Datenschutz-Grundverordnung Teil 2: Fahrschulen und Datenschutz

© FahrSchulPraxis - Entnommen aus Ausgabe März/2018, Seite 148

Die EU-Datenschutz-Grundverordnung (DSGVO) sorgt in allen Teilen der Wirtschaft für Handlungsdruck, auch bei den Fahrschulen. Die DSGVO tritt am 25. Mai 2018 in allen EU-Mitgliedstaaten in Kraft. Sie gilt für alle Unternehmen, die personenbezogene Daten verarbeiten, und zwar ohne Rücksicht auf Umsatzgröße und Anzahl der Mitarbeiter. Das heißt, die DSGVO gilt auch für alle Fahrschulen: für die Fahrschul-GmbH mit 10 Angestellten ebenso wie für die sog. Ein-Mann-Fahrschule.

Die DSGVO erhöht die Anforderungen an den Datenschutz, doch vieles davon ist nach dem Bundesdatenschutzgesetz (BDSG) in Deutschland schon jetzt geltendes Recht. Das Beispiel  der fiktiven Fahrschule „Drivedreams“, Inhaber Max Obermuster, Ausbildung in den Klassen A und B, vier angestellte Fahrlehrer, soll im Wesentlichen aufzeigen, welche neuen Anforderungen sich aus der DSGVO ergeben. Indes, diese Einführung in das neue Recht erhebt nicht den Anspruch der Vollständigkeit.

Für welche Belange dürfen Daten verarbeitet werden?

Der Datenschutz im Sinne der DSGVO gilt aus- schließlich für personenbezogene Daten. Geschützt wird die Privatsphäre des Einzelnen. Oberster Grundsatz des alten wie neuen Datenschutzrechts ist das Verbotsprinzip (Artikel 6 DSGVO): Jede Verarbeitung personenbezogener Daten ist verboten. Es sei denn, es ist ausdrücklich erlaubt (Verbot mit Erlaubnisvorbehalt).

Vertrag Wenn Herr Obermuster eine Leistung, z.B. eine Fahrausbildung oder ein Aufbauseminar, erbringen will, handelt es sich um die Anbahnung oder die Erfüllung eines Vertragsverhältnisses. Hierzu benötigt er persönliche Angaben seiner Kunden (Name, Anschrift, Telefonnummer, Geburtsdatum). Hingegen sind darüber hinausgehende Angaben wie E-Mail-Adresse, Kontodaten und Lichtbilder der Kunden für die Erfüllung des Vertrages nicht erforderlich. Für die Grunddaten zur Abwicklung des Vertrages benötigt Herr Obermuster keine gesonderte Einwilligung seiner Kunden, für darüber hinausgehende Daten aber schon. Falls der Vertrag erfüllt ist und es keine gesetzlichen Pflichten für deren Aufbewahrung gibt (z.B. steuer- oder fahrlehrerrechtliche), müssen die Daten gelöscht werden.

Einwilligung/Freiwilligkeit Findet sich im Gesetz keine Rechtfertigung für die Verarbeitung von Daten, kann die Einwilligung des Betroffenen (Dateninhabers) helfen. Auf eine freiwillig erteilte Einwilligung kann sich nahezu jeder Datenverarbeitungsvorgang stützen. Oberste Regel ist: Einwilligungen müssen freiwillig abgegeben werden. Dies wirft insbesondere Fragen auf, sofern die Einwilligung mit dem Vertragsschluss verbunden wird. Das neue Recht verbietet für bestimmte Vorgänge eine Koppelung von Einwilligung und Vertragsschluss. So kann die Fahrschule beispielsweise eine elektronische Einwilligung einholen, darf aber keine voreingestellte Einwilligung in Form eines Häkchens verwenden („double-opt-in“ = zweifache Bestätigung). Auch muss Herr Obermuster in der Einwilligungserklärung auf die jederzeitige Widerrufbarkeit dieser Einwilligung hinweisen. Er sollte hier nach obligatorischen und freiwilligen Daten trennen. Zudem muss er seine Fahrschulkunden darüber informieren, zu welchem Zweck er diese Daten verarbeiten will. Er muss prüfen, ob die bisherigen Einwilligungen, die er eingeholt hat, den – neuen – Anforderungen entsprechen. Falls nicht, wenn also der Hinweis auf den jederzeitigen Widerruf oder die Angabe des Zwecks fehlt, müssen die Einwilligungen neu eingeholt werden. Er muss die Einwilligungen dokumentieren.

