Ein großes Logistikunternehmen führte zur besseren Einsatzplanung der Fahrzeugflotte ein GPS-System zur Ortung der Fahrzeuge ein. Weder wurden die Beschäftigten des Unternehmens hierüber ausreichend informiert noch wurde der Betriebsrat beteiligt. Das Resultat dieser intransparenten Einführung eines möglichen Überwachungsinstruments für die Beschäftigten war eine Beschwerde beim Unabhängigen Datenschutzzentrum (UDZ) des Saarlandes als zuständiger Datenschutzaufsichtsbehörde.
In einer ersten Stellungnahme war man sich der datenschutzrechtlichen Brisanz eines GPS-Ortungssystems nicht ganz bewusst. So konnte erst nach genauerer Recherche festgestellt werden, dass das System in der Lage war, das Fahrverhalten der Fahrer, Geschwindigkeitsüberschreitungen und das Verlassen von bestimmten Routen zu dokumentieren. All diese Möglichkeiten waren für den vorgesehenen Zweck des Ortungssystems gar nicht erforderlich, denn eigentlich sollten lediglich Routen zeitlich optimiert und Ausfälle durch den nächstgelegenen Fahrer kompensiert werden.
Dieses Vorgehen verstößt gegen die Vorgaben des Art. 25 Datenschutz-Grundverordnung (DSGVO), der den Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen regelt. So hätte das Unternehmen im Vorfeld der Einführung nur die zur Zweckerreichung erforderlichen Felder freischalten lassen dürfen und die nicht erforderlichen Felder des Systems sperren lassen können.
In einer Besprechung mit den Verantwortlichen des Unternehmens traf die Aufsichtsbehörde auf eine sehr große Kooperationsbereitschaft. Man beteuerte, dass man nicht die Absicht verfolgt hätte, seine Beschäftigten zu kontrollieren, sondern lediglich ein Mittel zur besseren Logistikdisposition einsetzten wollte.
Aufgrund der vorgetragenen datenschutzrechtlichen Bedenken folgte das Unternehmen den Empfehlungen und konfigurierte das GPS-System datenschutzkonform, erstellte in Zusammenarbeit mit dem Betriebsrat eine entsprechende Betriebsvereinbarung als Rechtsgrundlage für die Datenverarbeitung durch das GPS-System und informierte die Beschäftigten transparent über das eingesetzte GPS-Ortungssystem. Der Aufsichtsbehörde wurden die Ergebnisse vorgelegt, so dass man nunmehr von einem datenschutzkonformen Zustand beim Einsatz des GPS-Ortungssystems im Unternehmen ausgehen kann.
Fazit/ Empfehlung: Der Abschluss einer Betriebsvereinbarung bei Anwendungen, die zur Leistungs- und Verhaltenskontrolle von Beschäftigten geeignet sind, stellt eine transparente und datenschutzkonforme Lösungsmöglichkeit dar.
Quelle: LfDI Saarland
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks