Die europäische Daten­schut­z-Grund­ver­ordnung und Webfleet

Am 25. Mai 2018 tritt die EU-Da­ten­schut­z-Grund­ver­ordnung (DSGVO) in Kraft. Die DSGVO ersetzt die bestehenden nationalen Daten­schutz­be­stim­mungen in den 28 Mitglieds­staaten der Europäi­schen Union. Die DSGVO stellt eine Aktua­li­sierung des Daten­schutz­rechts dar, das neben den neuesten Erkennt­nissen und Urteilen der verschie­denen Daten­schutz­be­hörden aus der gesamten EU auch die wichtigsten Elemente aus dem heutigen Online-Umfeld berück­sichtigt. Der Großteil der damit einher­ge­henden Anfor­de­rungen war bereits gesetzlich verankert. Nach unserer Auffassung stellt die DSGVO daher keine grund­le­gende Änderung dar.*

Wesentliche Aspekte der Daten­schut­z-Grund­ver­ordnung

Wie schon die bisherigen Gesetze und Bestim­mungen zielt auch die DSGVO auf den Schutz von Einzel­per­sonen ab, während deren Daten zu verschie­denen Zwecken verwendet werden, die ihrem eigenen Interesse oder dem Interesse Dritter zu einem wirtschaft­lichen Vorteil oder dem Allge­meinwohl dienen. Die DSGVO hat daher beträcht­liche Relevanz für Unternehmen.

Wir stellen hier einige wichtige neue Aspekte der DSGVO vor, die nach unserer Auffassung das besondere Augenmerk der Webfleet-Kunden erfordern:

Die wichtigsten Änderungen bei den neuen Bestim­mungen:

  1. Im Mittelpunkt steht die Einzel­person, also auch der einzelne Mitarbeiter.

    Die DSGVO räumt Einzel­per­sonen ein hohes Maß an Kontrolle über ihre perso­nen­be­zo­genen Daten ein. Daten von einer bzw. über eine Einzel­person geben Aufschluss über deren Identität, Verhalten und Vorlieben. Kurz: Diese Daten zeigen, wer wir sind. Die DSGVO schreibt daher vor, dass Einzel­per­sonen bereits vorab umfassend darüber informiert werden müssen, was mit ihren Daten geschieht: Welche Daten werden warum, wie lange und von wem verwendet? Einzel­per­sonen müssen diese Vorgänge beein­flussen können, z.B. indem sie ihre Einwil­ligung erteilen oder einen Vertrag eingehen. Darüber hinaus müssen sie innerhalb bestimmter Rahmen­be­din­gungen die Möglichkeit erhalten, zum Beenden der Verwendung ihrer Daten aufzu­fordern.

  2. Verant­wort­lichkeit und ein risiko­ba­sierter Ansatz

    Wenn Sie als Unternehmen entscheiden, wie Sie mit perso­nen­be­zo­genen Daten verfahren, müssen Sie sich der damit einher­ge­henden Verant­wortung bewusst sein und nachweisen können, dass Sie ordnungs­gemäß und unter Beachtung sowohl der Rechte des Einzelnen als auch der Bestim­mungen der DSGVO vorgehen. Beim Umgang mit Daten müssen Sie daher stets die Risiken für die betref­fenden Personen beachten. Das bedeutet unserer Auffassung nach, dass Sie jede Handhabung von Daten sowie Ihre Gründe für die Verar­beitung dieser Daten dokumen­tieren müssen. Die DSGVO sieht die Ernennung eines Daten­schutz­be­auf­tragten (in Teilzeit) vor, wenn Sie die dafür in der DSGVO festge­legten Bedingungen erfüllen (d. h., wenn das Monitoring von Personen im großen Maßstab zu Ihren zentralen geschäft­lichen Aktivitäten zählt).

  3. Zentrale Aufsichts­be­hörde

    Unserer Auffassung nach wurde die DSGVO zur Harmo­ni­sierung des bisherigen unein­heit­lichen Daten­schutz­rechts in der gesamten EU aufgesetzt. Dies könnte sich als Vorteil für multi­na­tionale Unternehmen erweisen, die unsere Dienst­an­gebote nutzen, insbe­sondere im grenz­über­schrei­tenden Verkehr. Es könnte auch bedeuten, dass multi­na­tionale Unternehmen innerhalb der EU alle Vorgänge über eine einzige Aufsichts­be­hörde abwickeln: die des Landes, in dem das Unternehmen seinen Hauptsitz hat. Auch Einzel­per­sonen können sich an die Aufsichts­be­hörde in ihrem eigenen Land wenden.