Die Fahrschule muss Informationspflichten erfüllen

Nach Artikel 13 und 14 DSGVO muss Herr Obermuster umfangreiche Informationspflichten erfüllen, wenn er Daten bei seinen Vertragspartnern oder bei Dritten (wie etwa der Schufa) erhebt. Im Vergleich zu den aktuell geltenden Regelungen des BDSG sollen Betroffene leichteren Zugang zu ihren Daten und zu den Informationen über deren Nutzung haben. Im Wesentlichen müssen folgende Informationen mitgeteilt werden:

  • Name und Kontaktdaten des in der Fahrschule Verantwortlichen,
  • ggf. Kontaktdaten des Datenschutzbeauftragten (DSB),
  • Zweck der Verarbeitung und Rechtsgrundlage,
  • Darstellung der berechtigten Interessen, wenn die Datenverarbeitung aufgrund einer Interessenabwägung gemäß Artikel 6 Absatz 1 Buchstabe f BDSG beruht,
  • ggf. Empfänger oder Kategorien von Empfängern,
  • ggf. Information zur Datenübermittlung in Drittländer,
  • Dauer der Datenspeicherung,
  • Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Recht auf Datenübertragung und Beschwerderecht zur Aufsichtsbehörde),
  • Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche Folgen die Nichtbereitstellung hätte,
  • Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 22 DSGVO; z.B. das Erstellen eines umfassenden Nutzerprofils oder die Bildung von sog. Scorewerten durch Verknüpfen, Speichern, Auswerten und Zusammenlegen von verschiedenen Daten zu einer Person).

Diese Informationspflichten müssen zum Zeitpunkt der Erhebung gegenüber dem zukünftigen Fahrschulkunden erfüllt werden. Falls die Daten nicht bei der betroffenen Person erhoben wurden, muss die Quelle angegeben werden.

Internetauftritt

Webdesign-Agentur Fahrschule Obermuster hat einen von einer Werbeagentur gestalteten Internetauftritt. Hat die Werbeagentur Zugriff auf die personenbezogenen Daten seiner Kunden? Falls ja, muss er eine Vereinbarung über die Auftragsverarbeitung schließen (Art. 28 und 29 DSGVO).

Cookies Für die Nutzung seiner Internetseite muss Obermuster bekannt geben, ob und welche Cookies er verwendet und ob er die Nutzer der Seiten „trackt“ (im Auge behält). Nutzt er dafür einen Dienstleister, muss er mit diesem ebenfalls eine Vereinbarung über die Auftragsverarbeitung schließen. Hat der Dienstleister seinen Sitz in einem Drittland, z.B. den USA, muss er prüfen, ob die Weitergabe der Daten über EU-Standardvertragsklauseln oder über Privacy Shield abgesichert ist. Dabei handelt es sich um eine Vereinbarung zwischen der EU und den USA zur Angemessenheit des Datenschutzniveaus bei denjenigen Unternehmen, die die Anforderungen von Privacy Shield erfüllen.

Anbieterkennzeichnung Zudem ist Obermuster nach dem Telemediengesetz verpflichtet, ein sogenanntes Impressum zu haben (siehe FPX 10/2014, S. 590). Bei mehr als 10 Beschäftigten müsste Herr Obermuster zusätzlich angeben, inwieweit er bereit oder verpflichtet ist, an einem Verfahren vor einer Verbraucherschlichtungsstelle teilzunehmen (§§ 36, 37 Verbraucherstreitbeilegungsgesetz). Bei Online-Verträgen muss er seine Informationspflicht nach Art. 14 der sogenannten ODR-Verordnung nachkommen (siehe FPX 6/2016, S. 328).

