#355: Volle Transparenz im Lkw? Datenschutz im modernen Fuhrpark

Shownotes

[www.verkehrsrundschau-plus.de] /// [www.verkehrsrundschau.de] ///

Redaktioneller Kontakt: tabea.schulz@tecvia.com

Sound Effect by Oleg Fedak from Pixabay

Transkript anzeigen

00:00:07: Hallo und herzlich willkommen zu einer neuen Folge von Verkehrsschau-Funk, dem Podcast rund um Transport, Logistik und Mobilität.

00:00:14: Ich bin Tabea Schulz, Mitarbeiterin der Verkehrsschau und Chefin vom Dienst beim Tracker.

00:00:18: Und ich bin Christian Bonk, freier Journalist und ebenfalls schon lange mit der Branche unterwegs.

00:00:23: Heute sprechen wir über Datenschutz im Fuhrpark.

00:00:26: Es werden nämlich durch Telematik und Bordelektronik unendlich viele Daten gesammelt und gespeichert die eine Betrachtung aus datenschutzrechtlicher Sicht absolut wert sind.

00:00:37: Und diese Daten sind nicht abstrakt.

00:00:38: Sie sind personenbezogen, also sie sagen etwas über Fahrer, Routen, Verhalten, Arbeitszeiten, Pausenverstöße, Standorte, Kundenkontakte und sogar über die körperliche Verfassung eines Fahrers.

00:00:50: Genau deshalb wird Datenschutz im Fuhrpark zu einem sehr wichtigen Thema für Fuhrpack verantwortlicher.

00:00:57: Ein aktueller Lkw hat heute zwischen einhundert und zweihundert Sensoren.

00:01:01: Viele davon erfassen Daten, die direkt oder indirekt einem Fahrrad zugeordnet werden können.

00:01:06: Geschwindigkeit, Bremsverhalten, Lenkbewebungen aber auch Müdigkeitsindikaturen, Türöffnungen, Temperaturverläufe sogar der Reifendruck, Tankfüllstände und natürlich GPS Positionen im Sekundentakt

00:01:20: Und das ist nur die Grundausstattung.

00:01:22: Dazu kommen Blackboxes, On-Board Units, Dashcams, Abbiegerassistenten, Müdigkeitserkennungssysteme, digitale Tachographen, Trailer Telematik, Reifensensorik und Fahrer-Apps.

00:01:33: Jede dieser Bausteine erzeugt Daten – viele davon landen nicht nur im Unternehmen sondern auch beim Hersteller!

00:01:40: Aber und das ist besonders wichtig für diese Folge heute, wir machen heute keinen Technik-Deep Dive.

00:01:45: Wir schauen uns an welche dieser Daten tatsächlich personenbezogen sind wie Unternehmen sie rechtlich sauber verarbeiten müssen und wo die größten Risiken liegen.

00:01:54: Denn egal ob Sensorik, Disposition oder Kundenkommunikation am Ende geht es immer um Menschen Um Fahrerinnen und Fahrer, um Subunternehmer und

00:02:02: Kunden

00:02:03: Und damit um Datenschutz im Arbeitsalltag.

00:02:06: Fahrerprofile, Standortdaten, Lenkzeiten, Verstöße, Arbeitsnachweise, Kommunikationsdaten aus der Disposition.

00:02:13: All das fällt täglich an und vieles davon wird automatisiert gespeichert.

00:02:17: hinzukommen Daten von Subunternehmen wie Kontaktdaten Einsatzzeitentouren, Abrechnungsdaten und natürlich Kundendaten mit Lieferadressen ansprechpartnern Zeitfenstern und Auftragdetails.

00:02:29: Das alles muss dokumentiert, geschützt und rechtlich sauber verarbeitet werden.

00:02:33: Und genau hier wird es für viele Unternehmen schwierig.

00:02:36: Die große Frage?

00:02:37: Wohin gehen die Daten eines modernen Lkw eigentlich?

00:02:40: Die Antwort ist klar!

00:02:41: Sie gehen fast immer zuerst zum Hersteller.

00:02:44: Ob Volvo, Scania, MAN, Mercedes oder DAF alle betreiben ihre eigenen Telematikplattformen, die mit haufenweise gesammelten Daten gespeist werden.

00:02:56: Moderne Fahrzeuge sind so gebaut, dass sie permanent mit den OEM-Servern kommunizieren.

00:03:01: Das ist technisch notwendig für Wartungen, Updates, Diagnose – aber datenschutzrechtlich hochrelevant!

00:03:08: Denn die Hersteller bekommen Motor und Fahrzeugdaten teilweise auch Standortdaten oder das Fahrverhalten, Fehlermeldung oder Wartungsinformationen.

00:03:17: Und das wirft die Frage auf… Ist das alles eigentlich noch mit der DSGVO vereinbar?

00:03:22: Wir kennen die Diskussion aus anderen Bereichen – Tesla, Dashcams over the Air Updates, KI-gestützte Fahrüberwachung.

00:03:29: Die Logistik

00:03:30: ist da nicht weit weg!

00:03:32: Und die Vorparkverantwortlichen sind nicht nur damit beschäftigt jedes Sensorsignal zu verstehen sondern es geht für sie auch darum die personenbezogenen Daten zu identifizieren und dokumentieren und damit zu schützen.

00:03:45: Also welche Daten entstehen?

00:03:47: Wer hat Zugriff, wie lange werden sie gespeichert, wofür werden Sie genutzt und was passiert wenn ein Fahrer Auskunft verlangt.

00:03:55: Um diese Themen ein bisschen mehr zu beleuchten haben wir heute jemand bei uns der absoluter Datenschutz-Experte ist.

00:04:02: Michael Rohlich ist Rechtsanwalt vom TÜV Süd zertifizierter Datenschuzbeauftragter und Fachautor des Datenschutzzortals DSB.

00:04:11: Ratgeber.

00:04:12: Schönen guten Tag Herr Rullich.

00:04:14: Vielen Dank, dass Sie heute Zeit für uns haben und wir gemeinsam das Thema Datenschutz im Vorpark erörtern.

00:04:21: Ja vielen dank für die Einladung vor mich, dass ich hier sein kann.

00:04:24: Dann steigen wir gleich ein.

00:04:26: Welche personenbezogene Daten fallen denn im Alltag eines Vorparks typischerweise an?

00:04:31: bei Fahrern Subunternehmern und Kunden?

00:04:35: Da muss ich vielleicht ganz kurz ein bisschen ausholen um erst mal zu gucken Was sind personenbezogene Daten überhaupt?

00:04:41: Allein darüber könnten wir uns schon zwei Stunden unterhalten, das ist nämlich gar nicht so trivial wie sie es anhört.

00:04:47: Das Fass will ich jetzt aber gar nicht aufmachen, sondern Person bezogene Daten sind solche Informationen anhand derer ich einen Menschen eine natürliche Person zumindest identifizieren kann.

00:04:58: Das Gesetz legt das sehr weit aus und auch die Gerichte legen das regelmäßig sehr zum Teil stark diskutiert, was jetzt wirklich personenzunge Daten sind und was nicht.

00:05:12: Der Einfachhalber würde ich für die Praxis empfehlen entweder in einem Logistikbranche oder auch in allen anderen Branchen im Zweifel davon auszugehen dass man es im beruflichen Alltag im Grunde fast immer mit personenzungen Daten zu tun hat.

00:05:28: das fängt natürlich bei Kundendaten an.

00:05:31: Die geben ihren Namen, ihre Anschrift vielleicht Zahldaten noch andere Informationen.

00:05:36: dann habe ich ähnliche Informationen natürlich auch über meine Beschäftigten, Übervertragspartner oder Bewerber.

00:05:42: im Grunde ist all das was wir im Alltag verarbeiten an Informationen und Daten in aller Regel auch Personen bezogen.

00:05:51: Das kann auch schon mal sein dass das eine oder andere Datum vielleicht tatsächlich keinen Personenbezug hat, weil es sich vielleicht nur auf eine juristische Person bezieht.

00:06:00: Also auf ein Unternehmen zum Beispiel.

00:06:01: dann ist dafür das Datenschutzrecht jedenfalls nicht zuständig.

00:06:05: Es kann auch eine rein anonyme Information sein wie was ist ich?

00:06:08: Eine chemische Formel über die Zusammensetzung der Bremsflüssigkeit nehmen wir jetzt mal als Beispiel Dann hat man da vielleicht überhaupt gar kein Personenbezug.

00:06:19: gleichwohl will ich direkt dazu sagen können natürlich auch nicht personenbezogene Daten einen gewissen Wert haben, sehr sensibel sein im Sinne von Geschäftsgeheimnis oder irgendwelche Lock-in-Daten etc.

00:06:31: Das heißt das was das Datenschutzrecht von uns verlangt im Umgang mit personen bezogenen Daten.

00:06:37: diese ganzen Maßnahmen die sind sinnvoll auch anzuwenden auch auf Nichtpersonen bezogene Daten.

00:06:43: um ihre Frage dann letztendlich zu beantworten.

00:06:46: Ganz viele Daten, die im Alltag so anfallen, fallen unter dem Begriff Personenbezug.

00:06:51: Datenschutzrecht also anwendbar und selbst bei denen, die nicht Personenbezug haben ausnahmsweise, bei denen sollte man im Grunde den gleichen Maßstab anlegen weil es einfach nicht was im Gesetz steht sondern weil es sinnvoll ist diese Daten zu schützen.

00:07:04: Ja verstehe das ist im Prinzip dann im Logistikunternehmen natürlich nicht anders als in anderen Unternehmensarten aber hier haben wir einfach den Schwerpunkt.

00:07:15: oder gehen wir mal zu dem Schwerpunkt.

00:07:17: Wir reden hier sehr viel von Fahrern, fahrenden Personal und natürlich Fahrzeugdaten.

00:07:23: Und wie sieht denn da ein guter Mix aus?

00:07:26: Wie kann ich als Unternehmer so unterscheiden, dass ich den Datenschutz genüge tue?

00:07:34: Der Einfachheit halber würde ich fast gar nicht... Differenzieren.

