Du liest die Schlagzeilen an einem Dienstagmorgen im November, während du im Büro deinen Kaffee trinkst, in einer Wirtschaftszeitung, die schon seit Wochen auf deinem Tisch liegt, ohne dass du sie jemals aufgeschlagen hast. Überschrift: „Datenschutzbehörde verhängt Geldstrafe gegen Sicherheitsdienstleister wegen unrechtmäßiger Standortverfolgung von Mitarbeitern – 75.000 €“. Du liest es zweimal. Das Unternehmen hat ein GPS-System in den Fahrzeugen und auf den Geräten der Sicherheitskräfte installiert – ohne vorherige Datenschutz-Folgenabschätzung (DPIA), ohne angemessene Datenschutzerklärung und ohne Gewerkschaftsvereinbarung gemäß Art. 4 des Arbeitnehmerstatuts. Die Verfügung umfasst vierzig Seiten und zitiert jedes Komma der DSGVO. Du hast seit drei Monaten genau das gleiche Problem: Du möchtest GPS-Tracking auf den Streifenwagen deiner Sicherheitsfirma installieren, weil ein Firmenkunde dies in den Ausschreibungsunterlagen ausdrücklich verlangt hat, aber dein Steuerberater hat dir gesagt: „Sei vorsichtig, im Sicherheitsbereich ist das heikler als anderswo.“ Du stellst die Tasse ab. Du schaltest den PC ein. Du beginnst zu recherchieren.
Das eigentliche Problem ist, dass jeder Artikel, den du findest, entweder von einer Anwaltskanzlei verfasst wurde, die dir ihre Beratung verkaufen will, von einem Softwareunternehmen, das dir seine Plattform verkaufen will, oder von einer Gewerkschaft, die dir auf zwanzig Seiten erklärt, warum du niemanden orten darfst. Niemand erklärt dir klar und deutlich, was du wirklich tun musst, wenn du ein privates Sicherheitsunternehmen mit vierzig Wachleuten leitest und ein GPS-Ortungssystem installieren willst, das es dir ermöglicht, die Ausschreibung zu gewinnen, die DSGVO einzuhalten, keinen Streit mit der Gewerkschaft zu bekommen, nicht ins Visier der Datenschutzbehörde zu geraten und vor allem keine Geldstrafe in Höhe von 75.000 € zu kassieren, von der du gerade in der Zeitung gelesen hast. Man hat das Gefühl, ohne Karte durch ein Minenfeld zu laufen. Und doch tun es deine besser strukturierten Konkurrenten bereits – offenbar vorschriftsmäßig –, denn sie gewinnen die Ausschreibungen, für die du dich nicht einmal bewerben kannst.
So sieht heute die Situation für einen Großteil der Inhaber privater Sicherheitsdienste in Italien aus. Die Sicherheitsbranche wird von der Datenschutzbehörde besonders genau unter die Lupe genommen, da sie mit besonders sensiblen Daten umgeht: Deine Mitarbeiter sind an Orten und zu Zeiten im Einsatz, die – in Verbindung mit der Geolokalisierung – weit mehr aussagen als nur eine „Anwesenheit am Arbeitsplatz“. Sie verraten, wo ein VIP-Kunde wohnt, welche Gewohnheiten eine Bank hat, wo ein Richter unter privatem Personenschutz schläft. Ein Fehler beim Datenschutzkonzept ist nicht nur ein administratives Risiko: Es ist ein Reputationsrisiko, das ein Unternehmen ruinieren kann.
Wenn die Geolokalisierung eines Sicherheitsdienstes den Umgang mit Daten von VIP-Kunden bedeutet, zeigen zwei Testwochen, wo die Lücken geschlossen werden müssen.
Keine Kreditkarte erforderlich, in 2 Minuten einsatzbereit.
Siehe BrancheWarum der Sicherheitsdienst der sensibelste Bereich für die GPS-Ortung ist
Reinigung auf mehreren Baustellen, Bauwesen, technische Instandhaltung: alles Branchen, in denen GPS für die Teams dazu dient, zu wissen, ob die Person angekommen ist, wie lange sie geblieben ist und wohin sie danach gegangen ist. Im Sicherheitsbereich sieht die Situation strukturell anders aus. Der Sicherheitsmitarbeiter erbringt einen öffentlich-privaten Dienst, der durch das TULPS geregelt ist, arbeitet mit einer Genehmigung der Präfektur und verfügt über quasi-öffentliche Befugnisse (Einsatz, Verwahrung, Wertbegleitung, bewaffnete Überwachung). Gleichzeitig ist er ein Arbeitnehmer, der durch Art. 4 des Arbeitnehmerstatuts – das zwar durch den „Jobs Act“ geändert wurde, aber dennoch restriktiv ist – sowie durch den nationalen Tarifvertrag für private Sicherheitsdienste und Treuhanddienste geschützt ist. Die Datenschutzbehörde betrachtet die GPS-Ortung von Sicherheitsmitarbeitern als „risikoreiche“ Datenverarbeitung im Sinne von Art. 35 DSGVO, da die Kombination aus kontinuierlicher Geolokalisierung, nächtlichen Arbeitszeiten und Fahrhäufigkeit es ermöglicht, das berufliche und manchmal auch das private Leben des Mitarbeiters detailliert zu profilieren.