Abgabe an einen Dienstleister Wo verarbeitet die Fahrschule ihre Kundendaten? Auf dem eigenen Server oder bei einem Dritten? Bei Letztem muss Max Obermuster eine schriftliche (oder elektronische) Vereinbarung über die Auftragsverarbeitung schließen, denn der IT-Dienstleister darf die Daten nur nach seiner Weisung verarbeiten. Liegen die Daten auf dem eigenen Server, nutzt Herr Obermuster aber eine Cloud-Anwendung, muss er klären, ob die Daten in Deutschland, in Europa oder in den USA gespeichert sind. Im letzten Fall handelt es sich um einen Datentransfer in Drittländer, sodass hierfür, wie oben dargestellt, eine besondere Grundlage benötigt wird, wenn die Daten in die USA übermittelt werden.

Buchführung Herr Obermuster gibt seine Buchführung, auch die Gehaltsabrechnungen seiner Mitarbeiter, in die Hand eines Steuerberaters. Da er auch hierbei für den Datenschutz verantwortlich bleibt, muss er einen entsprechenden Dienstvertrag schließen.

Inkasso-Unternehmen Herr Obermuster schaltet ein Inkasso-Unternehmen ein, um säumige Kunden zur Zahlung auffordern zu lassen. Hierfür benötigt er ebenfalls einen Dienstvertrag. Er muss seine Kunden zudem darauf auf- merksam machen, dass er im Falle ausstehender Zahlungen ein Inkasso-Unternehmen mit der Wahrnehmung seiner Interessen beauftragt.

Forderungsverkauf Nutzt Max Obermuster den Service einer Factoring-Gesellschaft, muss er auch mit dieser einen Dienstvertrag schließen.

Was muss Obermuster datenschutzrechtlich gewährleisten?

Verzeichnis der Verarbeitungstätigkeit Herr Obermuster muss ähnlich dem bisherigen Verfahrensverzeichnis (§ 4g Abs. 2 i.V.m. § 4e BDSG) seine Verfahren in einem sogenannten Verzeichnis für die Verarbeitungstätigkeit festhalten. Er hat das Verzeichnis auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen. Artikel 30 DSGVO sieht im Vergleich zur bisherigen Rechtslage zusätzliche Angaben vor; allerdings fällt die noch im BDSG geregelte Pflicht, das Verzeichnis jedermann auf Anforderung zur Verfügung zu stellen, weg. Max Obermuster hat folgende Angaben zu dokumentieren:

  • Name und Kontaktdaten des Verantwortlichen, des Vertreters, ggf. des Datenschutzbeauftragten,
  • Zweck der Verarbeitung und Rechtsgrundlage,
  • Kategorie der betroffenen Personen und personenbezogenen Daten,
  • Kategorie von Empfängern der Daten,
  • Übermittlung in Drittstaaten,
  • Löschungsfristen,
  • allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherheit.

Verpflichtung auf das Datengeheimnis Max Obermuster muss seine Mitarbeiter auf die Vertraulichkeit von Daten verpflichten und sie auf den Datenschutz hinweisen bzw. schulen und dies dokumentieren.

Auskunftsrecht (Artikel 15 DSGVO) Obermuster sollte überlegen, wie er mit einem Auskunftsersuchen umgeht, wenn jemand wissen will, welche Daten er über ihn gespeichert hat.

Datenpannen (Artikel 33 DSGVO) Herr Obermuster sollte zusätzlich prüfen, ob er ein Verfahren für die Bewältigung von Datenpannen aufsetzt, das ihn befähigt:

a) einen Datenverstoß innerhalb des gesetzlich vorgegebenen Zeitraums von 72 Stunden der Aufsichtsbehörde zu melden,

b) die betroffene Person unverzüglich über den Datenverstoß zu informieren.

Recht auf Löschung (Artikel 17 DSGVO) Max Obermuster  muss ein Löschkonzept vorsehen (5 Jahre Fahrschulaufzeichnungen, 6 Jahre für Geschäftsbriefe, 10 Jahre für steuerrelevante Unterlagen, 6 Monate für Bewerbungsunterlagen). Alle anderen Daten bzw. Dokumente mit personenbezogenen Daten müssen gelöscht bzw. vernichtet werden, sofern sie nicht mehr benötigt werden. Daran schließt sich die Frage an, wie datenschutzkonforme Unterlagen vernichtet werden können und müssen (Datenträger zerstören, Papierunterlagen mit personenbezogenen Daten schreddern).

