelpersonen ein hohes Maß an Kontrolle über ihre personenbezogenen Daten ein. Daten von einer bzw. über eine Einzelperson geben Aufschluss über deren Identität, Verhalten und Vorlieben. Kurz: Diese Daten zeigen, wer wir sind. Die DSGVO schreibt daher vor, dass Einzelpersonen bereits vorab umfassend darüber informiert werden müssen, was mit ihren Daten geschieht: Welche Daten werden warum, wie lange und von wem verwendet? Einzelpersonen müssen diese Vorgänge beeinflussen können, z. B. indem sie ihre Einwilligung erteilen oder einen Vertrag eingehen. Darüber hinaus müssen sie innerhalb bestimmter Rahmenbedingungen die Möglichkeit erhalten, zum Beenden der Verwendung ihrer Daten aufzufordern.
- Verantwortlichkeit und ein risikobasierter Ansatz
Wenn Sie als Unternehmen entscheiden, wie Sie mit personenbezogenen Daten verfahren, müssen Sie sich der damit einhergehenden Verantwortung bewusst sein und nachweisen können, dass Sie ordnungsgemäß und unter Beachtung sowohl der Rechte des Einzelnen als auch der Bestimmungen der DSGVO vorgehen. Beim Umgang mit Daten müssen Sie daher stets die Risiken für die betreffenden Personen beachten. Das bedeutet unserer Auffassung nach, dass Sie jede Handhabung von Daten sowie Ihre Gründe für die Verarbeitung dieser Daten dokumentieren müssen. Die DSGVO sieht die Ernennung eines Datenschutzbeauftragten (in Teilzeit) vor, wenn Sie die dafür in der DSGVO festgelegten Bedingungen erfüllen (d. h., wenn das Monitoring von Personen im großen Maßstab zu Ihren zentralen geschäftlichen Aktivitäten zählt).
- Zentrale Aufsichtsbehörde
Unserer Auffassung nach wurde die DSGVO zur Harmonisierung des bisherigen uneinheitlichen Datenschutzrechts in der gesamten EU aufgesetzt. Dies könnte sich als Vorteil für multinationale Unternehmen erweisen, die unsere Dienstangebote nutzen, insbesondere im grenzüberschreitenden Verkehr. Es könnte auch bedeuten, dass multinationale Unternehmen innerhalb der EU alle Vorgänge über eine einzige Aufsichtsbehörde abwickeln: die des Landes, in dem das Unternehmen seinen Hauptsitz hat. Auch Einzelpersonen können sich an die Aufsichtsbehörde in ihrem eigenen Land wenden.
- Verschärfte Sicherheitsanforderungen
Die DSGVO sieht den Schutz von Daten vor jeglicher unbefugten Verwendung vor. Maßgeblich ist dabei die Sensitivitätseinstufung der Daten. Standortdaten gelten als sensitiv, weil sie umfassenden Aufschluss über eine Einzelperson geben können. Zur Begrenzung der Risiken sind daher technische und organisatorische Sicherheitsmaßnahmen erforderlich. Falls diese Maßnahmen fehlschlagen, sodass eine Sicherheitsverletzung vorliegt, sieht die DSGVO abhängig vom Schweregrad eine Benachrichtigung der Aufsichtsbehörden innerhalb von 72 Stunden sowie die Benachrichtigung der betreffenden Personen vor, wenn die Auswirkungen für diese schwerwiegend sein könnten.
- Geldstrafen
Im Rahmen der DSGVO erhalten die für den Datenschutz zuständigen Aufsichtsbehörden eine Reihe von Durchsetzungsbefugnissen. Dazu zählt auch die Verhängung von Geldstrafen für Verstöße. Die DSGVO sieht je nach Schweregrad des Verstoßes Geldstrafen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes des betreffenden Unternehmens vor.
Allgemeine Aspekte der Datenschutzbestimmungen, die aus dem bestehenden Recht übernommen wurden.
Die Datenschutz-Grundverordnung (DSGVO) definiert Daten als personenbezogene Daten von Menschen in der EU und wirkt sich auf die „Verarbeitung“ dieser Daten aus. Unter den Begriff der „Datenverarbeitung“ fallen die Erfassung, Speicherung, Übertragung oder Verwendung.
