14,4 Mio. Strafe für Amadeus: die Lektion ist nicht für die Großen

Vierzehn Millionen vierhunderttausend Euro. Das ist die Summe, die Amadeus IT Group am Ende an die spanische Datenschutzbehörde überwiesen hat, und die erste Reaktion eines jeden, der einen kleinen Handwerksbetrieb führt, ist ein Ausatmen und das Abheften unter Großkonzern-Ärger. Ein Riese der Reisetechnologie, ein Verfahren mit Aktenzeichen, Anwälte auf beiden Seiten. Nichts, was mit dir zu tun hätte, mit deinem Transporter, deinen sechs Monteuren und der Anwesenheitsliste an der Tür. Genau darin liegt die Falle, denn Amadeus zu Fall gebracht hat nicht die Größe, sondern eine Frage, die dein Betrieb jeden Tag beantwortet, ohne es zu merken.

Die Geldbuße begann bei einem Grundbetrag von 18 Millionen, zwei Tranchen zu je neun, um 20% bei freiwilliger Zahlung gekürzt auf die finalen 14,4. Das Unternehmen zahlte, ohne ein Verschulden anzuerkennen, was die elegante Art ist, eine Wunde zu schließen, ohne zuzugeben, dass sie blutet. Der eigentliche Grund jedoch lässt sich nicht retuschieren. Die Behörde rügte den Verstoß gegen zwei Artikel der DSGVO: Artikel 6, der eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten verlangt, und Artikel 14, der dazu verpflichtet, Menschen zu informieren, wenn ihre Daten verarbeitet werden, ohne bei ihnen selbst erhoben worden zu sein.

Es lohnt sich, anzusehen, was Amadeus tatsächlich getan hat, denn die Lektion wohnt im Detail. Das Unternehmen startete ein Pilotprojekt, das die Buchungsdaten des eigenen Systems, die PNR-Datensätze, mit den Kundendateien von Hotelketten abglich und aus diesem Abgleich Reiseprofile baute, für das, was sie hyperpersonalisierten Vertrieb nannten. Der Pilot griff auf Buchungen aus 2019 zurück und verwendete sie 2022 erneut, drei Jahre nachdem diese Menschen einen Flug mit ganz anderem im Kopf gebucht hatten. Niemand sagte ihnen, dass ihre Reisespur zurück auf den Tisch kommen würde, um ein Geschäftsmodell zu füttern. Das Projekt, so Amadeus, sei nie vermarktet worden. Das ändert nichts. Bestraft wird nicht das Verkaufen, bestraft wird das Verarbeiten.

Zwei Fragen, und keine handelt von Größe

Nimm Amadeus aus dem Bild und behalte das Skelett des Falls, denn dieses Skelett ist deins. Die erste Frage ist die des Artikels 6: Hast du eine Rechtsgrundlage, dieses Datum zu verarbeiten, für genau diesen Zweck? Das Datum zu besitzen ist nicht dasselbe, wie es für alles nutzen zu dürfen, was dir einfällt. Amadeus hielt die PNR rechtmäßig, brauchte sie für die Buchungsverwaltung, und durfte sie dennoch drei Jahre später nicht zum Profiling recyceln. Der Zweck änderte sich, die Grundlage folgte nicht. Die zweite Frage ist die des Artikels 14: Weiß die Person, dass du ihre Daten verarbeitest? Ein guter Grund in der Schublade reicht nicht, er muss gesagt werden, schriftlich, klar und vorher, nicht erst, wenn die Beschwerde schon eingegangen ist.

Hier kann der Besitzer des Transporters nicht mehr wegschauen. Wenn du deine Monteure ortest, verarbeitest du personenbezogene Daten, ihre, jeden Tag. In Deutschland kommt zur DSGVO noch §26 BDSG für Beschäftigtendaten dazu, und vor allem das Mitbestimmungsrecht des Betriebsrats nach §87 BetrVG: Wo ein Betriebsrat besteht, ist die Einführung einer technischen Einrichtung, die geeignet ist, Verhalten oder Leistung zu überwachen, mitbestimmungspflichtig. Es sind, man sieht es, dieselben zwei Fragen von Amadeus im deutschen Mantel. Ein legitimer, verhältnismäßiger Zweck, und die echte Pflicht, den Beschäftigten zu informieren. Die Grenze zwischen einem ruhigen KMU und einem mit offener Akte ist nicht die Mitarbeiterzahl, sondern ob diese zwei Kästchen angekreuzt sind.

Im Alltag eines kleinen Betriebs ist das Problem fast nie böser Wille. Es ist Improvisation. Man installiert eine App, die rund um die Uhr die Position abfragt, weil sie im Paket war, lässt die laufende Fahrzeugortung an, obwohl nur Beginn und Ende des Einsatzes zählten, und die Information an den Beschäftigten bleibt ein “hab ich ihm am ersten Tag gesagt”. Keine dieser drei Sachen übersteht eine Prüfung. Dauerortung, wo Beginn und Ende gereicht hätten, ist nicht verhältnismäßig. Und mündlich gesagt wiegt vor einer Behörde so viel wie ein Wahlversprechen.

Der Ausweg ist nicht, das Messen zu lassen, sondern richtig zu messen

Das Paradoxe ist, dass Rechtskonformität und der Nachweis der geleisteten Arbeit keine Gegenkräfte sind, sie ziehen in dieselbe Richtung. Was das Gesetz verlangt, ein enger Zweck, das Mindestdatum und eine informierte Person, ist genau das, was du brauchst, damit ein Nachweis hält, wenn ein Kunde die Stunden bestreitet. Eine Erfassung, die den Standort nur im entscheidenden Moment festhält, Beginn und Ende des Einsatzes, und nichts dazwischen, ist zugleich die, die die Verhältnismäßigkeit wahrt, und die, die niemand auseinandernehmen kann. Weniger zu erfassen ist hier mehr wert.

Deshalb wurde GeoTapp genau andersherum entwickelt als der Amadeus-Pilot. Kein Verfolgen des Teams den ganzen Tag: der Standort wird mit einem Tipp beim Start und einem Tipp beim Ende erfasst, das Datum bleibt an diesen einen Zweck gebunden, und der Monteur weiß, was aufgezeichnet wird, weil die Information Teil des Werkzeugs ist, nicht Teil eines Gesprächs am Tor. Es ist die Grenze, die das Amadeus-Vorhaben überschritten hat und die die Anwendung bewusst nicht überschreitet.

Wenn du den genauen Wortlaut sehen willst, mit dem ein Beschäftigter über die Ortung informiert wird, haben wir ein Muster für die Datenschutzerklärung zur GPS-Mitarbeiterortung zum Anpassen bereit. Die Amadeus-Strafe ist teuer als Warnung, aber günstig, wenn sie dir deine erspart.

Die Frage ist also nicht, wie viel der umsetzt, der die Strafe kassiert hat, sondern ob du diese zwei Fragen heute schriftlich beantworten könntest. Könntest du nachweisen, auf welcher Grundlage und mit welcher Information du dein Team ortest?