DATENSCHUTZ: QUERSCHNITTSAUFGABE FÜR DAS GANZE UNTERNEHMEN

Interview Fuhrparkmanagement: Am 25. Mai 2018 tritt das neue Europäische Datenschutzrecht (EU-DSGVO) mit neuen Regeln in Sachen Datenschutz in Kraft. Der Beratungsbedarf in den Unternehmen ist riesig groß.

Herr Dimas, was bedeutet Datenschutz für den Fuhrpark eines Unternehmens? Was heißt das konkret für die Nutzer der Dienstwagen?

Jeder Dienstwagennutzer ist mit seinem Daten in der Regel über mehrere Schnittstellen mit anderen Abteilungen des Unternehmens verbunden. Das kann die Buchhaltung sein, die Personalabteilung oder eben der Fuhrpark. Hier wie dort sind persönliche Daten wie Name, Adresse, Führerschein,- und Bankdaten im Spiel. Das bedeutet, Datenschutz ist nicht nur eine Aufgabe für eine Abteilung, sondern eine Querschnittsaufgabe für das ganze Unternehmen.

Welche Rolle spielt die Größe eines Unternehmens bei der Umsetzung des Datenschutzes?

Die Unternehmensgröße spielt definitiv keine Rolle. Datenschutz betrifft den kleinen Gewerbebetrieb ebenso wie den mittelständischen Dienstleister und das große Industrieunternehmen. Einen gewissen Spielraum gibt’s in der Frage, ob der Betrieb dazu verpflichtet ist, einen Datenschutzbeauftragten zu ernennen. Diese Position ist grundsätzlich immer zu besetzen, wenn in einem Unternehmen mehr als neun Menschen regelmäßig mit der elektronischen Verarbeitung von Personendaten beschäftigt sind.

Ein Handwerksbetrieb bräuchte demnach keinen Datenschutzbeauftragen?

Entscheidend ist hier, dass mit dieser Vorgabe alle Mitarbeiter gemeint sind, die de facto mit Personendaten arbeiten. Das kann der Geschäftsführer sein, die Chefsekretärin, die Buchhaltung, Mitarbeiter in Einkauf und Vertrieb und natürlich das Fuhrparkmanagement. Dabei kommt es nicht darauf an, ob die Mitarbeiter angestellt sind oder vielleicht nur in Teilzeit ihrem Job nachgehen. Am Ende zählen die Köpfe, was bedeutet, das auch in einem vergleichsweise kleinen Unternehmen ein Beauftragter für den Datenschutz erforderlich sein kann.

Wie sollen sich kleine Unternehmen in Sachen Datenschutz aufstellen?

Auch wenn kein Datenschutzbeauftragter erforderlich ist, kommt ein Betrieb nicht daran vorbei, die Pflichten in Sachen Datenschutz korrekt zu erfüllen. Der Datenschutz steht zum Beispiel auch dann auf der Tagesordnung, wenn externe Dienstleister im Spiel sind, die Daten der Dienstwagennutzer verarbeiten. Das kann der Leasinggeber sein, ein Fuhrparkberater oder der Steuerberater. Hier wie dort ist eine so genannte Auftragsdatenverarbeitung angesagt, die sicherstellen soll, dass der Dienstleister die eigenen Daten sicher und rechtskonform verarbeitet. Kleine Unternehmen sollten sich also zumindest durch einen Experten beraten lassen, damit die Grundlagen zum Datenschutz im Unternehmen stimmen.

Wie stellen sich denn die Verantwortlichkeiten im Unternehmen dar?

Datenschutz ist in jedem Fall immer Chefsache. Die Unternehmensleitung trägt die Gesamtverantwortung und ist für die Umsetzung der Pflichten und Anforderungen aus der Datenschutzgrundverordnung verantwortlich. Sie muss unter anderem eine Organisationsstruktur für den Datenschutz einrichten und sicher stellen, dass die datenschutzrelevanten Unternehmensprozesse korrekt überwacht werden. Zuständig sind aber auch die Leiter der Fachabteilungen und die Mitarbeiter selbst. Sie stehen zum Beispiel in der Pflicht, sich mit den Regelungen und Vorschriften ihres Unternehmens in Sachen Datenschutz vertraut zu machen und diese auch zu beachten. Auch der Datenschutzbeauftragte hat Verantwortung, wenn es diese Position im Unternehmen gibt.

Worin besteht der Part des Datenschutzbeauftragten? Was muss er können?

Der Datenschutzbeauftragte braucht zum Beispiel ein gutes technisches Verständnis. Er muss sich mit Verfahren und Techniken der automatisierten Datenverarbeitung, aber auch mit den rechtlichen Bedingungen und Fallstricken im Datenschutzrecht auskennen. In erster Linie ist seine Aufgabe die Umsetzung der rechtlichen Datenschutzanforderungen aus der DS-GVO. Dazu ist unter anderem Beratung, Unterstützung und Monitoring bei Umsetzung und Überwachung gefragt. Im Unternehmen stet der Datenschutzbeauftragte auf Augenhöhe mit Geschäftsleitung, Management und Mitarbeitern. Er ist nicht weisungsgebunden und steht arbeitsrechtlich auf der gleichen Stufe wie ein Betriebsrat.

Wer könnte denn diesen Job im Unternehmen übernehmen?

Die Geschäftsleitung sollte sich in jedem Fall überlegen, wer für diese Aufgabe in Frage kommt. Keine guten Kandidaten wären zum Beispiel der Fuhrparkleiter, der IT-Abteilungsleiter oder der EDV-Mitarbeiter, der bereits mit den entsprechenden Daten zugange ist. Als Datenschutzbeauftragte müssten sich diese Mitarbeiter unter Umständen selbst maßregeln, was in der Praxis kaum funktionieren dürfte. Auch der Geschäftsführer selbst kommt für den Job nicht in Frage. Generell sollte der Datenschutzbeauftragte nicht bereits eine Verantwortung als leitender Mitarbeiter im Unternehmen besitzen. Datenschutz ist zudem keine Aufgabe, die ein Mitarbeiter nebenbei erledigen könnte.

Wie steht’s mit dem Engagement eines externen Datenschutzbeauftragten?

Das dürfte für manche Unternehmen eine Alternative sein. Wer einen externen Experten engagiert, schlägt damit zwei Fliegen mit einer Klappe. Die Zeit und die Ressourcen für Schulungen, die der eigene Mitarbeiter in Anspruch nehmen müsste, fallen mit dem externen Beauftragten weg. Zudem hat der das Know-how, um die nötigen Themen und Aufgaben im Betrieb auszurollen.

Welche Aufgaben in Sachen Datenschutz kommen auf einen Fuhrparkleiter zu?

In den Fuhrparks gibt es in der Regel jede Menge Prozesse und Aufgaben, bei denen Daten der Dienstwagennutzer verarbeitet werden. Als Abteilungsleiter übernimmt er zum Beispiel die Prozessverantwortung für den Datenschutz. Dazu gehören etwa die Dokumentation, die Identifizierung von Schnittstellen und die Verwaltung von Einwilligungen und Nachweisen der Dienstwagennutzer. Ebenfalls eine Aufgabe, die fast zwangsläufig auf den Fuhrparkverantwortlichen zukommt, ist die Sicherstellung der Betroffenenrechte und die Erfüllung der Transparenz- und Informationspflichten. Dazu gehört auch ein ausführliches Briefing der einzelnen Mitarbeiter zum Datenschutz.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.