Unsere Auffassung einiger Grundsätze unter der DSGVO, die aus dem bestehenden Recht übernommen wurden:
- Personenbezogene Daten
Das Konzept der personenbezogenen Daten ist ein wesentlicher Aspekt der DSGVO. Dabei handelt es sich um alle Arten von Daten, anhand derer eine Einzelperson kenntlich ist oder gemacht werden könnte. Hierzu zählen Daten, die anhand spezifischer Kennungen zu ermitteln sind, z. B. Kfz-Kennzeichen, FIN (Fahrzeug-Identifikationsnummer) und/oder andere Gerätekennungen. Unserer Auffassung nach ist zu beachten, dass es im Rahmen der DSGVO keine Rolle spielt, wer die Identifikation vornehmen könnte. Wenn die Identifikation einer Einzelperson anhand der Daten möglich ist, sind die Daten als personenbezogene Daten zu behandeln, selbst wenn keine derartige Identifikation vorgenommen wird. Nach unserer Auffassung gelten Daten über eine Person auch dann als personenbezogene Daten, wenn der Name der betreffenden Einzelperson nicht bekannt ist. Zu beachten ist, dass die Einstufung von Daten als „personenbezogen“ nicht bedeutet, dass diese Daten nicht verwendet werden dürfen, sondern lediglich, dass die DSGVO greift und daher bestimmte Bedingungen einzuhalten sind.
- Vorab definiert und zweckgebunden
Die DSGVO gestattet die Verwendung personenbezogener Daten zu einem oder mehreren vorab definierten Zwecken. Diese Zwecke müssen spezifisch und klar beschrieben sein. Die Einzelperson muss die Bedeutung eines Zweckes verstehen können. Die Einzelperson muss die folgende Frage beantworten können: Entspricht diese Nutzung dem Zweck?
- Zweckgemäß: Einschränkungen bezüglich Art, Umfang und Dauer
Die DSGVO erfordert eine genaue Abstimmung von Art, Umfang und Aufbewahrungsdauer personenbezogener Daten auf den definierten Zweck. Diese Abstimmung bedeutet eine Beschränkung der Verarbeitung allein auf das zwingend erforderliche Maß und weder sachlich noch zeitlich darüber hinaus.
- Verständliche Erläuterung vorab
Nach unserer Auffassung erfordert die Verarbeitung personenbezogener Daten eine klar formulierte und benutzerfreundliche Erläuterung. Sie sollte sich wie eine Bedienungsanleitung lesen, nicht wie ein Vertrag. Selbstverständlich muss diese Erläuterung für die Einzelpersonen verfügbar sein, bevor Sie mit der Verwendung ihrer Daten beginnen, und für sie verfügbar bleiben.
- Die Voraussetzungen für die gesetzeskonforme Verarbeitung müssen erfüllt sein
Die gesetzeskonforme Datenverarbeitung im Rahmen der DSGVO erfordert eine entsprechende Rechtsgrundlage. Es gibt sechs Rechtsgrundlagen für die Datenverarbeitung.
- Genehmigung, wenn eine ausdrückliche Erlaubnis durch die betreffende Person vorliegt
- Erfüllung vertraglicher Pflichten
- Einhaltung gesetzlicher oder gerichtlicher Auflagen
- Schutz wesentlicher Interessen der betreffenden Person oder einer anderen Person
- Erforderlich im öffentlichen Interesse oder unter einer rechtmäßigen behördlichen Anweisung
- Die Verarbeitung ist zu Zwecken erforderlich, die den legitimen Zwecken des Datenverantwortlichen dienen.
Nach unserer Auffassung sind vier dieser sechs Rechtsgrundlagen für Unternehmen relevant; eine Rechtsgrundlage für die Datenverarbeitung für Webfleet Solutions könnte beispielsweise die ausdrückliche Erlaubnis sein. Beachten Sie bitte, dass eine ausdrückliche Erlaubnis im Rahmen der DSGVO nicht in jedem Fall erforderlich oder gar wünschenswert ist, insbesondere im Hinblick auf Arbeitsverhältnisse. Unter der DSGVO ist die Verwendung personenbezogener Daten ohne Erlaubnis in dem Umfang zulässig, der zur Durchführung eines Vertrags mit der Gegenpartei erforderlich ist. Darüber hinaus ist die Verwendung personenbezogener Daten ggf. im Rahmen spezifischer Gesetze erforderlich. In diesen Fällen muss keine Erlaubnis der betreffenden Person eingeholt werden.
Wie unter Punkt 6 oben dargelegt, gestattet die DSGVO die Verarbeitung personenbezogener Daten ohne Einverständnis der betreffenden Person, wenn ein legitimes Interesse besteht. Dies betrifft beispielsweise die Erkennung von Betrug, Missbrauch, Sicherheitsfragen und Geschäftsanalysen. Dies kann auch für die Arbeitsumgebung und auf Situationen zutreffen, die nicht unter den Arbeitsvertrag fallen. Beispielsweise die verschiedenen Zwecke, zu denen Fahrzeugtelematik verwendet wird. Allerdings sollte in derartigen Fällen nach unserer Auffassung nur das Minimum an Daten erfasst werden, das für den Zweck zwingend erforderlich ist (um die Auswirkungen auf das Recht der Einzelperson auf Datenschutz zu minimieren), und es muss klargestellt werden, dass diese Datenerfassung der DSGVO entspricht.
- Rechte der Einzelperson auf Einsicht, Berichtigung, Widerspruch, Löschung und Herunterladen/Übertragung
Die DSGVO gewährt Einzelpersonen spezifische Rechte bezüglich der Verarbeitung ihrer Daten. Im Rahmen der DSGVO haben Einzelpersonen das Recht auf Zugang zu ihren Daten; dies umfasst sowohl die Einsicht als auch den Empfang einer Kopie ihrer Daten. Wenn Daten inkorrekt sind, können sie eine Berichtigung verlangen. Einzelpersonen haben auch das Recht, ihre Daten in einem maschinenlesbaren Format zu erhalten sowie ihre Daten löschen zu lassen, wenn sie ohne Erlaubnis und nicht zur Erfüllung vertraglicher Pflichten erfasst worden sind.
- Vertraulichkeit, Integrität und Verfügbarkeit durch angemessene Sicherheitsvorkehrungen schützen
Die DSGVO schreibt die sichere Aufbewahrung personenbezogener Daten vor. Das bedeutet: Daten müssen gut vor unbefugtem und unrechtmäßigem Zugriff, unbefugter und unrechtmäßiger Verwendung sowie Verlust geschützt werden. Laut DSGVO ist eine Risikobeurteilung vorzunehmen, auf deren Grundlage dann angemessene fortlaufende technische und organisatorische Maßnahmen ergriffen werden. Zu diesem Zweck sind die folgenden technischen und organisatorischen Maßnahmen anzuwenden und beizubehalten:
Rollen des Datenverarbeiters und des Datenverantwortlichen unter den Bestimmungen der Datenschutz-Grundverordnung.
Wir bei Webfleet Solutions, helfen Unternehmen, besser mit ihren Fahrern zusammenzuarbeiten.
Als Datenverarbeiter sind wir durch unsere Kunden angewiesen, im Rahmen der Bereitstellung unserer Flottenmanagement-Dienste über unsere Hardware Informationen über Fahrzeuge und Fahrer zu erfassen, diese Daten zu verarbeiten und in unseren Apps, webbasierten Benutzeroberflächen und Anwendungsprogrammierungsschnittstellen (APIs) darzustellen.
Diese Darstellung ist der Zweck der Datenverarbeitung, wie im Rahmen der Datenschutz-Grundverordnung erforderlich.
- Unsere Kunden verwenden unsere Produkte für die Flottenoptimierung. Nachstehend einige Beispiele für diesen Verwendungszweck:
- Fahrzeugortung
- Analyse des Fahrverhaltens und Kraftstoffeinsparungen
- Kommunikation mit Fahrern
- Informationen zu Tachographendaten und Restlenkzeiten
- Umfassendes Management-Reporting für die Ergebnisoptimierung
- Integration von Drittanbieter-Lösungen
- Welche Daten erfassen und verarbeiten wir im Auftrag unserer Kunden?
- Transaktionsdaten: Dabei handelt es sich um durch die Verwendung unserer Produkte, insbesondere unserer Geräte, erzeugte Daten.
- Durch Benutzer verwaltete Daten und erstellte Inhalte: Durch Benutzer von Webfleet Solutions-Produkten erzeugte Daten.
- Zusammengefasste („aggregierte“) Daten: Aus Transaktionsdaten abgeleitete Daten, die eine statistische Analyse durchlaufen haben.
Für Interaktionen mit unseren Kunden erfassen wir beispielsweise personenbezogene Daten auf unserer Webseite; Webfleet Solutions ist ein Datenverantwortlicher für diese Daten.
Datenschutz bei Webfleet Solutions, und die DSGVO.