00:07:38: Denn diese Daten, die rund um den Fahrzeugbetrieb anfallen – ich bin jetzt kein Experte, kein Mechatroniker oder Techniker in dem Sinne aber all das was im Fahrzeug anfällt sowohl bei Privatfahrzeugen als auch bei gewerblich genutzten Fahrzeugen – diese Informationen können in aller Regel auf den Fahrer oder auf den Halter bezogen werden und damit haben sie einen Personenbezug.

00:08:04: Es mag auch schon mal, wie gesagt das eine oder andere Datum geben was keinen Personenbezug hat bei genauem Hinsehen.

00:08:08: Das mag sein!

00:08:10: Ich glaube aber es ist in der Praxis am besten und am einfachsten alle Daten die so anfallen so zu behandeln als seien sie personenbezogen weil das bei den allermeisten der Fall sein wird und bei denen es nicht der Fall ist, ist es nicht schlimm die schützt man dann am Besten direkt mit.

00:08:27: denn das Datenschutzrecht sei dieser Anmerkung sehr mir vielleicht noch gestattet will ja nicht verbieten, dass wir irgendwelche Daten verarbeiten.

00:08:36: Sondern es stellt im Grunde die Grundregeln auf dafür, ich sage mal untechnisch vernünftig umgehen mit den Daten, die wir so

00:08:43: verarbeiten.".

00:08:45: Ja das klingt logisch heißt also im Prinzip, wann solange keine autonom fahrenden Fahrzeuge im Einsatz sind und das wird noch eine ziemliche Zeit lang dauern.

00:08:56: Solang Menschen Fahrzeige bewegen reden wir von personenbezogenen Daten, die durch die Fahrzeugtechnik erfasst werden.

00:09:04: Richtig?

00:09:05: Genau weil das ist.

00:09:06: wie gesagt ich stecke jetzt in der Technik nicht so wahnsinnig tief drin und in der Organisation.

00:09:10: aber nach meinem Verständnis lassen sich diese ganzen Daten rund um den Fahrzeugbetrieb zumindest auch auf Fahrer schrägstrich Halter beziehen und damit haben wir einen Person unbezugiert.

00:09:23: Dann gehen wir doch mal zu einem Beispiel.

00:09:25: Etwa Standortdaten oder Bewegungsprofile, wie sie ja von Fahrzeugen erfasst werden?

00:09:30: Wie sollte ich als Fuhrpark verantwortlicher damit umgehen?

00:09:35: Möglichst gut, muss man sagen.

00:09:37: Möglichst sicher sollte ich damit umgehen so wie mit allen anderen Personenbezungen in Daten die mir anvertraut werden von den betroffenen Personen deren Daten ich da verarbeite.

00:09:48: auch das Datenschutzrecht stellt da ein paar Grundregeln auf die für alle gleich gelten sowohl für die Logistikbranche als auch für alle anderen.

00:09:56: Da wird also keinen Unterschied gemacht welche Art Person bezogen der Daten Ich habe es gibt.

00:10:02: Bei bestimmten sehr sensiblen Daten gibt es nochmal eine Sonderlocke, die gedreht wird.

00:10:06: Aber im Grunde behandelt das Datenschutzrecht alle Daten mit Personenbezug erst mal gleich, stellt für alle gleichen Grundregeln auf.

00:10:14: Ich brauche für alles was ich an personenbezogenen Daten verarbeite zum Beispiel in der Rechtsgrundlage weil mir einen Vertrag das abverlangt oder ein Gesetz das ab verlangt, dass ich sie verarbeite.

00:10:25: Weil sich eine Einwilligung bekommen hat der betroffenen Person etc.

00:10:29: Habe ich keine Rechtsgrundlage?

00:10:30: Da habe ich die Daten nicht verarbeiten!

00:10:34: weitere Dinge sind, ich muss viel dokumentieren.

00:10:36: Weil ich im Zweifel nachweisen können muss dass ich rechtskonform handle im Datenschutzrecht.

00:10:42: das heißt Ich muss sehr viel Dokumentationsarbeit erledigen Verarbeitungsverzeichnissen vielleicht hat vielleicht der ein oder andere schon mal gehört oder technisch organisatorische Maßnahmen.

00:10:51: dann muss sich aber auch sehr stark informieren.

00:10:54: Also die Menschen deren Daten ich verarbeite darüber in Kenntnis setzen.

00:10:58: Und zwar zu einem sehr frühen Zeitpunkt und auch sehr detailliert, dass ich ihre Daten verarbeite, welche Daten, zu welchen Zwecken auf welcher Rechtsgrundlage ich ver arbeite und das ganze proaktiv also nicht erst wenn jemand fragt sondern ich muss das proaktif bereitstellen.

00:11:13: man kennt das zum Beispiel von der Datenschutz Erklärung auf der Internetseite.

00:11:18: da haben wir eben Datenschutzenweise die wir geben bei der Verarbeitung von personenzogene Daten auf der.

00:11:26: Das Ganze gilt aber auch offline.

00:11:28: D.h.,

00:11:29: die Bewerber, die zu mir kommen und Beschäftigten, die bei mir sind.

00:11:32: Die Kunden, die ich habe, muss ich darüber, was sich datenschutzrechtlich alles so tue in Kenntnis setzen, Informationspflichten erfüllen.

