Update Compliance 9/2019 / Update Datenschutz Nr. 64
Die Zulässigkeit der GPS-Ortung aus Compliance-Sicht
Für den Einsatz von Ortungssystemen sowohl im Beschäftigungskontext als auch bei der Zusammenarbeit mit anderen Unternehmen gelten strenge datenschutzrechtliche Anforderungen. Kürzlich entschied das VG Lüneburg mit Teilurteil vom 19. März 2019 unter Anwendung der Vorschriften der Datenschutz-Grundverordnung und des neuen Bundesdatenschutzgesetzes, dass eine uneingeschränkte Ortung von Mitarbeiterfahrzeugen unzulässig sei. Dieses Urteil gibt Anlass, die Zulässigkeit des Einsatzes solcher Systeme unter Compliance-Gesichtspunkten zu beleuchten: Unternehmen müssen darauf achten, dass beim Einsatz von Ortungssystemen für die Verarbeitung der Daten ihrer Mitarbeiter oder Dritten ein datenschutzrechtlicher Erlaubnistatbestand für die Verarbeitung der Ortungsdaten besteht. Andernfalls droht die Gefahr der Verfolgung des Unternehmens wegen datenschutzrechtlicher Pflichtverletzungen.
Im dem Urteil zugrunde liegenden Sachverhalt hatte die Klägerin, die ein Gebäudereinigungsunternehmen betreibt, ihre Firmenfahrzeuge, die die bei ihr beschäftigten Objektbetreuer, Reinigungskräfte und der Hausmeister sowohl dienstlich als auch privat nutzten, mit GPS-Systemen ausgestattet. Erfasst wurden die Kennzeichen der Fahrzeuge, welche den jeweiligen betrieblichen Nutzern zugeordnet werden konnten. Mit den Ortungssystemen wurde über einen längeren Zeitraum jede gefahrene Strecke der jeweiligen Mitarbeiter mit Start- und Zielpunkten einschließlich der gefahrenen Zeit und dem Status der Zündung gespeichert. Aus- oder eingeschaltet werden konnte das Ortungssystem durch die Mitarbeiter nicht; eine Deaktivierung des Systems nach Feierabend und vor Arbeitsbeginn war nur unter erheblichem Aufwand möglich.
Das VG Lüneburg urteilte, dass die ständige Erfassung der Positionsdaten der Beschäftigten auch außerhalb der Arbeitszeiten nicht in Einklang mit geltendem Datenschutzrecht stehe. Eine derart umfangreiche Verarbeitung der Ortungsdaten könne in diesem Fall nicht auf den Erlaubnistatbestand des § 26 Abs. 1 BDSG gestützt werden, da die Datenverarbeitung nicht für die Zwecke des Beschäftigungsverhältnisses erforderlich gewesen sei. Die Verpflichtung zur Führung eines Fahrtenbuchs sei in solchen Fällen ausreichend. Die Verarbeitung der Ortungsdaten könne auch nicht auf den Erlaubnistatbestand der Einwilligung nach § 26 Abs. 2 BDSG gestützt werden, da keine ausreichende Freiwilligkeit der Einwilligungen vorlag. Daran fehlte es schon, da der Verantwortliche versäumte, seine Beschäftigten über die umfassende Ortung zu informieren.
Konsequenzen auch für Nachunternehmerverhältnisse
Diese Rechtsprechung ist auch auf Verantwortliche übertragbar, die Ortungsdaten von natürlichen Personen außerhalb des Beschäftigtendatenschutzes verarbeiten. Das betrifft insbesondere Unternehmen, die Ortungsdaten von den Beschäftigten ihrer Subunternehmer erheben. Mangels Beschäftigungskontextes muss der Verantwortliche die Rechtmäßigkeit der Verarbeitung der Ortungsdaten in diesen Fällen nicht anhand der Erlaubnistatbestände des § 26 BDSG messen. Vielmehr muss er die Datenverarbeitung auf eine Rechtsgrundlage des Art. 6 Abs. 1 DSGVO stützen:
Sofern – was in der Regel der Fall sein wird – keine gesetzliche Verpflichtung für die Ortung besteht und diese auch nicht für die Durchführung eines Vertragsverhältnisses zwischen dem Verantwortlichen und der georteten Personen erforderlich ist, kommen als Erlaubnistatbestände nur ein berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f) DSGVO oder eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO in Betracht. Da die Einwilligung wegen ihrer Widerrufsmöglichkeit generell keine sichere Rechtsgrundlage darstellt und nur als Notlösung dienen sollte, müssen Unternehmen in der Regel ein berechtigtes Interesse an der Ortung nachweisen, das nicht von den Interessen und Grundrechten der Betroffenen überwogen wird. Im Rahmen einer solchen Interessenabwägung fließen vergleichbare Argumente ein wie bei der Erforderlichkeitsabwägung unter § 26 BDSG. So argumentierte auch das VG Lüneburg, dass bei einer geduldeten Privatnutzung der Fahrzeuge kein pauschales Überwachungsbedürfnis des Unternehmens bestehe und daher dem Eingriff in das Recht auf Selbstbestimmung seitens der Betroffenen schon kein berechtigtes unternehmerisches Interesse gegenüberstehe. Somit kann der Verantwortliche auch unter Art. 6 Abs. 1 lit. f) DSGVO keine unbeschränkte Ortung vornehmen.
Praxishinweis
Die DSGVO sieht für Fälle wie den geschilderten Bußgelder für Verantwortliche in Höhe von bis zu EUR 20.000.000 oder im Fall eines Unternehmens von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor. Um diesem Risiko zu entgehen, ist Unternehmen, die Ortungsdaten ihrer Mitarbeiter oder von Dritten, wie Mitarbeitern ihrer Subunternehmer, verarbeiten, dringend zu raten, vor der Nutzung etwaiger Ortungssysteme in jedem Fall zu prüfen, auf welcher Rechtsgrundlage und in welchem Umfang sie die Ortung durchführen dürfen. Zudem muss der Verantwortliche aufgrund der umfangreichen Überwachung bei einer Ortung eine Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO durchführen.