GPS-Ortung von Sicherheitspersonal und DSGVO: So setzen Sie dies um, ohne Sanktionen der Datenschutzbehörde zu riskieren
Field Service

GPS-Ortung von Sicherheitspersonal und DSGVO: So setzen Sie dies um, ohne Sanktionen der Datenschutzbehörde zu riskieren

20. Mai 2026 · 12 min

Du liest die Schlagzeilen an einem Dienstagmorgen im November, während du im Büro deinen Kaffee trinkst, in einer Wirtschaftszeitung, die schon seit Wochen auf deinem Tisch liegt, ohne dass du sie jemals aufgeschlagen hast. Überschrift: „Datenschutzbehörde verhängt Geldstrafe gegen Sicherheitsdienstleister wegen unrechtmäßiger Standortverfolgung von Mitarbeitern – 75.000 €“. Du liest es zweimal. Das Unternehmen hat ein GPS-System in den Fahrzeugen und auf den Geräten der Sicherheitskräfte installiert – ohne vorherige Datenschutz-Folgenabschätzung (DPIA), ohne angemessene Datenschutzerklärung und ohne Gewerkschaftsvereinbarung gemäß Art. 4 des Arbeitnehmerstatuts. Die Verfügung umfasst vierzig Seiten und zitiert jedes Komma der DSGVO. Du hast seit drei Monaten genau das gleiche Problem: Du möchtest GPS-Tracking auf den Streifenwagen deiner Sicherheitsfirma installieren, weil ein Firmenkunde dies in den Ausschreibungsunterlagen ausdrücklich verlangt hat, aber dein Steuerberater hat dir gesagt: „Sei vorsichtig, im Sicherheitsbereich ist das heikler als anderswo.“ Du stellst die Tasse ab. Du schaltest den PC ein. Du beginnst zu recherchieren.

Das eigentliche Problem ist, dass jeder Artikel, den du findest, entweder von einer Anwaltskanzlei verfasst wurde, die dir ihre Beratung verkaufen will, von einem Softwareunternehmen, das dir seine Plattform verkaufen will, oder von einer Gewerkschaft, die dir auf zwanzig Seiten erklärt, warum du niemanden orten darfst. Niemand erklärt dir klar und deutlich, was du wirklich tun musst, wenn du ein privates Sicherheitsunternehmen mit vierzig Wachleuten leitest und ein GPS-Ortungssystem installieren willst, das es dir ermöglicht, die Ausschreibung zu gewinnen, die DSGVO einzuhalten, keinen Streit mit der Gewerkschaft zu bekommen, nicht ins Visier der Datenschutzbehörde zu geraten und vor allem keine Geldstrafe in Höhe von 75.000 € zu kassieren, von der du gerade in der Zeitung gelesen hast. Man hat das Gefühl, ohne Karte durch ein Minenfeld zu laufen. Und doch tun es deine besser strukturierten Konkurrenten bereits – offenbar vorschriftsmäßig –, denn sie gewinnen die Ausschreibungen, für die du dich nicht einmal bewerben kannst.

So sieht heute die Situation für einen Großteil der Inhaber privater Sicherheitsdienste in Italien aus. Die Sicherheitsbranche wird von der Datenschutzbehörde besonders genau unter die Lupe genommen, da sie mit besonders sensiblen Daten umgeht: Deine Mitarbeiter sind an Orten und zu Zeiten im Einsatz, die – in Verbindung mit der Geolokalisierung – weit mehr aussagen als nur eine „Anwesenheit am Arbeitsplatz“. Sie verraten, wo ein VIP-Kunde wohnt, welche Gewohnheiten eine Bank hat, wo ein Richter unter privatem Personenschutz schläft. Ein Fehler beim Datenschutzkonzept ist nicht nur ein administratives Risiko: Es ist ein Reputationsrisiko, das ein Unternehmen ruinieren kann.

Wenn die Geolokalisierung eines Sicherheitsdienstes den Umgang mit Daten von VIP-Kunden bedeutet, zeigen zwei Testwochen, wo die Lücken geschlossen werden müssen.

Keine Kreditkarte erforderlich, in 2 Minuten einsatzbereit.

