GPS-Tracking wird immer beliebter – nicht nur bei Logistikunternehmen. So mancher Arbeitgeber hat vielleicht schon einmal heimlich davon geträumt, seine Mitarbeiter zu überwachen und zu schauen, was diese während der Arbeitszeit eigentlich machen. Frei nach dem Motto: Ich weiß, wo du letzten Donnerstag gewesen bist! Dass das aber nicht so einfach ist und hier auch der Datenschutz eine große Rolle spielt, bekommt derzeit der Marktführer für Essenslieferungen zu spüren.
Der Inhalt im Überblick
Überwachung am Arbeitsplatz
Überwachung und Leistungskontrolle am Arbeitsplatz sind kein neues Thema und sorgen immer wieder für Skandale – manchmal auch ohne GPS-Tracking. Mal ist es ein Klassiker schlechthin – die verdeckte Videoüberwachung, mal setzt Amazon einfach eine Software ein, um den Datenschutz und andere Arbeitnehmerrechte mit Füßen zu treten. Was Amazon kann, können wir schon lange, haben sich nun wohl auch die Verantwortlichen beim Branchenriesen Lieferando gedacht. Nach Recherchen des Bayerischen Rundfunks hat Lieferando seine Mitarbeiter bereits seit mehreren Jahren systematisch überwacht, und zwar per GPS-Tracking.
Das Ganze kam ans Licht, als einige Lieferando-Fahrer ihr Auskunftsrecht nach Art. 15 DSGVO ausgeübt hatten. Nach dieser Vorschrift hat jedermann das Recht, von Unternehmen Auskunft darüber zu verlangen, ob und auf welche Weise ein Unternehmen seine personenbezogenen Daten verarbeitet. Lieferando gehört zum niederländischen Konzern „Just Eat Takeaway“. Damit die Fahrer die Bestellungen (noch) schneller liefern können, nutzt Lieferando die eigens entwickelte App namens „Scoober“. Diese lässt sich allerdings nur verwenden, wenn man als Fahrer bei Lieferando oder einem anderen Tochterunternehmen beschäftigt ist.
Welche Daten verarbeitet die App?
Und diese App verarbeitet offenbar eine ganze Menge an Daten der Lieferando-Fahrer. Die Recherchen des Bayerischen Rundfunks hatten ergeben, dass die App pro Lieferung 39 Datenpunkte erhebt. Neben dem Namen des Fahrers und dessen Anmeldedaten werden dabei u. a. folgende Daten verarbeitet:
- Zuteilung der Bestellung
- Zeitpunkt der Abholung durch den Fahrer
- Zeitpunkt der Auslieferung durch den Fahrer
- Übermittlung von Standortdaten des Fahrers alle 15 bis 20 Sekunden
- Einhaltung von Zeitvorgaben
Da diese Daten stets mit dem Namen des jeweiligen Fahrers verknüpft werden, ist es möglich, die Arbeitsleistung ziemlich genau zu messen und zu bewerten. Das klingt nach Big Brother in Reinkultur, nur ohne Kameras.
Die Auskunftsersuchen hatten zudem ergeben, dass die Datenerfassungen teilweise bereits im Jahr 2018 begonnen hätten. Insgesamt kamen dabei also – je nach Höhe der geleisteten Arbeitsstunden – schlappe 100.000 Datensätze pro Fahrer und pro Jahr zusammen. Es dürfte daher nicht überraschen, dass die Arbeitnehmervertretungen im Hause Lieferando dieses Vorgehen als völlig unangemessen einzustufen. Semih Yalcin, Vorsitzender des Lieferando-Gesamtbetriebsrates für Deutschland, äußerte sich dazu wie folgt:
„Aus unserer Sicht liegt hier totale Überwachung vor. Wir halten es für völlig unverhältnismäßig.“
Die Vorgehensweise von Lieferando vermag in der Tat zu erschrecken. Insbesondere die Übermittlung von Standortdaten an den Arbeitgeber alle paar Sekunden klingt nicht nur aus datenschutzrechtlicher Sicht absolut gruselig.
Datenübermittlung an Google
Auch der oberste Datenschützer Baden-Württembergs, Stefan Brink, hält die Datenverarbeitung durch die App für eindeutig rechtswidrig. Auch ihm ist vor allem die häufige Übermittlung des Standortes ein Dorn im Auge. Erschwerend kommt hinzu, dass die App die personenbezogenen Daten an Dritte weitergibt, unter anderem an Google. Warum und weshalb dies passiert, ist bislang leider nicht klar. Offenbar hat es sich zu Lieferando noch nicht herumgesprochen, dass für jede Datenverarbeitung eine Rechtsgrundlage benötigt wird.
