Als Folge meiner Beratung zur elektronischen Führerscheinkontrolle unterstütze ich seit einigen Jahren verschiedene Unternehmen auch bei grundlegenden Fragen im Fuhrparkmanagement (Stichwort: Fuhrpark-Compliance). Für den im Mai 2015 in der Beschaffung aktuell veröffentlichten Beitrag „Haftungsrisiko Fuhrpark: Die Flotte hüten“ habe ich der Redaktion drei Fragen zur Delegation der Halterverantwortlichkeit, Auslagerung des Flottenmanagements und Datenschutz im Fuhrpark ausführlich beantwortet. Hier meine Antworten.
Wie kann man die – horizontale und vertikale – Delegation der Halterverantwortlichkeit zur Vermeidung einer Haftung von Unternehmen und Unternehmensleitung rechtssicher erreichen?
Für Pflichtverletzungen im Zusammenhang mit der Halterverantwortlichkeit (z.B. Verstoß gegen § 31 Abs. 2 StVZO) können neben dem Unternehmen als Halter auch die Unternehmensleitung und der Fuhrparkverantwortliche persönlich wegen einer Ordnungswidrigkeit oder Straftat in Anspruch genommen werden, z.B. über §§ 9, 30, 109 OWiG.
Bereits in der Wahrnehmung von Aufgaben der Halterverantwortlichkeit (z.B. Führerscheinkontrolle) durch ein nicht fachkundiges Organ (z.B. Geschäftsführer) oder einen nicht fachkundigen Beschäftigten (z.B. Fuhrparkleiter) kann als sog. Organisationsverschulden eine Pflichtverletzung liegen, die zur Haftung führt. Dies lässt sich nur durch die Delegation der aus der Halterverantwortlichkeit folgenden Pflichten auf ein fachkundiges Organmitglied, Beschäftigten oder Dritten (externer Dienstleister) verhindern.
Erfolgt die Delegation innerhalb der Unternehmensleitung (z.B. mehrköpfige Geschäftsführung), spricht man von einer horizontalen Delegation. Diese kann z.B. durch einen Geschäftsverteilungsplan oder Beschlüsse der Geschäftsführung erfolgen. Mit Wirksamwerden der Delegation beschränkt sich die Aufgabe der anderen Organmitglieder auf die Entgegennahme von Berichten, Prüfpflichten entstehen erst bei konkreten Hinweisen auf Mängel in der Aufgabenwahrnehmung und Pflichterfüllung durch das nach der Delegation verantwortliche Organmitglied.
Wird die Halterverantwortlichkeit nach unten auf einen Beschäftigten oder einen Dritten delegiert, liegt eine vertikale Delegation vor. Diese verlangt (1) eine konkrete Beschreibung der vom Delegierten wahrzunehmenden Aufgaben und zu beachtenden Pflichten, (2) die erforderliche Fachkunde beim Delegierten für die Wahrnehmung der von ihm zu übernehmenden Aufgaben und zu beachtenden Pflichten, (3) eine sorgfältige Auswahl des Delegierten durch das Unternehmen sowie (4) eine pflichtgemäße Überwachung des Delegierten durch das Unternehmen. Fehlt es an einem der Elemente, scheitert die Enthaftung des Unternehmens.
Sämtliche Schritte bei der Delegation sollten aus Beweisgründen dokumentiert werden. Bei einer vertikalen Delegation auf einen Beschäftigten sollte der Arbeitsvertrag mit dem Beschäftigten deshalb um eine entsprechende Aufgabenbeschreibung ergänzt werden.
Was ist bei der Auslagerung des Fuhrparkmanagements auf Dienstleister juristisch zu beachten?
Die Auslagerung des Fuhrparkmanagements soll der Erfüllung von Aufgaben und Pflichten des Unternehmens im Zusammenhang mit seinem Fuhrpark durch den externen Dienstleister dienen. Zugleich liegt ein Fall der vertikalen Delegation mit dem Ziel der Enthaftung von Unternehmen und Unternehmensleitung für ein Organisationsverschulden vor (siehe oben).
Zwingender Bestandteil des Vertrags mit dem Dienstleister muss deshalb eine Leistungsbeschreibung sein, aus der sich im Einzelnen ergibt, welche Aufgaben und Pflichten der Dienstleister für das Unternehmen übernimmt, bzw. nicht übernimmt sowie welche Fachkunde der Dienstleister hierfür vorzuhalten hat. Anderenfalls bleiben Reichweite und Wirksamkeit der Delegation zu Lasten des Unternehmens unklar.
