DSGVO-konformes GPS-Tracking für Unternehmen

GPS-Tracking wird in Unternehmen immer häufiger eingesetzt, um den Fuhrpark effizient zu managen. Ob Tourenplanung, Echtzeitverfolgung von Lieferungen oder Nachweise für Kunden – GPS-basierte Fahrzeugortung bietet vielfältige Vorteile. Besonders in der Logistik, im Handwerk oder im Außendienst liefert sie wertvolle Daten zu Standort, Fahrverhalten und Fahrzeugnutzung.

Doch mit diesen Vorteilen gehen erhebliche datenschutzrechtliche Pflichten einher. GPS-Tracking erfasst personenbezogene Daten und kann tief in die Privatsphäre von Mitarbeitenden eingreifen. Unternehmen stehen daher vor der Herausforderung, GPS-Tracking datenschutzkonform zu gestalten – insbesondere im Lichte der DSGVO und nationaler Vorgaben.

Dieser Leitfaden zeigt Ihnen Schritt für Schritt, wie Sie GPS-Tracking datenschutzkonform einsetzen und dabei sowohl die Rechte Ihrer Mitarbeitenden wahren als auch Bußgelder vermeiden.

Datenschutzrecht: Was besagen die DSGVO und das BDSG?

Sobald GPS-Daten einer konkreten Person zugeordnet werden können (z. B. einem Fahrer), gelten sie als personenbezogene Daten. Damit unterliegen sie der DSGVO (Datenschutz-Grundverordnung), die die Verarbeitung und den Verkehr dieser Daten regelt.. Grundlage für die Datenverarbeitung ist Art. 6 DSGVO – meist in Verbindung mit § 26 BDSG, der speziell für Beschäftigtendaten gilt.

Wichtig: Eine Einwilligung von Arbeitnehmern ist selten eine belastbare Rechtsgrundlage, da sie in der Regel nicht freiwillig erteilt wird. Stattdessen stützen Unternehmen das GPS-Tracking meist auf:

• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), etwa zur Routenoptimierung oder Diebstahlprävention
• Erforderlichkeit im Arbeitsverhältnis (§ 26 BDSG [Bundesdatenschutzgesetz]), wenn GPS zwingend für die Aufgabenerfüllung nötig ist

In beiden Fällen ist eine Interessenabwägung notwendig: Der betriebliche Nutzen muss den Eingriff in die Rechte der Mitarbeiter überwiegen – und dieser Eingriff muss so gering wie möglich gehalten werden.

Betriebsverfassungsrecht: Mitbestimmung durch den Betriebsrat

Wenn GPS-Tracking zur Verhaltens- oder Leistungskontrolle geeignet ist, hat der Betriebsrat ein Mitbestimmungsrecht (§ 87 Abs. 1 Nr. 6 BetrVG). Die Einführung des Systems bedarf in diesem Fall der Zustimmung – oft in Form einer Betriebsvereinbarung. Diese legt fest, wann, wie und zu welchem Zweck getrackt wird.

Ohne Betriebsrat sollte der Arbeitgeber freiwillige Regelungen einführen, etwa durch Datenschutzrichtlinien oder Ergänzungen zum Arbeitsvertrag. In jedem Fall gilt: Die Mitarbeiter müssen transparent informiert werden.

Heimliches Tracking ist tabu. Nur in Ausnahmefällen (z. B. konkreter Straftatverdacht) kann eine verdeckte Ortung zulässig sein.

GPS-Ortung von Firmenfahrzeugen ist datenschutzrechtlich möglich, wenn klare, legitime Zwecke verfolgt werden und strenge Grenzen eingehalten werden. Zulässig ist etwa:

• Anlassbezogenes Tracking während der Arbeit: Eine situative oder zeitweilige Ortung, z.B. um Touren in Echtzeit zu koordinieren oder auf Kundenanfragen zu reagieren, statt Dauerüberwachung. Die Ortung erfolgt nur bei Bedarf (z.B. während eines Auftrags) und nicht pausenlos.

• Fahrzeug- und Güterschutz: Ist ein berechtigtes Interesse gegeben, etwa Schutz vor Diebstahl oder zur Unfallrekonstruktion, kann GPS-Tracking im nötigen Umfang zulässig sein.

• Nachweis für Kunden oder gesetzliche Pflichten: In Branchen wie Wartung oder Lieferdienst kann GPS eingesetzt werden, um Einsatzorte und -zeiten zu dokumentieren (z.B. als Kundennachweis für erbrachte Leistungen) – solange dies transparent geschieht und nicht zur Verhaltenskontrolle ausartet. Auch zur Erfüllung gesetzlicher Aufzeichnungspflichten (etwa Lenk- und Ruhezeiten, Fahrtenbuch) kann Ortung zulässig sein, wenn keine weniger eingreifenden Mittel bestehen.

