Datenschutzgrundverordnung (DS - GVO)
Fragen und Antworten

Wir machen gar nichts. Wir machen das Notwendigste. Wir müssen jetzt alle Hebel in Bewegung setzen. So unterschiedlich fallen die Aussagen von Speditionen und Transportunternehmen im Hinblick auf den 25. Mai 2018 aus. Was passiert an diesem Tag? Die Übergangs(Schon-)frist der EU – Datengrundschutzverordnung (DS-GVO) endet. Gleichzeitig tritt das neue Bundesdatenschutzgesetz (korrekt: Bundesdatenschutzanpassungs- und -umsetzungsgesetz) in Kraft.

Uns haben unheimlich viele Fragen unserer Kunden diesbezüglich erreicht. Wir haben für unsere Kunden und Abonnenten recherchiert und beantworten Ihre Fragen zusammengefasst sehr gerne in dieser Newsletter Sonderausgabe:

Wird bei der neuen Datenschutzgrundverordnung (DS-GVO) viel Wind um Nichts gemacht und kann ich mir nicht den ganzen Aufwand sparen?

Da die Verordnung neu ist, kann heute nicht abgesehen werden, mit welcher Schärfe zukünftig kontrolliert wird. Ja, die in der Verordnung beschlossenen Bußgelder in Höhe von bis zu 10 Mio. Euro für formale Verstöße und bis zu 20 Mio. Euro für inhaltliche Datenschutzvergehen sollen abschreckende Wirkung haben. Es besteht aber jedenfalls die rechtliche Möglichkeit, dass Behörden derartige Bußgelder verhängen. Wir raten dringend davon ab, das Thema zu ignorieren oder halbherzig anzugehen.

Was sind formale und was sind inhaltliche Verstöße?

Formale Verstöße sind Verstöße gegen die Pflichten des Verantwortlichen (Verantwortlicher hier ist das Unternehmen, das über Zweck und Mittel der Datenverarbeitung entscheidet => Ihre Spedition). Das könnte beispielsweise die Ernennung eines Datenschutzbeauftragten oder ein falscher Datenschutzhinweis auf der Webseite sein. Auf Abmahnungen „spezialisierte“ Kanzleien freuen sich vermutlich bereits auf den 26. Mai.

Inhaltliche Verstöße sind Verstöße gegen die Grundsätze für die Verarbeitung sowie die Rechte der betroffenen Personen.

Gibt es für die DS-GVO keine Übergangsfrist?

Doch, aber die läuft bereits seit zwei Jahren. Die Übergangsfrist läuft nun am 25 Mai 2018 aus, denn die EU – Datenschutzgrundverordnung ist nämlich bereits zum 25. Mai 2016 in Kraft getreten. Es sind auch keine Erleichterungen für die Anfangszeit vorgesehen.

Was ändert ich für eine Spedition? Es geht doch schließlich nur um die Verarbeitung von personenbezogenen Daten (pbD). Da gibt es doch bei uns nicht viel, oder?

Auch Speditionen und Transportunternehmen verarbeiten eine Reihe von personenbezogenen Daten. Alle Daten von Mitarbeitern/innen sind sicher pbD. Auch bei der Verwaltung von Fahrzeugen (Bestellung, Nutzung, Rückgabe) fließen jede Menge - oft auch personenbezogene - Daten aus unterschiedlichen Quellen. Leasinggeber, Versicherer, Dienstleister für Tankkarten Reifenservice und Werkstatt arbeiten mit Daten aus dem Fuhrpark und somit mit denen der Fahrer.

Auch hinsichtlich Telematiklösungen werden zwar prinzipiell nur Fahrzeuge verfolgt. Jedoch kann jeder Lkw auch einem Mitarbeiter zugeordnet werden, sodass es sich auch bei Standortdaten um personenbezogene Daten handelt. Fakt ist: Telematikdaten sind personenbezogene Daten.

Dies soll lediglich ein Beispiel darstellen. In der Spedition gibt es demzufolge viele andere Bereiche, in denen pbD verarbeitet werden (Archivsysteme, Webseiten, Steuerberater, Zeiterfassungssysteme, usw…)

Muss ich einen Datenschutzbeauftragten bestellen? Mein Unternehmen ist doch gar nicht so groß.

Ein Datenschutzbeauftragter muss für Unternehmen ab 10 Personen (Köpfe und nicht rechnerische Vollzeitkräfte) bestellt werden, die regelmäßig mit personenbezogenen Daten arbeiten. Man wird auch die Fahrer und nicht ausschließlich das Büropersonal in die Rechnung einbeziehen müssen. Wenn Fahrer beispielsweise an Entladestellen die Namen der die Ware annehmenden Personen notieren, gilt dies bereits als Erfassung von pbD.

Die Folge: Die meisten Speditionen werden somit zwingend einen Datenschutzbeauftragten bis zum 25. Mai bestellen müssen.

Unabhängig von der Notwendigkeit, einen Datenschutzbeauftragten (DSB) zu bestellen, gilt für ausnahmslos jedes Unternehmen die Verpflichtung, den Datenschutz zu gewährleisten. Wenn Sie keinen DSB einsetzen, bedeutet das: alle Tätigkeiten (Umstellung von Prozessen, Mitarbeiterschulungen, Dokumentationen, Kontrolle) müssen Sie selbst vornehmen. Es wird keine Rücksicht darauf genommen, dass Sie keine Zeit oder Kenntnisse haben.

Was sind eigentlich die Aufgaben eines Datenschutzbeauftragten?

Die Aufgaben des (internen oder externen) Datenschutzbeauftragten sind anspruchsvoll und umfangreich. Es geht dabei um folgende Teilbereiche:

  • Analyse aller datenschutzrelevanten Prozesse im Unternehmen / Vorgabe notwendiger Anpassungen / Kontrolle der Umsetzung.
  • Dokumentation der Verarbeitung personenbezogener Daten, von Sicherheitsmaßnahmen und Kontrollprozessen.
  • Regelmäßige Schulung aller mit der Erhebung und Verarbeitung personenbezogener Daten betrauten Mitarbeiter.
  • Beratung von Geschäftsführung und Mitarbeitern in allen Fragen des Datenschutzes
  • Beschwerdestelle für Mitarbeiter, Kunden und Dritte.
  • Zusammenarbeit mit den Kontrollbehörden / Ansprechpartner für die Kontrollbehörden (i.d.R. die Landesämter für den Datenschutz).

Sollte ich besser einen internen oder einen externen Datenschutzbeauftragten bestellen?

Dazu eine Antwort von uns Betriebswirten: Es kommt darauf an.

Beides ist möglich und hängt von den betrieblichen Rahmenbedingungen ab. Bei einer internen Lösung ist folgendes zu beachten:

  1. Die Funktion des Datenschutzbeauftragten darf kein Mitglied der Geschäftsleitung oder von Unternehmensbereichen mit besonders sensiblen Daten (z. B. IT, Personal, Marketing/Verkauf) übernehmen. Hier gilt der Grundsatz, dass man sich nicht selbst kontrollieren kann. Dies schränkt die Auswahl passender eigener Mitarbeiter deutlich ein.
  2. Die Person muss ausreichend qualifiziert sein (=> Ausbildung und regelmäßige Fortbildungen). Zudem muss der Datenschutzbeauftragte für seine Aufgabe zeitlich ausreichend freigestellt werden (ca. 10-25% einer Vollzeitstelle je nach Unternehmensgröße und den bereits eingerichteten Strukturen). „Alibi-Berufungen“ können für das Unternehmen zu Problemen führen.
  3. Der Datenschutzbeauftragte ist weisungsfrei und gesetzlich verpflichtet, die Geschäftsführung zur Beseitigung erkannter Mängel aufzufordern sowie die Umsetzung zu kontrollieren. Dies kann bei einer internen Lösung schnell zu erheblichen Interessenkonflikten führen. Die berufene Person erhält daher auch einen besonderen Kündigungsschutz ähnlich wie bei Betriebsräten.

Es ist abzuwägen, ob es eine passende Person im Unternehmen gibt, die entsprechen qualifiziert werden soll. Kalkuliert man alle internen Kosten für Freistellung, Aus- und Weiterbildung ein, ist eine externe Lösung in den meisten Fällen die bessere und günstigere Wahl.

Die Zeit ist knapp. Welche Themen muss ich mit welcher Priorität jetzt angehen? Was hat höchste, was hat mittlere Priorität?

Dazu haben wir ein Schaubild entwickelt mit den wichtigsten Punkten:

Datenschutz

Höchste Priorität haben die Schritte in der ersten Zeile (blau). Danach sollten die Dinge in der zweiten Zeile (orange) angegangen werden. Mittlere Priorität haben die Aufgaben in der unteren Zeile (grau).

Könnt ihr von TransportController uns dabei unterstützen?

Ja, ab Mai werden wir die Möglichkeit haben, die Aufgabe des „Externen Datenschutzbeauftragter“ für unsere Kunden zu übernehmen. Wir bieten dabei gegenüber branchenfremden Lösungen sicherlich den Vorteil, dass wir die Abläufe in einer Spedition aus der Praxis kennen und daher rechtskonforme und zugleich pragmatische Lösungen bieten können.

Da wir mit unseren Kapazitäten jedoch begrenzt sind, wird uns die Übernahme der Aufgabe leider nur für einige Kunden möglich sein. Wenn Sie an unserer Leistung interessiert sind, sprechen uns bitte zeitnah dazu an. Wir erstellen Ihnen dann gerne ein individuelles, auf Ihr Unternehmen zugeschnittenes Angebot.