GPS-Ortung von Mitarbeitern – DSGVO 2026: So vermeiden Sie Sanktionen der Datenschutzbehörde
Field Service

GPS-Ortung von Mitarbeitern – DSGVO 2026: So vermeiden Sie Sanktionen der Datenschutzbehörde

14. Mai 2026 · 5 min

Es ist Mittwochmorgen, 9:14 Uhr. Sie öffnen Ihre Post und finden ein Einschreiben der Datenschutzbehörde. Betreff: GPS-Ortung Ihrer Außendiensttechniker. Drei Mitarbeiter haben Beschwerde eingereicht; sie wussten nicht, dass die auf dem Firmenwagen installierte App ihren Standort kontinuierlich aufzeichnete – auch während der Mittagspause, auch nach Feierabend, wenn sie das Fahrzeug für private Besorgungen nutzten.

Die Bußgelder der Datenschutzbehörde wegen Verstößen gegen die DSGVO bei der Überwachung von Arbeitnehmern sind in den letzten zwei Jahren deutlich gestiegen. Im Jahr 2024 erließ die Datenschutzbehörde über 30 Unterlassungsverfügungen in Höhe von 20.000 bis 50.000 € gegen Unternehmen aus der Anlagen- und Reinigungsbranche. Der häufigste Grund: das Fehlen einer spezifischen Datenschutzerklärung sowie das Fehlen einer gewerkschaftlichen Vereinbarung oder einer vorherigen Genehmigung.

Das Problem ist selten technischer Natur. Es ist organisatorischer Art: Das Gerät wird ausgehändigt, eine App wird installiert, und niemand erklärt dem Arbeitnehmer genau, was aufgezeichnet wird, wann, warum, wie lange die Daten gespeichert bleiben und wer darauf zugreifen darf. Genau hier verschärft die Datenschutzbehörde die Anforderungen, und genau hier entstehen die Bußgelder.

DSGVO-konforme GPS-Ortung von Mitarbeitern ohne Kopfzerbrechen

GeoTapp Flow bietet voreingestellte DSGVO-konforme Informationsvorlagen, eine detaillierte Kontrolle der Ortungszeiten und Audit-Protokolle, die jeder Überprüfung durch die Datenschutzbehörde standhalten.

14 Tage kostenlose Testphase, keine Kreditkarte erforderlich

Rechtliche Grundlagen: Wann ist GPS-Tracking tatsächlich zulässig?

Die DSGVO erlaubt die Verfolgung von Arbeitnehmern nicht pauschal. Sie erfordert eine konkrete Rechtsgrundlage gemäß Art. 6 DSGVO, ergänzt durch Art. 88 DSGVO und das Arbeitnehmerstatut (Gesetz 300/1970, Art. 4, geändert durch den Jobs Act). In der Praxis gibt es drei mögliche Wege:

Berechtigtes Interesse (Art. 6 Buchstabe f DSGVO): Der Arbeitgeber muss konkret nachweisen, warum die Ortung notwendig ist, z. B. zur Einsatzsteuerung, zur Routenoptimierung oder zum Nachweis der erbrachten Leistung. Allgemeine Verweise auf „Sicherheit“ oder „Effizienz“ reichen nicht aus. Die Abwägung mit den Rechten des Arbeitnehmers muss schriftlich dargelegt werden.

Gewerkschaftsvereinbarung oder Genehmigung der DTL (Arbeitnehmerstatut, Art. 4 Abs. 1): Ist mit den Ortungsinstrumenten auch eine Überwachung der Tätigkeit der Arbeitnehmer verbunden, ist dies zwingend erforderlich. Ohne Vereinbarung (oder Genehmigung der örtlichen Arbeitsaufsichtsbehörde) ist das System willkürlich rechtswidrig, und die Sanktionen kumulieren sich: DSGVO + Arbeitnehmerstatut + eventuelle Straftaten wegen unrechtmäßiger Eingriffe.

Einwilligung (Art. 7 DSGVO): Im Arbeitsverhältnis ist dies problematisch, da die Freiwilligkeit der Einwilligung zweifelhaft ist. Sie gilt nur, wenn der Arbeitnehmer tatsächlich ablehnen kann, ohne Nachteile zu erleiden. In der Praxis nur als Ergänzung nutzbar, niemals als alleinige Rechtsgrundlage.

Datenminimierung: Erfassen Sie nur das, was Sie benötigen

Art. 5 Abs. 1 Buchstabe c DSGVO schreibt die Datenminimierung vor. Das bedeutet: GPS-Standort nur während der vereinbarten Arbeitszeit, nicht in der Pause, nicht nach Schichtende, nicht im Urlaub. Wer kontinuierlich Daten erfasst, wer den Arbeitnehmer in seinem Privatleben überwacht, hat bereits verloren, noch bevor es zur ersten Kontrolle kommt.

Technisch bedeutet das: Die App muss über einen Zeitplan verfügen. Sie wird beim Einstempeln aktiviert, beim Einstempeln der Pause angehalten und bei genehmigten Freistellungen unterbrochen. Geofences rund um Privatwohnungen müssen in der Konfiguration ausgeschlossen werden. Aufbewahrung: höchstens so lange, wie es für den angegebenen Zweck erforderlich ist, typischerweise 30–90 Tage, danach automatische Löschung.