00:11:41: Ich muss auf Datenpannen reagieren, Betroffene haben bestimmte Rechte.

00:11:45: Sie können Auskunft verlangen etc.

00:11:47: Auf diese muss ich reagieren.

00:11:49: In manchen Fällen muss ich eine sogenannte Datenschutzfolgenabschätzung durchführen.

00:11:53: spezielles Verfahren, mit dem ich prüfe oder wo ich eine bestimmte Prüfung durchlaufe wenn ich eine Verarbeitungstätigkeit einführen will die ein besonders hohes Risiko mit sich bringt.

00:12:05: Also Stichwort Einführungen von KI-Tools oder wenn ich irgendwo Kameraüberwachung machen will.

00:12:10: das sind so typische Beispiele dafür die mit einem hohen Risiko einhergehen und zwar mit einem Hohen Risiko für die Menschen deren Daten nicht verarbeiten.

00:12:19: Und da bevor ich das umsetze muss sich in der Regel eine Datenschutzfolgenabschätzung durchführen, muss also mich damit auseinandersetzen.

00:12:27: Welche technischen oder organisatorische Maßnahmen kann ich umsetzen, damit das von mir jetzt mal als hoch erkannte Risiko reduziert werden kann?

00:12:37: Zumindest auf einen Normalmaß oder auf ein niedeliges Maß und das muss ich dann dokumentieren und auch natürlich umsetzten.

00:12:43: Weitere Maßnahme wäre Schulungs- und Sensibilisierungsmaßnahmen für die Mitarbeiter und insgesamt Risikoeinschätzung.

00:12:51: der Datenschutz-Grundverordnung als grundlegendes Gesetz für den Datenschuz verfolgt einen sogenannten risikobasierten Ansatz, bedeutet ganz platt gesagt je höher das Risiko für die Betroffenen desto mehr muss ich tun um zu verhindern dass sich das Risico wirklich realisiert.

00:13:11: Das sind jetzt mal grob gesprochen typische Maßnahmen umsetzen muss, um mit personenbezogenen Daten vernünftig umzugehen und das Ganze eben wie gesagt auch noch dokumentieren damit ich den Zweifel nachweisen kann.

00:13:25: Ja klar!

00:13:26: Und wie wir glaube ich alle wissen Datenschutz ist Chefsache also im Prinzip haftbar ist wirklich die Unternehmensführung sprich der entweder Inhaber oder Geschäftsführer.

00:13:39: Jetzt gehen wir mal zurück zu den Fahrzeugen.

00:13:41: Wir wissen ja inzwischen von den Teslas dieser Welt, dass wahnsinnig viele personenbezogene Daten erfasst werden und dann automatisch sagen wir jetzt mal ganz plakativ auf US-Servern landen.

00:13:56: Das gilt mittlerweile auch in ganz großem Stil für Nutzfahrzeuge.

00:14:01: Wie ist denn damit umzugehen, wenn ich jetzt sage mal ein Vortragbetreiber bin der zwanzig hochmoderne Lkw betreibt?

00:14:11: Bei der Übermittlung von personenzungen Daten auf Dritte ist grundsätzlich zu beachten dass das zwei Voraussetzungen erfüllen muss.

00:14:23: Zum einen muss das genauso wie meine eigenen Datenverarbeitung legitimiert werden, also ich darf nicht einfach so die Daten auf Dritte übertragen sollen.

00:14:30: dafür muss es eine Legitimation geben.

00:14:32: Das ist der eine Punkt.

00:14:33: Der andere Punkt Ich muss sicherstellen, dass dort wo die Daten landen ein mit uns mit der EU vergleichbares Datenschutzniveau herrscht.

00:14:46: Diese zwei Punkte muss ich gewährleisten, ob es jetzt Fahrzeugdaten sind oder andere Daten die ich transferiere.

00:14:53: Die Legitimation... kann sich aus dem sogenannten Auftragsverarbeitungsverhältnis zum Beispiel ergeben.

00:14:58: hat, vielleicht auch der eine oder andere schon mal gehört.

00:15:00: Dann wird ein entsprechender AV-Vertrag geschlossen und dann ist das in der Regel safe.

00:15:04: Das ist keine Raketenphysik, das muss man halt mal vertraglich absichern, ist in der Praxis selten.

00:15:09: Ein Problem kriegt man häufig auf von den Datenempfängern vom großen Dienstleistern mit denen man so zusammen arbeitet auch schon angeboten.

00:15:16: Der zweite Punkt ist schon bisschen schwieriger also ich sicherstellen, dass der Datenempfänger, der jetzt meine Daten bekommt eben einen mit uns vergleichbares Datenschutzniveau hat.

00:15:26: Wenn ich die Daten innerhalb der EU transferiere oder das europäischen Wirtschaftsraums dann ist das kein Problem bei.

00:15:32: für alle gilt ja die DSGVO also haben wir ein gleiches Niveau.

00:15:36: Das Problem stellt sich immer dann wenn Ich die Daten in einem Drittland transferieren Also in einen Staat außerhalb der EU und Sie haben Jetzt Die USA genannt.

