Die App, die die Arbeit nachverfolgt: ein leistungsstarkes Tool mit versteckten Risiken
In den letzten drei Jahren ist der Markt für Apps zur Verwaltung des Außendienstes regelrecht explodiert. Es gibt Lösungen für die GPS-Zeiterfassung, für das Einsatzmanagement, für die Anwesenheitskontrolle auf Baustellen und für die digitale Unterzeichnung von Protokollen. Erschwingliche Kosten, intuitive Benutzeroberflächen, das Versprechen der Vereinfachung. Viele KMU haben diese Lösungen schnell eingeführt, angezogen von den betrieblichen Vorteilen und der Aussicht, Streitfälle zu reduzieren.
Doch es gibt ein Problem, das viele Unternehmer bei der Einführung nicht bedacht haben: Diese Apps verarbeiten personenbezogene Daten der Mitarbeiter, GPS-Standorte, Arbeitszeiten, Anwesenheitsdaten und manchmal auch biometrische Daten. Damit unterliegen sie vollständig der DSGVO. Im Jahr 2026, wenn die Kontrollen der Datenschutzbehörde zunehmen, sehen sich Unternehmen, die nicht konforme Apps nutzen, einem Risiko ausgesetzt, das sie nicht einkalkuliert hatten.
DSGVO und Tracking-Apps: die kritischen Punkte
Die DSGVO-Konformität einer App zur Arbeitsüberwachung ist kein Häkchen, das man am Ende der Datenschutzerklärung setzen kann. Sie betrifft architektonische, vertragliche und operative Entscheidungen, die vor der Einführung des Tools getroffen werden müssen.
Der Verantwortliche für die Datenverarbeitung sind Sie, nicht der App-Anbieter. Viele KMU glauben, dass die Einführung einer App eines großen Anbieters sie von der Verantwortung befreit. Das ist nicht der Fall. Das Unternehmen, das die App nutzt, ist der Verantwortliche für die Datenverarbeitung und haftet bei jedem Verstoß direkt gegenüber der Datenschutzbehörde. Der App-Anbieter ist bestenfalls ein Auftragsverarbeiter, der vertraglich durch eine spezifische Datenverarbeitungsvereinbarung (DPA) gebunden sein muss.
Die Rechtsgrundlage muss ermittelt und dokumentiert werden. Die GPS-Ortung von Mitarbeitern darf nicht auf einer Einwilligung beruhen, da die Einwilligung eines Mitarbeiters gegenüber seinem Arbeitgeber niemals wirklich frei ist. Die korrekte Rechtsgrundlage ist das berechtigte Interesse oder die Erfüllung des Arbeitsvertrags, muss jedoch in der Datenschutz-Folgenabschätzung (DPIA) dokumentiert werden, die für die Nachverfolgung von Mitarbeitern in der Regel vorgeschrieben ist.
Die Daten dürfen nicht unbegrenzt gespeichert werden. Die Aufbewahrungsrichtlinien für GPS-Daten müssen genau festgelegt werden: Wie lange werden die Standorte der Mitarbeiter gespeichert? Wer hat Zugriff darauf? Wann werden sie gelöscht? Wenn die App keine konfigurierbare automatische Aufbewahrung vorsieht, muss das Unternehmen dies manuell verwalten, was jedoch häufig nicht geschieht.
Die Datenübermittlung außerhalb der EU stellt ein verstecktes Risiko dar. Viele Außendienst-Apps werden von Anbietern außerhalb der EU entwickelt oder nutzen Cloud-Infrastrukturen mit Servern außerhalb der Europäischen Union. Dies führt zu Problemen beim internationalen Datentransfer, die durch spezifische Vertragsklauseln oder geeignete Zertifizierungen geregelt werden müssen. Dies zu ignorieren, stellt einen Verstoß dar.
Die Kontrollen im Jahr 2026: Was steht an?
Die italienische Datenschutzbehörde hat in ihren Inspektionsplan für 2026 einen besonderen Schwerpunkt auf Fernüberwachungssysteme für Mitarbeiter in KMU gelegt. Es geht hier nicht um große multinationale Konzerne, sondern um Unternehmen mit 10, 20 oder 50 Mitarbeitern, die Zeiterfassungs- oder Ortungs-Apps nutzen, ohne die vorgeschriebenen rechtlichen Verfahren eingehalten zu haben.







