Die Ortung aus dem All – GPS-Nutzung ist heute einfach und liefert präzise Standorte und Bewegungsprofile auf der ganzen Welt. Was aber, wenn Firmenfahrzeuge und damit Mitarbeiter „getrackt“ werden? Ein Überblick zu Ortungsmöglichkeiten und den damit verbundenen Vorgaben der Datenschutz-Grundverordnung.
Jedes Smartphone weiß genau, wo es sich gerade befindet und wo es gestern war – ebenso können moderne Laptops und Tablets ihren Standort erfassen und nutzen. Auch das Navigationssystem im Auto weiss nicht nur, wo sich sein Fahrzeug befindet, sondern kennt auch die bevorzugten Strecken des Fahrers. Die Entwicklung der Geräte ist mittlerweile so weit fortgeschritten, dass GPS-Ortungsgeräte in der Größe einer Streichholzschachtel jahrelang autark zum Beispiel Überseecontainer ortbar machen.
Die Vorteile, den eigenen Standort oder den des Gutes genau zu kennen, liegen auf der Hand. In der App des Lieblings-Bringdienstes sehen zu können, ob die Pizza schon unterwegs ist, erscheint im ersten Moment als nette Spielerei, doch spätestens, wenn Kühlketten beim Lebensmitteltransport beweisbar eingehalten werden müssen, wird das Bewegungsprofil des LKWs zum wichtigen Beweismittel. Logistik und Fuhrparkmanagement sind heute ohne ständige Erfassung und Anpassung von Transportwegen undenkbar.
Arbeitgeber können GPS-Systeme zur Koordinierung von Auftragsfahrten oder zum Beispiel zur Abwehr potenzieller Diebstähle nutzen. Die erfassten Daten zu Ort, Zeit, Strecke, Geschwindigkeit und Standzeit können in der Regel einem oder mehreren Mitarbeitern zugeordnet werden. Durch diese direkte Nachvollziehbarkeit handelt es sich bei den so erlangten Informationen um personenbezogene Daten.
Achtung! Immer wenn personenbezogene Daten erfasst und/oder verarbeitet werden, werden die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz relevant!
Wie sieht es hier rechtlich aus?
Die minimale Anforderung nach Art. 12 ff. DSGVO sieht vor, einen betroffenen Mitarbeiter über dessen beabsichtigte Ortung und die Auswertung seiner Bewegungsdaten in einem Umfang zu informieren. Geht der Zweck über eine einfache Ortung aus Sicherheitsgründen oder logistischen Zwecken hinaus, ist eine Einwilligungserklärung von der betroffenen Person erforderlich. Insbesondere dann, wenn zum Beispiel der Firmenwagen auch privat genutzt werden darf.
Datenschutzrechtlich unproblematisch ist die Ortunge des Standortes, um etwa weitere Aufträge in Standortnähe vergeben zu können, auch die Erfassung der Arbeitszeiten durch gespeicherte Ortungsdaten wird weitgehend von der DSGVO gedeckt. Rechtlich bedenklich ist die präzise Streckenverfolgung, die ein Bewegungsprofil des Mitarbeiters erstellt. Dieses könnte dazu genutzt werden, um etwa nicht zulässige Privatfahrten zu erkennen oder Umwege anzumahnen.
Art. 1 Abs. 2 DSGVO besagt, dass die Grundrechte und Grundfreiheiten natürlicher Personen zu schützen sind – besonders das Recht auf den Schutz personenbezogener Daten. In diesem Fall darf zwar erfasst werden, wo sich ein Firmenfahrzeug befindet, wenn es beweisbar dem Arbeitsablauf dient – das Wissen, wo der Mitarbeiter in seiner Pause gefrühstückt hat, aber vom Datenschutz beschützt wird.
Art. 9 und 88 DSGVO besagen grob formuliert: wenn die beweisbare Notwendigkeit zur Ortung besteht, damit ein Mitarbeiter „seine Job“ richtig machen kann, dann darf geortet werden.
Abwägung der Interessen von Mitarbeiter und Arbeitgeber
Art. 1 Abs. 1 DSGVO schreibt vor, wie persönliche Daten von natürlichen Personen und deren Verarbeitung und Verteilung zu schützen sind. Hier kollidiert das Interesse des ortenden Unternehmens sehr schnell mit den persönlichen Rechten des Mitarbeiters.
Grundsätzlich gilt: die zu schützenden Interessen des Mitarbeiters sind mit denen des Arbeitgebers abzuwägen.
Wenn der Verdacht besteht, dass ein Beschäftigter strafrechtlich zu verfolgenden Handlungen nachgeht, ist die Verarbeitung seiner personenbezogenen Daten in Erwägung zu ziehen. Hier muss allerdings ein begründeter Verdacht vorliegen, dies gilt nicht pauschal und jederzeit.
Wichtig: Personenbezogenen Daten dürfen nicht ohne Zustimmung der betroffenen Person verarbeitet werden.
Zwei Ausnahmen können jedoch greifen: Entweder es gibt dafür eine rechtliche Grundlage, also eine Notwendigkeit der Verarbeitung (Art. 6 Abs.1 Satz 1 DSGVO) oder eine Person willigt in die Verarbeitung ihrer persönlichen Daten im Rahmen der Ortung freiwillig ein. Freiwillig bedeutet, dass die Verweigerung der Einwilligung oder deren Widerruf keine beruflichen oder persönlichen Auswirkungen haben darf.