00:15:47: das Ist natürlich der Staat, das Land wo viele Unternehmen sitzen.

00:15:53: Deren Dienstleistungen, deren Tools wir so nutzen Microsoft Apple Meter Google wie sie alle heißen.

00:15:59: im Logistikbereich wird es wahrscheinlich auch den anderen Spezialanbieter geben.

00:16:04: Das heißt ganz viele dieser Daten landen in USA und die sind ja nun mal bekanntermaßen nicht EU Mitglied.

00:16:13: von einem Drittland ausgehen und irgendwie anders sicherstellen, dass es dort mit uns vergleichbares Datenschutzniveau gibt.

00:16:19: Da hilft uns in manchen Fällen die EU-Kommission.

00:16:24: Die hat bei manchen Nicht-EU-Staaten schon mal drauf geschaut und hat gesagt okay sie haben aus dem Grund ein mit uns vergleichbaeres Datenschutzeniveau und in den Fällen kriegt dieses Land dann einen sogenannten Angemessenheitsbeschluss.

00:16:36: das ist quasi ein Abkommen zwischen der EU zu Drittstaaten mit diesem Angemessenheitsbeschluss zählt, zum Beispiel die Schweiz oder Kanada, Argentinien Südkorea Japan.

00:16:50: Es gibt also eine ganze Reihe von Ländern, die haben so einen angemessenheits Beschluss was dazu führt dass sie datenschutzrechtlich quasi so behandelt werden als sein EU-Mitglied.

00:17:00: man geht davon aus die haben ein mit uns vergleichbares Datenschutzniveau.

00:17:03: Bei den USA ist es deswegen speziell, weil's da ganz viele Unternehmen gibt die hier deren Dienstleistung wir eben in Anspruch nehmen.

00:17:11: Und zum anderen haben wir derzeit zwar einen angemessenen Beschluss zwischen EU und USA.

00:17:18: Der stammt aber oder vielmehr die Grundlagen für diesen angemessene Beschluss.

00:17:24: Die stammen noch aus einer Zeit wo noch Joe Biden US-Präsident war.

00:17:29: Er hat also verschiedenste Dinge dort organisiert Und auf dieser Basis hat dann die EU gesagt, okay so jetzt können wir einen angemessenheitsbeschluss für die USA aussprechen.

00:17:39: Das sind Wirklichkeit also noch ein bisschen viel komplizierter aber ich versuche das mal ein bisschen vereinfacht darzustellen.

00:17:44: und jetzt die neue Administration unter Donald Trump.

00:17:47: Die sind gerade dabei die Voraussetzungen, die unter den Vorgängern geschaffen wurden, so ein bisschen sagen wir zurückzufahren.

00:17:54: Ich formuliere es mal vorsichtig und das heißt Es kann theoretisch irgendwann eine Zeitpunkt kommen dass die Genau gesagt, der Europäische Gerichtshof zu dem Ergebnis kommt.

00:18:06: Jetzt sind die Voraussetzungen, die wir eigentlich erwartet haben für so ein Angemessenheitsbeschluss nicht mehr da.

00:18:11: Das heißt, wir kippen den Angemassenheitsbeschluß mit den USA.

00:18:15: wenn demso sein sollte ist in dem Moment die zweite Vorausetzung für meinen Datentransfer weg nämlich das angemessene Datenschutzniveau.

00:18:24: und dann habe ich oder Microsoft, Apple, Google, Meta.

00:18:30: All diese ganzen Tools von diesen Anbietern eben nutzen haben wir alle ein Problem und das ist gar nicht so lange her dass das schon mal der Fall war.

00:18:41: Nämlich das letzte Mal als so einen angemessenheitsbeschluss mit den USA gekippt wurde.

00:18:45: Das war Mitte zwanzig.

00:18:46: da waren wir aber alle im ersten Corona Lockdown.

00:18:50: wer sich vielleicht zurück erinnert Da hat das nicht so die großen Wellen gemacht aus unterschiedlichen Gründen.

00:18:57: Aber im Grunde haben wir damals einen Übergangszeit von drei Jahren gehabt insgesamt, wo wir keinen Angemessenheitsbeschluss mit den USA hatten und wo wir streng genommen, je nachdem welcher Meinung man folgt entweder komplett rechtswidrige Datentransfers in den USA gemacht haben oder wir zumindest ein Riesenaufwand hätten betreiben müssen um das zu legitimieren.

00:19:18: Man kann das noch durch andere Maßnahmen als ein Angemessenheitsbeschluss machen.

00:19:22: Was ich damit sagen will, man muss wenn Daten auf Dritte transferiert werden egal wo die jetzt sitzen brauchen wir erstmal eine legitimation.

00:19:31: vertragliche Grundlage ist in der Regel wie gesagt kein Problem und da muss ich eben sicherstellen dass wir ein angemessetes Datenschutzniveau haben.

00:19:37: bei Staaten außerhalb der EU ist es insofern ein bisschen schwieriger weil daher ja nicht unmittelbar die DSGVO gilt

00:19:49: klingt spannend und war ja auch nicht wirklich zu erwarten, dass die Trump-Administration irgendwo in irgendeinem Feld zur Stabilität beiträgt derzeit.

