Muster-Datenschutzerklärung GPS-Mitarbeiterortung: Vorlage 2026 (DSGVO-konform)

Montagmorgen, 7:45 Uhr. Einer deiner Monteure ruft von der Baustelle an: Er hat gehört, dass die App seinen Standort erfasst. Er will wissen, ob das legal ist. Du weißt, dass es so ist — aber du hast kein Dokument, das es belegt. Und plötzlich wird eine sinnvolle Technologie-Entscheidung zu einem rechtlichen Problem.

Die Datenschutzerklärung zur GPS-Erfassung von Mitarbeitern ist keine Kür. Sie ist eine Pflicht gemäß DSGVO — Artikel 13 und 14, schwarz auf weiß. Wenn du eine App mit GPS für Zeiterfassung, Auftragsmanagement oder Anwesenheitskontrolle einsetzt, musst du jedem Mitarbeiter ein schriftliches Dokument aushändigen. Bevor du das System aktivierst. Nicht nachdem sich jemand beschwert.

Was der Datenschutzbeauftragte zur Mitarbeiter-Geolokalisierung sagt

Die deutschen Datenschutzbehörden haben sich mehrfach zur GPS-Ortung von Beschäftigten geäußert. Der Kern: Der Arbeitgeber darf Standortdaten erheben, aber nur wenn es verhältnismäßig, transparent und auf das Notwendige begrenzt ist. Das Betriebsverfassungsgesetz (BetrVG) gibt dem Betriebsrat zudem ein Mitbestimmungsrecht bei technischen Überwachungseinrichtungen (§ 87 Abs. 1 Nr. 6). In der Praxis heißt das drei Dinge. Erstens: keine Dauerüberwachung — der Standort wird beim Schichtbeginn und -ende erfasst, nicht alle fünf Minuten. Zweitens: Der Mitarbeiter muss genau wissen, was erhoben wird, warum, wie lange und wer Zugriff hat. Drittens: Die Daten dürfen nicht für andere Zwecke als die angegebenen verwendet werden.

All das muss schriftlich dokumentiert werden. Die Datenschutzerklärung ist das Dokument, das es formalisiert. Ohne Erklärung wird selbst ein vollkommen legitimes System angreifbar. Und wenn eine Prüfung kommt — ob vom Landesdatenschutzbeauftragten oder der Gewerbeaufsicht — ist die Erklärung das erste Dokument, das verlangt wird.

Die 7 Pflichtangaben der GPS-Datenschutzerklärung

Die DSGVO lässt keinen Interpretationsspielraum darüber, was eine Datenschutzerklärung enthalten muss. Artikel 13 listet die Informationen auf, die der Verantwortliche mitteilen muss. Für die Mitarbeiter-Geolokalisierung ergeben sich daraus sieben konkrete Punkte.

Erstens, die Identität des Verantwortlichen — wer du als Unternehmen bist, mit allen Kontaktdaten. Zweitens, die Kontaktdaten des Datenschutzbeauftragten, falls du einen benannt hast — ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten, ist das in Deutschland Pflicht (§ 38 BDSG). Drittens, die konkreten Zwecke der Verarbeitung: warum du GPS-Daten erhebst. „Für betriebliche Zwecke” reicht nicht — du musst präzise sein. Anwesenheitserfassung, Auftragsverifizierung, Einsatzplanung: jeder Zweck muss benannt werden. Viertens, die Rechtsgrundlage: für die meisten KMU ist das berechtigte Interesse des Arbeitgebers, aber es muss mit einer dokumentierten Interessenabwägung begründet werden. Fünftens, die Empfänger der Daten — wer Zugriff hat, einschließlich Cloud-Anbieter. Sechstens, die Speicherdauer: wie lange du GPS-Koordinaten aufbewahrst. Die Aufsichtsbehörden sehen Zeiträume über 24 Monate als begründungsbedürftig an. Siebtens, die Rechte des Mitarbeiters: Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch, Beschwerde bei der Aufsichtsbehörde.

Klingt nach viel. Tatsächlich ist es mit einer guten Vorlage ein Dokument von zwei Seiten. So geht es.

---

Muster-Datenschutzerklärung GPS-Mitarbeiterortung — 2026

Hier findest du ein vollständiges Muster, das den Anforderungen der DSGVO und des BDSG entspricht. Passe es an dein Unternehmen an, indem du die Felder in eckigen Klammern ersetzt.

DATENSCHUTZERKLÄRUNG ZUR VERARBEITUNG PERSONENBEZOGENER DATEN
Geolokalisierung über dienstliches Mobilgerät
Gemäß Art. 13–14 der Datenschutz-Grundverordnung (DSGVO)

Verantwortlicher: [Firma], mit Sitz in [Adresse], Handelsregister [Nummer], vertreten durch [Vor- und Nachname]. Kontakt: [E-Mail/Telefon].

