Es muss eine Rechtsgrundlage vorliegen
Für Datenverarbeitungen bedarf es grundsätzlich einer Rechtsgrundlage. Die Verarbeitung kann zum Beispiel erlaubt sein, wenn diese zur Erfüllung eines Vertrags mit den betroffenen Personen (hier der Fahrer der Fahrzeuge) erforderlich sind (Art. 6 Abs. 1 lit. b DSGVO). Das kann auch ein Beschäftigungsverhältnis sein (§ 26 Abs. 1 BDSG). Ob die GPS-Überwachung wirklich erforderlich ist, richtet sich nach der Stellenbeschreibung und der Ausgestaltung des Arbeitsvertrags. Außerdem kann es erforderlich sein, den Betriebsrat einzubinden.
Als Alternative kann das sog. berechtigte Interesse des Betriebs in Frage kommen (Art. 6 Abs. 1 lit. f DSGVO). Hierzu müssen zunächst die Zwecke, zu denen die Ortungsdaten erfasst werden sollen, festgelegt sein. Dient die Erfassung zum Beispiel der Routenplanung oder der Missbrauchsprävention? Außerdem muss die Erfassung der Standortdaten zur Wahrung des Interesses des Betriebs erforderlich sein. Dabei dürfen die Interessen oder Grundrechte der betroffenen Personen nicht überwiegen. Diese Interessenabwägung sollte dokumentiert werden.
Stellt sich die Standortüberwachung als schwerwiegender Eingriff dar und kann nicht auf ein Vertragsverhältnis gestützt werden, wird diese Datenverarbeitung regelmäßig unzulässig sein. Gibt es im Einzelfall eine Rechtfertigung für die Überwachung, sind die folgenden Punkte zu beachten:
Risikoabwägung
Die DSGVO verfolgt einen risikobasierten Ansatz. Deshalb muss für diese Datenverarbeitung eine Risikoabwägung erfolgen. Hier müssen die möglichen Risiken für die betroffenen Personen identifiziert werden. Das kann ein Überwachungsdruck, Missbrauch durch Arbeitgeber etc. sein. Wird das Risiko als „hoch“ eingeschätzt, muss eine sogenannte Datenschutz-Folgenabschätzung (Art. 35 DSGVO) durchgeführt werden. Dabei ist der Datenschutzbeauftragte des Unternehmens einzubinden.
Speicherung der Daten
In vielen Fällen kann es ausreichend sein, wenn nur die Livedaten erfasst werden und keine andauernde Speicherung der Standortdaten erfolgt. Hier hat die hessische Datenschutzaufsicht bereits eine Anordnung gegen ein Logistikunternehmen durchgesetzt, welches die Standortdaten nicht mehr speichern, sondern nur noch live tracken durfte.
Das vollständige Urteil zu der Anordnung finden Sie hier: https://www.rv.hessenrecht.hessen.de/bshe/document/LARE220002547
Transparente Information
Die betroffenen Personen müssen vor der ersten Erfassung ihrer Daten transparent und verständlich über den Vorgang informiert werden. Die Inhalte der Information richten sich nach Art. 13 DSGVO. Im Einzelfall muss entschieden werden, wie man den betroffenen Personen diese Information zukommen lassen kann. Mitarbeitern kann man diese sicherlich in gedruckter Form überreichen. Oftmals sind die Nutzer eines Fahrzeugs so aber nicht sicher erreichbar. Dann hat sich als besonders praktikabel die Information durch Aufkleber mit QR-Code in den Fahrzeugen erwiesen. Diese verlinken auf die erforderlichen Informationen, die auf der Internetseite des Verantwortlichen hinterlegt sind.
Technische Besonderheiten
Es gibt eine Reihe von Dienstleistern, die technische Lösungen für die Standortüberwachung anbieten. Bei der Auswahl sollten Sie die Funktionen der Software prüfen. Die Speicherdauer der Daten sollte anpassbar sein. Außerdem sollten die Zugriffsrechte auf die Daten auf die notwendigsten Personen begrenzt werden. In den meisten Fällen handelt es sich bei der Dienstleistung um eine Auftragsverarbeitung, für die ein entsprechender Vertrag nach Art. 28 DSGVO abgeschlossen werden muss.