  1. Verschärfte Sicher­heits­an­for­de­rungen

    Die DSGVO sieht den Schutz von Daten vor jeglicher unbefugten Verwendung vor. Maßgeblich ist dabei die Sensi­ti­vi­täts­ein­stufung der Daten. Stand­ort­daten gelten als sensitiv, weil sie umfassenden Aufschluss über eine Einzel­person geben können. Zur Begrenzung der Risiken sind daher technische und organi­sa­to­rische Sicher­heits­maß­nahmen erfor­derlich. Falls diese Maßnahmen fehlschlagen, sodass eine Sicher­heits­ver­letzung vorliegt, sieht die DSGVO abhängig vom Schweregrad eine Benach­rich­tigung der Aufsichts­be­hörden innerhalb von 72 Stunden sowie die Benach­rich­tigung der betref­fenden Personen vor, wenn die Auswir­kungen für diese schwer­wiegend sein könnten.

  2. Geldstrafen

    Im Rahmen der DSGVO erhalten die für den Datenschutz zuständigen Aufsichts­be­hörden eine Reihe von Durch­set­zungs­be­fug­nissen. Dazu zählt auch die Verhängung von Geldstrafen für Verstöße. Die DSGVO sieht je nach Schweregrad des Verstoßes Geldstrafen in Höhe von bis zu vier Prozent des weltweiten Jahres­um­satzes des betref­fenden Unter­nehmens vor.

Allgemeine Aspekte der Daten­schutz­be­stim­mungen, die aus dem bestehenden Recht übernommen wurden.

Die Daten­schut­z-Grund­ver­ordnung (DSGVO) definiert Daten als perso­nen­be­zogene Daten von Menschen in der EU und wirkt sich auf die „Verar­beitung“ dieser Daten aus. Unter den Begriff der „Daten­ver­ar­beitung“ fallen die Erfassung, Speicherung, Übertragung oder Verwendung.

Unsere Auffassung einiger Grundsätze unter der DSGVO, die aus dem bestehenden Recht übernommen wurden:

  1. Perso­nen­be­zogene Daten

    Das Konzept der perso­nen­be­zo­genen Daten ist ein wesent­licher Aspekt der DSGVO. Dabei handelt es sich um alle Arten von Daten, anhand derer eine Einzel­person kenntlich ist oder gemacht werden könnte. Hierzu zählen Daten, die anhand spezi­fi­scher Kennungen zu ermitteln sind, z.B. Kfz-Kenn­zeichen, FIN (Fahrzeu­g-I­den­ti­fi­ka­ti­ons­nummer) und/oder andere Geräte­ken­nungen. Unserer Auffassung nach ist zu beachten, dass es im Rahmen der DSGVO keine Rolle spielt, wer die Identi­fi­kation vornehmen könnte. Wenn die Identi­fi­kation einer Einzel­person anhand der Daten möglich ist, sind die Daten als perso­nen­be­zogene Daten zu behandeln, selbst wenn keine derartige Identi­fi­kation vorgenommen wird. Nach unserer Auffassung gelten Daten über eine Person auch dann als perso­nen­be­zogene Daten, wenn der Name der betref­fenden Einzel­person nicht bekannt ist. Zu beachten ist, dass die Einstufung von Daten als „perso­nen­be­zogen“ nicht bedeutet, dass diese Daten nicht verwendet werden dürfen, sondern lediglich, dass die DSGVO greift und daher bestimmte Bedingungen einzuhalten sind.

  2. Vorab definiert und zweck­ge­bunden

    Die DSGVO gestattet die Verwendung perso­nen­be­zo­gener Daten zu einem oder mehreren vorab definierten Zwecken. Diese Zwecke müssen spezifisch und klar beschrieben sein. Die Einzel­person muss die Bedeutung eines Zweckes verstehen können. Die Einzel­person muss die folgende Frage beantworten können: Entspricht diese Nutzung dem Zweck?

  3. Zweckgemäß: Einschrän­kungen bezüglich Art, Umfang und Dauer

    Die DSGVO erfordert eine genaue Abstimmung von Art, Umfang und Aufbe­wah­rungs­dauer perso­nen­be­zo­gener Daten auf den definierten Zweck. Diese Abstimmung bedeutet eine Beschränkung der Verar­beitung allein auf das zwingend erfor­der­liche Maß und weder sachlich noch zeitlich darüber hinaus.

  4. Verständ­liche Erläuterung vorab

    Nach unserer Auffassung erfordert die Verar­beitung perso­nen­be­zo­gener Daten eine klar formulierte und benut­zer­freund­liche Erläuterung. Sie sollte sich wie eine Bedie­nungs­an­leitung lesen, nicht wie ein Vertrag. Selbst­ver­ständlich muss diese Erläuterung für die Einzel­per­sonen verfügbar sein, bevor Sie mit der Verwendung ihrer Daten beginnen, und für sie verfügbar bleiben.

  1. Die Voraus­set­zungen für die geset­zes­kon­forme Verar­beitung müssen erfüllt sein

    Die geset­zes­kon­forme Daten­ver­ar­beitung im Rahmen der DSGVO erfordert eine entspre­chende Rechts­grundlage. Es gibt sechs Rechts­grund­lagen für die Daten­ver­ar­beitung.

    1. Genehmigung, wenn eine ausdrück­liche Erlaubnis durch die betreffende Person vorliegt
    2. Erfüllung vertrag­licher Pflichten
    3. Einhaltung gesetz­licher oder gericht­licher Auflagen
    4. Schutz wesent­licher Interessen der betref­fenden Person oder einer anderen Person
    5. Erfor­derlich im öffent­lichen Interesse oder unter einer recht­mä­ßigen behörd­lichen Anweisung
    6. Die Verar­beitung ist zu Zwecken erfor­derlich, die den legitimen Zwecken des Daten­ver­ant­wort­lichen dienen.
    Zum Inhalt

    Nach unserer Auffassung sind vier dieser sechs Rechts­grund­lagen für Unternehmen relevant; eine Rechts­grundlage für die Daten­ver­ar­beitung für Webfleet könnte beispiels­weise die ausdrück­liche Erlaubnis sein. Beachten Sie bitte, dass eine ausdrück­liche Erlaubnis im Rahmen der DSGVO nicht in jedem Fall erfor­derlich oder gar wünschenswert ist, insbe­sondere im Hinblick auf Arbeits­ver­hält­nisse. Unter der DSGVO ist die Verwendung perso­nen­be­zo­gener Daten ohne Erlaubnis in dem Umfang zulässig, der zur Durch­führung eines Vertrags mit der Gegenpartei erfor­derlich ist. Darüber hinaus ist die Verwendung perso­nen­be­zo­gener Daten ggf. im Rahmen spezi­fi­scher Gesetze erfor­derlich. In diesen Fällen muss keine Erlaubnis der betref­fenden Person eingeholt werden.

    Wie unter Punkt 6 oben dargelegt, gestattet die DSGVO die Verar­beitung perso­nen­be­zo­gener Daten ohne Einver­ständnis der betref­fenden Person, wenn ein legitimes Interesse besteht. Dies betrifft beispiels­weise die Erkennung von Betrug, Missbrauch, Sicher­heits­fragen und Geschäfts­ana­lysen. Dies kann auch für die Arbeits­um­gebung und auf Situationen zutreffen, die nicht unter den Arbeits­vertrag fallen. Beispiels­weise die verschie­denen Zwecke, zu denen Fahrzeug­t­e­le­matik verwendet wird. Allerdings sollte in derartigen Fällen nach unserer Auffassung nur das Minimum an Daten erfasst werden, das für den Zweck zwingend erfor­derlich ist (um die Auswir­kungen auf das Recht der Einzel­person auf Datenschutz zu minimieren), und es muss klarge­stellt werden, dass diese Daten­er­fassung der DSGVO entspricht.

  2. Rechte der Einzel­person auf Einsicht, Berich­tigung, Widerspruch, Löschung und Herun­ter­laden/Übertragung

    Die DSGVO gewährt Einzel­per­sonen spezifische Rechte bezüglich der Verar­beitung ihrer Daten. Im Rahmen der DSGVO haben Einzel­per­sonen das Recht auf Zugang zu ihren Daten; dies umfasst sowohl die Einsicht als auch den Empfang einer Kopie ihrer Daten. Wenn Daten inkorrekt sind, können sie eine Berich­tigung verlangen. Einzel­per­sonen haben auch das Recht, ihre Daten in einem maschi­nen­les­baren Format zu erhalten sowie ihre Daten löschen zu lassen, wenn sie ohne Erlaubnis und nicht zur Erfüllung vertrag­licher Pflichten erfasst worden sind.

