Elektronisches Fahrtenbuch – „Datenerfassung auf 4 Rädern“

Elektronisches Fahrtenbuch

Viele Unternehmen stellen ihren Mitarbeitern einen Dienstwagen zur Verfügung, welcher meist ebenso privat genutzt werden darf. Im Falle einer erlaubten Privatnutzung unterscheidet man typischerweise für die Versteuerungsmethode zwischen einer 1%-Regelung oder einer Fahrtenbuchmethode. Was vielen Unternehmen nicht bewusst sein dürfte: auch ein elektronisches Fahrtenbuch dürfte sensible Daten enthalten, welche unter das Datenschutzrecht fallen. Besonders durch die vorhandenen technischen Möglichkeiten und angepassten datenschutzrechtlichen Voraussetzungen rückt der Dienstwagen immer mehr in den Fokus des Datenschutzes. Unternehmen sollten sich daher hinreichend informieren und entsprechende Vorkehrungen treffen, um ungewollte datenschutzrechtliche Verstöße zu vermeiden.

Nachfolgend erhalten Sie einen kurzen Überblick über die Thematik und welche datenschutzrechtliche Brisanz sich hinter einem elektronischen Fahrtenbuch verbergen könnte.

Elektronisches Fahrtenbuch – Erfassung von Fahrten

Viele Arbeitnehmer erhalten von ihrem Arbeitgeber einen Dienstwagen, welchen diese auch privat nutzen dürfen. Bei der Erlaubnis einer Privatnutzung stellt sich grundsätzlich die Frage der Versteuerungsmethode. In der Regel kann zwischen der 1 %-Regelung (pauschale Versteuerung) oder der Fahrtenbuchmethode (individuelle Versteuerung) gewählt werden. Wählt man die Fahrtenbuchmethode, muss einmal im Jahr eine vollständige Dokumentation der Fahrten dargelegt werden. Die Dokumentation erfasst dabei die zurückgelegten Fahrtstrecken sowie den Anlass der Fahrten, wobei zwischen geschäftlichen und privaten Fahrten unterschieden werden sollte. Die schriftliche/händische Erfassung dürfte meist als aufwendig und ungenau angesehen werden. Dabei kann es insbesondere vorkommen, dass Mitarbeiter die Fahrten nicht ordnungsgemäß dokumentieren. Aus diesem Grund entscheiden sich viele Unternehmen dafür, ein elektronisches Fahrtenbuch zu führen, welches jede Fahrtstrecke automatisch erfasst. Beide Sachverhalte können datenschutzrechtliche Problemfelder bilden und sind dabei unterschiedlich zu bewerten.

Funktionsweise elektronisches Fahrtenbuch

Damit eine rechtliche Auseinandersetzung mit der Thematik erfolgen kann, ist vorab die Funktionsweise eines elektronischen Fahrtenbuches zu ermitteln. Bei dem Einsatz eines Fahrtenbuches dürften Positionsdaten durch GPS (Global Positioning System) erfasst werden, welche mittels eines im Auto integrierten GPS-Empfängers erhoben werden dürften. Die erhobenen Daten dürften daraufhin an den Anbieter des elektronischen Fahrtenbuchdienstes automatisch übertragen und über die vom Dienstleister zur Verfügung gestellte Software vom Arbeitgeber (Auftraggeber) abgerufen werden.

Anwendbarkeit des Datenschutzes

Die datenschutzrechtlichen Vorschriften finden nur Anwendung, wenn es um die Verarbeitung von personenbezogenen Daten geht. Bei personenbezogenen Daten handelt es sich um Angaben, welche direkt oder indirekt einer natürlichen Person zugeordnet werden können. Fahrtenbücher dürften sich jedoch im Regelfall auf das Fahrzeug beziehen. Die Angabe des Namens des Fahrers dürfte hingegen nicht notwendig sein, da es nicht maßgeblich ist, wer gefahren ist, sondern ob die Fahrt privat oder zu betrieblichen Zwecken erfolgt ist. Dies könnte den Rückschluss erzeugen, dass es sich bei den erhobenen Daten für ein Fahrtenbuch nicht um personenbezogene Daten handeln dürfte. Meist sind die betrieblichen Fahrzeuge jedoch entweder nur einem Mitarbeiter zugewiesen oder es werden die Namen der Mitarbeiter erfasst, die das Fahrzeug nutzen. Aus organisatorischen und haftungsrechtlichen Gründen dürfte dies notwendig sein.

