Zum Inhalt springen Zur Navigation springen
Heimliches GPS-Tracking von Mitarbeitern: Verstoß gegen DSGVO?

Heimliches GPS-Tracking von Mitarbeitern: Verstoß gegen DSGVO?

Die Überwachung von Mitarbeitern ist ein Dauerbrenner im Datenschutz geworden. Ob als „klassische“ Observierung durch einen Privatdetektiv oder mittels modernerer Methoden wie dem GPS-Tracking – viele Arbeitgeber haben Kreativität bewiesen, wenn es darum geht herauszufinden, was die Belegschaft während der Arbeitszeit so treibt. Dabei kann man als Unternehmen einiges falsch machen, nicht nur bei der Bestimmung der Rechtsgrundlage oder bei der Frage, welches Mittel man zur Überwachung wählt. Schließlich stehen die Rechte der Arbeitnehmer auf dem Spiel – so auch in einem interessanten Fall vor dem VG Wiesbaden.

Überwachung am Arbeitsplatz

Überwachung ist nicht gleich Überwachung – es kommt wie so oft auf den Einzelfall an, was noch erlaubt ist und was bereits gegen Datenschutzvorschriften oder andere Persönlichkeitsrechte der Arbeitnehmer verstößt. Eine anlasslose Überwachung zur „Kontrolle“ dürfte stets rechtwidrig sein. Im Regelfall müssten zumindest konkrete Anhaltspunkte für strafbares Verhalten der Belegschaft gegeben sein, damit eine Überwachung überhaupt rechtmäßig sein kann. Aber selbst dann dürfte beispielsweise eine verdeckte Videoüberwachung am Arbeitsplatz nur die ultima ratio darstellen.

In der jüngeren Vergangenheit sind hier schon viele Unternehmen böse ins Fettnäpfchen getreten. So hat Amazon seine Mitarbeiter mittels einer Software überwacht und umfangreiche Leistungsdaten verarbeitet und dafür ein entsprechendes Bußgeld kassiert. Der Branchenriese Lieferando ist ganz ähnlich vorgegangen und hat z. B. seine Fahrer mittels einer App teilweise sekundengenau getrackt – natürlich, ohne die Betroffenen vorher darüber zu informieren.

Unerlaubtes GPS-Tracking von Mitarbeitern?

Um ein fragwürdiges GPS-Tracking ging es auch in dem Fall vor dem Verwaltungsgericht Wiesbaden (Urteil vom 17.01.2022, Az. 6 K 1164/21). Ein Unternehmen der Logistikbranche hatte seit April 2020 GPS-Systeme in ihre 55 Firmenfahrzeuge eingebaut. Diese Systeme erhoben und speicherten Daten zum Tracking dieser Fahrzeuge. So war es u. a. möglich, die Bestimmung des Live-Standorts der Fahrzeuge, die Speicherung der Standortdaten und die Messung des Benzinverbrauchs festzustellen. Dabei wurde eine SaaS-Cloud-Lösung eingesetzt. Das Unternehmen begründet dies damit, dass das Geo-Tracking der Ortung einzelner Fahrzeuge diene, um bei Missbrauch und Diebstahl eingreifen zu können.

Zudem sollen der Benzinverbrauch und der jeweilige Kraftstoffbestand in den Tanks überwacht werden, um Kraftstoffdiebstahl zu verhindern. Teilweise fanden auch Zuordnungen zum Inhaber der Fahrerkarte statt. Die Daten der Fahrerkarten wurden für 28 Tage gespeichert, während die Daten der Lenk- und Ruhezeiten nach einem Jahr gelöscht wurden. Die Löschung aller übrigen Daten erfolgte erst nach 400 Tagen. Die Mitarbeiter wurden über die Einführung des GPS-Trackings nicht informiert. Das Unternehmen stützte die Datenverarbeitung ausweislich des Verzeichnisses der Verarbeitungsverzeichnisses teilweise auf die Rechtsgrundlage der Einwilligung. Das Unternehmen konnte allerdings keine Einwilligungen nachweisen. Der hessische Datenschutzbeauftragte erfuhr von diesen Vorgängen und überprüfte den Sachverhalt. Letztlich forderte er das Unternehmen auf, das GPS-Tracking zukünftig zu unterlassen und erhobene Daten zu löschen. Gegen diesen Bescheid des Hessischen Datenschutzbeauftragten erhob das Unternehmen Klage.

Datenverarbeitung ohne Rechtsgrundlage

Das VG Wiesbaden wies die Klage ab, weil das Unternehmen die Daten nach Ansicht des Gerichts ohne Rechtsgrundlage verarbeitet hatte. Weder liege eine wirksame Einwilligung der Beschäftigten vor noch habe das Unternehmen ein berechtigtes Interesse an der Datenverarbeitung i. S. d. Art. 6 Abs. 1 S. 1 lit. f DSGVO. Zwar sei der von der Klägerin verfolgte Zweck, das GPS-Tracking zur Effizienzsteigerung einzusetzen, als legitim anzusehen. Auch könne der Einsatz des GPS-Trackings zur Verwirklichung dieses Zweckes geeignet sein. Das Gericht stellte allerdings heraus, dass es sich hierbei jedoch nicht um das mildeste aller gleich effektiv zur Verfügung stehenden Mittel handele:

„Zur Erreichung des Zwecks „Effizienzsteigerung“ sei eine flüchtige Momentaufnahme, d.h. Live-Daten, ausreichend. Eine Speicherung der Daten sei für den beabsichtigten Zweck, namentlich die Routenoptimierung bzw. die Reaktion auf kurzfristige Aufträge aus Sicht der Beklagten nicht erforderlich und damit unzulässig.“

Grundsätzlich ist auch der von der Klägerin verfolgte Zweck des Schutzes vor Missbrauch und Diebstahl durch den Einsatz des GPS-Trackings anerkennenswert. Hierfür kommt ebenfalls das berechtigte Interesse als Rechtsgrundlage in Betracht. Das Gericht wies allerdings darauf hin, dass die Installation der Tracking-Unit den Diebstahl selbst nicht verhindern könne. Sie ermögliche das Wiederauffinden des Fahrzeugs, ohne dass eine Speicherung der Standortdaten erforderlich sei. Die Datenspeicherung sei damit unverhältnismäßig.

Anlasslose Überwachung ist rechtswidrig

Das VG nahm auch Stellung hinsichtlich des von der Klägerin verfolgten Zweckes, die Einhaltung arbeitsrechtlicher Vorgaben bezüglich der Ahndung möglichen Kraftstoffdiebstahls sicherzustellen. Hier sei mit Blick auf die datenschutzrechtliche Bewertung zwischen anlasslosen präventiven Kontrollmaßnahmen zur Überprüfung der Einhaltung von bestehenden arbeitsrechtlichen Pflichten und anlassbezogenen Mitarbeiterkontrollen bei Bestehen eines konkreten zu dokumentierenden Anfangsverdachts zu unterscheiden. Das Gericht führte hierzu aus:

„Die Klägerin habe eingeräumt, dass sie anlasslos und nicht auf einen konkreten Fall bezogen Kraftstoffdiebstahl verhindern wolle. Eine ständige Überwachung sämtlicher Mitarbeiter, um sicherzustellen, dass es zu keinen Missbräuchen komme, sei unverhältnismäßig und daher nicht gerechtfertigt. Die danach vorzunehmende Abwägung der Interessen der Klägerin einerseits und der betroffenen Mitarbeiter andererseits fällt zu Lasten der Klägerin aus, weil die Datenspeicherung des Standorts, zumal über 400 Tage lang, nicht verhältnismäßig ist. […]“

Die Zulässigkeit der Datenerhebung und erst recht der Speicherung scheitert nach Auffassung des Gerichts schon daran, dass sie geheim erfolgt, ohne dass erkennbar ist, warum die Mitarbeiter der Klägerin nicht wissen dürften, dass ihr Arbeitgeber sie bei Fahrten konstant überwacht.

Augen auf bei Mitarbeiterdaten!

Auch dieses Urteil zeigt auf, welche Fehler Unternehmen bei der Verarbeitung von Mitarbeiterdaten machen können. Insbesondere die Standortdatenerfassung von Beschäftigten ist sehr sensibel. An dieser Stelle grundlos zu unterlassen, die Betroffenen zu informieren, zeugt von fahrlässigem Vorgehen in Sachen Datenschutz. Auch die Speicherdauer weist darauf hin, dass das betroffene Unternehmen vermutlich keine ordnungsgemäße datenschutzrechtliche Überprüfung des Vorgehens vorgenommen hat. Dies ist im vorliegenden Fall umso verwunderlicher, da das verantwortliche Unternehmen sogar eine Datenschutz-Folgenabschätzung durchgeführt hat.

Datenverarbeitungen wie hier beschrieben oder auch die Speicherdauer der aus der Verarbeitung folgenden Daten sollten jederzeit gut begründbar sein, dem Prinzip der Datenminimierung folgen und vor allem nicht heimlich passieren. In seiner Urteilsbegründung bestätigt das VG Wiesbaden die Entscheidung des VG Lüneburg (Teilurteil vom 19.03.2019, Az. 4 A 12/19) zur Erfassung von GPS-Daten. Fragen Sie daher stets Ihren Datenschutzbeauftragten!

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Und wie hoch war jetzt das Bußgeld?? Das geht aus dem Artikel irgendwie nicht hervor.

    • Es gab tatsächlich kein Bußgeld. Die Hessische Datenschutzbehörde hatte das betroffene Unternehmen aufgefordert, das GPS-Tracking in Einklang mit der DSGVO zu bringen, u. a. auf die Speicherung der GPS-Trackingdaten zu verzichten und nur ein Live-Tracking der Daten durchzuführen und die unrechtmäßig verarbeiteten Daten zu löschen. Zudem hatte die Aufsichtsbehörde dem Unternehmen aufgegeben, die betroffenen Personen (endlich) nach Art. 13 DSGVO zu informieren und der Behörde ein aktualisiertes Verarbeitungsverzeichnis einschließlich einer aktualisierten Datenschutz-Folgenabschätzung vorzulegen.

      Ein Bußgeld wurde gegen das Unternehmen allerdings nicht verhängt.

  • Wie schaut es eigentlich bei einer heimlichen GPS-Überwachung durch eine Privatperson aus? Was passiert, wenn man die Mitwirkungspflicht bzw Datenschutz Folgeabschätzung nicht befolgt?

    • Eine Privatperson ist in aller Regel kein datenschutzrechtlich Verantwortlicher, so dass dann auch keine datenschutzrechtlichen Vorschriften gelten. Aber es kann z. B. eine Verletzung des Allgemeinen Persönlichkeitsrechts vorliegen.

      Wenn eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO nicht durchgeführt wird, obwohl der Verantwortliche dazu verpflichtet gewesen ist, kann dieser Verstoß mit einem Bußgeld belegt werden, in der Höhe bis zu 10 Mio. EUR oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Verantwortlichen, Art. 83 Abs. 4 lit. a DSGVO.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.