Fuhrparksoftware DSGVO: Was Behörden und Unternehmen wissen müssen

Fuhrparksoftware DSGVO: Was Behörden und Unternehmen wissen müssen

  • Written by

    Cloudkasten GmbH

  • Published on

    Apr 22, 2026

Share On

Fuhrparkdaten sind personenbezogene Daten. Wer Fahrzeuge verwaltet, wer wann gebucht hat, wer das Fahrzeug abgeholt und zurückgegeben hat — all das fällt unter die DSGVO. Für Behörden und mittelständische Unternehmen bedeutet das konkrete Pflichten, deren Umsetzung in der Software-Auswahl beginnt.

Welche Daten verarbeitet eine Fuhrparksoftware?

Eine moderne Flottenmanagement-Software verarbeitet typischerweise:

  • Stammdaten der Fahrer: Name, Personalnummer, E-Mail, Abteilung, Führerscheinklasse
  • Buchungsdaten: Welcher Fahrer hat welches Fahrzeug zu welchem Zeitpunkt gebucht
  • Standort- und Kilometerdaten: Start- und Endkilometer, ggf. Fahrtstrecken
  • Compliance-Daten: Führerscheinprüfungen, Schadensmeldungen, Strafmandate
  • Belegdaten: Tankquittungen, Werkstattrechnungen, Reisebelege

All diese Datenkategorien sind personenbezogen oder personenbeziehbar. Die DSGVO ist anwendbar.

Die wichtigsten Pflichten im Überblick

1. Rechtsgrundlage (Art. 6 DSGVO)

Für die Verarbeitung von Buchungs- und Compliance-Daten kommt regelmäßig Art. 6 Abs. 1 lit. b (Vertragserfüllung) oder lit. f (berechtigtes Interesse) in Betracht. Bei Standortdaten ist Vorsicht geboten — eine pauschale Bewegungsverfolgung ohne dezidierten Anlass ist datenschutzrechtlich kritisch.

2. Verzeichnis von Verarbeitungstätigkeiten (Art. 30)

Jede Organisation ab 250 Mitarbeitenden muss ein Verzeichnis führen — und auch kleinere Organisationen, wenn die Verarbeitung “nicht nur gelegentlich” erfolgt. Die Verarbeitung im Fuhrpark ist regelmäßig und kontinuierlich, also dokumentationspflichtig.

3. Auskunfts- und Löschungsrechte (Art. 15-22)

Mitarbeitende haben Anspruch auf Auskunft über die zu ihrer Person gespeicherten Daten, auf Berichtigung, Einschränkung und unter bestimmten Voraussetzungen auf Löschung. Bei der Löschung muss die Software unterscheiden können zwischen “personenbezogene Daten löschen” und “Audit-Historie erhalten” — typischerweise umgesetzt durch Pseudonymisierung statt physischer Löschung.

4. Technische und organisatorische Maßnahmen (Art. 32)

Verschlüsselung der Datenbank, Zugriffskontrollen mit RBAC, unveränderliche Audit-Logs, Backup-Konzept, Incident-Response-Prozess. Die Software muss diese Bausteine unterstützen — die organisatorische Umsetzung ist Aufgabe des Verantwortlichen.

5. Auftragsverarbeitung (Art. 28)

Wenn die Fuhrparksoftware als SaaS bei einem externen Anbieter betrieben wird, ist dieser Auftragsverarbeiter. Es ist ein Auftragsverarbeitungsvertrag (AVV) abzuschließen, der die in Art. 28 Abs. 3 verlangten Mindestinhalte abbildet. Der AVV muss konkrete TOMs, Sub-Prozessoren und Audit-Rechte regeln.

6. Drittstaaten-Übermittlung (Art. 44 ff.)

Verarbeiten Sie oder Ihr SaaS-Anbieter Daten in den USA, Indien oder anderen Drittstaaten? Nach Schrems II ist die Standardvertragsklausel-Lösung allein nicht mehr ausreichend; es bedarf eines Transfer Impact Assessment und ggf. zusätzlicher Maßnahmen. Wer die Software selbst gehostet und DSGVO-konform betreiben möchte, vermeidet diesen Komplex vollständig.

Praxisleitfaden für die Software-Auswahl

Bei der Auswahl einer DSGVO-konformen Fuhrparksoftware sollten Sie folgende Punkte prüfen:

  1. Datenort: Wo werden die Daten gespeichert? On-premise auf eigener Infrastruktur ist die Option mit dem geringsten Compliance-Aufwand.
  2. Pseudonymisierung: Kann die Software einen Fahrer-Datensatz pseudonymisieren, ohne die Audit-Historie zu zerstören?
  3. Retention-Steuerung: Lassen sich Aufbewahrungsfristen pro Datenkategorie konfigurieren? Buchungsdaten brauchen eine andere Aufbewahrung als Strafmandate.
  4. Audit-Logs: Sind Logs unveränderlich? Werden Lese- und Schreibzugriffe protokolliert?
  5. RBAC und SSO: Lassen sich Berechtigungen feingranular vergeben? Ist eine Anbindung an Ihren bestehenden Identity Provider (Azure AD, Keycloak) möglich?
  6. Drittanbieter: Welche Sub-Prozessoren sind beteiligt? Bei on-premise: keine. Bei SaaS: oft 10+.

Besonderheiten für Behörden

Als Fuhrparksoftware für Behörden und Kommunen muss MobilityManager zusätzlich dem BDSG und teilweise sektor-spezifischen Datenschutzgesetzen (z.B. den jeweiligen Landesdatenschutzgesetzen) entsprechen. Die NIS2-Richtlinie kommt ergänzend hinzu, sobald die Behörde unter den erweiterten Anwendungsbereich fällt — was für viele Kommunen ab einer bestimmten Größe der Fall ist. Source-Code-Escrow und langfristige Verfügbarkeit der Software sind hier oft Pflichtanforderungen, die SaaS-Lösungen schwer erfüllen können.

Fazit

DSGVO-Compliance im Fuhrparkmanagement ist machbar, beginnt aber bei der Software-Architektur. On-premise-Deployments mit unveränderlichen Audit-Logs und granularer Pseudonymisierung sparen sowohl AVV-Komplexität als auch Drittstaaten-Risiken. Wer die Software gleich richtig auswählt, hat in fünf Jahren keinen Grund, bei der nächsten Datenschutz-Audit zu schwitzen.

Mehr zur on-premise-betriebenen Fuhrparksoftware finden Sie auf unserer Themenseite — und unsere Public-Sector-Hinweise auf /oeffentlicher-sektor/.

Recent Insights & Blogs

Read similar articles

Compliance , Fleet Management

Mar 24, 2026

Corporate Car Sharing and GDPR: What Your Fleet Software Must Handle

Public sector , Compliance
Fleet Management Software for Public Sector: Why Data Sovereignty Matters

Apr 22, 2026

Fleet Management Software for Public Sector: Why Data Sovereignty Matters

Compliance , DSGVO
DSGVO-konforme Fuhrparkverwaltung: Was Unternehmen wissen müssen

Mar 20, 2026

DSGVO-konforme Fuhrparkverwaltung: Was Unternehmen wissen müssen

Bereit für professionelles Flottenmanagement?

Entdecken Sie MobilityManager in einer persönlichen Demo. On-Premise Installation in Ihrem Rechenzentrum, Self-Service Buchungen für Ihre Mitarbeiter, intelligente Auto-Zuweisung, volle DSGVO-Konformität – Made in Germany.

Jetzt kostenlose Demo vereinbaren