Lieferando sieht die Sache aber natürlich ganz anders. Dort kommt man zu folgendem Schluss:
„Die Fahrer-App entspricht den geltenden Datenschutzbestimmungen und die ermittelten Daten (wie Zeiten und Orte) sind unerlässlich, damit der Lieferservice ordnungsgemäß funktioniert.“
Das mag zwar in Ansätzen richtig sein, denn die Nachverfolgbarkeit in einem gewissen Umfang dürfte in der Tat für den Betriebsablauf erforderlich sein. Warum die Daten der Fahrer allerdings in einem solch massiven Umfang verarbeitet und zudem noch an US-amerikanische Datenkraken übermittelt werden, erschließt sich nicht wirklich. Selbstverständlich versichern die Verantwortlichen von Lieferando, dass man die erhobenen Daten keinesfalls zur Leistungskontrolle der Mitarbeiter verwendet. Ein Schelm, wer Böses dabei denkt.
Verwertung von GPS-Daten grundsätzlich möglich
Der aktuelle Fall zeigt die Probleme, die sich durch Überwachungsmaßnahmen am Arbeitsplatz ergeben können, einmal mehr deutlich auf. Dabei ist es grundsätzlich möglich, solche Maßnahmen datenschutzkonform durchzuführen. Darauf weist auch Stefan Brink ausdrücklich hin. Das Zauberwort ist dabei – wie so oft im Datenschutzrecht – das Merkmal der Erforderlichkeit. Der Arbeitgeber darf genau wie jeder andere Verantwortliche auch nur diejenigen Daten erheben und verarbeiten, die zur Erfüllung des konkreten Zwecks tatsächlich notwendig sind.
Es kommt daher auf die Abwägung im Einzelfall an. Neben der konkreten Zweckbestimmung ist auch das Transparenzgebot aus Art. 5 Abs. 1 Buchst. a DSGVO einzuhalten, welches sich auch in den Informationspflichten gemäß Art. 13 DSGVO widerspiegelt. Die Mitarbeiter sind also darüber zu informieren, auf welche Weise ihre personenbezogenen Daten verarbeitet werden. Das schließt beispielsweise die eventuelle Weitergabe der Daten an Dritte ein, erst Recht, wenn zumindest ein Empfänger seinen Sitz außerhalb des EU-/EWR-Gebietes hat. All dies hat Lieferando im vorliegenden Fall recht deutlich vermissen lassen. Darüber hinaus dürfte auf Grund des Umfangs der Datenverarbeitung in aller Regel eine Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 DSGVO durchzuführen sein.
Hohe Bußgelder zu erwarten
Die betroffenen Mitarbeiter können sich auf vielfältige Weise gegen unrechtmäßige GPS-Überwachung am Arbeitsplatz zur Wehr setzen. Dies kann durchaus zu Schadensersatzansprüchen gegen den Arbeitgeber aus Art. 82 DSGVO führen. Zudem drohen dem Unternehmen empfindliche Bußgelder, da Verstöße gegen Art. 5 DSGVO oder gegen Art. 13 DSGVO zum sogenannten „großen“ Bußgeld aus Art. 83 Abs. 5 DSGVO führen. Dies kann bis zu 20 Mio. EUR oder 4 % des Konzern-Jahresumsatzes betragen. Da es sich hier um nicht unerhebliche Verstöße durch Lieferando gegen diverse DSGVO-Vorschriften handelt, erwartet auch Stefan Brink ein Bußgeld in Millionenhöhe. Das Gleiche könnte auch auf den Mutterkonzern in Amsterdam zukommen. Hier bleibt aber noch abzuwarten, welche Ergebnisse die Untersuchungen der niederländischen Aufsichtsbehörde zu Tage fördern.
Ohne Zweifel gehören Unternehmen wie Lieferando zu den Gewinnern der Corona-Pandemie. Seit März 2020 ist ein sprunghafter Anstieg von Online-Bestellungen zu beobachten. Umso enttäuschender ist es, wenn der wirtschaftliche Erfolg offenbar vorsätzlich auf dem (Datenschutz-) Rücken der Mitarbeiter ausgetragen wird. Vielleicht überlegt sich der eine oder andere Leser nun zweimal, ob man für die nächste Essenslieferung schon wieder auf Lieferando zurückgreift.