  3. Vertrau­lichkeit, Integrität und Verfüg­barkeit durch angemessene Sicher­heits­vor­keh­rungen schützen

    Die DSGVO schreibt die sichere Aufbe­wahrung perso­nen­be­zo­gener Daten vor. Das bedeutet: Daten müssen gut vor unbefugtem und unrecht­mä­ßigem Zugriff, unbefugter und unrecht­mä­ßiger Verwendung sowie Verlust geschützt werden. Laut DSGVO ist eine Risiko­be­ur­teilung vorzunehmen, auf deren Grundlage dann angemessene fortlau­fende technische und organi­sa­to­rische Maßnahmen ergriffen werden. Zu diesem Zweck sind die folgenden technischen und organi­sa­to­ri­schen Maßnahmen anzuwenden und beizu­be­halten:

Rollen des Daten­ver­ar­beiters und des Daten­ver­ant­wort­lichen unter den Bestim­mungen der Daten­schut­z-Grund­ver­ordnung.

Wir bei Webfleet, helfen Unternehmen, besser mit ihren Fahrern zusam­men­zu­ar­beiten.

Als Daten­ver­ar­beiter sind wir durch unsere Kunden angewiesen, im Rahmen der Bereit­stellung unserer Flotten­ma­nage­men­t-Dienste über unsere Hardware Infor­ma­tionen über Fahrzeuge und Fahrer zu erfassen, diese Daten zu verarbeiten und in unseren Apps, webba­sierten Benut­zer­ober­flächen und Anwen­dungs­pro­gram­mie­rungs­schnitt­stellen (APIs) darzu­stellen.

Diese Darstellung ist der Zweck der Daten­ver­ar­beitung, wie im Rahmen der Daten­schut­z-Grund­ver­ordnung erfor­derlich.

  1. Unsere Kunden verwenden unsere Produkte für die Flotten­op­ti­mierung. Nachstehend einige Beispiele für diesen Verwen­dungs­zweck:
    • Fahrzeu­g­ortung
    • Analyse des Fahrver­haltens und Kraft­stof­f­e­in­spa­rungen
    • Kommu­ni­kation mit Fahrern
    • Infor­ma­tionen zu Tacho­gra­phen­daten und Restlenk­zeiten
    • Umfassendes Manage­men­t-Re­porting für die Ergeb­nis­op­ti­mierung
    • Integration von Dritt­an­bie­ter-Lö­sungen
  1. Welche Daten erfassen und verarbeiten wir im Auftrag unserer Kunden?
    • Trans­ak­ti­ons­daten: Dabei handelt es sich um durch die Verwendung unserer Produkte, insbe­sondere unserer Geräte, erzeugte Daten.
    • Durch Benutzer verwaltete Daten und erstellte Inhalte: Durch Benutzer von Webfleet-Produkten erzeugte Daten.
    • Zusam­men­ge­fasste („aggregierte“) Daten: Aus Trans­ak­ti­ons­daten abgeleitete Daten, die eine statis­tische Analyse durchlaufen haben.

Für Inter­ak­tionen mit unseren Kunden erfassen wir beispiels­weise perso­nen­be­zogene Daten auf unserer Webseite; Webfleet ist ein Daten­ver­ant­wort­licher für diese Daten.

Datenschutz bei Webfleet, und die DSGVO.

Wir bei Webfleet befassen uns seit der Vorlage der ersten Entwürfe im Jahr 2012 mit den Auswir­kungen der DSGVO. Wir haben diese Aspekte in den vergangenen Jahren in die Entwicklung unserer Telema­ti­k-Pro­dukte und in das Angebot für unsere Kunden integriert. Wir betrachten die DSGVO als Evolution, nicht als Revolution. Wir berück­sich­tigen die Anfor­de­rungen durch die Anwendung unserer 5 Design­grund­sätze:

Design­grund­sätze für die Daten­ver­ar­beitung bei Webfleet:

  1. Der Webfleet-Kunde hat die volle Kontrolle

    Webfleet geht stets den Weisungen des Webfleet-Kunden entspre­chend vor. Die Daten beziehen sich allein auf den Kunden, und der Kunde hat die Kontrolle. Dies bedeutet, dass wir unseren Kunden eine hochgradig konfi­gu­rierbare Lösung anbieten. Wir schlagen verschiedene Verwen­dungs­zwecke vor, doch der Webfleet-Kunde trifft die endgültigen Entschei­dungen über die Verwen­dungs­zwecke sowie die Konfi­gu­ration und Nutzung des Systems im Detail.

