Urteil des VG Wiesbaden vom 17.01.2022: GPS-Tracking im Logistikbereich
Der Fall:
Ein Unternehmen im Logistikbereich hatte seit April 2020 in insgesamt 55 Fahrzeuge ein GPS Trackingsystem eingebaut, die Trackingdaten an einen Dienstleister über eine Cloudlösung (SaaS) übermittelt und, mit Ausnahme der Daten der Fahrerkarte, bis zu 400 Tage gespeichert. Nachdem die hessische Datenschutzbehörde vom Vorfall erfuhr, erfolgte Ende 2020 eine Anhörung. Im April 2021 wies die Behörde das Unternehmen an, die bislang erhobenen Daten zu löschen und kündigte die Einleitung eines Ordnungswidrigkeitsverfahren an. Hiergegen klagte das betroffene Unternehmen.
Ihr Unternehmen benötigt GPS-Tracking?
Unser Online – Self – Assessment hilft Ihnen bei ersten Einschätzung, wie gut Ihr Unternehmen aufgestellt ist. Das Assessment kann anonym durchgeführt werden, das Ergebnis erhalten Sie direkt online.
Jetzt Assessment durchführen.
Das Urteil
Die Klage des Unternehmens gegen den Bescheid der Behörde wurde abgewiesen. Das Verwaltungsgericht schloss sich in wesentlichen Teilen der Argumentation der Behörde an. .
Die Speicherung der Daten, insbesondere über einen derart langen Zeitraum hinweg, erfolgte ohne ausreichende Rechtsgrundlage. Die seitens des Klägers vorgebrachten Gründe für das Tracking rechtfertigten aus Sicht des Gerichts allenfalls ein Live-Tracking, nicht aber die Speicherung und nachträgliche Auswertung der Daten.
Zudem wurde das Unternehmen angewiesen, sowohl das Verzeichnis der Verarbeitungstätigkeiten als auch die vorgenommene Datenschutzfolgeabschätzung nachzubessern und den künftigen rechtssicheren Umgang mit den Trackingdaten nachzuweisen.
GPS-Tracking ist in vielen Branchen, vor allem aber in der Logistik mittlerweile unverzichtbar. Just in time Lieferungen, die vom Kunden erwartet werden, sind ohne GPS-Tracking nicht zu leisten.
Über die Logistikbranche hinaus setzen aber auch sehr unterschiedliche Unternehmen GPS-Tracking zur Nachverfolgung von Bewegungen ein. Wie sind die Prozesse rund um die Nachverfolgung von Transportmitteln, und damit der Mitarbeiter, zu bewerten? Welche Notwendigkeiten ergeben sich für Unternehmen?
GPS-Tracking: Die DSFA Muss-Liste
Verarbeitungsprozesse, die ein voraussichtlich hohes Risiko für den Betroffenen mit sich bringen, unterliegen einem besonderen Regelungsprozess nach DSGVO. Einen Anhaltspunkt, welche Verarbeitungsprozesse eine Datenschutzfolgeabschätzung (DSFA) nach Art. 35 erfordern, liefert die DSFA Muss-Liste der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder. Die “…umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen …” umfasst die Einsatzfelder Fahrzeugdatenverarbeitung, Car-Sharing / Mobilitätsdienste. (Punkt 4 der DSFA-Muss-Liste der Datenschutzkonferenz)
Ob der Einsatz von GPS-Trackingsystemen im Unternehmen durch eine vorangegangene Datenschutzfolgeabschätzung (DSFA) nach Art. 35 DSGVO zu prüfen ist, hängt von mehreren Kriterien ab. (Mehr zur Datenschutzfolgeabschätzung nach Art. 35 finden Sie hier.) Im Normalfall sollte der ggf. bestellte Datenschutzbeauftragte im Unternehmen vor der Einführung eines GPS-Trackingprozesses im Unternehmen prüfen, ob eine Datenschutzfolgeabschätzung erforderlich ist und die Unternehmensleitung entsprechend informieren. Ist kein Datenschutzbeauftragter bestellt, sollte externe Hilfe und Beratung in Anspruch genommen werden, um unliebsame Überraschungen zur vermeiden. Sinn und Zweck einer Datenschutzfolgeabschätzung ist zu prüfen, ob und unter welchen Bedingungen der Einsatz von GPS-Tracking im Unternehmen möglich ist.
GPS-Tracking aus Sicht der Datenschutzbehörden
So schreibt der Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen im Jahresbericht 2019:
Die Nutzung moderner Ortungssysteme wie das Global Positioning System (GPS) zur Positionsbestimmung von Fahrzeugen darf nicht zur lückenlosen Verhaltens- und Leistungskontrolle von Beschäftigten genutzt werden. Eingesetzt werden dürfen Sie nur, wenn es zur Durchführung des Arbeitsverhältnisses oder Steuerung der betrieblichen Belange erforderlich ist. Einwilligungen Beschäftigter sind regelmäßig unwirksam.
https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/DIB-2019/24_-DIB-2019.pdf
Ihr Unternehmen benötigt GPS-Tracking?
Unser Online – Self – Assessment hilft Ihnen bei ersten Einschätzung, wie gut Ihr Unternehmen aufgestellt ist. Das Assessment kann anonym durchgeführt werden, das Ergebnis erhalten Sie direkt online.
Jetzt Assessment durchführen.
Nicht jede Form von GPS-Tracking ist unzulässig
Sinn und Zweck einer Datenschutzfolgeabschätzung ist es, neben der Frage der grundsätzlichen Zulässigkeit, zu prüfen, unter welchen Bedingungen GPS-Tracking rechts- und datenschutzkonform eingesetzt werden kann. Gestützt werden kann der Einsatz von GPS-Systemen gegebenenfalls auf das höher wiegende Interesse des Unternehmens (Art. 6 Abs. 1 lit. f) oder aber auf die Erfüllung vertraglicher (Art. 6 Abs. 1 lit. b) oder rechtlicher (Art. 6 Abs. 1 lit. c) Verpflichtungen .
Ausführliche Informationen zum Thema erhalten Sie in unserem Buchauszug: Datenschutz im Unternehmen – ein Leitfaden für Geschäftsführer und leitende Angestellte im PDF Format.
Hier als Auszug erhältlich
Sie benötigen einen betrieblichen Datenschutzbeauftragten?
Wir betreuen mittelständische Unternehmen und Unternehmensgruppen aus unterschiedlichen Branchen und stellen bei Bedarf den betrieblichen Datenschutzbeauftragten auch im Konzernverbund.
Neben der Rechtsgrundlage ist auch die konkrete Form der Ausgestaltung des Verarbeitungsprozesses von Bedeutung. Ohne eine gründliche, fallbezogene Prüfung, sollte kein Unternehmen GPS-Tracking einsetzen.
Weiterführend: Die Datenschutzfolgeabschätzung nach Art. 35 DSGVO
Für weitere Fragen können Sie uns gerne per Email oder Telefon kontaktieren.