Folglich ist es mit einem elektronischen Fahrtenbuch möglich das Datum der Fahrt, die Position, den Beginn und das Ende der Fahrt sowie die Fahrtstrecke einer bestimmten Person zuzuweisen. Aufgrund der Zuweisungsmöglichkeit der Daten zu einer Person handelt es sich dabei um personenbezogene Daten. Dies gilt auch für die Angaben – z. B. Name, Adresse, etc. – von aufgesuchten Geschäftspartnern, sofern diese natürliche Personen oder eingetragene Kaufleute sind.

Durch die Kombination der Angaben des Fahrers und dessen Positionsdaten dürften sich Rückschlüsse über seine Aktivität erfassen lassen. Sofern die Daten ausgewertet werden, ist es sogar möglich, Tätigkeits- und Bewegungsprofile zu erstellen, welche aufgrund ihres Überwachungscharakters stark in den Persönlichkeitsbereich einer Person eingreifen und daher als sensible personenbezogene Daten gelten dürften.

Eine Verarbeitung personenbezogener Daten ist nach den datenschutzrechtlichen Vorgaben grundsätzlich untersagt, sofern keine Einwilligung durch die betroffene Person besteht oder eine Rechtsgrundlage die Handlung erlaubt (sog. Verbot mit Erlaubnisvorbehalt). Neben den Regelungen der Datenschutz-Grundverordnung (DS-GVO) können für Fahrtenbücher auch die Vorgaben des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) einschlägig sein.

Der Anwendungsbereich dürfte mitunter davon abhängen, in welcher Beziehung der Betroffene zu der verantwortlichen Stelle steht und welche Technik zur Standortbestimmung genutzt wird.

Elektronisches Fahrtenbuch auf Verlangen des Arbeitgebers

Durch die Führung eines elektronischen Fahrtenbuches kann sich das Unternehmen einen einfacheren Überblick über die Kosten verschaffen sowie effektiver die Verwaltung der Dienstwagen durchführen. Daneben können die Angaben aus einem elektronischen Fahrtenbuch – in bestimmten Fällen – ohne zusätzlichen Aufwand der Straßenverkehrsbehörde oder dem Finanzamt vorgelegt werden. Ebenso dürfte dem Unternehmen eine vereinfachte Auswertung der Daten durch die elektronische Führung eines Fahrtenbuches ermöglicht werden.

Wird die Nutzung eines elektronischen Fahrtenbuches vom Arbeitgeber vorgeschrieben, so ist dieser nach Art. 4 Nr. 7 DS-GVO ein sog. Verantwortlicher. Verantwortlicher ist nach der gesetzlichen Definition eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die alleine oder gemeinsam mit anderen über den Zweck und die Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Arbeitnehmer ist folglich dafür verantwortlich sicherzustellen, dass die Nutzung des elektronischen Fahrtenbuches unter Berücksichtigung der gesetzlichen Vorgaben erfolgt.

Externer Dienstleister für das elektronische Fahrtenbuch – Was ist zu beachten?

Nutzt der Arbeitgeber für die Führung eines elektronischen Fahrtenbuches die Dienste eines externen Anbieters, wird dieser nicht von seiner Position als Verantwortlicher frei. Der Dienstleister dürfte i. d. R. lediglich als „verlängerter Arm“ des Arbeitgebers agieren und dürfte als sog. Auftragsverarbeiter qualifiziert werden. Ein Auftragsverarbeiter ist nach Art. 4 Nr. 8 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Besteht ein solches Verhältnis, so hat der Arbeitgeber (Verantwortlicher) nach Art. 28 DS-GVO die Pflicht, den Auftragnehmer sorgfältig auszuwählen und zu überprüfen. Zusätzlich zu der Überprüfungspflicht besteht nach Art. 28 Abs. 3 DS-GVO die Pflicht, dass die Vereinbarung zwischen Verantwortlichen und Auftragnehmer auf der Basis eines Vertrags zur Auftragsverarbeitung erfolgt, einem sog. Auftragsverarbeitungsvertrag (kurz AVV).

Wie genau eine Überprüfung durchgeführt werden soll, hängt dabei vom Dienstleister und der Komplexität der Verarbeitung ab. Weiterhin wäre auch sorgsam zu überprüfen, ob das Fahrtenbuch vom Finanzamt anerkannt wird.