Weiterer zwingender Bestandteil des Vertrags mit dem Dienstleister ist die Einräumung von Überwachungsbefugnissen zugunsten des Unternehmens. Die Überwachung muss allerdings nicht zwingend durch Kontrollen vor Ort beim Dienstleister erfolgen. Abhängig von Fachkunde und Erfahrung des Dienstleisters genügen hierfür ggf. auch regelmäßige Berichte des Dienstleisters über die von ihm getroffenen Maßnahmen und deren Wirksamkeit.
Geklärt werden sollte ferner, welche Befugnisse der Dienstleister im Umgang mit Beschäftigten des Unternehmens bekommt, bzw. wie der Dienstleister in die Prozesse des Unternehmens eingebunden wird, wenn Beschäftigte ihren Pflichten nicht nachkommen, etwa zur Vorlage des Führerscheins beim Dienstleister. Sofern der Dienstleister insoweit zur Ausübung von Weisungsbefugnissen für das Unternehmen berechtigt sein soll, muss dies im Vertrag geregelt sein. Anderenfalls muss der Vertrag festschreiben, wer im Unternehmen vom Dienstleister in solchen Fällen zu informieren und wie weiter zu verfahren ist.
Im Übrigen handelt es sich beim Vertrag mit dem Dienstleister um einen „gewöhnlichen“ Outsourcing-Vertrag. Dieser sollte für den Fall seiner Beendigung auch Bestimmungen zur (Re-)Migration der beim Dienstleister vorhandenen Informationen an das Unternehmen oder dessen neuen Dienstleister vorsehen.
Vor welche Herausforderungen stellt das Datenschutzrecht die Verantwortlichen?
Für den Umgang mit personenbezogenen Daten gilt ein sog. Verbot mit Erlaubnisvorbehalt. Er ist nur zulässig, wenn der Betroffene durch eine Einwilligung oder ein Gesetz die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten erlaubt. Verpflichtet wird durch das Datenschutzrecht das Unternehmen als sog. Verantwortliche Stelle. Der Datenschutzbeauftragte ist demgegenüber die Kontrollbehörde im Unternehmen. Er soll darauf hinwirken, dass das Datenschutzrecht beachtet wird, ist aber selbst nicht dafür verantwortlich.
Werden personenbezogene Daten für die Erfüllung der Pflichten aus der Halterverantwortlichkeit benötigt, ist der Umgang mit diesen Daten auch ohne Einwilligung der Betroffenen kraft Gesetzes zulässig. Das gilt etwa für die Durchführung der Führerscheinkontrolle. Das Unternehmen muss das Original des Führerscheins prüfen und das Ergebnis der Prüfung dokumentieren, will es eine eigene Haftung vermeiden.
Das Unternehmen muss außerdem sicherstellen, dass mit den personenbezogenen Daten kein Missbrauch betrieben wird. Deshalb verpflichtet § 9 BDSG das Unternehmen, alle erforderlichen und zumutbaren technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dazu gehört etwa, den Zugriff auf die Daten im Unternehmen so zu beschränken, dass nur der Fuhrparkverantwortliche Daten aus Führerscheinkontrollen erhält.
Fallen auch Gesundheitsdaten an, etwa wegen Zusatzeintragungen im Führerschein oder bekannter, die Fahrtauglichkeit beeinträchtigender Krankheiten, sind dies sog. besondere Arten personenbezogener Daten, die besonders schutzbedürftig sind. Hier muss das Unternehmen entsprechend hohe Sicherheitsvorkehrungen gegen Verlust treffen. Anderenfalls drohen Informationspflichten gegenüber den Betroffenen, der Aufsichtsbehörde und ggf. sogar der Öffentlichkeit.
Macht das Unternehmen von der Möglichkeit einer vertikalen Delegation auf einen Dienstleister Gebrauch (siehe oben), muss mit diesem zwingend ein Auftrag für eine sog. Auftragsdatenverarbeitung nach § 11 BDSG schriftlich vereinbart werden. Anderenfalls hätte nicht mehr das Unternehmen die Hoheit über die personenbezogenen Daten, sondern der Dienstleister. Das Unternehmen könnte ohne eine solche Auftragsdatenverarbeitung seinen datenschutzrechtlichen Pflichten nicht mehr nachkommen.