Zum Inhalt springen
Blog/Fuhrpark

DSGVO im Fuhrpark: Welche Daten du wie verarbeiten darfst

17. Februar 20267 min

GPS-Standort, Tankkartendaten, Führerscheinfoto, Unfallberichte -- im Fuhrpark verarbeitest du jeden Tag personenbezogene Daten, oft ohne es bewusst wahrzunehmen. Und die Datenschutzbehörden schauen genauer hin: Bussgelder im fünfstelligen Bereich sind bei KMU keine Seltenheit mehr. Welche Fuhrparkdaten der DSGVO unterliegen und wie du auf der sicheren Seite bleibst, erfährst du hier.

Welche Fuhrparkdaten sind personenbezogene Daten?

Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im Fuhrpark umfasst das weit mehr als nur Name und Adresse:

Direkt personenbezogene Daten

| Datentyp | Beispiel | Verarbeitungszweck | |---|---|---| | Stammdaten | Name, Adresse, Telefon, E-Mail | Fahrerakte, Vertragsverwaltung | | Führerscheindaten | Nummer, Klassen, Gültigkeit, Foto | Führerscheinkontrolle | | Vertragsdaten | Überlassungsvertrag, Konditionen | Car Policy, Compliance | | Unterschriftsdaten | Digitale Signatur, IP-Adresse, Zeitstempel | Vertragsabschluss |

Indirekt personenbezogene Daten

| Datentyp | Beispiel | Warum personenbezogen? | |---|---|---| | Fahrzeugdaten | Kennzeichen + Fahrerzuordnung | Rückschluss auf Person möglich | | Tankkartendaten | Ort, Zeit, Betrag der Tankung | Bewegungsprofil erstellbar | | GPS-/Telematikdaten | Standort, Geschwindigkeit, Route | Vollständiges Bewegungsprofil | | Unfallberichte | Hergang, Fotos, Zeugen | Bezug zum Fahrer | | Schadensmeldungen | Art, Kosten, Verursacher | Bezug zum Fahrer |

Wichtig: Auch das Kfz-Kennzeichen allein ist nach Auffassung der Datenschutzbehörden ein personenbezogenes Datum, wenn eine Zuordnung zum Fahrer möglich ist (z. B. über die Zulassungsstelle).

Rechtsgrundlagen für die Datenverarbeitung im Fuhrpark

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Im Fuhrpark kommen hauptsächlich drei in Frage:

1. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Die Verarbeitung ist notwendig zur Erfüllung des Arbeitsvertrags oder der Dienstwagenvereinbarung.

Abgedeckt:

  • Stammdaten des Fahrers für die Fahrerakte
  • Vertragsdaten des Überlassungsvertrags
  • Fahrzeugzuordnung
  • Abrechnungsdaten (Tankkarte, Leasing)

2. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Die Verarbeitung ist gesetzlich vorgeschrieben.

Abgedeckt:

  • Führerscheinkontrolle (§ 21 StVG, Halterpflicht)
  • UVV-Prüfung und Dokumentation (DGUV Vorschrift 70)
  • Steuerliche Aufzeichnungspflichten (Fahrtenbuch, 1-%-Regel)
  • Unfallmeldungen an Berufsgenossenschaft

3. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich, sofern nicht die Interessen der betroffenen Person überwiegen.

Potenziell abgedeckt (Interessenabwägung erforderlich):

  • Diebstahlschutz per GPS
  • Routenoptimierung bei Servicefahrzeugen
  • Kostencontrolling bei Tankkarten
  • Schadensprävention

Achtung: Das berechtigte Interesse ist die schwächste Rechtsgrundlage und erfordert eine dokumentierte Interessenabwägung. Bei GPS-Tracking überwiegen regelmäßig die Mitarbeiterinteressen.

GPS-Tracking: Das sensibelste Thema

GPS-Tracking im Fuhrpark ist datenschutzrechtlich hochsensibel, weil es lückenlose Bewegungsprofile ermöglicht. Die deutschen Datenschutzaufsichtsbehörden haben hierzu klare Positionen:

Was erlaubt ist

  • Diebstahlschutz: GPS-Ortung bei gemeldeten Diebstählen (berechtigtes Interesse)
  • Routenoptimierung bei Serviceflotten: Wenn Fahrer zustimmen und es betrieblich notwendig ist
  • Fahrtenbuch-Apps: Zur steuerlichen Dokumentation, wenn der Mitarbeiter einwilligt

