Dos and Don'ts beim Datenschutz
Bei sämtlichen Prozessen im Leasing und Fuhrparkmanagement fließen regelmäßig personenbezogene Daten der Nutzer vom Leasingnehmer zum Dienstleister. Dabei sind einige Vorschriften zu beachten, um nicht gegen das Bundesdatenschutzgesetz zu verstoßen.
Vor dem Abschluss von Leasingverträgen, bei der Beauftragung von Fuhrparkmanagementunternehmen, bei der Benutzung von Tankkarten, der Abwicklung und Abrechnung von Schadensfällen, der Rückgabe von Leasingfahrzeugen ebenso wie in zahlreichen weiteren Fällen werden regelmäßig Daten der Leasingnehmer und/oder Fahrzeugnutzer entweder durch den Leasingnehmer selbst oder durch die Leasinggesellschaft an Dritte zur Vertragsdurchführung weitergeleitet. Bei dem überwiegenden Teil dieser Daten handelt es sich um personenbezogene Daten, die in den Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG) fallen. Im Sinne dieses Gesetzes gehören dazu neben dem Vor- und Nachnamen beispielsweise auch die Privatanschrift, die Telefon-, Personalausweis- und Führerscheinnummer des Nutzers ebenso wie das Kfz-Kennzeichen und die Leasingvertragsnummer. In rechtlicher Hinsicht stellt sich stets die Frage, ob der Betroffene über die Übermittlung seiner Daten benachrichtigt werden und ihr zustimmen muss. Ausgangspunkt der nachfolgenden Überlegungen ist § 28 BDSG, der diesbezüglich vorsieht, dass das Erheben, Speichern, Verändern und/oder Übermitteln von personenbezogenen Daten für die Erfüllung eigener Geschäftszwecke zulässig ist, unter der Voraussetzung, dass dies dem Vertragszweck dient, es zur Wahrung der Interessen des Betroffenen erforderlich ist und schließlich auch kein Grund zur Annahme besteht, dass der Betroffene mit der Weiterleitung seiner Daten nicht einverstanden sein könnte. Diese Kriterien dürften bei der Übermittlung von personenbezogenen Daten an Vertragspartner und sonstige Dritte allerdings in den meisten Fällen wohl noch erfüllt sein.
Ausweg über "Auftragsdatenverarbeitung"
Das weit größere Problem besteht nun allerdings darin, dass die Übermittlung von personenbezogenen Daten an Vertragspartner und sonstige Dritte nach § 28 BDSG an die zusätzliche Voraussetzung geknüpft ist, dass der Betroffene hierüber zuvor benachrichtigt worden ist und er damit auch einverstanden ist. Das heißt, sämtliche von der Datenübermittlung betroffenen Personen – und damit auch Nutzer eines Firmenwagens – sind jeweils individuell zu informieren und um ihre Zustimmung zu ersuchen.
Den Betroffenen die Benachrichtigung und eine Einwilligungserklärung in Standardschreiben, AGB oder versteckt in sonstigen Formularklauseln einfach "unterzujubeln" ist dabei ausgeschlossen, weil rechtlich unzulässig. Die Benachrichtigung gilt nämlich nur dann als ordnungsgemäß erfolgt, wenn sie Angaben zur Speicherung, zur Art der übermittelten Daten, Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung sowie zur Identität der zu verantwortenden Stelle enthält. Zudem muss die Einwilligung, jedenfalls sofern sie im Zusammenhang mit anderen Erklärungen steht, textlich besonders hervorgehoben werden und durch eigenhändige Unterschrift des Betroffenen bestätigt werden. In der Praxis ist dies meistens weder praktisch durchführbar noch gewollt.
Wer also eine individuelle Benachrichtigung und Einwilligung des Betroffenen vermeiden möchten, ohne dabei gegen das Bundesdatenschutzgesetz zu verstoßen, dem bleibt im Grunde nur der Weg über die sogenannte Auftragsdatenverarbeitung im Sinne von § 11 BDSG. Hierbei bleibt die datenschutzrechtliche Verantwortung jeweils bei dem Unternehmen, das die Daten übermittelt, sodass weder eine Benachrichtigungs- noch eine Einwilligungspflicht des Betroffenen bestehen.
Die Vereinbarung einer Auftragsdatenverarbeitung ist an die folgenden Voraussetzungen geknüpft: Zum einen muss der Vertragspartner unter besonderer Berücksichtigung der Eignung der vom Kunden getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt werden. Zum anderen muss der Auftraggeber einen schriftlichen Vertrag abschließen, in dem die Datenerhebung, Datenverarbeitung und Datennutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse im Einzelnen festgelegt werden. Ferner bedarf es einer expliziten Regelung, nach der der Vertragspartner die vom Auftraggeber übermittelten Daten nur innerhalb der erteilten Weisungen erheben, verarbeiten und nutzen darf.
In der Vertragspraxis bietet es sich an, dem Dritten schon im Stadium der Vertragsverhandlungen einen Datenschutzbogen vorzulegen, der die folgenden Fragen enthalten sollte:
Verfügt das Unternehmen über eine eigene Datenschutzrichtlinie? Falls ja: unbedingt vorlegen lassen.
Welche Mitarbeiter haben auf die übermittelten Daten Zugriff? Sind diese Mitarbeiter zur Einhaltung der Datenschutzrichtlinie vertraglich verpflichtet? Werden sie regelmäßig datenschutzrechtlich geschult?
Gibt es beim Vertragspartner einen Datenschutzbeauftragten?
Wie werden die übermittelten Daten klassifiziert (zum Beispiel als vertraulich)?
Wie werden die übermittelten Daten technisch geschützt (zum Beispiel gegen Datenklau)?
Wie funktioniert die Datensicherung?
Wie und in welcher Form funktionieren sowohl Verarbeitung als auch Übermittlung der Daten?
Über welche Antivirus-Software verfügt das Unternehmen?
Bei Vertragsabschluss sollte die Datenschutzklausel in der Auftragsdatenverarbeitung sodann – neben den Standardregelungen einfacher Datenschutzklauseln – mindestens die folgenden Besonderheiten enthalten:
Der Auftraggeber bleibt auch nach der Übermittlung der personenbezogenen Daten an den Vertragspartner weiterhin für die Einhaltung des Bundesdatenschutzgesetzes und anderer Datenschutzvorschriften ebenso wie für die Rechtmäßigkeiten der Datenweitergabe verantwortlich.
Der Vertragspartner darf die an ihn übermittelten personenbezogenen Daten nur gemäß den vom Auftraggeber erteilten Weisungen verarbeiten.
Die bei der Auswahl des Vertragspartners von diesem dargelegten technischen und organisatorischen Maßnahmen gemäß § 9 BDSG stellen einen Teil der vereinbarten Datenschutz- und Datensicherheitsbestimmungen dar. Zu diesem Zweck sollte der vom Vertragspartner ausgefüllte Datenschutzfragebogen dem Vertrag als Anlage beifügt werden.
Für den Fall des begründeten Verdachts der Verletzung von Datenschutz- oder Datensicherheitsbestimmungen sowie bei der Prüfung durch Aufsichtsbehörden sollte der Auftraggeber eine Benachrichtigungspflicht des Vertragspartners vorsehen.
Sämtliche personenbezogenen Daten, insbesondere alle Kundenvertrags- und Fahrzeugdaten, dürfen nur verschlüsselt übermittelt werden.
Tara Kamiyar-Müller
Rechtsanwältin Tara Kamiyar-Müller ist Partnerin der Wirtschaftskanzlei AC • Tischendorf Faust ε Partner in Frankfurt. Zu ihren Mandanten zählen mittelständische und international tätige Unternehmen der Miet- und Leasingbranche, Fuhrparkleiter und Einkaufsmanager. Als Expertin für Leasingrecht beantwortet sie Ihre Fragen zu diesem Thema. Senden Sie diese an:
bianca.klingemann@springer.com
- Ausgabe 1/2009 Seite 62 (419.3 KB, PDF)