Wir bei Webfleet Solutions befassen uns seit der Vorlage der ersten Entwürfe im Jahr 2012 mit den Auswirkungen der DSGVO. Wir haben diese Aspekte in den vergangenen Jahren in die Entwicklung unserer Telematik-Produkte und in das Angebot für unsere Kunden integriert. Wir betrachten die DSGVO als Evolution, nicht als Revolution. Wir berücksichtigen die Anforderungen durch die Anwendung unserer 5 Designgrundsätze:
Designgrundsätze für die Datenverarbeitung bei Webfleet Solutions:
- Der Webfleet Solutions-Kunde hat die volle Kontrolle
Webfleet Solutions geht stets den Weisungen des Webfleet Solutions-Kunden entsprechend vor. Die Daten beziehen sich allein auf den Kunden, und der Kunde hat die Kontrolle. Dies bedeutet, dass wir unseren Kunden eine hochgradig konfigurierbare Lösung anbieten. Wir schlagen verschiedene Verwendungszwecke vor, doch der Webfleet Solutions-Kunde trifft die endgültigen Entscheidungen über die Verwendungszwecke sowie die Konfiguration und Nutzung des Systems im Detail.
- Interessen anderer Akteure respektieren
Unser System kann für viele verschiedene Akteure mit unterschiedlichen situationsbezogenen Rollen, Zuständigkeiten und Funktionen konfiguriert werden. Webfleet Solutions-Kunden können Fahrern beispielsweise die Unterscheidung zwischen geschäftlichen und privaten Fahrten ermöglichen und festlegen, was Vorgesetzte der Fahrer sehen und tun können. Wir unterstützen Webfleet Solutions-Kunden auch dabei, den Rechten von Einzelpersonen nachzukommen, was den Zugang zu ihren Daten und deren Löschung angeht.
- Dem Einsatzzweck angemessene Daten – nicht mehr und nicht weniger
Webfleet Solutions-Kunden können auf vielfältige Weise konfigurieren, welche Daten erfasst und wie lange sie gespeichert werden. Das erleichtern wir Webfleet Solutions-Kunden, indem wir angemessene Standardeinstellungen für die verschiedenen typischen Anwendungsfälle unserer Flottenkunden bereitstellen. Webfleet Solutions-Kunden können diese Standardeinstellungen jedoch auch mühelos an ihre spezifischen Anforderungen anpassen.
- Was Sie nicht begründen können, sollten Sie unterlassen
Eingängige Erklärungen sorgen dafür, dass alle Beteiligten mit der Verwendung ihrer Daten einverstanden sind. Wir empfehlen, klar formulierte Online-Handbücher und Schulungsmaterialien bereitzustellen.
- Missbrauch erkennen und verhindern
Informationssicherheit ist wichtig für Webfleet Solutions, und wir lassen unsere Informationssicherheit jährlich prüfen und zertifizieren. Das beste Verfahren für den Umgang mit Datenschutzverletzungen ist, sie von vornherein zu vermeiden. Unfälle lassen sich jedoch niemals völlig ausschließen, daher gibt es bei Webfleet Solutions ein robustes Vorfallmanagement. Dies umfasst die umgehende Benachrichtigung sowie die Zusammenarbeit mit Ihnen zur schnellen Lösungsfindung.
Laden Sie den DSGVO Best Practice-Leitfaden Telematik herunter
Ihr umfassender Leitfaden mit Best Practices zur Datenschutz-Grundverordnung im Bereich Telematik enthält einen hilfreichen Aktionsplan, der Sie bei der Einhaltung der neuen Anforderungen unterstützt.
Weitere Informationen zur Datenschutz-Grundverordnung
Mit weiteren Fragen zur Datenschutz-Grundverordnung können Sie sich jederzeit hier an uns wenden.
Weitere Informationen zur Datenschutz-Grundverordnung von der Europäischen Kommission und vom Information Commissioners Office (ICO) finden Sie unter den nachstehenden Links:
Weitere Informationen über Datenschutz und Informationssicherheit bei Webfleet Solutions,.
Wir bei Webfleet Solutions, nehmen Informationssicherheit und Datenschutz ernst. Daher investieren wir fortlaufend in unser Engineering, bewährte Technologien, Prozesse und Mitarbeiter. So können wir Ihnen jederzeit den zuverlässigsten Telematikdienst der gesamten Branche bereitstellen.
Als einer der weltweit größten Anbieter von Telematikdiensten ist uns die fortlaufende Investition in unsere Plattform wichtig. Wir streben nach beständiger Weiterentwicklung, um sicherzustellen, dass wir der beste Partner für Ihr Unternehmen sind – jetzt und in Zukunft. Für weitere Informationen über Datenschutz und Informationssicherheit der Webfleet Solutions-Serviceplattform klicken Sie hier.
