DSGVO und GPS-Tracking: Pflichten fuer Arbeitgeber 2026
8. Mai 2026 · 4 min
Ein Brief mit dem Absender der Landesdatenschutzbehörde. Dein Magen zieht sich zusammen, bevor du ihn öffnest. Drin steht: Ein Mitarbeiter hat sich beschwert. Er behauptet, dass dein Unternehmen seine GPS-Daten ohne ausreichende Rechtsgrundlage verarbeitet. Die Behörde bittet um Stellungnahme innerhalb von vier Wochen. Einschließlich der Datenschutz-Folgenabschätzung, der Betriebsvereinbarung oder Einwilligung, der Informationspflicht nach Artikel 13 DSGVO und des Verzeichnisses der Verarbeitungstätigkeiten. DSGVO GPS Arbeitgeber: Pflichten wachsen.
Drei von vier dieser Dokumente hast du nicht. Weil du die GPS-App vor zwei Jahren installiert hast, “damit wir wissen, wo die Jungs sind”, ohne einen Datenschutzbeauftragten zu fragen. Du bist nicht allein — die Mehrheit der deutschen Handwerksbetriebe mit GPS-Tracking hat die datenschutzrechtlichen Grundlagen nie vollständig umgesetzt. Und die Behörden wissen das.
2026 haben die deutschen Landesdatenschutzbehörden die GPS-Ortung von Beschäftigten als Prüfschwerpunkt definiert. Die Beschwerdezahlen steigen, die Bußgelder auch. Der Hamburger Datenschutzbeauftragte hat im Februar 2026 einem Reinigungsunternehmen 45.000 Euro Bußgeld auferlegt — weil die GPS-App der Mitarbeiter auch in den Pausen und auf dem Heimweg getrackt hat. Kein böser Wille, nur Unwissenheit. Aber Unwissenheit schützt vor Strafe nicht.
Erste Säule: die Rechtsgrundlage. In Deutschland hast du drei Optionen — eine Betriebsvereinbarung mit dem Betriebsrat (§ 87 Abs. 1 Nr. 6 BetrVG), eine informierte Einwilligung des Mitarbeiters (die jederzeit widerrufbar ist und deshalb als Rechtsgrundlage wackelig ist), oder das berechtigte Interesse des Arbeitgebers (Art. 6 Abs. 1 lit. f DSGVO), das aber einer strengen Verhältnismäßigkeitsprüfung standhalten muss. Die sicherste Variante ist die Betriebsvereinbarung — sie bindet beide Seiten und übersteht auch eine Prüfung durch die Aufsichtsbehörde.
GeoTapp 14 Tage kostenlos testen
Keine Kreditkarte erforderlich. In 2 Minuten starten.
Zweite Säule: die Datenschutz-Folgenabschätzung (DSFA). Systematische GPS-Überwachung von Beschäftigten löst die Pflicht zur DSFA aus — immer, ohne Ausnahme. Das Dokument muss die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung analysieren, die Risiken für die Betroffenen bewerten und die Maßnahmen beschreiben, die du ergriffen hast, um diese Risiken zu minimieren. Ohne DSFA riskierst du ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes.
DSGVO-Konformität als Standard, nicht als Nachrüstung
Dritte Säule: die Informationspflicht. Jeder Mitarbeiter muss vor der ersten Ortung schriftlich informiert werden — welche Daten erhoben werden, zu welchem Zweck, wie lange sie gespeichert werden und wer Zugriff hat. Vierte Säule: die technische Minimierung. Das System darf nur die Daten erfassen, die für den definierten Zweck notwendig sind. Kein Tracking in Pausen, kein Tracking nach Feierabend, keine Bewegungsprofile.
Das klingt nach viel Aufwand — ist es aber nicht, wenn du das richtige System wählst. Ein System wie GeoTapp TimeTracker ist von Grund auf DSGVO-konform konzipiert: GPS-Erfassung nur beim Ein- und Ausstempeln, kein kontinuierliches Tracking, automatische Löschung nach dem von dir definierten Zeitraum, Zugriffsrechte nur für berechtigte Personen. Die Dokumentation, die deine Datenschutzbehörde sehen will, ist bereits eingebaut — nicht nachgerüstet.
Viele Betriebsinhaber scheuen den vermeintlichen Aufwand — aber die Realität ist: Mit dem richtigen System dauert die Einrichtung einen Nachmittag, nicht einen Monat. Die Informationspflicht gegenüber den Mitarbeitern lässt sich mit einer Vorlage in einer Stunde umsetzen. Die DSFA ist ein strukturiertes Dokument, das einmalig erstellt und jährlich überprüft wird. Und die technischen Anforderungen erfüllt ein System, das von Grund auf DSGVO-konform konzipiert wurde, automatisch.
Der eigentliche Aufwand entsteht nicht durch die Compliance — er entsteht durch die Nicht-Compliance. Ein Bußgeldverfahren bindet Ressourcen über Monate, beschäftigt Anwälte und Datenschutzbeauftragte und kann im schlimmsten Fall die Arbeitsfähigkeit deines Betriebs einschränken. Dagegen ist ein Nachmittag für die Einrichtung ein sehr guter Deal.
Ein letzter Punkt, der oft übersehen wird: Die DSGVO-konforme Zeiterfassung schützt nicht nur dich als Arbeitgeber — sie schützt auch deine Mitarbeiter. Wenn ein Kunde behauptet, dein Team sei nicht vor Ort gewesen, zeigt der GPS-Bericht das Gegenteil. Wenn ein Mitarbeiter Überstunden geltend macht, die der Vorgesetzte bestreitet, liefert das System den objektiven Nachweis. Es ist ein Instrument der Fairness, nicht der Überwachung. Und genau so solltest du es auch deinem Team kommunizieren.
Artikel wie diesen direkt in dein Postfach
Praktische Einblicke zu GPS-Tracking, Betriebsmanagement und DSGVO. Kein Spam, nur nutzliche Inhalte.
Erfahren Sie, wie GeoTapp für Ihr Unternehmen funktioniert