00:19:59: Scheint also auch im Datenschutz so zu sein.

00:20:04: Gehen wir mal in die Praxis... wirklich geschildert, was da alles zu tun ist für einen Vorpark Verantwortlichen.

00:20:13: Wie würden Sie pragmatisch vorgehen?

00:20:15: Hult man sich wenn man da vielleicht noch nicht sehr viel getan hat, holt man sich da Hilfe und wo bekomme ich die?

00:20:23: Naja sagen wir mal so also darüber wie.

00:20:25: hier sprechen über die Datenschutzregeln das ist ja keine neue Nummer.

00:20:29: Das ist ja nichts was jetzt gestern oder vorgestern am Tisch gekommen ist.

00:20:32: dass gilt in der Form.

00:20:34: seit Mai Und auch davor, auch vor der DSGVO hatten wir ehrlich gesagt eine Situation in Deutschland wo wir ganz vergleichbare Regelungen hatten.

00:20:44: Das war hier und da im Detail schon mal ein bisschen anders.

00:20:46: aber von den Grundlagen hatten wir das auch vor.

00:20:48: die DSGVO ja?

00:20:50: Und dass nicht erst seit... ...zweitausend achtzehn oder zweitausends siebzehn sondern im Grunde schon seit.

00:20:56: er ist jetzt Mitte der achtziger Jahre.

00:20:58: Das heißt eigentlich... Bundesdatenschutzgesetz galt auch davor schon, es war nur wenig beachtet.

00:21:09: Es geht jetzt nicht darum damit dem Finger auf irgendjemand zu zeigen aber das sind Regeln die ich eigentlich schon lange hätte umsetzen müssen.

00:21:19: Wie kann ich das tun?

00:21:21: Ich bin sowieso wenn ich einigermaßen großes Unternehmen bin also mindestens mal zwanzig Köpfe habe sei es Vollzeit, Teilzeitbeschäftigte auszubilden wie immer dann muss ich in der Regeln Datenschutzbeauftragten benennen.

00:21:35: In manchen anderen Fällen sogar auch kleinere Unternehmen und dieser Datenschurz beauftragt, das kann intern oder externer sein, der sollte damit den notwendigen Fachkunde ausgestattet sein Und der hilft mir dabei alles datenschutzrechtliche was sich machen muss umzusetzen.

00:21:53: Was man jetzt aber nicht verwechseln darf die Verantwortung ist und bleibt bei der Geschäftsleitung.

00:21:59: Die gibt die Verantwortung auch nicht ab, wenn sie den DSB benennt.

00:22:03: Aber der DSB ist halt derjenige mit Fachkompetenz im besten Falle, der das Ganze dann hilft umzusetzen – die ganzen Vorgaben, die es eben nun mal gibt und alle auf dem Laufenden zu halten und vielleicht auch die Beschäftigten zur Schule, dass sie sensibilisiert werden etc.

00:22:18: Wenn ich das also alles selber nicht kann oder möchte weil mir die Manpower fehlt wie auch immer bleibt mir im Grunde nichts anderes übrig als mit einen externen Berater zu suchen.

00:22:32: Den gibt es, den zu finden ist kein Problem betreffend, da gibt es wirklich viele Angebote von groß bis klein und von teuer bis günstig.

00:22:41: Da findet man seine externe Berater.

00:22:44: das kann die spezialisierte Anwaltskanzlei sein Das kann aber auch ein anderer externer Berater sein, das muss jetzt nicht zwingend ein Jurist sein.

00:22:52: Ein Datenschutzberater oder Datenschutzeauftragter kann auch jemand anders sein.

00:22:55: Wichtig ist natürlich dass derjenige die entsprechende Kompetenz besitzt und das Ganze dann in die Wege leitet diese Dinge umzusetzen.

00:23:05: Ja klar!

00:23:07: Ich denke auch mit Sicherheit... Aller größte Teil aller Unternehmen hat die DSGVO mehr oder minder umgesetzt.

00:23:14: Aber so wie Sie es jetzt auch schildern, wir kriegen ja immer mehr neuen technischen Input von KI ganz zu schweigen lohnt sich auf jeden Fall dieses Thema Datenschutz dauerhaft im Auge zu halten und auch regelmäßig zu überprüfen.

00:23:28: Sonst drohen nämlich saftige Bußgelder.

00:23:31: womit muss ich zum Beispiel rechnen wenn ich da einmal patze?

00:23:37: Also es gibt natürlich noch andere Maßnahmen, die die Datenschutzaufsichtsbehörden ergreifen können.

00:23:41: Bußgeld ist in der Regel das letzte Mittel der Wahl.

00:23:45: Die schlagen normalerweise nicht direkt drauf.

00:23:47: Es sei denn da passiert jetzt jede Woche der gleiche Lapsus und dann gucken sie vielleicht schon mal ein bisschen strenger drauf.

00:23:54: Man kann also auch schonmal eine Hinweis oder eine Verwarnung von so einer Aufsichtsbehörde bekommen oder eben im letzten Mittel der Wahl einem im Grunde Bußgelder.

00:24:05: Bußgelder, je nachdem wogegen ich verstoße bis zu zwanzig Millionen Euro oder vier Prozent des vorher im vorigen Jahres erzielten Jahresgesamtumsatzes.

00:24:17: Je nach dem welcher Betrag höher ist.

00:24:19: das sind jetzt die Maximalgrenzen.

00:24:21: natürlich zahlt nicht jeder für jeden Verstoß direkt die Zwanzig Million Euro Das ist klar.

00:24:27: da gibt es sich Kriterien die dabei eine Rolle spielen und die die Aussichtsbehörden dann in den in die Wachschale werfen um ein Ende dann einen vernünftigen Betrag ermitteln zu können.

00:24:36: Was ich diesbezüglich aber auch noch anmerken möchte, das was die Datenschutzaufsichtsbehörden sagen oder was sie mir aufgeben als Verwarnung oder als Bußgeldbescheid von mir aus und das ist erst mal auch nur eine Rechtsmeinung.

00:24:51: Also final entscheiden tun darüber letztendlich Gerichte bei uns.

00:24:56: Das heißt wenn ich mit einer Entscheidung der Aufsichts Behörde nicht konform gehen, nicht damit einverstanden bin.

00:25:01: Dann habe ich natürlich immer auch die Möglichkeit mich dagegen zu wehren im Zweifel das ganze Vorgericht klären zu

00:25:06: lassen.".

00:25:07: Okay ja das denke ich sollten die Unternehmer natürlich berücksichtigen dass das wie gesagt so eine Verwarnung oder auch ein Bußgeld erstmal quasi noch nicht rechtskräftig ist.

00:25:21: wenn wir jetzt mal zum Fuhrpark wie Eingangs beschrieben gehen Was würden Sie als die fünf größten Datenschutzfallen für einen Fuhrparkbetreiber bezeichnen?

00:25:33: Wo sollte er darauf achten?

00:25:36: Wahrscheinlich einmal der Umstand, dass man sich vielleicht gar nicht so sehr bewusst ist wo überall Personenzogene Daten anfallen.

00:25:44: Bei den Personalakten der Beschäftigten oder bei Bewerbungsunterlagen oder auch bei Kundenregistern

00:25:50: usw.,

00:25:51: da Da sieht man das vielleicht, aber bei den Dingen die Sie alle genannt haben.

00:25:55: Bei denen, die durch Fahrzeug-Sensorik et cetera entstehen.

00:26:00: Das hat man häufig gar nicht so auf dem Zettel.

00:26:02: So finde es auch gut, dass wir heute sprechen.

00:26:05: Also im Zweifel Punkt eins ich würde mal davon ausgehen, dass wie gesagt fast immer mit Personenzogen Daten zu tun haben.

00:26:13: Dass sich also fast alle Daten, die ich tagtäglich verarbeite... dass sich die gut schützen muss und auf die das Datenschutzrecht mit all seiner Konsequenz anwendbar ist.

00:26:28: Es reicht eben, seit die DSGVO anwendbares nicht mehr aus, sich datenschutzkonform zu verhalten sondern ich muss es auch nachweisen können.

00:26:40: Auch wenn es... Das geht sogar so weit, dass in einem Gerichtsverfahren, wenn ich da die entsprechenden Nachweise nicht bringen kann, verliere ich im Zweifel den Prozess.

00:26:47: also Ich muss einfach alles Mögliche dokumentieren, lieber einmal zu viele dokumentiert als zu wenig.

00:26:54: Das fängt bei diesem Verabendungsverzeichnis an.

00:26:56: aber alles das was ich datenschutzrechtlich umsetzen muss, zum Beispiel die Rechtsgrundlage, die Informationspflichten

00:27:03: etc.,

00:27:04: all das muss ich aufschreiben und dokumentieren.

00:27:07: natürlich kann nicht auch durch andere Maßnahmen nach Achweite sehr bringen, ich kann Zeugen benennen etc.

00:27:11: Aber die Dokumentation ist das Mittel der Wahl diese Informationspflicht nicht auch erwähnt habe, zum Beispiel auf der Internetseite oder eben gegenüber Bewerbern in Bewerbungsverfahren gegenüber Beschäftigten.

00:27:24: Auch die darf ich nicht ganz auf die leichte Schulter nehmen weil das nicht nur formelle Pflichten sind.

00:27:31: Das ist kein nice to have Sondern wenn ich darin sage liebe Leute Ich erhebe eure Daten zu folgenden Zwecken auf Folgen der Rechtsgrundlage etc.

00:27:39: all diese Informationen muss sich geben.

00:27:41: Wenn ich das also tue dann muss ich mich danach auch dran festhalten lassen.

00:27:46: Andersrum gewendet einige Gerichte, darunter der OGH haben entschieden wenn ich nicht in diesen Informationspflichten die ich habe schon auf bestimmte Aspekte hingewiesen habe Dann kann es sein dass sich mich auf bestimmten Rechtsgrundlagen gar nicht berufen kann.

00:28:03: das hat also quasi eine Rückkopplung zur zu der Frage, ob ich Daten überhaupt zulässigerweise verarbeiten darf.

00:28:11: Also diese Informationspflichten darf man nicht auf die leichte Schulwürter nehmen weil das eben kein nice to have ist sondern essenzieller Bestandteil meiner Datenschutzorganisation.

00:28:19: und das wäre wenn ich richtig mitgezählt habe der fünfte Punkt Ich brauche Nicht nur datenschutz so nach dem Motto ich laufe mal überall hin und lösche ein paar Brände Wenn es gerade anfängt zu brennen im übertragenen Sinne Sondern dauerhafte Datenschutzorganisation, die mich in die Lage versetzt hat, adäquat alle Datenschutzzorgaben umzusetzen auf Neuerungen zu reagieren.

00:28:49: Auf Betroffenenanfragen zu reagierenden Datenpannen, die passieren dann zu melden

00:28:52: etc.,

00:28:53: etc.. Ich muss also mich so aufstellen dass ich insgesamt nicht nur mal punktuell sondern insgesamt das ganze wie ein Management-System aufsetzt.

00:29:04: Das verlangt die DSGVO nicht explizit, aber zwischen den Zeilen liest man sehr stark raus.

00:29:09: Im Grunde kommen wir alle nicht daran vorbei einen Datenschutzmanagement System aufzusetzen und ich will jetzt nicht von einer speziellen Software, die ich kaufen muss sondern eben von Organisationsstrukturen die ich aufbauen muss.

00:29:23: Vielleicht ein ganz kurzes Beispiel wenn es die Zeit noch erlaubt Wenn eine Datenpanne passiert, sagen wir mal ein Mitarbeiter verliert seinen Laptop im Zug.

00:29:31: Ja und da waren personenbezogene Daten drauf dann ist das A natürlich ärgerlich wegen weil der Laptob weg ist.

00:29:36: aber B habe ich hier personenzone Daten darauf gehabt.

00:29:39: die sind jetzt potenziell in der Hand vom dritten die da eigentlich kein Zug auf haben durften.

00:29:45: also muss sich diese Datenpane gegenüber der Datenschutzaufsichtsbehörde melden.

00:29:49: Das kann ich aber nur dann tun, wenn ich den Mitarbeiter vorher geschult und sensibilisiert habe.

00:29:53: Pass auf!

00:29:53: Wenn eine Datenpanne mal passiert, ja, wenn man ein Laptop verlieren solltet das ist unangenehm.

00:29:57: Aber sag mir bitte so schnell wie möglich Bescheid denn ich habe im Ernstfall nur seventy Stunden das zu melden.

00:30:04: Ansonsten ist das ein Datenschutzverstoß, wenn nicht zu spät oder gar nicht melde.

00:30:08: Wie soll der Mitarbeiter mir das aber zeitgerecht auch mitteilen, wenn er das nicht weiß?

00:30:15: Natürlich wird dem das unangenehm sein.

00:30:17: Im Zweifel sagt er, nach einem Urlaub in drei Wochen erzähle ich das mal vielleicht.

00:30:22: Ich überspitze das Ganze jetzt mal aber man sieht dass ganze klappt.

00:30:25: nur wenn ich meine Beschäftigten auch geschult und sensibilisiert habe weil die setzen am Ende des Tages überall bei ihrer täglichen Arbeit das alles um was der Datenschutz von mir verlangt.

00:30:36: Management-Thema, Sie haben es gesagt, Datenschutz ist Chefsache auf jeden Fall.

00:30:40: Ich muss das aber so organisieren dass alle Beschäftigten mit im Boot sind und mitmachen können um mich dabei oder insgesamt das Unternehmen dabei unterstützen können Um datenschutzrechtlich konform zu sein Und zu bleiben.

00:30:53: Okay ich glaube Das ist eine sehr gute Zusammenfassung dessen was in den Unternehmen tatsächlich zu tun ist.

00:31:01: Hoffen wir, dass wir mit dieser Folge dazu beitragen dieses Bewusstsein für Datenschutz auch als Qualitätskriterium in Unternehmen besser auszubauen.

00:31:11: Wir sagen oder ich sage Ihnen heute ganz herzlich Danke für diese wirklich tollen Einblicke an den Datenschutzen und was Unternehmer tun müssen.

00:31:19: Und ja hoffe wie gesagt das wir dazu beantragen konnten da ein bisschen Licht ins Dunkel zu bringen.

00:31:26: Herr Roelich herzlichen Dank!

00:31:28: dass Sie heute Zeit hatten und ich wünsche Ihnen einen schönen Tag.

00:31:32: Ich wünsch Ihnen auch vielen Dank für die Einladung!

00:31:34: Auch von meiner Seite.

00:31:35: vielen Dank, Herr Roldig, dass sie heute dabei waren.

00:31:38: Und natürlich bedanke ich mich auch bei allen, die heute zugehört haben.

00:31:40: Wenn Sie Themenvorschläge oder Feedback haben, melden Sie sich gerne bei uns.

00:31:44: Einen Kontakt zur Redaktion finden Sie in den Shownotes.

00:31:47: Außerdem freuen wir uns natürlich über eine Bewertung auf der Podcastplattform Ihrer Wahl.

00:31:50: – bis zum nächsten Mal wie immer eine Allzeit gute Fahrt.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.