Siehe Branche

Warum der Sicherheitsdienst der sensibelste Bereich für die GPS-Ortung ist

Reinigung auf mehreren Baustellen, Bauwesen, technische Instandhaltung: alles Branchen, in denen GPS für die Teams dazu dient, zu wissen, ob die Person angekommen ist, wie lange sie geblieben ist und wohin sie danach gegangen ist. Im Sicherheitsbereich sieht die Situation strukturell anders aus. Der Sicherheitsmitarbeiter erbringt einen öffentlich-privaten Dienst, der durch das TULPS geregelt ist, arbeitet mit einer Genehmigung der Präfektur und verfügt über quasi-öffentliche Befugnisse (Einsatz, Verwahrung, Wertbegleitung, bewaffnete Überwachung). Gleichzeitig ist er ein Arbeitnehmer, der durch Art. 4 des Arbeitnehmerstatuts – das zwar durch den „Jobs Act“ geändert wurde, aber dennoch restriktiv ist – sowie durch den nationalen Tarifvertrag für private Sicherheitsdienste und Treuhanddienste geschützt ist. Die Datenschutzbehörde betrachtet die GPS-Ortung von Sicherheitsmitarbeitern als „risikoreiche“ Datenverarbeitung im Sinne von Art. 35 DSGVO, da die Kombination aus kontinuierlicher Geolokalisierung, nächtlichen Arbeitszeiten und Fahrhäufigkeit es ermöglicht, das berufliche und manchmal auch das private Leben des Mitarbeiters detailliert zu profilieren.

Das bedeutet nicht, dass man keine Ortung durchführen darf. Es bedeutet, dass man dies auf strukturierte Weise tun muss. Die Rechtsprechung der Datenschutzbehörde der letzten fünf Jahre ist eindeutig: Sicherheitsunternehmen, die GPS unter Einhaltung der kombinierten Bestimmungen der DSGVO, des Art. 4 des Arbeitnehmerstatuts, des CCNL und der Präfekturverordnungen implementiert haben, wurden nie mit Sanktionen belegt. Diejenigen, die improvisiert haben – Systeme von heute auf morgen installiert, allgemeine Datenschutzerklärungen aus dem Internet kopiert, keine Gewerkschaftsvereinbarung, unbefristete Datenspeicherung –, sind alle ins Visier geraten, einige mit sechsstelligen Bußgeldern. Der Unterschied liegt nicht in der Technologie. Er liegt in dem Verwaltungsprozess, der der technischen Umsetzung vorausgeht und diese begleitet.

Der zweite sensible Punkt ist der Endkunde. Wenn eine Streife ihre Ankunft bei einem Kreditinstitut um 02:47 Uhr protokolliert, enthält diese Geolokalisierungsangabe auch eine Information über den Kunden: Die Bank steht unter bewaffneter Bewachung, an diesem Standort werden Wertgegenstände aufbewahrt, es gibt eine Schwachstelle. Wenn das GPS-System nicht so aufgebaut ist, dass diese Daten getrennt und geschützt werden, und sie im Rahmen eines Datenlecks nach außen gelangen, trifft der Reputationsschaden Ihr Institut doppelt: als Verantwortlicher und als Sicherheitsanbieter. Die DSGVO verlangt von Ihnen „risikogerechte“ technische und organisatorische Maßnahmen. Im Sicherheitsbereich bedeutet „angemessen“ mehr als in anderen Branchen.

Die fünf Säulen eines DSGVO-konformen GPS-Systems für den privaten Sicherheitsdienst

Die erste Säule ist die DPIA – Data Protection Impact Assessment, auf Deutsch die Datenschutz-Folgenabschätzung. Für den Sicherheitsbereich ist sie obligatorisch und nicht optional, da sie gemäß der Verordnung der Datenschutzbehörde aus dem Jahr 2018 über obligatorische DPIA zu den „risikoreichen“ Verarbeitungen zählt. Die DPIA ist ein 15- bis 30-seitiges Dokument, das die Verarbeitung beschreibt (was ich erfaße, warum, wie), die Risiken für die Rechte und Freiheiten der Arbeitnehmer bewertet, Maßnahmen zur Risikominderung festlegt und die vorherige Konsultation des internen Datenschutzbeauftragten sowie – falls die Restrisiken weiterhin hoch sind – des Datenschutzbeauftragten selbst vor der Inbetriebnahme dokumentiert. Ohne eine vor der Inbetriebnahme des Systems dokumentierte und datierte DPIA wird im Falle einer Inspektion automatisch eine Sanktion verhängt.

Die zweite Säule ist die Gewerkschaftsvereinbarung gemäß Art. 4 SDL. Die Geolokalisierung der Patrouillen fällt unter die Kategorie der „Instrumente, aus denen sich auch die Möglichkeit einer Fernüberwachung der Tätigkeit der Arbeitnehmer ergibt“. Das „Jobs Act“ hat zwar einen gewissen Spielraum geschaffen, doch in der Aufsichtspraxis hat sich die Rechtsprechung gefestigt: Es bedarf einer Vereinbarung mit den RSA/RSU oder, falls diese fehlt, einer Genehmigung durch die Nationale Arbeitsaufsichtsbehörde. Die Vereinbarung muss die Zwecke (Sicherheit des Wachpersonals, Nachweis der Dienstleistung gegenüber dem Kunden, Notfallmanagement), die technischen Modalitäten (wann das GPS aktiviert wird, wann es deaktiviert wird, welche Genauigkeit) und – was entscheidend ist – den ausdrücklichen Ausschluss der direkten disziplinarischen Verwendung der Geolokalisierungsdaten festlegen. Der Tarifvertrag für den privaten Sicherheitsdienst unterstützt diesen Ansatz.

Die dritte Säule ist die Datenminimierung. Die DSGVO verbietet es dir, „alles zu erheben, was die Technologie zu erheben erlaubt“. Du darfst nur das für den angegebenen Zweck erforderliche Minimum erheben. Für den Sicherheitsdienst bedeutet dies: kein kontinuierliches 24-Stunden-Tracking, sondern punktuelle Erfassungen bei relevanten Ereignissen (Ankunft am Kundenstandort, Abfahrt, Alarmereignis, Abschluss des Rundgangs). Keine dauerhafte Speicherung: Der genaue Standort verschwindet, sobald der Einsatz beendet ist; es bleiben nur die Uhrzeiten und die Standortkennungen erhalten. Kein Tracking während vertraglich vereinbarter Pausen, auf dem Weg von zu Hause zur Arbeit oder außerhalb der Dienstzeiten. Ein System, das einen Wachmann rund um die Uhr geolokalisiert, verstößt automatisch gegen die Vorschriften, selbst mit einer gewerkschaftlichen Vereinbarung.

Die vierte Säule ist die Aufbewahrungsfrist. Wie lange dürfen GPS-Protokolle aufbewahrt werden? Der Grundsatz lautet: „nur so lange, wie es für die Zwecke unbedingt erforderlich ist“. Für den Nachweis der Dienstleistung gegenüber dem Kunden: 3–6 Monate, selten länger, außer bei laufenden Rechtsstreitigkeiten. Für das Notfallmanagement und die Sicherheit des Wachmanns: 1–3 Monate sind bereits reichlich. Zur Verhinderung von Versicherungsbetrug: bis zu 12 Monate, sofern dies dokumentiert und verhältnismäßig ist. Über diese Fristen hinaus müssen die Daten automatisch und nachprüfbar anonymisiert oder gelöscht werden und dürfen nicht „für alle Fälle“ in der Datenbank verbleiben. Ein System, das GPS-Protokolle auf unbestimmte Zeit speichert, ist ein weiterer häufig sanktionierter Verstoß.

GeoTapp 14 Tage kostenlos testen

Keine Kreditkarte erforderlich. In 2 Minuten starten.

Kostenlos testen

Die fünfte Säule ist die Transparenz gegenüber den Mitarbeitern. Eine spezifische Datenschutzerklärung für die GPS-Verarbeitung, keine Seite, die am Ende eines allgemeinen Dokuments angehängt ist, sondern ein eigenes Dokument, das der Wachmann bei Aktivierung des Dienstes unterzeichnet, mit ausdrücklicher Nennung der erhobenen Daten, der Zwecke, der Rechtsgrundlage (berechtigtes Interesse + vertragliche Verpflichtung), der Aufbewahrungsfristen, Rechte auf Auskunft und Löschung sowie die Kontaktdaten des Datenschutzbeauftragten. Einmalige und jährliche Schulung des Personals. Eine App mit einem sichtbaren Symbol, das anzeigt, wann die Ortung aktiv und wann sie deaktiviert ist, damit der Wachmann stets weiß, in welchem Status sich sein Gerät befindet. Die Überwachung darf keine „Überraschung“ sein, sie muss bewusst erfolgen.