• Firmenwagen mit Privatnutzung (mit Abschaltung): Wird das Fahrzeug auch privat genutzt, muss das Tracking für Privatfahrten deaktivierbar sein. Erlaubt ist z.B. ein System, das nur während der Arbeitszeit oder im Dienstmodus trackt und bei Privatfahrt automatisch abschaltet. So bleibt die Privatsphäre der Mitarbeiter außerhalb der Arbeit gewahrt.

Verbotene Anwendungsfälle: Nicht zulässig sind alle Formen des GPS-Trackings, die ohne Rechtfertigung unverhältnismäßig in die Rechte der Beschäftigten eingreifen. Insbesondere zu vermeiden sind:

• Dauerüberwachung ohne Anlass: Eine lückenlose 24/7-Ortung der Mitarbeiter oder Fahrzeuge ist rechtswidrig. GPS darf nicht zur permanenten Verhaltenskontrolle eingesetzt werden. Erlaubt ist nur das nötige Minimum an Tracking, nicht die umfassende Totalüberwachung.

• Tracking während Privatzeit: Ortung bei privaten Fahrten oder außerhalb der Arbeitszeit verstößt gegen das Datenschutzrecht. Gibt es eine Privatnutzungsregelung, muss die Technik in diesen Phasen ausgeschaltet sein – alles andere wäre ein unzulässiger Eingriff in die Privatsphäre.

• Heimliche Überwachung: Mitarbeiter ohne ihr Wissen per GPS zu verfolgen, ist illegal. Verdecktes Tracking stellt einen schwerwiegenden Eingriff ins Persönlichkeitsrecht dar und ist nach deutschem Recht unzulässig – abgesehen von der engen Ausnahme begründeter Straftatverdacht.

• Überlange Datenspeicherung: Standortdaten dürfen nicht unbegrenzt aufbewahrt werden. Schon Speicherfristen von mehreren Monaten wurden von Behörden und Gerichten als klar zu lang beurteilt. Üblich und zulässig sind vielmehr kurze Löschfristen (oft 7–30 Tage), sofern nicht ausnahmsweise längere Fristen nachweisbar erforderlich sind.

• Nutzung zur Leistungsüberwachung oder Disziplinierung: GPS-Tracking darf nicht als Werkzeug zur kontinuierlichen Leistungskontrolle missbraucht werden. Funktionen wie automatisierte Verhaltensauswertungen oder Alarmmeldungen (z.B. bei Abweichungen) sollten deaktiviert bleiben, da sie die Gefahr einer verbotenen Mitarbeiterüberwachung bergen.

Im Folgenden zeigen wir Ihnen anhand einer praktischen Schritt-für-Schritt-Anleitung, wie Sie GPS-Tracking in Ihrem Unternehmen datenschutzkonform einführen. Befolgen Sie diese Schritte, um sowohl den Nutzen der Fahrzeugortung zu realisieren als auch Datenschutzverstöße zu vermeiden:

1. Zweck definieren: Legen Sie klar und schriftlich fest, wofür GPS-Tracking eingesetzt werden soll. Nur ein klarer, legitimer Zweck (z. B. Disposition, Diebstahlschutz) rechtfertigt den Einsatz.

Tipp: Überlegen Sie, ob dieser Zweck angemessen und erreichbar ist ohne permanente Überwachung. Begründen Sie detailliert, warum GPS dafür erforderlich ist– denn im Streitfall müssen Sie darlegen können, dass kein milderes Mittel (z.B. gelegentliche Anrufe, manuelle Fahrtenbücher) gleich effektiv wäre.

2. Rechtsgrundlage wählen: Meist bietet das berechtigte Interesse oder die Erforderlichkeit nach § 26 BDSG die Grundlage. Dokumentieren Sie die Interessenabwägung schriftlich. Im Beschäftigtendatenschutz kommen drei Grundlagen in Betracht:

• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Der häufigste Weg – Ihr Unternehmen hat ein legitimes Interesse (z.B. effiziente Einsatzplanung), das gegen die Rechte der Mitarbeiter abgewogen wird. Diese Interessenabwägung muss sorgfältig erfolgen und dokumentiert sein.

• Erforderlichkeit für das Arbeitsverhältnis (Art. 6 Abs. 1 lit. b DSGVO i.V.m. § 26 BDSG): Wenn GPS-Tracking unmittelbar zur Erfüllung arbeitsvertraglicher Pflichten nötig ist, kann dies eine Grundlage sein. Nicht ausreichend ist der allgemeine Wunsch nach effizienterer Organisation, solange auch ohne Dauer-Tracking gearbeitet werden kann

• Einwilligung der Mitarbeiter (Art. 6 Abs. 1 lit. a DSGVO / § 26 Abs. 2 BDSG): Eine freiwillige, informierte Einwilligung kann Datenverarbeitung legitimieren. Doch nur wenn keine Drucksituation besteht und ggf. zusätzliche Vorteile gewährt werden (oder eine Deaktivierungs-Option besteht), kann eine Einwilligung ausnahmsweise als gültig angesehen werden.

Tipp: Falls ein Betriebsrat vorhanden ist, können die Details auch in einer Betriebsvereinbarung geregelt werden. Eine solche Vereinbarung ersetzt nicht die DSGVO-Rechtsgrundlage, schafft aber** zusätzliche Rechtssicherheit und Akzeptanz.** Ohne Betriebsrat können die Tracking-Bedingungen in einer Datenschutzrichtlinie oder im Arbeitsvertrag festgehalten werden. Ein Muster für eine Betriebsvereinbarung zur GPS-Ortung finden sie hier.

3. Datenschutz-Folgenabschätzung (DSFA): In der Regel erforderlich – analysieren Sie Risiken und Schutzmaßnahmen. Dokumentieren Sie Ihre Ergebnisse und binden Sie den Datenschutzbeauftragten ein.

4. Betriebsrat einbinden & Mitarbeiter informieren: Holen Sie die Zustimmung des Betriebsrats ein oder schaffen Sie eine klare Regelung in Form einer Richtlinie. Informieren Sie alle betroffenen Mitarbeitenden schriftlich über Zweck, Umfang und ihre Rechte.

5. Technische Umsetzung & Schutzmaßnahmen:

• Deaktivierung bei Privatnutzung ermöglichen (Privatmodus)
• Tracking auf Arbeitszeit begrenzen
• Daten minimieren und Speicherdauer begrenzen (z. B. 14 Tage)
• Zugriff beschränken (nur berechtigte Personen, Protokollierung)
• Daten verschlüsseln und AV-Vertrag mit Dienstleistern abschließen

6. Dokumentation & Transparenz sicherstellen:

• GPS-Tracking im Verzeichnis der Verarbeitungstätigkeiten dokumentieren
• Informationsblätter und Einwilligungen (falls nötig) archivieren
• Schulungen für beteiligte Personen durchführen

7. Kontrolle & Nachjustierung: Überprüfen Sie regelmäßig:

• Werden Daten wie geplant gelöscht?
• Gibt es Zugriffsverstöße?
• Fühlen sich Mitarbeitende fair behandelt?

• Zweck klar definiert und dokumentiert
• Passende Rechtsgrundlage gewählt und Interessenabwägung erstellt
• DSFA durchgeführt und dokumentiert
• Betriebsrat eingebunden / Mitarbeitende informiert
• Technik datenschutzfreundlich eingestellt (Abschaltbarkeit, Speicherbegrenzung)
• Zugriffsbeschränkungen und IT-Sicherheit umgesetzt
• Datenschutzdokumentation aktualisiert
• Mitarbeitende und Verantwortliche geschult
• Prozesse zur Kontrolle und Nachjustierung etabliert

Wenn Sie alle obigen Punkte berücksichtigt haben, steht einer DSGVO-konformen Nutzung von GPS-Tracking in Ihrem Unternehmen nichts mehr im Wege. Sie profitieren von effizienterem Flottenmanagement, ohne die Datenschutzrechte Ihrer Mitarbeiter zu verletzen – ein fairer Ausgleich ist möglich und schützt vor bösen Überraschungen durch Aufsichtsbehörden. So setzen Sie Fahrzeugtracking rechtssicher und verantwortungsvoll in die Praxis um.

GPS-Tracking in Firmenfahrzeugen kann Unternehmen enorme Vorteile bringen – vorausgesetzt, es erfolgt rechtssicher und mit Blick auf den Datenschutz. Wer die Vorgaben der DSGVO, des BDSG und ggf. des Betriebsverfassungsrechts einhält, schützt nicht nur die Rechte der Mitarbeitenden, sondern auch das eigene Unternehmen vor juristischen Risiken. Mit klarer Planung, transparenter Kommunikation und geeigneter Technik lässt sich GPS-Tracking effizient und DSGVO-konform umsetzen.

Disclaimer: Die aufgeführten Tipps, Zeiten oder Regelungen sind nach bestem Wissen und Gewissen sorgfältig zusammengestellt. Es wird kein Anspruch auf Vollständigkeit und Ausschließlichkeit der Inhalte gestellt. Die zur Verfügung gestellten Informationen ersetzen keine juristische Beratung oder Informationen von Ämtern. Sie sind unverbindlich. Es wird keine Gewähr dafür übernommen, dass im Streitfall die hier aufgeführten Informationen als Beweis genutzt werden können.