Technische und organisatorische Maßnahmen (Artikel 24, 25, 32 DSGVO) Sie betreffen die Frage, wie sicher die Informationssicherheit ist (IT-Systeme, Sicherheit im Büro sowie im Unterrichtsraum und Schulungsfahrzeug); auch dies muss dokumentiert werden. Max Obermuster muss insbesondere mit seinem Steuerberater klären, wie die sensiblen Daten seiner Mitarbeiter (Gesundheitsdaten, Religionszugehörigkeit) am besten geschützt sind. Hierzu müssen bestimmte Maßnahmen ergriffen werden (neu: Artikel 35 DSGVO: Risikobewertung/Datenschutz-Folgenabschätzung). Eine Übermittlung per E-Mail ohne weitere Sicherheitsmaßnahmen ist datenschutzrechtlich nicht zulässig.

Kleines DSGVO-Projekt – Was ist konkret zu tun?

Jede Fahrschule muss sich mit den Anforderungen des neuen Datenschutzrechts vertraut machen und jedenfalls ein kleines DSGVO-Projekt auf die Beine stellen. Schritt 1 sollte stets eine Bestandsaufnahme sein, bei der folgende Fragen geklärt werden:

  1. Welche Datenverarbeitungsvorgänge finden statt?
  2. Welche personenbezogenen Daten werden zu welchen Zwecken wie lange gespeichert?

Dabei sollten einmal alle wesentlichen Bereiche des Unternehmens durchdacht werden: Personal, Buchhaltung, Marketing und natürlich die eigentliche Fahrschülerausbildung, die sehr viel mit personenbezogenen Daten zu tun hat. Werden Teile der Einzelbereiche mit einer Softwarelösung erbracht, muss festgestellt werden, welche Daten zu welchen Zwecken gespeichert werden. Im Anschluss sollte kurz geprüft werden, ob diese Datenverarbeitungsvorgänge mit dem neuen Datenschutzrecht in Einklang stehen. Vordergründig ist am wichtigsten, die nach außen sichtbaren Rechtstexte der neuen Rechtslage anzupassen. Dies betrifft vor allem

  • Datenschutzerklärungen auf der Website,
  • Einwilligungserklärungen von Kunden,
  • Newsletter-Empfänger und
  • Angestellte.

Auch die Verträge mit Dienstleistern müssen geprüft und ggf. angepasst werden. Schließlich ist dafür Sorge zu tragen, dass die Minimalanforderungen an die Datenschutz-Compliance gewahrt werden. Das notwendige Verfahrensverzeichnis sollte sich weitgehend aus Schritt 1 der Bestandsaufnahme ergeben. Ein Konzept für die Gewährleistung von Betroffenenrechten ist ebenfalls ein Muss. Wenn ein Datenschutzbeauftragter bestellt werden muss (siehe FPX 2/2018, S. 102), sollte dies rasch geschehen.

Fazit Wer sich bisher nicht um den Datenschutz gekümmert hat, sollte damit jetzt anfangen. Die Regeln sind teilweise kompliziert, jedoch lässt sich die DSGVO mit ein bisschen Vorbereitung in den Griff bekommen. Der Einsatz von Software (z.B. von Lehrmittelverlagen) für Standardprozesse in der Fahrschule kann dabei helfen. Dies gilt dann, wenn der Softwareanbieter sich eigens um den Datenschutz kümmert, seine Kunden in Bezug auf die DSGVO gezielt informiert und sie über die notwendigen Software-Anpassungen auf dem Laufenden hält.

Ralf Nicolai

Zum Teil 1: Datenschutzbeauftragter für Fahrschulen?

Mitglieder des Fahrlehrerverbandes Baden-Württemberg e.V. finden den Artikel auch als PDF-Download im internen InternetForum hier ...