Ein Brief mit dem Absender der Landesdatenschutzbehörde. Dein Magen zieht sich zusammen, bevor du ihn öffnest. Drin steht: Ein Mitarbeiter hat sich beschwert. Er behauptet, dass dein Unternehmen seine GPS-Daten ohne ausreichende Rechtsgrundlage verarbeitet. Die Behörde bittet um Stellungnahme innerhalb von vier Wochen. Einschließlich der Datenschutz-Folgenabschätzung, der Betriebsvereinbarung oder Einwilligung, der Informationspflicht nach Artikel 13 DSGVO und des Verzeichnisses der Verarbeitungstätigkeiten. DSGVO GPS Arbeitgeber: Pflichten wachsen.
Drei von vier dieser Dokumente hast du nicht. Weil du die GPS-App vor zwei Jahren installiert hast, “damit wir wissen, wo die Jungs sind”, ohne einen Datenschutzbeauftragten zu fragen. Du bist nicht allein, die Mehrheit der deutschen Handwerksbetriebe mit GPS-Tracking hat die datenschutzrechtlichen Grundlagen nie vollständig umgesetzt. Und die Behörden wissen das.
2026 haben die deutschen Landesdatenschutzbehörden die GPS-Ortung von Beschäftigten als Prüfschwerpunkt definiert. Die Beschwerdezahlen steigen, die Bußgelder auch. Der Hamburger Datenschutzbeauftragte hat im Februar 2026 einem Reinigungsunternehmen 45.000 Euro Bußgeld auferlegt, weil die GPS-App der Mitarbeiter auch in den Pausen und auf dem Heimweg getrackt hat. Kein böser Wille, nur Unwissenheit. Aber Unwissenheit schützt vor Strafe nicht.
Richte einmal eine GPS-Erfassung ein, in der DPIA, Betriebsvereinbarung und Einwilligungen schon ab dem ersten Tag vorhanden sind.
Keine Kreditkarte, in 2 Minuten startklar.
Test öffnenDSGVO GPS Arbeitgeber: vier Saeulen
Erste Säule: die Rechtsgrundlage. In Deutschland hast du drei Optionen, eine Betriebsvereinbarung mit dem Betriebsrat (§ 87 Abs. 1 Nr. 6 BetrVG), eine informierte Einwilligung des Mitarbeiters (die jederzeit widerrufbar ist und deshalb als Rechtsgrundlage wackelig ist), oder das berechtigte Interesse des Arbeitgebers (Art. 6 Abs. 1 lit. f DSGVO), das aber einer strengen Verhältnismäßigkeitsprüfung standhalten muss. Die sicherste Variante ist die Betriebsvereinbarung, sie bindet beide Seiten und übersteht auch eine Prüfung durch die Aufsichtsbehörde.
Zweite Säule: die Datenschutz-Folgenabschätzung (DSFA). Systematische GPS-Überwachung von Beschäftigten löst die Pflicht zur DSFA aus, immer, ohne Ausnahme. Das Dokument muss die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung analysieren, die Risiken für die Betroffenen bewerten und die Maßnahmen beschreiben, die du ergriffen hast, um diese Risiken zu minimieren. Ohne DSFA riskierst du ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes.

DSGVO-Konformität als Standard, nicht als Nachrüstung
Dritte Säule: die Informationspflicht. Jeder Mitarbeiter muss vor der ersten Ortung schriftlich informiert werden, welche Daten erhoben werden, zu welchem Zweck, wie lange sie gespeichert werden und wer Zugriff hat. Vierte Säule: die technische Minimierung. Das System darf nur die Daten erfassen, die für den definierten Zweck notwendig sind. Kein Tracking in Pausen, kein Tracking nach Feierabend, keine Bewegungsprofile.





