Datenschutz & Telematik: DSGVO-konformer Einsatz von Subunternehmern in der Logistik

Bild zur Visualiserung der DSGVO in der Telematik

Ohne Subunternehmer würden die Lieferketten nicht nur in Deutschland zusammenbrechen. Auch im europäischen Ausland setzen Spediteure auf Subunternehmer, um die Transportaufträge im Ladungs- und Stückgutbereich zu erfüllen. Kein Wunder, denn der so genannte „Selbsteintritt“ ist rückläufig. Der Selbsteintritt (§ 458 HGB) erlaubt es einem Spediteur, den Gütertransport mit eigenen Fahrzeugen (oder Personal) selbst durchzuführen, anstatt ihn an einen Frachtführer zu vergeben.

Subunternehmer spielen demnach auch beim Einsatz von Telematik-Systemen eine wichtige Rolle. Subunternehmer müssen in den Datenfluss integriert werden, ohne den Datenschutz gemäß DSGVO zu verletzen. Fahrer-Apps wie die von der proLogistik Group entwickelte App „pLG Drive“ spielen hier eine Schlüsselrolle.

1. Datenschutz als zentrale Anforderung in der Telematik

Telematiksysteme erfassen und verarbeiten eine Vielzahl sensibler Daten – darunter Standortinformationen, Zustellnachweise und Kommunikationsdaten. Sobald Subunternehmer in die Prozesse eingebunden werden, erhöht sich die Komplexität der Datenverarbeitung erheblich.

Die DSGVO verlangt in diesem Zusammenhang Transparenz über die Datenverarbeitung, Zweckbindung und Datenminimierung sowie technische und organisatorische Maßnahmen zum Schutz der Daten. Nicht zuletzt muss es auch klare vertragliche Regelungen mit Auftragsverarbeitern geben.

Gerade in der Zusammenarbeit mit externen Dienstleistern ist es entscheidend, dass der Zugriff auf personenbezogene Daten strikt kontrolliert und dokumentiert wird.

Was die DSGO hinsichtlich Datenverarbeitung verlangt:

Transparenz über die Datenverarbeitung
Zweckbindung und Datenminimierung
Technische und organisatorische Maßnahmen zum Schutz der Daten
Klare vertragliche Regelungen mit Auftragsverarbeitern

2. Rollenverteilung: Auftraggeber und Auftragsverarbeiter

Ein zentraler Aspekt der DSGVO ist die klare Definition von Verantwortlichkeiten. In der Praxis übernimmt der Auftraggeber – etwa ein Logistikunternehmen – die Rolle des Verantwortlichen. Die technische Plattform hingegen wird häufig von spezialisierten Anbietern wie der proLogistik Group betrieben.

Diese Konstellation erfordert einen Vertrag zur Auftragsverarbeitung (AVV), klare Weisungsbefugnisse des Auftraggebers und nachweisbare Sicherheitsmaßnahmen. Im Fall der „pLG Drive“-App steht hinter der Anwendung die proLogistik Transportation GmbH. Sie verarbeitet personenbezogene Daten im Auftrag des Kunden und fungiert somit als Auftragsverarbeiter gemäß Art. 28 DSGVO.

3. Datenminimierung beim Einsatz von Subunternehmern

Ein wesentliches Prinzip der DSGVO ist die Datenminimierung. Beim Einsatz von Subunternehmern wird dieses Prinzip durch gezielte Zugriffsbeschränkungen umgesetzt. ProLogistik hat diese Anforderung bei der „pLG Drive“ App umgesetzt.

Fahrer, die für Subunternehmen tätig sind, greifen über die „pLG Drive“-App nur mittelbar auf die unbedingt notwendigen Daten zu. Dabei handelt es sich um jene Unternehmens- und Auftragsdaten, die der Fahrer für den jeweiligen Transport benötigt. Der Zugriff auf das zentrale Webportal wird deshalb exakt eingeschränkt, um eine unnötige Datenexposition zu vermeiden.

Diese Architektur stellt sicher, dass nur relevante Informationen bereitgestellt werden, sensible Daten nicht unkontrolliert verbreitet werden und die Anforderungen der DSGVO eingehalten werden.

4. Technische Schutzmaßnahmen: Verschlüsselung und Sicherheit

Die Sicherheit der Datenübertragung ist ein Kernelement jeder DSGVO-konformen Telematiklösung. Bei der pLG Telematik erfolgt die Kommunikation zwischen der Fahrer-App „pLG Drive“ und dem Server grundsätzlich verschlüsselt. So wird sichergestellt, dass sensible Informationen – etwa Zustellnachweise oder Standortdaten – vor unbefugtem Zugriff geschützt sind.

