Datenschutz
1. Verarbeitung personenbezogener Daten
Kunden müssen beim Erheben ihrer Daten umfassend über die Verarbeitung informiert werden (z. B. durch Datenschutzhinweise). Dazu gehört die Information über:
Rechtsgrundlage: Alle personenbezogenen Daten (z. B. Namen, Telefonnummern, Adressen, Zahlungsinformationen) dürfen nur auf Grundlage einer gesetzlichen Erlaubnis oder einer Einwilligung verarbeitet werden.
Zweckbindung: Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden (z. B. zur Abwicklung einer Fahrt).
Datenminimierung: Es dürfen nur die für den Zweck notwendigen Daten erhoben und verarbeitet werden.
2. Informationspflichten
Kunden müssen beim Erheben ihrer Daten umfassend über die Verarbeitung informiert werden (z. B. durch Datenschutzhinweise). Dazu gehört die Information über:
den Zweck der Datenverarbeitung,
die Rechtsgrundlage,
die Dauer der Speicherung,
und die Rechte der betroffenen Personen.
3. Auftragsverarbeitung
Wenn das Taxiunternehmen externe Dienstleister (z. B. Softwareanbieter für Buchungssysteme) einsetzt, die personenbezogene Daten im Auftrag verarbeiten, muss ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) abgeschlossen werden.
4. Technische und organisatorische Maßnahmen
Um die Sicherheit der Daten zu gewährleisten, müssen geeignete technische und organisatorische Maßnahmen ergriffen werden, z. B.:
Zugriffskontrollen,
regelmäßige Datensicherungen,
Schulungen der Mitarbeiter im Datenschutz.
5. Speicherfristen und Löschung
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Nach Ablauf der Fristen (z. B. gesetzliche Aufbewahrungsfristen) müssen die Daten gelöscht oder anonymisiert werden.
6. Datensicherheit
Schutz vor unbefugtem Zugriff, Verlust oder Missbrauch der Daten durch geeignete Sicherheitsmaßnahmen (z. B. Firewalls, Virenschutz, sichere Passwörter).
Daten sollten sowohl bei der Übertragung als auch bei der Speicherung geschützt werden.
7. Meldepflicht bei Datenschutzverletzungen
Bei einer Verletzung des Schutzes personenbezogener Daten (z. B. Datenlecks) besteht eine Meldepflicht gegenüber der Datenschutzbehörde innerhalb von 72 Stunden.
In bestimmten Fällen müssen auch die betroffenen Personen informiert werden.
8. Rechte der Betroffenen
Das Taxiunternehmen muss sicherstellen, dass die Rechte der betroffenen Personen gewahrt werden, einschließlich:
Auskunftsrecht,
Recht auf Berichtigung,
Recht auf Löschung,
Recht auf Datenübertragbarkeit,
Widerspruchsrecht gegen die Datenverarbeitung.
9. Dokumentation und Nachweisbarkeit
Es muss dokumentiert werden, welche Datenverarbeitungen stattfinden, zu welchem Zweck, auf welcher Rechtsgrundlage und welche Maßnahmen zum Datenschutz getroffen wurden.
Diese Dokumentation ist der Aufsichtsbehörde auf Anfrage vorzulegen.
10. Datenschutzbeauftragter
Ein Datenschutzbeauftragter muss bestellt werden, wenn regelmäßig eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten stattfindet oder das Unternehmen mehr als 20 Personen beschäftigt, die regelmäßig mit der automatisierten Verarbeitung von Daten befasst sind.
Die Einhaltung dieser Anforderungen ist entscheidend, um rechtliche Risiken und Bußgelder zu vermeiden. Es empfiehlt sich, eine datenschutzrechtliche Beratung in Anspruch zu nehmen, um sicherzustellen, dass alle gesetzlichen Vorgaben korrekt umgesetzt werden.