Datenschutzbeauftragter: [Name / externer Dienstleister], erreichbar unter [E-Mail DSB]. („Nicht benannt” angeben, falls nicht gesetzlich erforderlich.)

Zwecke der Verarbeitung: Geolokalisierungsdaten werden ausschließlich erhoben für: (a) Erfassung der Anwesenheit an Einsatzorten, (b) Verifizierung der Durchführung von Kundeneinsätzen, (c) operative Verwaltung von Aufträgen und Einsatzplanung. Die Standortdaten werden ausschließlich bei der Zeiterfassung (Schichtbeginn und -ende) erhoben, nicht kontinuierlich.

Rechtsgrundlage: Die Verarbeitung stützt sich auf das berechtigte Interesse des Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO) an der ordnungsgemäßen organisatorischen Gestaltung der Arbeit und dem Schutz des Unternehmensvermögens sowie auf die Durchführung des Arbeitsvertrages (Art. 6 Abs. 1 lit. b DSGVO). Eine Interessenabwägung wurde unter Berücksichtigung der Vorgaben der Aufsichtsbehörden durchgeführt.

Verarbeitete Daten: GPS-Koordinaten (Breiten- und Längengrad) bei der Zeiterfassung, Datum und Uhrzeit, Gerätekennung, Mitarbeiterkennung.

Empfänger der Daten: Die Daten sind ausschließlich zugänglich für [berechtigte Rollen: z. B. Geschäftsführer, Einsatzleiter]. Die Daten werden bei [Cloud-Anbieter] mit Sitz in [Land] gespeichert. Eine Übermittlung in Drittländer außerhalb des EWR findet nicht statt.

Speicherdauer: Geolokalisierungsdaten werden maximal [N] Monate ab Erhebung gespeichert und danach unwiderruflich gelöscht. (Die Aufsichtsbehörden halten Zeiträume über 24 Monate für besonders begründungsbedürftig.)

Rechte des Betroffenen: Der Mitarbeiter hat das Recht auf: Auskunft über seine personenbezogenen Daten, Berichtigung oder Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung, Datenübertragbarkeit. Zur Ausübung dieser Rechte wenden Sie sich an den Verantwortlichen unter [E-Mail]. Zudem besteht ein Beschwerderecht bei der zuständigen Aufsichtsbehörde.

Folgen der Nichtbereitstellung: Die Bereitstellung der Geolokalisierungsdaten ist für die Durchführung des Arbeitsverhältnisses in der vorgesehenen operativen Form erforderlich. Eine Verweigerung kann dazu führen, dass der Mitarbeiter nicht für Tätigkeiten eingesetzt werden kann, die eine Anwesenheitskontrolle vor Ort erfordern.

Datum: ___/___/______
Unterschrift des Mitarbeiters (Kenntnisnahme): ______________________________

So verwendest du dieses Muster in der Praxis

Drucke es aus, fülle die Felder in eckigen Klammern aus und lass jeden Mitarbeiter unterschreiben, bevor du das GPS-System aktivierst. Bewahre eine unterschriebene Kopie auf — digital oder auf Papier, egal, Hauptsache auffindbar bei einer Prüfung. Wenn du neue Verarbeitungszwecke hinzufügst (zum Beispiel, wenn du GPS-Daten auch für die Berechnung von Kilometererstattungen nutzt), musst du die Erklärung aktualisieren und eine neue Unterschrift einholen.

Ein Fehler, den ich oft sehe: Der Arbeitgeber händigt die Erklärung sechs Monate nach Aktivierung der App aus. Zu diesem Zeitpunkt sind die vorherigen sechs Monate technisch ungedeckt. Die Aufsichtsbehörde kann die Verarbeitung für den gesamten Zeitraum ohne Erklärung beanstanden, auch wenn das System an sich legitim ist. Die Reihenfolge lautet immer: erst das Dokument, dann die Aktivierung.

Ist es dir schon passiert — ein System einzuschalten und erst danach an die Dokumentation zu denken? Das kommt häufiger vor, als du denkst, und die gute Nachricht ist: Es lässt sich an einem Nachmittag regeln.

Wenn du eine Lösung suchst, die bereits konforme Dokumentation mitbringt — Datenschutzerklärung, Verarbeitungsverzeichnis, DSGVO-konforme Konfiguration — erfahre, wie GeoTapp funktioniert. Das System erfasst den Standort nur bei der Zeiterfassung, nicht durchgehend, und ist von der Installation an DSGVO-konform gestaltet.