„Wo Personendaten verarbeitet werden, muss man genau hinschauen“ 

Die EU-DSGVO gilt ab 25. Mai 2018. Wie jedes andere Unternehmen in Europa müssen auch Fahrschulen bis zu diesem Stichtag die geltenden Richtlinien umgesetzt haben.

Im zweiten Teil des mobilmacher Gespräches geht Hans-Jürgen Bosch auf den Handlungsbedarf ein, den die neue Verordnung fordert. Bosch ist als Sicherheitsbeauftragter für die Umsetzung der DSGVO bei der ACADEMY-Gruppe verantwortlich. (Teil eins des Gespräches finden Sie hier)

mobilmacher: Herr Bosch, ganz konkret gefragt: Worum müssen sich Fahrschulen kümmern?

Hans-Jürgen Bosch: Nun, da gibt es eine völlig einfache Antwort. Sie müssen die Regelungen der DSGVO bis zum 25. Mai 2018 umsetzen. Ohne Wenn und Aber.

Können Sie einen ungefähren Überblick geben über den Umfang der Tätigkeiten, die in Fahrschulen anfallen?

Fahrschulen müssen alle Prozesse auf den Prüfstand stellen, in denen personenbezogene Daten – beispielsweise Name, Adresse, Telefonnummer der Fahrschüler – verarbeitet werden. Fahrschulen müssen nachzuweisen, wie sie der Verpflichtung zum Datenschutz nachkommen und wie ihr Informationssicherheitsmanagement funktioniert. Das umfasst schriftlich niedergelegte Konzepte, unter anderem ein Löschkonzept. Ferner müssen Regeln für Kontrollen, die Optimierung und Anpassung aller Datenschutzmaßnahmen aufgestellt und schriftlich festgehalten werden.

Ein enormer Arbeitsumfang!

In der Tat – und das ist längst nicht alles. Jede Fahrschule muss die Vorgänge dokumentieren und fortlaufend weiter entwickeln. Manche Fahrschulen müssen einen Datenschutzbeauftragten einsetzen.

Welche Fahrschulen sind das?

In Deutschland ist die Benennung eines Datenschutzbeauftragten in Fahrschulen vorgeschrieben, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. In Fahrschulen zählen dazu alle Mitarbeiter, die mit dem PC arbeiten. Aber auch Fahrlehrer, die mit mobilen Geräten auf Schülerdaten zugreifen, müssen in der Regel dazu gezählt werden.

Sind diese Datenschutzbeauftragten für alles verantwortlich?

Nein. Verantwortlich ist und bleibt die Geschäftsführung. Sie delegiert die Durchführung von Überprüfungen, Schulungen und Beratungstätigkeit an den Datenschutzbeauftragten. Diese Person ist dann Ansprechpartner für diese Dinge. Wichtig ist ein vollständiger Nachweis der Umsetzung aller bestehenden Anforderungen. Es bleibt die Pflicht der Geschäftsleitung sicherzustellen, dass die Regelungen der DSGVO dauerhaft umgesetzt werden. Datenschutz bleibt stets Chefsache.

Wie sind Sie selbst als Verantwortlicher bei der ACADEMY das Thema angegangen?

Wir beschäftigen uns schon seit Jahren mit Datenschutzanforderungen und sind gerade in der finalen Phase unseres internen DSGVO-Projektes. Damit wir auf der sicheren Seite bleiben, haben wir schon vor Monaten externe Berater hinzugezogen. Für uns läuft dieses Projekt als Prio-eins-Aufgabe.

Was würden Sie Fahrschulen empfehlen?

Die erste Empfehlung gilt denjenigen, die vielleicht gedacht hatten, dass sie das Thema aussitzen können: Abwarten ist keine Lösung. Packen Sie die Dinge jetzt an. Es ist höchste Zeit. Die zweite Empfehlung gilt allen: Holen Sie sich am besten einen Berater mit Datenschutz-Erfahrung ins Haus. Optimalerweise bringt dieser die notwendige Branchenkenntnis mit, das erspart lange Einarbeitung. Er wird ihnen die Sicherheit geben, alles richtig umzusetzen. Die DSGVO tritt am 25. Mai 2018 in Kraft. Wer bis dahin nicht begonnen hat, geht Risiken ein, die nicht zu kalkulieren sind.

Herr Bosch, vielen Dank für dieses Gespräch.

Die Kommentarfunktion ist geschlossen.