Quelle: Lisa-Maria Körner | 20. September 2022
Der Begriff Telematik setzt sich zusammen aus den Begriffen Telekommunikation und Informatik. Ein Telematiksystem in einem Fahrzeug erfasst permanent Daten über mobile Einheiten im Fahrzeug („On-Board Unit“) und sendet diese an einen Server, der die Systemplattform speist.
Die Fahrzeughersteller können solche Daten aufbereiten und dem Arbeitgeber zur Verfügung stellen. Laut ADAC können hier unzählige Daten über Fahrstil, Fahrverhalten, etc. ausgelesen werden. Unter anderem z. B. getrennte Speicherung der gefahrenen Kilometer auf Autobahn, Landstraße und in der Stadt, Anzahl der einzelnen Fahrtstrecken, aufgeschlüsselt nach Kilometern, Lade- und Entladezyklen mit Uhrzeit, Datum und Kilometerstand, Einsatzdaten des Verbrenners bei Plug-in-Hybriden, GPS-Daten mit Statusbericht wichtiger Fahrzeugdaten, Betriebsstunden der Fahrzeugbeleuchtung, getrennt nach einzelnen Lichtquellen, Zahl der elektromotorischen Gurtstraffungen (wie oft wird heftig gebremst?), Einträge für zu hohe Motordrehzahl oder -temperatur (=schneller Fahrer?), wie lange der Fahrer die verschiedenen Modi des Automatikgetriebes (Dauer/Manuell/Sport) nutzt und viele weitere Informationen mehr (vgl.dazu hier).
Datenschutzrechtlich handelt es sich um personenbezogene Daten, wenn diese Daten einem bestimmten Fahrzeughalter zugeordnet werden können. Erhält der Arbeitgeber vom Fahrzeughersteller Telematik-Daten ist dies datenschutzrechtlich kritisch zu betrachten. Dies wird noch verstärkt, soweit der Mitarbeiter das Fahrzeug nicht ausschließlich für dienstliche Strecken verwendet.
Möchte der Arbeitgeber solche Auswertungen erhalten, muss er im ersten Schritt definieren, zu welchem Zweck er diese Informationen benötigt und verarbeiten möchte. Denkbar ist hier z. B. aus Nachhaltigkeitsaspekten, um den Schadstoffausstoß zu monitoren und ggf. durch Flottenanpassungen verringern zu können. Auch kann das Monitoren in Bezug auf Zertifizierungen nach DIN ISO 50001 eine Rolle spielen. Eine rechtliche Verpflichtung dürfte derzeit aber grundsätzlich nicht vorliegen.
Rechtsgrundlage
Als Rechtsgrundlage zur Verarbeitung solcher Auswertungen kommt somit nur Art. 6 Abs. 1 lit. f DSGVO in Betracht, da die Erstellung einer solchen Übersicht nicht zur Durchführung des Beschäftigtenverhältnisses erforderlich sein dürfte und deshalb § 26 BDSG nicht einschlägig ist. Hier können aber überwiegende schutzwürdige Interessen schnell vorliegen. In der Interessenabwägung muss deshalb genau betrachtet werden, welche konkreten Inhalte durch den Dienstwagenhersteller zur Verfügung gestellt werden und welche Zwecke der Arbeitgeber damit verfolgt. Insbesondere Daten die auf das persönliche Verhalten des Dienstwagenfahrers schließen lassen, sind als sensibel einzustufen. Neben GPS-Daten können das auch Kilometer-Stände, Kraftstoffverbrauch, Fahrverhalten oder andere Verschleißwerte sein. Größtenteils dürfte eine Verarbeitung solcher Informationen durch den Arbeitgeber unzulässig sein. Zu Auswertungen von GPS-Daten im Logistikbereich können Sie im Übrigen hier mehr erfahren.
Maßnahmen
Möchte der Arbeitgeber gewisse Telematik-Daten seiner Mitarbeiter auswerten, muss deshalb sichergestellt werden, dass diese Auswertungen für Mitarbeiter keinesfalls für Leistungs- und Verhaltenskontrollen verwendet werden. Um dies zu gewährleisten, sollten entsprechende technische und organisatorische Maßnahmen getroffen werden, die das verhindern. Solche Maßnahmen können insbesondere Folgende sein:
- Die erhobenen und verarbeiteten Daten sind auf das absolute Minimum zu reduzieren. Es dürfen vom Hersteller an den Arbeitgeber nur solche Daten übermittelt werden, die zwingend zur legitimen Zweckerreichung erforderlich sind.
- Es ist eine Interessensabwägung durchzuführen.
- Die Anzahl der Mitarbeiter die die Rohdaten einsehen können, ist auf das absolute Minimum zu reduzieren (Need-to-Know-Prinzip).
- Die Rohdaten sollten aggregiert und nur anonymisiert aufbereitet werden (Hinweis: Laut LfDI Baden-Württemberg sind vermeintlich aggregierte Angaben über Personen erst dann als anonym zu bewerten, wenn die aggregierten Daten aus einer Gruppe von mindestens 7 Personen oder mehr stammen (Siehe hierzu Seite 46 im „Ratgeber zum Beschäftigtendatenschutz“, 4. Auflage 2020, des LfDI BW). Sollte bspw. also Modelltyp und Standort ausgewertet werden, ist darauf zu achten, dass pro Standort mindestens 7 Personen das gleiche Modell fahren).
- Die betroffenen Personen sollten vorab transparent über diese Datenverarbeitung informiert werden.
- Es ist eine strenge Zweckbindung einzuhalten.
- Die personenbezogenen Rohdaten sind nach Erstellung der anonymen Berichte umgehend zu vernichten oder zu anonymisieren.
Die Erforderlichkeit darf nicht in Zweifel gezogen werden können. Bei diesem Thema handelt es sich durchaus um eine Verarbeitung, die bei Missbrauch zu einem hohen Bußgeld führen dürfte, da es sich um einen hohen Eingriff in die Persönlichkeitsrechte der Betroffenen handelt.
Datenschutzfolgenabschätzung (DSFA)
Zusätzlich könnte es sein, dass im Falle der Auswertung von Telematikdaten eine DSFA durchzuführen ist. So heißt es in der Blacklist der DSK, dass eine DSFA dann durchzuführen ist, wenn folgender Sachverhalt vorliegt: „Ein Unternehmen bietet einen CarSharing-Dienst oder andere Mobilitätsdienstleistungen an und verarbeitet hierfür insbesondere umfangreich Positions- und Abrechnungsdaten.“ Je nachdem welche Daten in der Auswertung am Ende enthalten sind, könnte die Durchführung einer DSFA deshalb erforderlich sein.
Fazit
Bei der Auswertung von Telematikdaten handelt es sich um ein sehr sensibles Feld. Eine Verarbeitung durch den Arbeitgeber sollte deshalb nicht ohne weiteres erfolgen, auch wenn die Möglichkeit durch die Erfassung der Daten durch den Hersteller besteht. In jedem Fall sollte vorab der Datenschutzbeauftrage hinzugezogen werden.