Was nicht erlaubt ist

  • Permanente Überwachung: Dauerhaftes Tracking der Mitarbeiterbewegungen
  • Leistungskontrolle: GPS-Daten zur Kontrolle der Arbeitsleistung verwenden
  • Heimliche Überwachung: Tracking ohne Wissen des Fahrers
  • Tracking bei Privatnutzung: GPS muss bei privaten Fahrten deaktivierbar sein

Empfohlene Vorgehensweise

  1. Betriebsrat einbinden (bei Betrieben mit Betriebsrat: Betriebsvereinbarung nach § 87 Abs. 1 Nr. 6 BetrVG zwingend erforderlich)
  2. Datenschutz-Folgenabschätzung (DSFA) durchführen (Art. 35 DSGVO)
  3. Technische Maßnahmen: Privatmodus ermöglichen, Daten nach 90 Tagen löschen
  4. Transparenz: Fahrer vollständig über Umfang und Zweck informieren

Aufbewahrungsfristen für Fuhrparkdaten

Die DSGVO verlangt Datensparsamkeit (Art. 5 Abs. 1 lit. c) und Speicherbegrenzung (Art. 5 Abs. 1 lit. e). Im Fuhrpark gelten folgende Fristen:

| Datentyp | Aufbewahrungsfrist | Rechtsgrundlage | |---|---|---| | Überlassungsverträge | 10 Jahre nach Vertragsende | § 147 AO (steuerlich) | | Führerscheinkontrollen | 3 Jahre (Empfehlung) | Verjährungsfrist | | Fahrtenbücher | 10 Jahre | § 147 AO | | Tankkartenabrechnungen | 10 Jahre | § 147 AO | | UVV-Prüfprotokolle | Bis zur nächsten Prüfung + 3 Jahre | DGUV / Verjährung | | GPS-/Telematikdaten | Max. 90 Tage | Datensparsamkeit | | Unfallberichte | 3 Jahre (30 Jahre bei Personenschaden) | Verjährungsfristen | | Daten ausgeschiedener Fahrer | 3 Jahre nach Ausscheiden (steuerlich: 10 Jahre) | § 147 AO / § 195 BGB |

Praxistipp: Implementiere ein automatisches Löschkonzept. Polazy ermöglicht die Konfiguration von Löschfristen pro Datentyp und löscht Daten nach Ablauf automatisch.

Rechte der Mitarbeiter (Betroffenenrechte)

Deine Fahrer haben nach DSGVO umfangreiche Rechte, die du als Fuhrparkverantwortlicher kennen und umsetzen musst:

Auskunftsrecht (Art. 15 DSGVO)

Jeder Fahrer kann verlangen, zu erfahren, welche Daten über ihn gespeichert sind. Du musst innerhalb von 30 Tagen eine vollständige Auskunft erteilen – kostenfrei.

Im Fuhrpark betrifft das: Stammdaten, Vertragsdaten, Führerscheindaten, Tankkartenabrechnungen, GPS-Daten, Unfallberichte, Prüfprotokolle.

Recht auf Löschung (Art. 17 DSGVO)

Nach Beendigung des Arbeitsverhältnisses müssen Daten gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Praxis: Stammdaten und Vertragsdaten dürfen wegen steuerlicher Pflichten 10 Jahre aufbewahrt werden. GPS-Daten und Führerscheinkopien müssen zeitnah gelöscht werden.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Mitarbeiter können ihre Daten in einem maschinenlesbaren Format anfordern (z. B. JSON, CSV).

Widerspruchsrecht (Art. 21 DSGVO)

Bei Verarbeitung auf Basis des berechtigten Interesses kann der Mitarbeiter Widerspruch einlegen. Dies ist besonders bei GPS-Tracking relevant.

AVV mit Dienstleistern (Auftragsverarbeitung)

Wenn du externe Dienstleister für die Fuhrparkverwaltung einsetzt, verarbeiten diese personenbezogene Daten in deinem Auftrag. Nach Art. 28 DSGVO ist ein Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich.

Typische Auftragsverarbeiter im Fuhrpark

  • Fuhrparkmanagement-Software (z. B. Polazy)
  • Leasinggesellschaften
  • Tankkarten-Anbieter
  • Telematik-Provider
  • Führerscheinkontroll-Dienstleister
  • Werkstätten mit digitalem Zugang

Mindestinhalte des AVV

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Technische und organisatorische Maßnahmen (TOMs)
  • Unterauftragsverarbeiter

Polazy-Lösung: Polazy stellt einen standardisierten AVV bereit, der beim Onboarding digital akzeptiert wird. Die Verarbeitung erfolgt ausschließlich auf EU-Servern (Supabase EU-Region).

