Es ist Mittwochmorgen, 9:14 Uhr. Sie öffnen Ihre Post und finden ein Einschreiben der Datenschutzbehörde. Betreff: GPS-Ortung Ihrer Außendiensttechniker. Drei Mitarbeiter haben Beschwerde eingereicht; sie wussten nicht, dass die auf dem Firmenwagen installierte App ihren Standort kontinuierlich aufzeichnete – auch während der Mittagspause, auch nach Feierabend, wenn sie das Fahrzeug für private Besorgungen nutzten.
Die Bußgelder der Datenschutzbehörde wegen Verstößen gegen die DSGVO bei der Überwachung von Arbeitnehmern sind in den letzten zwei Jahren deutlich gestiegen. Im Jahr 2024 erließ die Datenschutzbehörde über 30 Unterlassungsverfügungen in Höhe von 20.000 bis 50.000 € gegen Unternehmen aus der Anlagen- und Reinigungsbranche. Der häufigste Grund: das Fehlen einer spezifischen Datenschutzerklärung sowie das Fehlen einer gewerkschaftlichen Vereinbarung oder einer vorherigen Genehmigung.
Das Problem ist selten technischer Natur. Es ist organisatorischer Art: Das Gerät wird ausgehändigt, eine App wird installiert, und niemand erklärt dem Arbeitnehmer genau, was aufgezeichnet wird, wann, warum, wie lange die Daten gespeichert bleiben und wer darauf zugreifen darf. Genau hier verschärft die Datenschutzbehörde die Anforderungen, und genau hier entstehen die Bußgelder.
DSGVO-konforme GPS-Ortung von Mitarbeitern ohne Kopfzerbrechen
GeoTapp Flow bietet voreingestellte DSGVO-konforme Informationsvorlagen, eine detaillierte Kontrolle der Ortungszeiten und Audit-Protokolle, die jeder Überprüfung durch die Datenschutzbehörde standhalten.
14 Tage kostenlose Testphase, keine Kreditkarte erforderlich
Rechtliche Grundlagen: Wann ist GPS-Tracking tatsächlich zulässig?
Die DSGVO erlaubt die Verfolgung von Arbeitnehmern nicht pauschal. Sie erfordert eine konkrete Rechtsgrundlage gemäß Art. 6 DSGVO, ergänzt durch Art. 88 DSGVO und das Arbeitnehmerstatut (Gesetz 300/1970, Art. 4, geändert durch den Jobs Act). In der Praxis gibt es drei mögliche Wege:
Berechtigtes Interesse (Art. 6 Buchstabe f DSGVO): Der Arbeitgeber muss konkret nachweisen, warum die Ortung notwendig ist, z. B. zur Einsatzsteuerung, zur Routenoptimierung oder zum Nachweis der erbrachten Leistung. Allgemeine Verweise auf „Sicherheit“ oder „Effizienz“ reichen nicht aus. Die Abwägung mit den Rechten des Arbeitnehmers muss schriftlich dargelegt werden.
Gewerkschaftsvereinbarung oder Genehmigung der DTL (Arbeitnehmerstatut, Art. 4 Abs. 1): Ist mit den Ortungsinstrumenten auch eine Überwachung der Tätigkeit der Arbeitnehmer verbunden, ist dies zwingend erforderlich. Ohne Vereinbarung (oder Genehmigung der örtlichen Arbeitsaufsichtsbehörde) ist das System willkürlich rechtswidrig, und die Sanktionen kumulieren sich: DSGVO + Arbeitnehmerstatut + eventuelle Straftaten wegen unrechtmäßiger Eingriffe.
Einwilligung (Art. 7 DSGVO): Im Arbeitsverhältnis ist dies problematisch, da die Freiwilligkeit der Einwilligung zweifelhaft ist. Sie gilt nur, wenn der Arbeitnehmer tatsächlich ablehnen kann, ohne Nachteile zu erleiden. In der Praxis nur als Ergänzung nutzbar, niemals als alleinige Rechtsgrundlage.
Datenminimierung: Erfassen Sie nur das, was Sie benötigen
Art. 5 Abs. 1 Buchstabe c DSGVO schreibt die Datenminimierung vor. Das bedeutet: GPS-Standort nur während der vereinbarten Arbeitszeit, nicht in der Pause, nicht nach Schichtende, nicht im Urlaub. Wer kontinuierlich Daten erfasst, wer den Arbeitnehmer in seinem Privatleben überwacht, hat bereits verloren, noch bevor es zur ersten Kontrolle kommt.
Technisch bedeutet das: Die App muss über einen Zeitplan verfügen. Sie wird beim Einstempeln aktiviert, beim Einstempeln der Pause angehalten und bei genehmigten Freistellungen unterbrochen. Geofences rund um Privatwohnungen müssen in der Konfiguration ausgeschlossen werden. Aufbewahrung: höchstens so lange, wie es für den angegebenen Zweck erforderlich ist, typischerweise 30–90 Tage, danach automatische Löschung.
Technische und organisatorische Maßnahmen (TOM)
Art. 32 DSGVO verlangt angemessene Sicherheitsmaßnahmen. Konkret: Verschlüsselung der GPS-Daten während der Übertragung und im Ruhezustand, eingeschränkter Zugriff nach dem Need-to-know-Prinzip, regelmäßige Überprüfung der Berechtigungen, lückenlose Audit-Protokolle. Im Falle einer Überprüfung möchte die Aufsichtsbehörde sehen, wer wann Zugriff auf welchen Standort hatte.






