Die DSB in Österreich hatte sich bereits mit der Frage der Zulässigkeit und Rechtsgrundlage des GPS-Einsatzes im beruflich genutzten PKW zu beschäftigen.
Viele Unternehmen in Österreich nutzen GPS-Ortung und deren Aufzeichnung im unternehmerischen Kontext, zB zur Routenplanung, Einsatzplanung, Dokumentation gegenüber den Kunden, Abrechnung mit Leasingunternehmen, Eigentumsschutz (zB Verfolgungsmöglichkeit bei Diebstahl) etc…
Eine Einsicht ins Datenverarbeitungsregister mit der Suche nach: GPS ergibt 58 Treffer registrierter Datenanwendungen in diesem Bereich (nach der Rechtslage vor dem 25.05.2018).
Die Datenanwendung des Amt der Oberösterreichischen Landesregierung dokumentiert den Zweck wie folgt:
Die DSB hatte nun in einem amtswegigen Prüfverfahren einen Fall zu beurteilen, ob die GPS-Ortung im Unternehmensumfeld mit Einwilligung der betroffenen Mitarbeiter*Innen zulässig ist, oder nicht.
1. Wie kommt es zu einem amtswegigen Prüfverfahren durch die DSB?
Meiner Erfahrung nach gibt es einerseits Prüfungsschwerpunkte der DSB, wobei zB in den letzten Jahren (vor dem 25.05.2018) Versicherungsanstalten oder Krankenanstalten von der DSB geprüft wurden. Diese Prüfungen haben auch zu zahlreichen Empfehlungen der DSB geführt.
Eine weitere Möglichkeit ist, dass nach einer Beschwerde einer betroffenen Person, die DSB diese zum Anlass nimmt, die in der Beschwerde genannten Punkte auch im Rahmen eines amtswegigen Prüfverfahrens zu kontrollieren.
2. Gegenstand des Prüfungsverfahrens im konkreten Fall?
2.1. Zwecke:
Das Unternehmen nutze die
GPS-Ortung für unterschiedliche Zwecke, nämlich:
· Schutz bzw. Sicherheit des Firmeneigentums,
· Erleichterung der monatlichen Abrechnung mit der Leasingfirma,
· Routenplanung und -optimierung sowie
· einen Versicherungsbonus
2.2. Rechtsgrundlage:
Das Unternehmen argumentierte gegenüber der Behörde, dass eine umfassende Einwilligung der betroffenen Mitarbeiter*Innen vorliegt, und diese Einwilligung die Rechtsgrundlage (Art 6 Abs 1 lit a DSGVO) darstellt.
2.3. Das Unternehmen verwies im Verfahren bei der DSB darauf, dass die unter Punkt 2.1. genannten „Zwecke“ das „berechtigte Interesse“ des Unternehmens ist, diese Verarbeitungstätigkeit durchzuführen.
2.4. Speicherdauer:
Die Speicherdauer in der Verarbeitungstätigkeit war mit 93 Tagen definiert.
3. Die Entscheidung der DSB
3.1. keine Einwilligung im Arbeitsverhältnis?
Die DSB hatte begründete Zweifel daran, dass eine Einwilligung im Arbeitsverhältnis freiwillig erteilt wird.
Aufgrund der Tatsache, dass – auch durch die lange Speicherdauer von 93 Tagen – ein Leistungsprofil der Mitarbeiter*Innen (wie schnell bzw. wie pünktlich wird die Leistung erbracht) möglich ist, und kein klarer Vorteil für dieselben zu erkennen ist, ging die DSB davon aus, dass es an der „Freiwilligkeit“ der Einwilligung im konkreten Fall fehlt.
Die DSB kam zum Schluss, dass die Einwilligung nicht freiwillig erfolgte, und daher keine taugliche Rechtsgrundlage für die Verarbeitungstätigkeit ist.
3.2. Auftrag der DSB an den Verantwortlichen
Die DSB hat dem Verantwortlichen aufgetragen, diese Verarbeitungstätigkeit in Einklang mit der DSGVO zu bringen, da keine Rechtsgrundlage (= keine Einwilligung mangels Freiwilligkeit) für die Verarbeitungstätigkeit gegeben ist.
Es ist im Rahmen von Verarbeitungstätigkeiten unerlässlich, dass der Zweck und die Rechtsgrundlage klar und deutlich definiert werden, und insbes. bei der Frage der Einwilligung als Rechtsgrundlage (Art 6 Abs 1 lit a DSGVO oder Art 9 Abs 2 lit a DSGVO) auch die in Art 7 DSGVO normierten Grundsätze der Freiwilligkeit, Kopplungsverbot, Trennung im Text, Widerrufsmöglichkeit zu beachten sind.
Die konkrete Verarbeitungstätigkeit wird mE auf „berechtigtes Interesse“ (Art 6 Abs 1 lit f DSGVO) gestützt werden müssen, da im Arbeitsverhältnis die Freiwilligkeit der Einwilligung nicht gegeben ist. Das konkrete Interesse kann mit den Schlagworten, die auch der Beschwerdeführer angegeben hat, begründet werden, und die betroffene Person ist auf die Widerspruchsmöglichkeit hinzuweisen.
Eine umfassende Datenschutzinformation iSd Art 13 DSGVO ist zu erstellen, und den betroffenen Personen im Zeitpunkt der Erhebung auch zur Kenntnis zu bringen.
Aus Sicht des Arbeitsverfassungsgesetz wird im Unternehmen mit Betriebsrat eine Betriebsvereinbarung notwendig sein, und im Unternehmen ohne Betriebsrat eine schriftliche Zustimmung iSd § 10 Abs 1 AVRAG.
Autor: Michael Schweiger, zert
DSBA
erstellt am 10.10.2018
Kommentar schreiben
ChicklyPigly (Freitag, 22 Februar 2019 16:00)
I've never heard about this. It's interesting.
Herlig (Freitag, 22 Februar 2019 16:20)
Entschuldigung, ist es irgendwie mit <a href="https://gpshandyorten.de">GpsHandyOrten</a> verbunden ? Es ist sehr wichtig für Menschen, GPS zu nutzen. Ich kann mir unser Leben ohne GPS nicht vorstellen! Es ist unser Recht, es zu benutzen, wenn wir wollen! Manchmal sind andere Gesetze verrückt! Entschuldigung für meine Gefühle.