Durch ganz einfache Rückfragen hätte sowohl Brink als auch Sie die zutreffenden und auch nachvollziehbaren Gründe für das Tracking und auch die Übermittlung der Daten an Google erfragen können. Der Lieferprozess ist hochkomplex gestaltet und mit unterschiedlichsten Zwecke. Leider haben sowohl Sie als auch Brink nicht verstanden, dass GPS-Tracking nicht zwangsläufig immer für eine Überwachung eingesetzt werden muss, sondern auch aus vielen weiteren und auch berechtigten Gründen erfolgt. Die Restaurants und Kunden können jederzeit sehen wo sich der Fahrer befindet, um zum einen die Essenszubereitung auf die Ankunft des Fahrers abzustimmen und auch auf Kundenseite zu wissen, wann der Fahrer klingeln wird. Wie soll dem richtigen Fahrer die für ihn optimalste Route berechnet werden, wenn nicht der Standort oft getrackt wird? Auch für die anderen Datensätze liegen meines Erachtens nachvollziehbare Gründe vor, die die Verarbeitung durchaus rechtfertigen. Wieso die Daten hingegen für 6 Jahre aufbewahrt werden müssen, ist etwas unklar. Bevor Sie nächstes Mal auf dem BILD-Niveau schreiben, sollten Sie lieber ein Faktencheck durchführen. Absolut peinlicher Artikel.
Peinlich ist hier leider einzig ihr Kommentar. Dass GPS-Tracking nicht auch anderen Zwecken dienen kann, wurde weder in dem Beitrag von Herrn Schewior noch von Herrn Brink behauptet. Ein derartiges Verständnis heben Sie hier erst zu einer BILD-Niveau-Schlagzeile empor – es offenbart nämlich auch, dass Sie die Problematik nicht ansatzweise erfasst haben (dabei ist der Artikel doch schon sehr datenschutzlaienfreundlich geschrieben). Sie schreiben z.B.: „Wie soll dem richtigen Fahrer die für ihn optimalste Route berechnet werden, wenn nicht der Standort oft getrackt wird?“ Wieso sollte sich die Route ständig im Sekundentakt(!) neu berechnen müssen? Weil der Fahrer alle 2 Sekunden auf das Handy gucken muss, damit er wirklich sichergehen kann, dass er die gesamte Straße herunterfahren muss bevor er links abzubiegen hat? Oder sitzen Sie so ausgehungert zu Hause und möchten jede Straßenabbiegung mitverfolgen, weil das Abendprogramm sonst nichts hergibt oder ist es die Angst, dass sich die Kontinentalplatten plötzlich derart um Ihr Zuhause herum verschieben, dass der Lieferando-Fahrer die Ziel-Adresse nicht mehr finden kann? Auch dann würde eine Aktualisierung in diesem Moment reichen, wenn er vor einem riesigen Krater steht, an dem eigtl. Ihr Zuhause sein sollte. Gerade in der heutigen Zeit und mit dem Wissen um nicht datenschutzfreundliche Praktiken auch großer Unternehmen ist kritisches hinterfragen nur richtig. In dem Zusammenhang ist auch interessant, ob/was für Konsequenzen drohen, wenn Fahrer z.B. untereinander anhand der Daten verglichen werden oder ob sich daraus Firmenkriterien für die Lieferung ergeben. Es geht insofern auch überhaupt nicht darum, GPS-Tracking vollkommen zu verbieten – sondern darum, es auf das erforderliche Maß zu beschränken und ggf. zu modifizieren. In dem Zusammenhang – und darauf bleiben Sie auch eine Antwort schuldig – ist auch nicht nachvollziehbar, warum die Daten in ein Drittland übermittelt werden (müssen)? Selbst der Gesamtbetriebsrat, der die internen Prozesse kennt, äußert offen Kritik an der bestehenden Praxis. Aber es ist schön, dass Sie mit ihrem Kommentar jetzt alle datenschutzrechtlichen Bedenken umfassend beleuchtet haben und ausräumen konnten….nicht.
Made my day: „… Kontinentalplatten…“ :-)
@Schufa-Fangirl: Bin völlig Ihrer Meinung!
Wir haben im Beitrag sogar ausdrücklich betont, dass eine GPS-Überwachung – auch am Arbeitsplatz – unter gewissen Voraussetzungen rechtmäßig sein kann. Über konkrete Einzelheiten kann man immer diskutieren. Hier war aber u. a. das Problem, dass Lieferando seine Mitarbeiter nicht transparent über die Datenverarbeitung informiert hat. Dies stellt bereits einen elementaren Verstoß gegen Grundprinzipien des Datenschutzes dar. Außerdem muss das, was der Kunde wünscht, nicht immer datenschutzkonform sein.