Zusätzlich können bei dieser Lösung weitere Sicherheitsmechanismen integriert werden. Zur Wahl stehen VPN-Verbindungen zur Absicherung der Datenströme sowie Blockchain-Komponenten zur Integritätssicherung.

5. Funktionalität der App im Spannungsfeld von Effizienz und Datenschutz

Die „pLG Drive“-App ist eine umfassende mobile Lösung für Fahrer und Logistikmitarbeiter. Sie unterstützt alle relevanten operative Prozesse wie zum Beispiel die Auftrags- und Tourenverwaltung, das Erfassen von Zustellstatus und Sendungsinformationen oder das Erbringen digitaler Unterschriften als Zustellnachweis.

Außerdem beherrscht die „pLG Drive“-App die Fotodokumentation von Zustellungen und Schäden, das Scannen von QR- und Barcodes sowie die Kommunikation mit der Disposition. Diese Funktionen sind für effiziente Abläufe essenziell – gleichzeitig müssen sie datenschutzkonform gestaltet sein.

Wesentliche datenschutzkonforme Funktionen der „pLG Drive“ App:

Auftrags- und Tourenverwaltung
Erfassung von Zustellstatus und Sendungsinformationen
Digitale Unterschriften als Zustellnachweis
Fotodokumentation von Zustellungen und Schäden
Barcode- und QR-Code-Scanning
Kommunikation mit der Disposition

6. Standortdaten und GPS-Tracking

Ein besonders sensibler Bereich ist das Verarbeiten von Standortdaten. Fahrer-Apps wie pLG Drive erfassen den Gerätestandort per GPS. Damit wird nicht nur die Fahrzeugposition in Echtzeit dargestellt, sondern auch die voraussichtliche Ankunftszeit (ETA) berechnet. Nicht zuletzt liefern die GPS-Daten die Grundlage für Geofencing-Funktionen und Tourenoptimierungen.

Wichtig aus Datenschutzsicht: Die Erfassung erfolgt ausschließlich während der aktiven Dienstzeit des Fahrers. Dadurch wird eine unzulässige Überwachung außerhalb der Arbeitszeit verhindert – ein entscheidender Faktor für die DSGVO-Konformität.

Gründe zum Erfassen der GPS-Positionsdaten durch eine Fahrer-App:

Darstellen der Fahrzeugposition in Echtzeit
Berechnen der voraussichtlichen Ankunftszeit (ETA)
Ermöglichen von Geofencing-Funktionen
Tourenoptimierung

7. Datenschutzerklärung

Zu einer Fahrer-App sollte eine eigene Datenschutzerklärung vorliegen. Für die App pLG Drive findet man dieses Dokument unter der Adresse hier.

Eine Datenschutzerklärung sollte folgende Informationen enthalten:

Verantwortliche Stelle
Informationen zu Datenschutzbeauftragten
Angaben zur Datenverarbeitung
Zweck der App und der Datenverarbeitung
Informationen darüber, welche Daten erhoben und verarbeitet werden
Informationen zu eventuell weiteren App-Berechtigungen
Informationen zu den Empfängern der Daten
Informationen zur Speicherdauer der Daten
Informationen zu den Rechten der Kunden
Informationen zur Datensicherheit
Informationen darüber, ob und inwieweit Gesundheitsdaten erfasst werden
Informationen darüber, ob sich die App an Minderjährige richtet
Kontaktinformationen

Fazit

Der Einsatz von Fahrer-Apps in der Zusammenarbeit mit Subunternehmern erfordert ein durchdachtes Datenschutzkonzept. Lösungen wie die „pLG Drive“-App zeigen, dass sich dabei Effizienz und DSGVO-Konformität nicht ausschließen müssen. Durch gezielte Zugriffsbeschränkungen, verschlüsselte Kommunikation und eine klare Rollenverteilung lassen sich die Anforderungen der DSGVO praxisgerecht umsetzen.

Unternehmen, die Datenschutz nicht als Pflicht, sondern als Qualitätsmerkmal verstehen, schaffen Vertrauen – bei Kunden, Partnern und nicht zuletzt bei ihren Fahrern.

Mehr zu Telematik und Schnittstellen

Mehr zu Telematik ohne spezifische Hardware

Handlungsempfehlungen für das DSGVO-konforme Einbinden von Subunternehmern:

Zugriffskonzepte definieren: Subunternehmer erhalten nur minimal notwendige Daten
Verträge absichern: Abschluss eines AV-Vertrags (Auftragsverarbeitung) gemäß DSGVO
Technische Maßnahmen implementieren: Verschlüsselung, VPN, Zugriffskontrollen
Transparenz schaffen: Klare Information der Fahrer über Datennutzung
Datenerhebung begrenzen: Keine Verarbeitung von Daten, die außerhalb der Arbeitszeit entstehen