Datenschutz-Folgenabschätzung

Was oftmals unbeachtet bleibt, ist die Durchführung einer sog. Datenschutz-Folgenabschätzung, welche vor dem Einsatz eines elektronischen Fahrtenbuches ggf. erforderlich sein dürfte. Eine Datenschutz-Folgenabschätzung ist immer dann durchzuführen, wenn die Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Da es mit der Auswertung der aufgezeichneten Daten durch ein elektronisches Fahrtenbuch möglich seine dürfte, ein Bewegungsprofil des Betroffenen anzufertigen und ggf. damit eine verdeckte Verhaltens- und Leistungskontrolle getätigt werden könnte, ist zumindest die Prüfung, ob eine Datenschutz-Folgenabschätzung durchzuführen ist, unentbehrlich. Näheres zu der Datenschutz-Folgenabschätzung erfahren Sie in unserem Beitrag:

„Neuerung durch die DS-GVO – Datenschutz-Folgenabschätzung (DSFA)“

Risiko – Dienstleister aus einem Drittland

Sofern ein Dienstleister für die Bereitstellung/Wartung eines elektronischen Fahrtenbuches beauftragt wird, sollte bei der Auswahl des Dienstleisters darauf geachtet werden, ob die Datenverarbeitung auch im Ausland durchgeführt wird. Sollten die Daten innerhalb der EU oder des EWR (Europäischer Wirtschaftsraum) bleiben, stellt dies im Regelfall kein Problem dar, da die Datenschutz-Grundverordnung gilt. Anders sieht es aus, wenn die personenbezogenen Daten in ein sog. Drittland übertragen und verarbeitet werden. Hier kann nicht von vornherein von einem angemessenen Datenschutzniveau ausgegangen werden. Nach der DS-GVO ist eine Übermittlung von personenbezogenen Daten nicht zulässig, sofern folgende Vorrausetzungen nicht vorliegen:

  • Ein angemessenes Datenschutzniveau (wird durch die Kommission festgestellt).
  • Die Parteien schließen Binding Corporate Rules (verbindliche interne Datenschutzvorschriften) ab, die von der zuständigen Aufsichtsbehörde geprüft werden.
  • EU-Standardvertragsklauseln werden genutzt, die zwischen Datenexporteur und dem Datenimporteur geschlossen werden.
  • Es werden individuelle Verträge mit dem Betroffenen abgeschlossen. Diese sind durch die zuständige Aufsichtsbehörde zu prüfen.
  • Die Datenübermittlung ist auf Grundlage von Zertifizierungen zulässig. Es liegt jedoch an der zuständigen Aufsichtsbehörde hierzu Rahmenbedingungen zu erarbeiten.
  • Des Weiteren besteht für USA-Unternehmen die Möglichkeit, sich dem Privacy-Shield-Abkommen zu unterwerfen, welches jedoch regelmäßig in der Kritik steht.

Hinsichtlich der EU-Standardvertragsklauseln kann sich in der Zukunft auch noch einiges ändern. Derzeit steht eine Entscheidung des Europäischen Gerichtshofs (EuGH) an, welche die EU-Standardvertragsklauseln als ungeeignet bewerten könnte.

Näheres hierzu erfahren Sie in unserem Beitrag: „EU-Standardvertragsklauseln auf der Kippe? – Mündliche Verhandlung beim Europäischen Gerichtshof (EuGH)

Interne Regelungen zum elektronischen Fahrtenbuch schaffen

Bei dem Einsatz eines elektronischen Fahrtenbuches sollten interne Regelungen schriftlich festgesetzt werden, um den Umgang sowie die Rechte und Pflichten klar zu definieren. Wichtig ist dabei, dass die Mitarbeiter über die Datenverarbeitung ausreichend informiert werden müssen. Dies kann durch Schulungen, ein Informationsblatt und/oder der Aushändigung der Regelung gewährleistet werden. Bei der Erstellung sowie der datenschutzrechtlich korrekten Umsetzung kann der Datenschutzbeauftragte helfen. Ebenso sollte, sofern ein Betriebsrat im Unternehmen besteht, dieser bei der Ausgestaltung der Regelung ebenfalls eingebunden werden.

Mitbestimmung des Betriebsrates

Hat ein Unternehmen einen Betriebsrat, hat dieser nach § 87 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, welche dazu bestimmt sind das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.

Fazit

Bei der Nutzung oder gewünschten Einführung eines elektronischen Fahrtenbuches sind viele Kriterien zu beachten, um eine rechtskonforme Umsetzung zu gewährleisten. Hierbei sind viele datenschutzrechtliche Kriterien zu beachten, bei denen Ihnen Ihr Datenschutzbeauftragter mit Sicherheit helfen wird.

Haben Sie weitere Fragen zu dieser Thematik oder benötigen Sie Hilfe bei der Umsetzung von Datenschutzmaßnahmen innerhalb Ihres Unternehmens?

Brands Consulting hilft Ihnen gerne weiter. Wir bieten Ihnen kompetente und fachkundige Unterstützung rund um den Bereich Datenschutz. Kontaktieren Sie uns und holen Sie sich ein auf Ihre Bedürfnisse abgestimmtes, unverbindliches und kostenloses Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. das Gesetz über den Kirchlichen Datenschutz (KDG)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen