Die neue Datenschutz-Grundverordnung (DSGVO)

Sind Sie vorbereitet auf die neue Datenschutz-Grundverordnung (DSGVO)?

Jedes Unternehmen mit Firmenfahrzeugen – seien es Dienstfahrzeuge, Servicefahrzeuge und Transporter oder Poolfahrzeuge – besitzt und sammelt Daten über diese Fahrzeuge. Dies gilt auch für Dienstleister wie etwa Leasinggesellschaften, Garagen, Kraftstoffunternehmen oder Reifenhändler. Und weil wir in einer digitalisierten Welt leben, sind immer mehr Autos mit Telematiksystemen ausgestattet; sie wurden ab dem 31. März 2018 mit einer obligatorischen Notruffunktion (eCall) versehen. Verschiedene Unternehmen sammeln und verarbeiten zur Verwaltung einer Firmenflotte unterschiedliche Datenströme. Was müssen all diese Unternehmen nun tun, um die Einhaltung der neuen Allgemeinen Datenschutzverordnung (GDPR, General Data Protection Regulation) zu gewährleisten?
 

Warum wird eine neue Datenschutzverordnung eingeführt?

Unternehmen speichern immer mehr hochsensible Kundendaten. Dies bedeutet Informationen aus verschiedenen Quellen, um das Verhalten und die Leistung des Fahrers zu untersuchen. Zum Beispiel: Wo hat der Fahrer getankt? Welche Adressen umfasst das Navigationssystem des Fahrzeugs? Vertragsdaten zur Verwaltung und Anpassung des Fahrzeugvertrags, Unfalldaten, allfälliger Alkohol- oder Drogenmissbrauch, Geldbussen usw. Die Leasingunternehmen verarbeiten die persönlichen Daten der Fahrer im Auftrag der Kunden. Die Daten sind mit einem erheblichen Risiko verbunden, wenn sie gestohlen und unbefugt genutzt werden. Da die Digitalisierung immer weiter fortschreitet, war eine neue Datenschutzverordnung notwendig. Daher gehen wir davon aus, dass bei jeder neuen Ausschreibung zwingend danach gefragt wird, ob die Leasinggesellschaft der „DSGVO‟ entspricht.
 

Was bedeutet DSGVO?

Die Datenschutz-Grundverordnung legt fest, wie die Verbraucherdaten zu verwenden und zu schützen sind. Die DSGVO wurde im April 2016 offiziell vom Europäischen Parlament verabschiedet. Nach einer zweijährigen Vorannahmefrist wird sie im Mai 2018 EU-weit durchsetzbar sein.

Sie gilt für jeden, der im Zusammenhang mit dem Verkauf von Waren und Dienstleistungen an Bürger in der EU Daten über Personen verarbeitet, unabhängig davon, ob sich die Organisation innerhalb der EU befindet oder nicht.
 

Für wen gilt die DSGVO?

Die DSGVO richtet sich nach dem Wohnsitz; wenn ein Unternehmen Daten über einen EU-Bürger sammelt, gilt unabhängig davon, wo sich das Unternehmen befindet, die DSGVO. Hierzu gehören auch Unternehmen in der Schweiz oder Norwegen, wenn sie Mitarbeitende mit Wohnsitz in der EU haben. Vielen Unternehmen in der Schweiz beschäftigen Grenzgänger oder bieten Dienstleistungen für Kunden in der EU an. Somit sollten diese Unternehmen eine DSGVO-Konformität prüfen.
In der Schweiz gibt es einen Entwurf für ein neues Datenschutzgesetz auf Bundesebene, das die Rechte des Einzelnen verbessern soll. Unternehmen mit Sitz in der Schweiz unterliegen dem Bundesgesetz über den Datenschutz.
 

Was passiert in der Schweiz?

In der Schweiz ist die Regelung etwas anders. Am 15. September 2017 hat der Bundesrat den Entwurf für ein total revidiertes Datenschutzgesetz (DSG) verabschiedet. In einigen Bereichen geht das revidierte DPA nicht so weit, insbesondere in Bezug auf die vorgesehenen Sanktionen. Wann das neue Datenschutzgesetz in Kraft tritt, lässt sich nicht mit Sicherheit sagen. Als frühestes Datum wird der Herbst 2018 genannt. Die Staatspolitische Kommission des Nationalrats hat am 12. Januar 2018 angekündigt, dass sie sich mit der Revision des DPA in zwei Teilen befassen will. In einem ersten Schritt soll aufgrund der Dringlichkeit der Angelegenheit vorab die Umsetzung des durch die Schengener Abkommen geforderten EU-Rechts erörtert werden Anschliessend sollte die Vollrevision des DSG ohne Zeitdruck in Angriff genommen werden. Es bleibt abzuwarten, welche Verzögerungen sich daraus ergeben und welchen Inhalt das voll revidierte DSG eines Tages haben wird.
 

Datenverantwortlicher und Datenverarbeiter?

Datenverantwortlicher ist das, was es heisst; es ist das Unternehmen, das die Daten überprüft, die es empfängt. Das Unternehmen entscheidet, was mit den Daten geschieht, welches Unternehmen sie sammelt und wie sie verwendet werden.

Ein Datenverarbeiter verarbeitet Daten. Zum Beispiel ist es normal, dass Fahrer mit einem Firmenwagen die Leasinggesellschaft anrufen, wenn sie in einen Unfall verwickelt sind oder wenn sie Rat brauchen, wie sie ein neues Auto so konfigurieren, dass es der Firmenwagenpolitik entspricht. Um diesen Service anbieten zu können, ist es notwendig, dass die Leasinggesellschaft, die Versicherung und die Garage vom Fahrer des Fahrzeugs Daten sammeln und verarbeiten.
 

Was sind die wichtigsten Anforderungen?

Einwilligung: Bei der Einholung der Einwilligung zur Datennutzung dürfen die Unternehmen keine in Juristensprache verfassten unverständlichen Bedingungen verwenden. Es muss genauso einfach sein, die Einwilligung zurückzuziehen wie sie zu erteilen.

Benachrichtigung bei Verstössen: Im Falle eines Datenverstosses müssen die Datenverarbeiter ihre Datenverantwortlichen und Kunden binnen 72 Stunden über jedes Risiko informieren.

Recht auf Zugang: Der Fahrer hat das Recht, von einem Datenverantwortlichen eine Bestätigung darüber zu erhalten, ob seine persönlichen Daten verarbeitet werden. Der Datenverantwortliche hat dem Betroffenen kostenlos eine elektronische Kopie der persönlichen Daten zur Verfügung zu stellen.

Recht auf Vergessenwerden: Wenn die Daten für den ursprünglichen Zweck nicht mehr relevant sind, kann ein Fahrer verlangen, dass der Datenverantwortliche seine persönlichen Daten löscht und ihre Verbreitung einstellt.

Datenübertragbarkeit: Ermöglicht einem Fahrer, seine persönlichen Daten für seine eigenen Zwecke zu erhalten und wiederzuverwenden, indem er sie über verschiedene IT-Umgebungen hinweg überträgt.

Eingebauter Datenschutz: Verlangt die Einbeziehung des Datenschutzes von Anfang an durch geeignete technische und infrastrukturbezogene Massnahmen.

Datenschutzbeauftragte: Von Behörden oder Organisationen, die in grossem Umfang (>250 Mitarbeitende) eine systematische Überwachung oder Verarbeitung sensibler persönlicher Daten vornehmen, sind fachlich qualifizierte Beauftragte zu ernennen. Bei Arval hat jede Landesgesellschaft einen hochqualifizierten Mitarbeitenden für die Bearbeitung von Anfragen bezüglich der DSGVO ernannt.
 

Was passiert, wenn gegen das Gesetz verstossen wird?

Organisationen können mit Strafen bis zu EUR 20 Millionen oder 4% ihres weltweiten Umsatzes belegt werden, je nachdem, welcher der beiden Beträge höher ist.
 

Keine Panik: Was Unternehmen tun sollten

Dokumentation ist ein Muss; Unternehmen sollten anfangen zu dokumentieren, wer welche Daten sammelt, besitzt und verarbeitet. Ferner sollten sie die Fahrer der Firmenfahrzeuge um ihre schriftliche Zustimmung bitten. Andererseits sollten sie die Leasinggesellschaft auffordern zu garantieren (DSGVO-Deckung), dass sie bei Vertragsende alle persönlichen Fahrerdaten löschen, sofern der Fahrer keinen neuen Firmenwagen bekommt. Und das Unternehmen sollte seinen Fahrern die Kontaktdaten des Datenschutzbeauftragten der Leasinggesellschaft mitteilen.
 

Schnelle Checkliste zur Vorbereitung:

  1. Dokumentation:
    Es ist ein Überblick darüber erforderlich, welche Art von Daten gespeichert werden, wo sie gespeichert sind und von wem sie verarbeitet werden. Dieses Datenregister muss ständig aktualisiert werden und auch für Prüfungen oder Anfragen von Mitarbeitenden zur Verfügung stehen.

  2. Datenschutz-Bewertungen:
    Wenn das Unternehmen hochsensible Daten wie zum Beispiel Kontodaten, Geldbussen und Strafen, Sozialversicherungsnummern, ärztliche Bescheinigungen (z. B. eine Lendenwirbelstütze) speichert, ist das Unternehmen zur Durchführung von Datenschutzbewertungen verpflichtet.

  3. Angemessenes Sicherheitsniveau:
    Um eine angemessene Sicherheit zu gewährleisten, hat das Unternehmen die erforderlichen Massnahmen zum Schutz persönlicher Daten zu treffen.

  4. Kommunikation und Nutzungsbedingungen für die persönlichen Daten:
    Überprüfen Sie alle Arten von Mitteilungen und die Nutzungsbedingungen, um sicherzustellen, dass sie der DSGVO entsprechen. Stellen Sie sicher, dass die Datenverarbeiter, die im Auftrag des Unternehmens tätig sind, dies auch getan haben (schriftliche Bestätigung erforderlich).

  5. Registrierung und Benachrichtigung bei Datenverstössen:
    Führen Sie ein System zur Erfassung, Verfolgung und Mitteilung von Datenverstössen an Kunden und Fahrer ein.

  6. Datenschutzbeauftragter:
    Es sollte ein Datenschutzbeauftragter ernannt und den Fahrern seine Kontaktdaten mitgeteilt werden.

 

Haben Sie fragen zur neuen Datenschutz-Grundverordnung (DSGVO)? Gerne geben wir Ihnen persönlich Auskunft.


Malte Lindberg
Head of Consulting & CVO

malte.lindberg@arval.ch

Kontaktieren Sie uns

Die Datenschutzerklärung finden Sie hier.