Da es sich hier um Rechtsgrundlagen handelt und die praktische Umsetzung im betrieblichen Alltag schwierig abzuschätzen sein kann, ist es möglicherweise notwendig, dass eine Vorabkontrolle durchzuführen ist (§ 4d BDSG). Bei dieser Vorabkontrolle durch einen Datenschutzbeauftragten wird geprüft, ob und in welchem Umfang das Orten auf eine Rechtsgrundlage gestützt werden kann und ob und welche wesentlichen Datenschutzgrundsätze einzuhalten sind.
Wenn die Pizzaauslieferung des Bringdienstes auf der Webseite der Pizzeria verfolgbar ist, scheint dies erstmal unkritisch. Der Kunde hat zwar Zugriff auf ein „Bewegungsprofil“, kann dieses aber nicht direkt einer Person zuordnen. Die Pizzakette kann hingegen mit der Notwendigkeit der Ortung für eigene Zwecke argumentieren. Schließlich soll die Pizza heiß und frisch ausgeliefert und nicht kalt werden, weil die Verfügbarkeit des Fahrers nicht genau genug einschätzbar ist.
Verarbeitung personenbezogener Daten und die Informationspflicht
Art. 5,12 und 13 DSGVO regeln die absolut notwendige Informationspflicht gegenüber dem Mitarbeiter. Dieser hat das vollumfängliche Recht über die Verarbeitung seiner Daten informiert zu werden: welche personenbezogenen Daten werden wann, wozu, wie lange erhoben und gespeichert. Er muss mitgeteilt bekommen, wer diese Daten sehen darf, wie sie verarbeitet und gespeichert werden und wer sein Ansprechpartner (gesetzlicher Datenschutzbeauftragter) ist, wenn er Fragen dazu hat. Weiter darf er jederzeit die über ihn gespeicherten Daten abfragen.
Art. 5 DSGVO regelt die Grundsätze für die Verarbeitung personenbezogener Daten.
Sinngemäß steht dort: die personenbezogenen Daten dürfen nur zu einem notwendigen und erklärten Zweck erhoben werden. Sie sind sicher zu speichern, sofort zu löschen, wenn ihr Zweck erfüllt ist und der Datenerheber muss sich rechtlich absichern, dass Dritte, die Zugriff auf die Daten erhalten, die Rechtsgrundlage ebenfalls penibel einhalten.
Es ist weiter zu überprüfen, welche gespeicherte oder verarbeitet Daten ggf. Dritten zugänglich werden. Hier ist der Kunde, der auf der Webseite das Pizzataxi verfolgen kann ebenso rechtlich einzuschätzen, wie eine Drittfirma, die Hard- und Software zur GPS-Ortung liefert. Insbesondere ist darauf zu achten, dass Daten nicht in den rechtlichen Raum außerhalb gültigen EU-Rechts gelangen.
Die DSGVO muss hier auf jeden Fall Berücksichtigung finden, bei Verstößen sind harte Strafen vorgesehen – bis zu 20 Millionen Euro (oder 4 Prozent des weltweiten Jahresumsatzes des letzten Geschäftsjahres) – wenn vorsätzlich oder grob fahrlässig dagegen verstoßen wird. Bei allen sichtbaren Vorteilen der GPS-Ortung ist sehr wichtig, das Thema rechtlich sauber anzugehen. Hard- und Software zur Ortung können größere Investitionen und Folgekosten darstellen und ein notwendiger Rückbau und potenzielle Strafzahlungen aus datenschutzrechtlichen Gründen sollte auf jeden Fall vermieden werden.
Die freiwillige Einwilligung des Mitarbeiters
Willigt der Mitarbeiter ein, dass er geortet wird, ist der Arbeitgeber nur auf der vermeintlich sicheren Seite. Er muss darauf achten, dass er die DSGVO-konforme Einwilligung des zu Ortenden belegen kann und er nicht trotzdem gegen die Artikel der DSGVO, insbesondere Art. 5 verstößt, indem er die Daten nicht zu ihrem dem Mitarbeiter mitgeteilten Zweck verwendet oder er den Zweck ändert und dies dem Mitarbeiter nicht mitteilt.
Dieser Artikel ist nur ein Überblick der Lage und stellt keine konkrete und auch keine rechtliche Beratung dar! Im Zweifelsfall und bei offenen Fragen sollte immer ein Datenschutzberater bzw. der Datenschutzbeauftragte des Betriebes hinzugezogen werden, um die DSGVO im Unternehmen datenschutzkonform und rechtlich sicher umsetzen.
Checkliste für Unternehmen
- Die Ortung eines Fahrzeuges und die Nutzung der daraus resultierenden personenbezogenen Daten aus reinem Selbstzweck ist unzulässig. Es muss nachweisbar ein Ziel verfolgt werden, beispielsweise logistische Erfordernisse oder die sichere Gestaltung der Arbeitsabläufe.
- Über eine Vorabkontrolle durch einen Datenschutzbeauftragten prüfen, ob und in welchem Umfang das Orten auf eine Rechtsgrundlage gestützt werden kann und ob die wesentlichen Datenschutzgrundsätze eingehalten werden.
- Art. 30 DSGVO schreibt vor, dass der Zweck und die rechtliche Grundlage dokumentiert und gegenüber dem betroffenen Mitarbeiter vollumfänglich kommuniziert werden müssen. Auch muss er Zugriff auf die über ihn gespeicherten Daten haben und wissen, wie er diesen erhält.
- Erfolgt die Verarbeitung der Daten auf Grundlage einer DSGVO-konformen Einwilligung, so ist hier zu beachten, dass diese freiwillig abgegeben wurde und eine Aufklärung über das bestehende Widerrufsrecht erfolgte – nur so wird die Einwilligung gültig.