Die datenschutzrechtliche Zulässigkeit des GPS-Trackings von Firmenfahrzeugen

Schutz personenbezogene Daten

Warum ist das Tracken eines Firmenfahrzeugs mittels GPS datenschutzrelevant?

Bei der Einführung einer GPS-Ortungsanlage zur Erfassung der Firmenfahrzeuge ist zu berücksichtigen, dass mit dem Tracken der Fahrzeuge auch erfasst und ermittelt wird, wo sich der jeweilige Außendienstmitarbeiter mit dem Dienstfahrzeug aufhält. Bei diesen Informationen handelt es sich um personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG. Es liegt auf der Hand, dass mit einer unbegrenzten Erhebung und Speicherung dieser GPS-Daten ein lückenloses Bewegungs- bzw. Tätigkeitsprofil des entsprechenden Mitarbeiters angefertigt werden kann. Eine Vollüberwachung eines Mitarbeiters ist nach der Rechtsprechung des Bundesarbeitsgerichts allerdings rechtswidrig.

Wonach hat sich ein datenschutzkonformer GPS-Einsatz also zu orientieren?

Rechtsgrundlage für einen konformen Einsatz dürfte in den meisten Fällen § 28 Abs. 1 Nr. 2 BDSG bzw. § 32 Abs. 1 BDSG sein. Hiernach sind die berechtigten Interessen des Unternehmens als datenverarbeitende Stelle gegen schutzwürdige Interessen des von der Tracking-Maßnahme Betroffenen abzuwägen.

Hierbei können berechtigte Interesse des Unternehmens etwa die effektive Organisation der Firmenfahrzeuge bzw. der Außendienstmitarbeiter sein. Grundsätzlich hat ja auch ein Mitarbeiter seinen Arbeitgeber über Arbeitszeiten und Einsatztätigkeit zu unterrichten. Auch können solche berechtigte Interessen des Unternehmens das Erfordernis einer genauen Kostenermittlung sein, etwa weil diese Fahrtkosten einem Kunden in Rechnung zu stellen sind oder für interne Buchhaltungszwecke erforderlich sind. Ferner denkbare berechtigte Interessen des Unternehmens: Eine Ortung ist für die Sicherheit des Beschäftigten oder von sehr wertvollem Unternehmens- oder Kundeneigentum (Bsp: Geldtransporter!) erforderlich.

Dem stehen etwaige schutzwürdige Interessen des betroffenen Mitarbeiters gegenüber, dessen Verhalten potentiell überwacht werden kann. Gemäß § 32 Abs. 1 Satz 1 BDSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zwar ist einem Arbeitgeber die Überwachung der Arbeitsleistung seiner Mitarbeiter in angemessener Weise zuzubilligen. Dies darf allerdings zu keiner Totalüberwachung des Arbeitnehmers führen (vergleichbar mit der Rund-um-die-Uhr-Überwachung durch Kameras). In den Bereich einer Totalüberwachung käme ein Unternehmen, wenn durch das GPS-System kontrollieren würde, wie der betreffende Außendienstmitarbeiter seine Arbeit verrichtet, die Pausen gestaltet oder sich im Straßenverkehr verhält.

Ausnahme: Begehen einer Straftat wird befürchtet

Ist zu befürchten, dass der Außendienstmitarbeiter während des Beschäftigungsverhältnisses eine Straftat begeht oder begangen hat und eine GPS-Ortung zur Aufdeckung oder Aufklärung dieser Straftat erforderlich ist und im Einzelfall das schutzwürdige Interesse des Betroffenen nicht überwiegt, ist gemäß § 32 Abs. 1 Satz 2 BDSG der Einsatz von GPS-Trackern in zeitlich begrenztem Umfang auch zu einer Vollüberwachung möglich.

Notwendigkeit einer Vorabkontrolle gem. § 4d Abs. 5 BDSG

Auch wenn eine GPS-Überwachung der Firmenfahrzeuge rechtmäßig durchgeführt wird, ist zu beachten, dass diese Maßnahme gemäß § 4d Abs. 5 BDSG potentiell ein schwerwiegender Eingriff in Persönlichkeitsrechte des überwachten Arbeitnehmers darstellen kann, mithin besondere Risiken für dessen Rechte und Freiheiten aufweisen kann und damit eine Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten zu erfolgen hat. Hierbei sollte gewährleistet werden, dass nur die zwingend zur Erreichung des jeweiligen Zwecks erforderlichen Daten in technischer Hinsicht erhoben werden (§ 3a BDSG – Datenvermeidung und Datensparsamkeit), die betreffenden Verarbeitungszwecke klar definiert werden und ein entsprechendes Löschkonzept vom Datenschutzbeauftragten erstellt wird. Letztendlich sind die betroffenen Mitarbeiter von der durchgeführten Maßnahme zu unterrichten.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe