Illegales GPS-Tracking durch den Arbeitgeber

Das Unternehmen führt heimlich ein Tracking-Tool ein

Seit dem 1.4.2020 verwendet das Unternehmen das Software-Tool eines externen Dienstleisters, um alle 55 Firmenfahrzeuge zu tracken. Die Daten werden per GPS an den Server eines weiteren Dienstleisters gesandt und dort aufbereitet. Das Unternehmen kann die Daten über einen verschlüsselten Zugang abrufen. Wo sich der Standort des Servers befindet, ist nicht bekannt.

Das Tool speichert unter anderem die Fahrtrouten

Die Tracking-Software ermöglicht bei allen Fahrzeugen,

• Den Live-Standort per GPS zu bestimmen,
• die Standortdaten zu speichern und
• den Benzinverbrauch nachzuverfolgen.

Bei den zwölf Fahrzeugen mit Fahrtenschreiber managt die Software zudem den Fahrtenschreiber. Dabei erfolgt eine Zuordnung zum jeweiligen Inhaber der Fahrerkarte. Diese Fahrerkarte stellt der TÜV aus. Sie enthält den Namen und das Geburtsdatum des Inhabers sowie eine individuelle Nummer.

Die Löschung erfolgt größtenteils nach 400 Tagen

Die Löschung der Daten erfolgt generell nach 400 Tagen. Die Daten der Fahrerkarte würden bereits nach 28 Tagen aus der Software gelöscht, die Daten der Lenk- und Ruhezeiten nach einem Jahr.

Angeblich fehlt es am Personenbezug der Daten

Das Unternehmen hat eine Datenschutz-Folgenabschätzung durchgeführt. Darin heißt es, es handle sich lediglich um eine Optimierung des Workflows. Personenbezogene Daten würden dabei keine Rolle spielen und würden überwiegend nicht erfasst.

Eine Information der Mitarbeiter ist unterblieben

Das Unternehmen hat die Mitarbeiter über die Einführung des GPS-Trackings nicht informiert. Einwilligungen der Mitarbeiter in das Tracking existieren nicht. Im Rahmen des gerichtlichen Verfahrens hat das Unternehmen einen Entwurf für solche Einwilligungen vorgelegt.

Die Datenschutzaufsicht erlässt einen Bescheid mit vier Anordnungen

Für das Unternehmen ist die hessische Datenschutzaufsicht zuständig. Nach längerem Hin und Her hat sie am 27.7.2021 gegenüber dem Unternehmen einen Bescheid erlassen, der vier Anordnungen enthält. Das Verwaltungsgericht hat diese vier Anordnungen auf Antrag des Unternehmens überprüft. Es hält sie im Ergebnis alle für rechtmäßig.

Anordnung Nr. 1 der Aufsichtsbehörde verbietet die Speicherung der Tracking-Daten

Anordnung Nr. 1 der Datenschutzaufsicht lautet im Kern: Das Unternehmen hat auf die Speicherung der Tracking-Daten zu verzichten. Es darf künftig die Daten nur noch live tracken.

Das soll die Einhaltung der DSGVO sicherstellen

Diese Anordnung stützt die Datenschutzaufsicht auf Art. 58 Abs. 2 Buchstabe d Datenschutz-Grundverordnung (DSGVO). Danach kann die Aufsichtsbehörde den Verantwortlichen anweisen, Verarbeitungsvorgänge so umzugestalten, dass sie künftig in Einklang mit der DSGVO stehen. Die Voraussetzungen dieser Bestimmung liegen vor.

Das Unternehmen ist „Verantwortlicher“

Das Unternehmen ist Verantwortlicher im Sinn von Art. 4 Nr. 7 DSGVO. Es entscheidet über die eingesetzten Mittel und Zwecke. Es hat festgelegt, dass ein GPS-Tracking erfolgt. Außerdem hat es die hierfür eingesetzte Software ausgesucht.

Eine Rechtsgrundlage für die Verarbeitung der Tracking-Daten ist nicht vorhanden. Deshalb ist die Verarbeitung dieser Daten rechtswidrig.

Einwilligungen existieren nicht

Einwilligungen der Fahrer gemäß Art. 6 Abs. 1 Unterabsatz 1 Buchstabe a DSGVO liegen unstreitig nicht vor. Ob solche Einwilligungen rechtlich überhaupt möglich wären, kann deshalb dahinstehen.