  2. Interessen anderer Akteure respek­tieren

    Unser System kann für viele verschiedene Akteure mit unter­schied­lichen situa­ti­ons­be­zo­genen Rollen, Zustän­dig­keiten und Funktionen konfi­gu­riert werden. Webfleet-Kunden können Fahrern beispiels­weise die Unter­scheidung zwischen geschäft­lichen und privaten Fahrten ermöglichen und festlegen, was Vorgesetzte der Fahrer sehen und tun können. Wir unter­stützen Webfleet-Kunden auch dabei, den Rechten von Einzel­per­sonen nachzu­kommen, was den Zugang zu ihren Daten und deren Löschung angeht.

  3. Dem Einsatz­zweck angemessene Daten – nicht mehr und nicht weniger

    Webfleet-Kunden können auf vielfältige Weise konfi­gu­rieren, welche Daten erfasst und wie lange sie gespeichert werden. Das erleichtern wir Webfleet-Kunden, indem wir angemessene Standard­ein­stel­lungen für die verschie­denen typischen Anwen­dungs­fälle unserer Flotten­kunden bereit­stellen. Webfleet-Kunden können diese Standard­ein­stel­lungen jedoch auch mühelos an ihre spezi­fi­schen Anfor­de­rungen anpassen.

  1. Was Sie nicht begründen können, sollten Sie unterlassen

    Eingängige Erklärungen sorgen dafür, dass alle Beteiligten mit der Verwendung ihrer Daten einver­standen sind. Wir empfehlen, klar formulierte Online-Hand­bücher und Schulungs­ma­te­rialien bereit­zu­stellen.

  2. Missbrauch erkennen und verhindern

    Infor­ma­ti­ons­si­cherheit ist wichtig für Webfleet, und wir lassen unsere Infor­ma­ti­ons­si­cherheit jährlich prüfen und zerti­fi­zieren. Das beste Verfahren für den Umgang mit Daten­schutz­ver­let­zungen ist, sie von vornherein zu vermeiden. Unfälle lassen sich jedoch niemals völlig ausschließen, daher gibt es bei Webfleet ein robustes Vorfall­ma­nagement. Dies umfasst die umgehende Benach­rich­tigung sowie die Zusam­men­arbeit mit Ihnen zur schnellen Lösungs­findung.

wf gdpr whitepaper

Laden Sie den DSGVO Best Practice­-Leit­faden Telematik herunter

wf gdpr whitepaper

Ihr umfassender Leitfaden mit Best Practices zur Daten­schut­z-Grund­ver­ordnung im Bereich Telematik enthält einen hilfreichen Aktionsplan, der Sie bei der Einhaltung der neuen Anfor­de­rungen unterstützt.

Leitfaden herun­ter­laden

Weitere Infor­ma­tionen zur Daten­schut­z-Grund­ver­ordnung

Mit weiteren Fragen zur Daten­schut­z-Grund­ver­ordnung können Sie sich jederzeit hier an uns wenden.

Weitere Infor­ma­tionen zur Daten­schut­z-Grund­ver­ordnung von der Europäi­schen Kommission und vom Information Commis­sioners Office (ICO) finden Sie unter den nachste­henden Links:

Weitere Infor­ma­tionen über Datenschutz und Infor­ma­ti­ons­si­cherheit bei Webfleet,.

Wir bei Webfleet, nehmen Infor­ma­ti­ons­si­cherheit und Datenschutz ernst. Daher investieren wir fortlaufend in unser Engineering, bewährte Techno­logien, Prozesse und Mitarbeiter. So können wir Ihnen jederzeit den zuver­läs­sigsten Telema­tik­dienst der gesamten Branche bereit­stellen.

Als einer der weltweit größten Anbieter von Telema­tik­diensten ist uns die fortlau­fende Investition in unsere Plattform wichtig. Wir streben nach beständiger Weiter­ent­wicklung, um sicher­zu­stellen, dass wir der beste Partner für Ihr Unternehmen sind – jetzt und in Zukunft. Für weitere Infor­ma­tionen über Datenschutz und Infor­ma­ti­ons­si­cherheit der Webfleet-Service­plattform klicken Sie hier.

RECHTLICHER HINWEIS: Infor­ma­tionen auf der Webfleet-Webseite sind unver­bindlich und geben lediglich unsere Ansichten wieder. Sie sollten nicht als Rechts­be­ratung zu diesem Thema aufgefasst werden. Infor­ma­tionen auf unserer Webseite berück­sich­tigen u. U. nicht die aktuellen rechtlichen Entwick­lungen. Stützen Sie sich nicht auf diese Infor­ma­tionen, ohne Rechts­be­ratung einzuholen.