Das bedeutet nicht, dass man keine Ortung durchführen darf. Es bedeutet, dass man dies auf strukturierte Weise tun muss. Die Rechtsprechung der Datenschutzbehörde der letzten fünf Jahre ist eindeutig: Sicherheitsunternehmen, die GPS unter Einhaltung der kombinierten Bestimmungen der DSGVO, des Art. 4 des Arbeitnehmerstatuts, des CCNL und der Präfekturverordnungen implementiert haben, wurden nie mit Sanktionen belegt. Diejenigen, die improvisiert haben – Systeme von heute auf morgen installiert, allgemeine Datenschutzerklärungen aus dem Internet kopiert, keine Gewerkschaftsvereinbarung, unbefristete Datenspeicherung –, sind alle ins Visier geraten, einige mit sechsstelligen Bußgeldern. Der Unterschied liegt nicht in der Technologie. Er liegt in dem Verwaltungsprozess, der der technischen Umsetzung vorausgeht und diese begleitet.
Der zweite sensible Punkt ist der Endkunde. Wenn eine Streife ihre Ankunft bei einem Kreditinstitut um 02:47 Uhr protokolliert, enthält diese Geolokalisierungsangabe auch eine Information über den Kunden: Die Bank steht unter bewaffneter Bewachung, an diesem Standort werden Wertgegenstände aufbewahrt, es gibt eine Schwachstelle. Wenn das GPS-System nicht so aufgebaut ist, dass diese Daten getrennt und geschützt werden, und sie im Rahmen eines Datenlecks nach außen gelangen, trifft der Reputationsschaden Ihr Institut doppelt: als Verantwortlicher und als Sicherheitsanbieter. Die DSGVO verlangt von Ihnen „risikogerechte“ technische und organisatorische Maßnahmen. Im Sicherheitsbereich bedeutet „angemessen“ mehr als in anderen Branchen.
Die fünf Säulen eines DSGVO-konformen GPS-Systems für den privaten Sicherheitsdienst
Die erste Säule ist die DPIA – Data Protection Impact Assessment, auf Deutsch die Datenschutz-Folgenabschätzung. Für den Sicherheitsbereich ist sie obligatorisch und nicht optional, da sie gemäß der Verordnung der Datenschutzbehörde aus dem Jahr 2018 über obligatorische DPIA zu den „risikoreichen“ Verarbeitungen zählt. Die DPIA ist ein 15- bis 30-seitiges Dokument, das die Verarbeitung beschreibt (was ich erfaße, warum, wie), die Risiken für die Rechte und Freiheiten der Arbeitnehmer bewertet, Maßnahmen zur Risikominderung festlegt und die vorherige Konsultation des internen Datenschutzbeauftragten sowie – falls die Restrisiken weiterhin hoch sind – des Datenschutzbeauftragten selbst vor der Inbetriebnahme dokumentiert. Ohne eine vor der Inbetriebnahme des Systems dokumentierte und datierte DPIA wird im Falle einer Inspektion automatisch eine Sanktion verhängt.
Die zweite Säule ist die Gewerkschaftsvereinbarung gemäß Art. 4 SDL. Die Geolokalisierung der Patrouillen fällt unter die Kategorie der „Instrumente, aus denen sich auch die Möglichkeit einer Fernüberwachung der Tätigkeit der Arbeitnehmer ergibt“. Das „Jobs Act“ hat zwar einen gewissen Spielraum geschaffen, doch in der Aufsichtspraxis hat sich die Rechtsprechung gefestigt: Es bedarf einer Vereinbarung mit den RSA/RSU oder, falls diese fehlt, einer Genehmigung durch die Nationale Arbeitsaufsichtsbehörde. Die Vereinbarung muss die Zwecke (Sicherheit des Wachpersonals, Nachweis der Dienstleistung gegenüber dem Kunden, Notfallmanagement), die technischen Modalitäten (wann das GPS aktiviert wird, wann es deaktiviert wird, welche Genauigkeit) und – was entscheidend ist – den ausdrücklichen Ausschluss der direkten disziplinarischen Verwendung der Geolokalisierungsdaten festlegen. Der Tarifvertrag für den privaten Sicherheitsdienst unterstützt diesen Ansatz.
Die dritte Säule ist die Datenminimierung. Die DSGVO verbietet es dir, „alles zu erheben, was die Technologie zu erheben erlaubt“. Du darfst nur das für den angegebenen Zweck erforderliche Minimum erheben. Für den Sicherheitsdienst bedeutet dies: kein kontinuierliches 24-Stunden-Tracking, sondern punktuelle Erfassungen bei relevanten Ereignissen (Ankunft am Kundenstandort, Abfahrt, Alarmereignis, Abschluss des Rundgangs). Keine dauerhafte Speicherung: Der genaue Standort verschwindet, sobald der Einsatz beendet ist; es bleiben nur die Uhrzeiten und die Standortkennungen erhalten. Kein Tracking während vertraglich vereinbarter Pausen, auf dem Weg von zu Hause zur Arbeit oder außerhalb der Dienstzeiten. Ein System, das einen Wachmann rund um die Uhr geolokalisiert, verstößt automatisch gegen die Vorschriften, selbst mit einer gewerkschaftlichen Vereinbarung.
Die vierte Säule ist die Aufbewahrungsfrist. Wie lange dürfen GPS-Protokolle aufbewahrt werden? Der Grundsatz lautet: „nur so lange, wie es für die Zwecke unbedingt erforderlich ist“. Für den Nachweis der Dienstleistung gegenüber dem Kunden: 3–6 Monate, selten länger, außer bei laufenden Rechtsstreitigkeiten. Für das Notfallmanagement und die Sicherheit des Wachmanns: 1–3 Monate sind bereits reichlich. Zur Verhinderung von Versicherungsbetrug: bis zu 12 Monate, sofern dies dokumentiert und verhältnismäßig ist. Über diese Fristen hinaus müssen die Daten automatisch und nachprüfbar anonymisiert oder gelöscht werden und dürfen nicht „für alle Fälle“ in der Datenbank verbleiben. Ein System, das GPS-Protokolle auf unbestimmte Zeit speichert, ist ein weiterer häufig sanktionierter Verstoß.