Das Unternehmen erfüllt keine rechtliche Verpflichtung

Die Verarbeitung erfolgt auch nicht, weil dies für die Erfüllung einer rechtlichen Verpflichtung durch das Unternehmen erforderlich wäre (siehe dazu Art. 6 Abs. 1 Unterabsatz 1 Buchstabe c DSGVO). Dies gilt sowohl hinsichtlich der Mitarbeiter, die Lenk- und Ruhezeiten einhalten müssen (Fahrzeuge über 7,5 t), als auch hinsichtlich der Mitarbeiter, bei denen das nicht der Fall ist (übrige Fahrzeuge):

• Soweit die Mitarbeiter keine Lenk- und Ruhezeiten einhalten müssen, besteht keinerlei rechtliche Verpflichtung für das Unternehmen, Aufzeichnungen über die Fahrtrouten zu führen.
• Für die Mitarbeiter, die solche Zeiten einhalten müssen, ist zwar die Aufzeichnung bestimmter Daten im Fahrtenschreiber vorgeschrieben. Diese Aufzeichnung erfolgt jedoch dort. Darüber hinausgehende Aufzeichnungen sind gesetzlich nicht angeordnet. Sie sind deshalb auch nicht erforderlich.

Die Interessen der Mitarbeiter überwiegen die Interessen des Unternehmens

Die Verarbeitung ist auch nicht zur Wahrung berechtigter Interessen des Unternehmens erforderlich (Art. 6 Abs. 1 Unterabsatz 1 Buchstabe f DSGVO). Die Interessen der Fahrer wiegen schwerer als die Interessen des Unternehmens. Die Speicherung der Tracking-Daten ist deshalb unverhältnismäßig.

Die Heimlichkeit wirkt sich negativ aus

Die Unverhältnismäßigkeit ergibt sich schon daraus, dass die Überwachung heimlich erfolgt. Dies vermerkt das Gericht besonders negativ. Es ist keinerlei Grund dafür zu erkennen, warum die Fahrer heimlich überwacht werden müssten.

Auch für eine offene Überwachung gibt es keine Rechtfertigung

Aber selbst eine offene Überwachung der Fahrer wäre unverhältnismäßig. Das Logistik-Unternehmen hat vor Gericht argumentiert, dass die Erhebung und Speicherung der Daten erforderlich sei, um die Routen effektiv zu gestalten, Diebstähle zu verhindern und gegenüber Kunden die ordnungsgemäße Erfüllung des Transportauftrages nachweisen zu können. Das Gericht bezeichnet diese Zwecke ausdrücklich als vorgeschoben. Dies begründete es wie folgt:

Dieben ist die Speicherung von Standortdaten egal

Kein Dieb würde sich dadurch beeindrucken lassen, dass jemand Standortdaten speichert. Vielmehr ist es nach Auffassung des Gerichts so: „Was einen Dieb … von der Straftat abhalten könnte, wäre der Hinweis, dass der Fahrzeugstandort live beobachtet wird. Eben diese Information hält die Klägerin aber sogar vor ihren eigenen Mitarbeitern geheim.“

Heimliche Überwachung erhöht die Effektivität nicht

Es ist nach Auffassung des Gerichts auch nicht zu erkennen, dass die heimliche Überwachung zu einer effektiveren Gestaltung der Routen führen könnte. Das Unternehmen hat nicht darlegen können, warum es für die Reaktion auf kurzfristige Lieferaufträge erforderlich sein soll, auf Standortdaten zurückzugreifen, die zu diesem Zeitpunkt bereits veraltet sind. Nützlich könnten hier allenfalls Live-Daten sein.

Anordnung Nr. 1 der Aufsicht ist damit rechtmäßig

Im Ergebnis erweist sich die Anordnung Nr.1 der Datenschutzaufsicht als rechtmäßig. Die Datenschutzaufsicht durfte die Speicherung der Tracking-Daten untersagen und stattdessen künftig nur noch ein Live-Tracking der Firmenfahrzeuge zulassen.

Anordnung Nr. 2 verpflichtet zur Löschung der Trackingdaten

Anordnung Nr. 2 der Aufsichtsbehörde lautet: Das Unternehmen muss die bislang für Zwecke des GPS-Tracking erhobenen Daten löschen und die Löschung gegenüber der Datenschutzaufsicht bestätigen.

Dafür besteht eine besondere gesetzliche Befugnis

Diese Anordnung stützt die Datenschutzaufsicht auf Art. 58 Abs. 2 Buchstabe g DSGVO. Danach hat die Aufsichtsbehörde die Befugnis, die Löschung von personenbezogenen Daten anzuordnen. Dies setzt voraus, dass die Daten im Ergebnis rechtswidrig verarbeitet worden sind. Das ist hier der Fall, weil es keine Rechtsgrundlage für die Speicherung der Daten gibt.

Anordnung Nr. 3 verpflichtet zur Information der Fahrer

Anordnung Nr. 3 der Datenschutzaufsicht lautet im Kern, dass das Unternehmen die Fahrer der 55 Firmenfahrzeuge umfassend darüber informieren muss, dass ein GPS-Tracking heimlich erfolgt ist.

Die Aufsicht greift bei der Rechtsgrundlage daneben

Diese Anordnung stützt die Datenschutzaufsicht auf Art. 58 Abs. 2 Buchstabe c DSGVO. Das hält das Gericht für falsch. Diese Rechtsgrundlage würde der Aufsichtsbehörde lediglich erlauben, gegenüber dem Unternehmen anzuordnen, dass es Anträgen der Fahrer auf Löschung entsprechen muss. Solche Anträge liegen hier jedoch überhaupt nicht vor. Wegen der Heimlichkeit der Überwachung hatten die Fahrer gar nicht die notwendigen Informationen, um solche Anträge zu stellen.

Es gibt aber eine andere, zutreffende Rechtsgrundlage

Die Anordnung lässt sich jedoch auf Art. 58 Abs. 2 Buchstabe d DSGVO stützen. Demnach kann die Aufsichtsbehörde den Verantwortlichen anweisen, Verarbeitungsvorgänge in Einklang mit der DSGVO zu bringen. Das Unternehmen wäre verpflichtet gewesen, die Fahrer über die Verarbeitung der Daten zu informieren (Informationspflicht gemäß Art. 13 DSGVO). Dies ist nicht geschehen. Die Datenschutzaufsicht kann deshalb die Verpflichtung aussprechen, diese Information nachzuholen.

Anordnung Nr. 4 der Datenschutzaufsicht verpflichtet das Unternehmen dazu, ein aktualisiertes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) und eine aktualisierte Datenschutz-Folgenabschätzung (Art. 35 DSGVO) vorzulegen. Hierfür räumt die Aufsichtsbehörde dem Unternehmen eine bestimmte Frist ein.

Die Datenschutzaufsicht hat Informationsrechte

Diese Anordnung stützt die Datenschutzaufsicht auf Art. 58 Abs. 1 Buchstabe a DSGVO. Gemäß dieser Regelung kann die Aufsichtsbehörde den Verantwortlichen anweisen, alle Informationen bereitzustellen, die für die Erfüllung der Aufgaben der Aufsichtsbehörde erforderlich sind. Für das Verzeichnis der Verarbeitungstätigkeiten legt Art. 30 Abs. 4 DSGVO gesondert fest, dass dieses Verzeichnis der Aufsichtsbehörde auf Anfrage vorzulegen ist.

Das betrifft das Verarbeitungsverzeichnis

Was das Verzeichnis von Verarbeitungstätigkeiten angeht, kann sich das Unternehmen nicht auf die Ausnahme des Art. 30 Abs. 5 DSGVO berufen. Danach müssen Unternehmen mit weniger als 250 Mitarbeitern zwar vom Grundsatz her kein solches Verzeichnis führen. Diese Ausnahme gilt jedoch nicht, wenn die Verarbeitung ein Risiko für die Rechte der Betroffenen mit sich bringt. Ein solches Risiko liegt schon deshalb vor, weil die Datenerhebung heimlich erfolgt ist. Damit besteht die Pflicht, ein Verarbeitungsverzeichnis zu führen und der Aufsichtsbehörde auf Verlangen vorzulegen.

Auch die Datenschutz-Folgenabschätzung ist vorzulegen

Das Unternehmen muss der Aufsichtsbehörde auch eine Datenschutz-Folgenabschätzung vorlegen. Es ist verpflichtet, eine solche Abschätzung zu erstellen (Art. 35 DSGVO). Dies ergibt sich daraus, dass das Unternehmen für die Fahrer ein automatisches Profiling im Sinn von Art. 4 Nr. 4 DSGVO durchführt. Mithilfe der Tracking-Software bewertet das Unternehmen nämlich das Verhalten der Fahrer.

Das Urteil des Verwaltungsgerichts Wiesbaden vom 17.1.2022 trägt das Aktenzeichen 6 K 1164/21.WI und ist abrufbar unter https://www.rv.hessenrecht.hessen.de/bshe/document/LARE220002547.