Die Rolle der Datenschutzbehörde: Was wird bei einer Inspektion tatsächlich überprüft

Wenn die Datenschutzbehörde ein Sicherheitsunternehmen inspiziert – oft aufgrund einer Beschwerde eines Mitarbeiters oder einer Gewerkschaftsvertretung –, fordert sie in den ersten zwei Stunden drei Dinge an: die vor der Inbetriebnahme des Systems datierte und unterzeichnete Datenschutz-Folgenabschätzung (DPIA), die Gewerkschaftsvereinbarung oder die ITL-Genehmigung sowie die von den Beschäftigten unterzeichnete Einwilligungserklärung. Fehlen diese drei Dokumente, steht das Ergebnis bereits fest und die Höhe der Sanktion ist nur noch eine Frage der Bemessung. Sind sie zwar vorhanden, aber mangelhaft – eine allgemeine DPIA, die aus anderen Branchen kopiert wurde, eine jahrelang veraltete und bei der Einführung des GPS nicht aktualisierte Gewerkschaftsvereinbarung sowie eine Datenschutzerklärung, in der die Geolokalisierung nicht erwähnt wird –, fällt das Ergebnis etwas besser aus, doch die Geldbuße wird dennoch verhängt.

Die Sanktionen der Datenschutzbehörde im Bereich der Geolokalisierung von Mitarbeitern beliefen sich in den letzten drei Jahren auf 20.000 bis 150.000 € für KMU, bis zu 800.000 € für größere Unternehmen, zusätzlich zur Verpflichtung, die Datenverarbeitung auszusetzen und die unrechtmäßig erhobenen Daten zu löschen. Hinzu kommen Zivilklagen einzelner Mitarbeiter auf Schadenersatz wegen Verletzung der Privatsphäre, das Risiko von Kündigungen, die für nichtig erklärt werden, weil sie auf Beweisen beruhen, die unter Verstoß gegen die DSGVO erhoben wurden, und – nicht zuletzt – der automatische Ausschluss von öffentlichen Ausschreibungen, die Konformitätserklärungen zum Datenschutz erfordern.


Die Zukunft, die dich erwartet, wenn du aus Angst auf das Tracking verzichtest

Du bleibst auf der Stelle stehen. Unternehmenskunden, die in ihren Ausschreibungsunterlagen überprüfbare GPS-Daten verlangen – Banken, Industriekonzerne, multinationale Unternehmen –, gewinnst du immer seltener. Die Einsatzzentrale arbeitet mit Funkgesprächen und Dienstplänen in Papierform, und jede Beanstandung bezüglich Ankunftszeiten oder Dauer von Rundgängen wird zu einem endlosen Telefonat, in dem du mit dem Filialleiter sprichst, um im Nachhinein zu rekonstruieren, wer wo war. Die Sicherheit deiner Wachleute in Notfallsituationen – Mann am Boden, bewaffneter Überfall, nächtlicher Zusammenbruch – hängt von ihrer Fähigkeit ab, per Funk zu funken, da niemand in Echtzeit weiß, wo sie sich befinden. Deine Prämien für die Berufshaftpflichtversicherung steigen, weil du keinen „nachverfolgbaren und zertifizierten“ Dienst nachweisen kannst. Und währenddessen schnappt sich die besser strukturierte Konkurrenz, die bereits vor drei Jahren die DPIA durchgeführt hat und über eine aktuelle Gewerkschaftsvereinbarung verfügt, deine Verträge einen nach dem anderen.

Die Zukunft, die dich erwartet, wenn du stattdessen ein konformes System einführst

Du gewinnst die Ausschreibung der Regionalbank, weil deine Leistungsbeschreibung „GDPR-konforme Geolokalisierung mit in Echtzeit an den Kunden exportierbaren Berichten“ enthält. Das DPIA-Dokument, das du vor zwei Jahren gemeinsam mit dem Datenschutzbeauftragten (DPO) erstellt hast, ist ein geschäftlicher Vorteil, den du deinen Angeboten beifügst und über den deine Mitbewerber nicht verfügen. Deine Sicherheitskräfte sind besser geschützt, denn im Notfall weiß die Einsatzzentrale genau, wo sie sich befinden, kann gezielte Verstärkung entsenden, den Notruf 112 mit präzisen Koordinaten auslösen – und dieser Sicherheitsaspekt wird in der DPIA ausdrücklich als vorrangiger Zweck genannt, was wiederum die Rechtsgrundlage für die Datenverarbeitung stärkt. Vertragsverlängerungen mit bestehenden Kunden verlaufen reibungsloser, da jeder Einsatz in Echtzeit mit zertifiziertem PDF, GPS-Daten und Fotos dokumentiert wird. Sollte die Datenschutzbehörde aufgrund einer Beschwerde vorstellig werden, findet sie drei ordnungsgemäß geführte Aktenordner vor – DPIA, Gewerkschaftsvereinbarung, unterzeichnete Datenschutzerklärungen – und schließt die Inspektion mit positivem Ergebnis ab. Die Prämien für die Haftpflichtversicherung sinken bereits bei der ersten Vertragsverlängerung, da Sie eine strukturierte digitale Nachverfolgung nachweisen können. Und bei öffentlichen Ausschreibungen, bei denen die Erklärung zur Einhaltung der DSGVO eine Zulassungsvoraussetzung ist, scheiden Sie nicht mehr automatisch bereits bei der ersten technischen Bewertung aus.

Was wirklich nötig ist, um dorthin zu gelangen

Sie benötigen ein System, das von Anfang an nach den Grundsätzen „Privacy by Design“ und „Privacy by Default“ gemäß Art. 25 DSGVO konzipiert wurde – keine generische Plattform, die an den Sicherheitssektor angepasst wurde, sondern ein Tool, bei dem Datenminimierung, die nach Verwendungszweck konfigurierbare Aufbewahrungsdauer, die automatische Deaktivierung außerhalb der Dienstzeiten sowie die Trennung von Kunden- und Wachpersonendaten native Optionen sind und keine Funktionen, die nachträglich hinzugefügt werden müssen. Sie benötigen einen Anbieter, der Sie mit DPIA-Vorlagen speziell für den privaten Sicherheitsdienst unterstützt, mit Datenschutzerklärungsvorlagen, die bereits an die Vorgaben der Datenschutzbehörde angepasst sind, und mit der technischen Dokumentation, die Ihr Datenschutzbeauftragter dem Verarbeitungsverzeichnis beifügen kann, ohne etwas neu schreiben zu müssen.

GeoTapp wurde genau so entwickelt, in Zusammenarbeit mit italienischen Sicherheitsdienstleistern, die immer strengere Unternehmensanforderungen hinsichtlich Nachverfolgung und Leistungsnachweis mit den Bestimmungen der DSGVO, Art. 4 SDL, TULPS und dem CCNL für den privaten Sicherheitsdienst in Einklang bringen mussten. Pünktliche Ping-Meldungen bei relevanten Ereignissen statt kontinuierlichem Tracking, nach Verwendungszweck konfigurierbare Aufbewahrungsfristen, vorgefertigte Vorlagen für Mitarbeitererklärungen und Datenschutz-Folgenabschätzungen (DPIA), unveränderbare Protokolle, die als PDF mit Kundenbranding exportiert werden können, sowie Datentrennung nach Standort und Rolle. Schau dir an, wie es funktioniert, und überlege dir, ob du das nächste Mal, wenn du in der Zeitung von einer Strafe der Datenschutzbehörde gegen ein Sicherheitsunternehmen liest, lächeln kannst, anstatt in Schweiß auszubrechen.

Und du? Wie weit bist du mit der Einführung der GPS-Ortung in deinem Sicherheitsunternehmen: Hast du bereits eine DPIA und eine Gewerkschaftsvereinbarung, bist du mitten im Prozess oder schiebst du es aus Angst vor Fehlern immer noch vor dir her? Schreib es in die Kommentare – sich mit denen auszutauschen, die dasselbe regulatorische Labyrinth bereits durchlaufen haben, ist der schnellste Weg, um die kostspieligsten Fehler zu vermeiden.

Denk an die nächste Strafe der Datenschutzbehörde gegen eine Einrichtung und daran, dass du lächeln kannst, anstatt in Schweiß auszubrechen.

Erlebe die Sicherheitsbranche, die von Anfang an konform ist. Vierzehn Tage, ganz ohne Papierkram.

Keine Kreditkarte, in 2 Minuten aktiv.

Sehen Sie sich den Bereich an

Artikel wie diesen direkt in dein Postfach

Praktische Einblicke zu GPS-Tracking, Betriebsmanagement und DSGVO. Kein Spam, nur nutzliche Inhalte.

Kommentare

Noch keine Kommentare. Schreibe den ersten.

Einen Kommentar schreiben

Verwandte Artikel

Lesen Sie auch

GeoTapp 14 Tage kostenlos testen

Keine Kreditkarte erforderlich. In 2 Minuten starten.

Jetzt starten

© 2026 GeoTapp — Originalinhalt. Du darfst ihn zitieren und Teile mit einem Link zu dieser Seite übernehmen. Vollständige Weiterveröffentlichung oder kommerzielle Nutzung nur mit unserer Erlaubnis.