EU-DSGVO trifft auch die Telematik

Es ist nicht zu übersehen. Das am 26. Mai 2018 in Kraft tretende neue Bundesdatenschutzgesetz (BDSG), welches auf der nun schon seit fast zwei Jahren verabschiedeten Datenschutz-Grundverordnung (DSGVO) der EU basiert, beherrscht in diesen Tagen die Wirtschaftsmedien. Es setzt der Erhebung, Speicherung und Verarbeitung personenbezogener Daten enge Grenzen und fordert von Unternehmen diverse Maßnahmen zur Sicherstellung des Datenschutzes.
Laut DSGVO sind “personenbezogene Daten” alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dabei wird eine natürliche Person dann als identifizierbar angesehen, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann. Schon die einfache Werbe-Website des Handwerkers um die Ecke, die mittels Google Analytics Zugriffe protokolliert und auswertet, ist vom BDSG betroffen, denn gemäß einer Entscheidung des Bundesgerichtshofs sind selbst dynamische IP-Adressen als personenbezogene Daten anzusehen.

security-2910624_1920

Bildquelle: pixabay.com

Spätestens beim Lesen des Begriffs “Standortdaten” in vorstehendem Absatz wird dem Betreiber eines Telematiksystems dämmern, dass auch sein Unternehmen hinsichtlich der Nutzung der Telematik vom BDSG betroffen sein könnte. Typischerweise werden ja auch bei einfachen Telematiksystemen nicht nur die Standorte der Fahrzeuge erhoben, sondern auch die Namen der zugehörigen Fahrer. Schon hat man “personenbezogene Daten”. Und wenn das genutzte Telematiksystem explizit Fahrerdaten, wie etwa Arbeitszeiten, Verstöße gegen Lenkzeitverordnungen, usw., erhebt, ist natürlich besondere Aufmerksamkeit in Sachen Datenschutz notwendig.
Was heißt das nun für den Telematiknutzer? Grob vereinfacht gesagt, fordern die DSGVO und das BDSG zunächst einmal vom Unternehmen die Dokumentation aller die personenbezogenen Daten betreffenden Verarbeitungstätigkeiten, das so genannte Verarbeitungsverzeichnis. In diesem Zuge ist unter anderem eine Zulässigkeitsprüfung vorzunehmen. Zur Datenerhebung und -verarbeitung muss entweder eine Erlaubnis des Betroffenen vorliegen oder eine andere der in Art. 6 der DSGVO definierten Voraussetzungen, wie etwa ein öffentliches Interesse. Weiterhin ist eine Folgenabschätzung vorzunehmen, in der die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den verfolgten Zweck bewertet werden. Entscheidender Teil der Folgenabschätzung ist die Festlegung von Sicherheitsvorkehrungen und Verfahren zum Schutz der personenbezogenen Daten, die so genannten “technischen/organisatorischen Maßnahmen”, wie etwa Zutritts- und Zugriffskontrolle, Protokollieren von Datenänderungen und vieles mehr. Für diesbezügliche Details sei auf die einschlägigen Publikationen verwiesen.

Bild ParagraphBildquelle: pixabay.com

Aus Sicht der Telematik ist ein weiterer Aspekt nicht zu vernachlässigen. Die Zeiten, in denen ein Flottenbetreiber den Telematikserver -und damit die Datenspeicherung und -verarbeitung- selbst betrieben hat, dürften bei den meisten Unternehmen Vergangenheit sein. Heutige Systeme sind meist webbasiert, also dürfte der Telematikanbieter bzw. Portalbetreiber im Sinne der DSGVO als “Auftragsverarbeiter” anzusehen sein, dessen Beauftragung und Überwachung durch den Telematiknutzer weiteren Regularien unterliegt. Falls dieser Auftragsverarbeiter dann auch noch in einem Drittstaat sitzt (Achtung Brexit!), kommen weitere verschärfende Regelungen hinzu.
Den Anwendern von Telematiksystemen sei daher dringend empfohlen, sich intensiv mit den bevorstehenden Änderungen im Datenschutz auseinanderzusetzen und juristische Beratung einzuholen.