Technische und organisatorische Maßnahmen (TOM)

Art. 32 DSGVO verlangt angemessene Sicherheitsmaßnahmen. Konkret: Verschlüsselung der GPS-Daten während der Übertragung und im Ruhezustand, eingeschränkter Zugriff nach dem Need-to-know-Prinzip, regelmäßige Überprüfung der Berechtigungen, lückenlose Audit-Protokolle. Im Falle einer Überprüfung möchte die Aufsichtsbehörde sehen, wer wann Zugriff auf welchen Standort hatte.

GeoTapp 14 Tage kostenlos testen

Keine Kreditkarte erforderlich. In 2 Minuten starten.

Kostenlos testen

Ein oft übersehenes Detail: Auch das Verhältnis zum App-Anbieter muss vertraglich geregelt sein. Art. 28 DSGVO verlangt eine schriftliche Datenverarbeitungsvereinbarung (DPA). Fehlt diese, liegt ein formaler Verstoß vor, der sanktioniert werden kann – unabhängig davon, ob inhaltlich alles reibungslos läuft.

Häufige Fehler, die zu Sanktionen führen

1. Fehlende oder lückenhafte Unterrichtung des Arbeitnehmers. Art. 13 DSGVO verlangt eine vollständige Unterrichtung über die Datenerhebung: Zwecke, Rechtsgrundlage, Aufbewahrungsfristen, Empfänger, Rechte der betroffenen Person. Eine vage Klausel im Vertrag reicht nicht aus. Es bedarf eines eigenen Dokuments.

2. Nachverfolgung außerhalb der Arbeitszeit. Ein Klassiker. Wer während der Mittagspause oder am Wochenende Daten erfasst, sammelt Daten ohne Rechtsgrundlage. Dies führt zu einer DSGVO-Strafe sowie möglichen individuellen Schadensersatzansprüchen.

3. Fehlende Gewerkschaftsvereinbarung. Art. 4 des Arbeitnehmerstatuts ist zwingend. Ohne Vereinbarung (oder Genehmigung durch das Arbeitsamt) sind auf der Nachverfolgung basierende betriebliche Maßnahmen gegenüber dem Arbeitnehmer unwirksam, und die Sanktionen vervielfachen sich.

4. Übermäßige Speicherung. Wer GPS-Daten jahrelang „archiviert“, verstößt gegen den Grundsatz der Speicherbegrenzung (Art. 5 DSGVO).

Überprüfbarkeit: der unterschätzte Wettbewerbsvorteil

Eine moderne Ortungslösung muss mehr leisten, als nur die DSGVO einzuhalten. Sie muss aktiv nachweisen, dass die erhobenen Daten integer sind. Kryptografisch mit einer ECDSA-Signatur versiegelte Berichte sind auch nach Monaten noch unabhängig überprüfbar – vom Kunden, von einem Auditor oder von der Datenschutzbehörde. Das ist nicht nur Compliance. Das ist Vertrauen, das man verkauft.

Wer im Jahr 2026 noch mit unverschlüsselten Excel-Protokollen oder nicht überprüften App-Daten arbeitet, riskiert nicht nur Strafen, sondern verliert auch jeden Rechtsstreit mit Kunden, die einen Nachweis der Anwesenheit verlangen.

Was Sie jetzt tun sollten

Nehmen Sie sich heute drei Stunden Zeit für ein internes Audit: Welche Tracking-Technologie verwenden Sie? Wo sind die Rechtsgrundlagen dokumentiert? Werden Ihre Mitarbeiter aktiv informiert? Gibt es eine Datenschutzvereinbarung mit dem Anbieter? Wer hat Zugriff, und wird dies protokolliert? Liegt eine Gewerkschaftsvereinbarung oder eine Genehmigung der Arbeitsaufsichtsbehörde vor?

Sollte auch nur einer dieser Punkte unklar sein, handeln Sie jetzt, bevor die Datenschutzbehörde Sie dazu zwingt.

Stellen Sie sich den nächsten Kontrollbesuch der Datenschutzbehörde vor: Die Datenschutz-Folgenabschätzung (DPIA), die unterzeichnete Datenschutzerklärung und die Zugriffsprotokolle sind bereits vorbereitet, ohne dass Sie einem einzigen Blatt Papier hinterherjagen müssen.

Richten Sie ein DSGVO-konformes GPS-System von der ersten Schicht an ein. Vierzehn Tage, ganz ohne Papier.

Keine Kreditkarte, in 2 Minuten einsatzbereit.

Testen Sie die Testversion

Artikel wie diesen direkt in dein Postfach

Praktische Einblicke zu GPS-Tracking, Betriebsmanagement und DSGVO. Kein Spam, nur nutzliche Inhalte.

Kommentare

Noch keine Kommentare. Schreibe den ersten.

Einen Kommentar schreiben

GeoTapp 14 Tage kostenlos testen

Keine Kreditkarte erforderlich. In 2 Minuten starten.

Jetzt starten

© 2026 GeoTapp — Originalinhalt. Du darfst ihn zitieren und Teile mit einem Link zu dieser Seite übernehmen. Vollständige Weiterveröffentlichung oder kommerzielle Nutzung nur mit unserer Erlaubnis.