ZUSATZ INFORMATIONEN
Das Verwaltungsgericht (VG) Wiesbaden hat in einem Urteil vom 17. Januar 2022 (Az. 6 K 1164/21) in dem zu entscheidenden Fall eine heimliche Dauerüberwachung mittels GPS-Tracking zu präventivem Eigentumsschutz und effizienter Routengestaltung für unzulässig erklärt.
Im Ausgangsfall hatte ein Logistikunternehmen alle Firmenfahrzeuge mit CPS-Trackern ausgestattet. Damit erfolgte über eine SaaS-Cloud-Lösung eine Bestimmung des Life-Standortes, Speicherung der Standortdaten und Messung des Benzinverbrauchs. Bei bestimmten Fahrzeugen wurde zudem der Fahrtenschreiber dergestalt gemanagt, dass eine Zuordnung zum jeweiligen Inhaber der Fahrerkarte erfolgte, die den Namen und das Geburtsdatum des Inhabers sowie eine individuelle Nummer enthielt. Die Daten der Fahrerkarte wurden alle 28 Tage, die Daten der Lenk- und Ruhezeiten nach einem Jahr aus der Software gelöscht. Die restlichen Daten wurden für 400 Tage gespeichert. Zweck des CPS-Trackings war, bei Missbrauch und Diebstahl eingreifen zu können. Zudem sollten der Benzinverbrauch und der jeweilige Kraftstoffbestand in den Tanks überwacht werden, um Kraftstoffdiebstahl erkennen zu können. Für organisatorische Zwecke sollte die Ortung der Fahrzeuge der Koordination von Sonderabholungen dienen. Es fand weder eine Information der Fahrer statt, noch wurde deren Einwilligung eingeholt.
Die zuständige Datenschutzbehörde erlangte von diesem Vorgehen Kenntnis und schritt mit entsprechenden aufsichtlichen Maßnahmen ein, da sie das CPS-Tracking in dieser Form für datenschutzrechtswidrig erachtete. Das Unternehmen ging gegen die entsprechende Anordnung gerichtlich vor. Das VG Wiesbaden entschied aber rechtskräftig, dass eine geheime Speicherung und Verarbeitung von Standortdaten von Firmenfahrzeugen über CPS-Tracking ohne Wissen der diese Fahrzeuge nutzenden Mitarbeiter rechtswidrig sei, soweit diese allein zum Zweck einer effizienten Routengestaltung, der Verhinderung von Diebstählen und zur Beweissicherung in Zivilprozessen durchgeführt werde. Im Ausgangsfall sei keine der in Art. 6 DSGVO sowie § 26 BDSG enthaltenen Rechtsgrundlagen für eine solche Verarbeitung zu den beabsichtigten Zwecken einschlägig.
Praxishinweis
Die vorliegende Entscheidung zeigt, dass datenschutzrechtliche Anforderungen für Arbeitgeber bestehen, wenn es um den Einsatz von CPS im Unternehmen geht. Der Einsatz ist jedoch nicht per se unmöglich oder datenschutzrechtswidrig. Vielmehr besteht die Möglichkeit, den CPS-Einsatz so zu gestalten, dass eine datenschutzkonforme Nutzung möglich ist. Der Einsatz sollte gut begründet und im Rahmen einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO dokumentiert werden.
Für das CPS-Tracking sollten folgende Bedingungen Berücksichtigung finden:
(Quelle: RA Dr. Frank Schemmel, Herausforderungen und Grenzen der Mitarbeiterüberwachung am Beispiel aktueller Rechtsprechung, in Compliance-Berater 2023 S. 206 ff.)