GPS & DSGVO 2026: Was Unternehmer vor der Softwareauswahl wissen müssen

Die Wahl einer GPS-Software für Ihr Unternehmen ist nicht nur eine Frage der Funktionen. Im Jahr 2026, mit aktualisierten Leitlinien der italienischen Datenschutzbehörde und vollständig durchgesetzter DSGVO, kann die falsche Wahl zu einer Strafe führen. Dieser Artikel enthält die Fragen, die jeder Unternehmer stellen sollte, bevor er einen Vertrag mit einem Anbieter von GPS-Mitarbeiter-Tracking unterzeichnet.

Das ist keine Bürokratie. Es geht darum zu wissen, ob das, was Sie installieren, Sie schützt oder exponiert. In der Praxis ist der Unterschied Tausende von Euro wert.

Was die DSGVO über GPS-Tracking von Mitarbeitern im Jahr 2026 sagt

Die DSGVO verbietet GPS bei Mitarbeitern nicht — sie reguliert es. Drei Dinge sind erforderlich: eine gültige Rechtsgrundlage (Vertragserfüllung oder dokumentiertes berechtigtes Interesse), eine aktualisierte Datenschutzerklärung, die GPS ausdrücklich erwähnt, und eine dem Zweck angemessene Datenspeicherrichtlinie. Wenn Ihre aktuelle Software Ihnen nicht hilft, diese drei Punkte einzuhalten, ist sie nicht konform.

Die italienische Datenschutzbehörde hat Unternehmen sanktioniert, die Mitarbeiter kontinuierlich verfolgten, Daten zu lange aufbewahrten oder Arbeitnehmer nicht ordnungsgemäß informierten. Verwaltungsbußgelder können bis zu 4% des globalen Jahresumsatzes erreichen. Für ein Unternehmen mit 2 Millionen Euro Umsatz bedeutet das 80.000 Euro.

Die 5 Fragen, die Sie dem Anbieter vor der Auswahl stellen sollten

Erstens: Aktiviert sich GPS nur während der Schicht oder zeichnet es kontinuierlich auf? Ein System, das Pausen, den Weg von zu Hause zur Arbeit oder Wochenenden verfolgt, ist bereits nicht konform. Zweitens: Wie lange werden Standortdaten aufbewahrt und welche automatischen Löschrichtlinien gelten? Drittens: Generiert die App DSGVO-konforme Dokumentation — Datenschutzerklärungen, Verarbeitungsverzeichnis, AVV — oder überlässt sie Ihnen das?

Viertens: Ist der erstellte Bericht von Dritten unabhängig verifizierbar oder kann er nach dem Abschluss geändert werden? Fünftens: Hat der Anbieter einen referenzierten DSB oder Datenschutzberater, oder überträgt er alle Verantwortung auf den Kunden? Wenn Sie auf eine dieser fünf Fragen keine Antwort haben, haben Sie nicht genug Informationen, um zu wählen.

Die Falle der „Einwilligung“

Die häufigste Antwort, die wir von Unternehmern hören, ist: „Mitarbeiter haben im Arbeitsvertrag zugestimmt“. Im Jahr 2026 hält diese Antwort vor der Datenschutzbehörde nicht mehr stand. In einem Arbeitsverhältnis gilt die Einwilligung nicht als freiwillig erteilt — der Arbeitnehmer unterschreibt, weil er die Arbeit braucht, nicht weil er sich wirklich entschieden hat. Die Behörde weiß das und akzeptiert es nicht als ausreichende Rechtsgrundlage für das Tracking.

Die korrekte Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — aber nur wenn GPS für die Durchführung der Arbeit unbedingt erforderlich ist. Wenn Sie GPS verwenden, um zu überprüfen, wo sich Ihre Techniker zwischen Aufträgen befinden, muss dieser Zweck formal dokumentiert werden, nicht nur in einer standardmäßigen Vertragsklausel angegeben sein.

Fernüberwachung vs. Dienstzertifizierung: warum die Unterscheidung rechtlich relevant ist

Artikel 4 des italienischen Arbeitnehmerstatuts unterscheidet zwischen Fernüberwachungsgeräten (die eine Gewerkschaftsvereinbarung oder Genehmigung der Arbeitsaufsichtsbehörde erfordern) und Geräten, die für die Arbeit notwendig sind (die das nicht erfordern). Ein GPS, das die Ausführung eines Auftrags beim Kunden dokumentiert, fällt in die zweite Kategorie — aber nur wenn der Hauptzweck die Zertifizierung der geleisteten Arbeit ist, nicht die Überwachung des Mitarbeiters.

Diese Unterscheidung beeinflusst direkt den Typ der Software, den Sie wählen. Ein für die Auftragszertifizierung konzipiertes System aktiviert GPS nur beim Öffnen eines Auftrags und erstellt einen versiegelten Bericht mit Standort, Zeitstempel und Fotos. Es verfolgt nicht zwischen Aufträgen, zeichnet keine Routen auf und überwacht keine Pausen. Aus Sicht der Datenschutzbehörde ist das eine völlig andere Kategorie.

Was in der Dokumentation des Anbieters zu prüfen ist

Verlangen Sie vom Anbieter einen Auftragsverarbeitungsvertrag (AVV) — wenn er keinen bereit hat, stoppen Sie. Der AVV ist gesetzlich vorgeschrieben, wenn ein Dritter personenbezogene Daten in Ihrem Auftrag verarbeitet. Überprüfen Sie, ob er enthält: die Liste der Unterauftragsverarbeiter (Server, Speicher, Analysen), die angewandten Aufbewahrungsfristen, die Sicherheitsmaßnahmen und die Kanäle zur Meldung einer Datenpanne.

Überprüfen Sie außerdem, ob der Anbieter Ihnen die vollständige Liste der an den Daten Ihrer Mitarbeiter durchgeführten Verarbeitungstätigkeiten liefern kann — das ist Ihr Auskunftsrecht als Verantwortlicher. Wenn der Anbieter diese Transparenz nicht liefern kann oder will, übertragen Sie Daten an eine Partei, die Sie nicht kontrollieren können.

Was jetzt zu tun ist

Wenn Sie bereits eine aktive GPS-Software haben, prüfen Sie sofort: Verfolgt GPS nur während der Arbeitszeit? Wurden Mitarbeiter spezifisch informiert? Haben Sie einen unterzeichneten AVV mit dem Anbieter? Wenn eine dieser Antworten „nein“ oder „ich weiß nicht“ ist, befinden Sie sich in einer Risikozone, die es wert ist, geschlossen zu werden, bevor eine Inspektion kommt.

Die gute Nachricht ist, dass die Anpassung nicht kompliziert ist — es erfordert eine Software, bei der Compliance eingebaut und nicht nachträglich hinzugefügt wurde. GeoTapp aktiviert GPS nur beim Öffnen eines Auftrags und schließt es damit, erstellt versiegelte manipulationssichere Berichte, enthält alle DSGVO-Dokumentation und unterzeichnet den AVV als Auftragsverarbeiter. Wenn Sie sehen möchten, wie es im Detail funktioniert, der vollständige Ablauf ist hier — unverbindlich.