Häufige DSGVO-Fehler im Fuhrpark

Fehler 1: Kein Verarbeitungsverzeichnis

Art. 30 DSGVO verlangt ein Verzeichnis aller Verarbeitungstätigkeiten. Fuhrparkdaten werden dort oft vergessen. Lösung: Fuhrpark als eigene Verarbeitungstätigkeit aufnehmen.

Fehler 2: Führerscheinkopien unbegrenzt speichern

Viele Unternehmen speichern Führerscheinkopien dauerhaft. Lösung: Nur das Ergebnis der Kontrolle speichern (gültig/ungültig, Datum, Klassen). Kopie nach Kontrolle löschen.

Fehler 3: GPS-Daten ohne Rechtsgrundlage

GPS-Tracking ohne Betriebsvereinbarung oder Einwilligung ist rechtswidrig. Lösung: Vor Einführung Datenschutz-Folgenabschätzung durchführen und Betriebsrat einbinden.

Fehler 4: Keine Information der Mitarbeiter

Nach Art. 13 DSGVO müssen Mitarbeiter vor der Datenverarbeitung informiert werden. Lösung: Datenschutzhinweis zum Fuhrpark als Anlage zur Car Policy oder zum Überlassungsvertrag.

Fehler 5: Kein AVV mit Dienstleistern

Externe Fuhrpark-Dienstleister ohne AVV einsetzen ist ein Bußgeldrisiko. Lösung: AVV vor Vertragsbeginn abschließen und regelmäßig prüfen.

Fehler 6: Daten nach Ausscheiden nicht löschen

Wenn ein Fahrer das Unternehmen verlässt, werden seine Fuhrparkdaten oft vergessen. Lösung: Offboarding-Prozess mit Checkliste für Datenlöschung etablieren.

Häufig gestellte Fragen (FAQ)

Brauche ich einen Datenschutzbeauftragten für den Fuhrpark?

Nicht speziell für den Fuhrpark. Aber: Unternehmen mit mehr als 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten, brauchen einen DSB (§ 38 BDSG). Der Fuhrpark ist dann ein Bereich, den der DSB mit abdeckt.

Darf ich Tankkartendaten zur Kontrolle privater Fahrten nutzen?

Nur eingeschränkt. Tankkartendaten dürfen zur Abrechnung und Kostencontrolling genutzt werden. Eine systematische Überwachung des Tankverhaltens zur Kontrolle privater Fahrten ist ohne Rechtsgrundlage unzulässig.

Was passiert bei einem DSGVO-Verstoß im Fuhrpark?

Die Datenschutzbehörde kann Bußgelder verhängen. In der Praxis liegen diese bei KMU typischerweise im fünfstelligen Bereich. Dazu kommen mögliche Schadensersatzansprüche der betroffenen Mitarbeiter (Art. 82 DSGVO).

Muss ich Fahrer über die Nutzung von Fuhrpark-Software informieren?

Ja. Wenn du eine Fuhrpark-Software wie Polazy einsetzt, die personenbezogene Daten verarbeitet, musst du die Fahrer nach Art. 13 DSGVO informieren: Welche Daten werden verarbeitet, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange.

Fazit

Die DSGVO im Fuhrpark ist kein Randthema – sie betrifft nahezu jeden Prozess vom Onboarding eines neuen Fahrers bis zur Löschung seiner Daten nach dem Ausscheiden. Mit klaren Rechtsgrundlagen, definierten Löschfristen, korrekten AVVs und transparenter Information deiner Mitarbeiter bist du auf der sicheren Seite. Polazy unterstützt dich dabei mit DSGVO-konformer Datenverarbeitung, automatisierten Löschfristen und einem integrierten AVV – damit du dich auf deinen Fuhrpark konzentrieren kannst statt auf Datenschutz-Bürokratie. Alle Funktionen entdecken oder Preise vergleichen.

Weiterführende Artikel

Weitere Artikel

Corporate Car Sharing

Corporate Car Sharing im Fuhrpark: Wie Poolfahrzeuge funktionieren, welche Technik du brauchst und ob sich das Modell für dein Unternehmen rechnet.

Fuhrpark aufbauen

Du willst deinen ersten Fuhrpark aufbauen? Von der Bedarfsanalyse über Leasing vs. Kauf bis zur Car Policy — der Praxisguide für Startups und KMU.

Fuhrpark elektrifizieren

Fuhrpark elektrifizieren 2026: Strategische Planung, Ladeinfrastruktur am Standort, aktuelle Förderprogramme und Praxistipps für den Umstieg.

← Alle Artikel