VG Lüneburg
Teilurteil vom 19.03.2019
4 A 12/19
Das VG Lüneburg hat entschieden, dass die GPS-Überwachung von Firmenfahrzeugen eines Reinigungsunternehmens gegen den Beschäftigtendatenschutz verstößt.
Aus den Entscheidungsgründen:
"Der Bescheid ist, soweit er angefochten wurde, rechtmäßig und verletzt die Klägerin nicht in ihren Rechten (§
113 Abs. 1 S.1 VwGO).
Die Klägerin wendet sich mit ihrer Klage zwar explizit auch gegen die Feststellung zu Ziff. I. des angefochtenen Bescheides. Ziff. I. kommt jedoch jedoch kein eigener Regelungscharakter mithin keine Verwaltungsaktqualität zu. Aufgrund der Tatsache, dass die Feststellung zu Ziff. I. nur die Grundlage für die unter Ziff. II.3. getroffene Anordnung darstellt (im Bescheid heißt es in der Begründung zu Ziff. II.3.: „Die Erhebung, Verarbeitung und Nutzung der während ordnungsgemäßer betrieblicher Nutzung anfallenden Positionsdaten ist unzulässig (siehe oben)…“), ist das Rechtsschutzbegehren der Klägerin nach §
88 VwGO so zu verstehen, dass nur die angegriffene konkrete Anordnung einer gerichtlichen Überprüfung unterzogen werden soll. Soweit die zur Prüfung gestellte Anordnung unter Ziff. II.3. die Feststellung eines datenschutzrechtlichen Verstoßes voraussetzt, erfolgt die Prüfung inzident.
Für die Beurteilung der Sach- und Rechtslage ist der Zeitpunkt der gerichtlichen Entscheidung maßgeblich. Bei der datenschutzrechtlichen Anordnung der Beklagten, mit der der Klägerin aufgegeben wird, die Erhebung, Verarbeitung und Nutzung von Beschäftigungsdaten durch Ortungssysteme so zu gestalten, dass eine personenbezogene Ortung während der ordnungsgemäßen betrieblichen Nutzung der Fahrzeuge nicht erfolgt, handelt es sich (zukunftsorientiert) um einen Verwaltungsakt mit Dauerwirkung. Da bzgl. der Anordnung zu Ziff. II.3. auch kein Sofortvollzug angeordnet worden ist, kommt es für die Beurteilung, ob die getroffene Anordnung künftig rechtlich Bestand haben kann, allein auf die aktuelle Rechtslage an. Maßgeblich sind daher die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung: DSGVO) und das Bundesdatenschutzgesetz (BDSG), beide in der ab dem 25.05.2018 geltenden Fassung, sowie das aktuelle NDSG.
I. Der Bescheid ist formell rechtmäßig.
Die Beklagte hat die Klägerin vor Erlass des belastenden Verwaltungsaktes angehört (§
58 Abs. 4 DSGVO i.V.m. §
28 VwVfG) und hat als zuständige Behörde gehandelt.
Nach §
40 Abs. 1 S.1 BDSG überwachen die nach Landesrecht zuständigen Behörden im Anwendungsbereich der DSGVO bei den nichtöffentlichen Stellen die Anwendung der Vorschriften über den Datenschutz.
Die DSGVO selbst enthält für den Beschäftigtendatenschutz keine konkreten, bereichsspezifischen Regelungen. Vielmehr richtet sich der Beschäftigtendatenschutz zunächst nach den allgemeinen Regelungen der DSGVO, die für jedes Rechtsverhältnis gelten. Der deutsche Gesetzgeber hat jedoch von der Öffnungsklausel des Art.
88 Abs. 1 DSGVO durch Erlass des §
26 BDSG Gebrauch gemacht. Diese Vorschrift findet nur im nichtöffentlichen Bereich (Wirtschaft) Anwendung.
Für die Ausübung der Kontroll- und Abhilfebefugnisse im Bereich des privaten Beschäftigtendatenschutzes sind demnach als Aufsichtsbehörde die jeweiligen Landesdatenschutzbeauftragten zuständig; dies ist vorliegend nach § 19 Abs. 1 NDSG (in der seit dem 16.05.2018 geltenden Fassung) die Beklagte.
II. Der Bescheid ist auch materiell rechtmäßig.
Rechtsgrundlage der streitgegenständlichen Anordnung ist § 20 Abs. 1 NDSG i.V.m. §
58 Abs. 2 d) DSGVO. Danach steht der Aufsichtsbehörde die Befugnis zu, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise innerhalb eines bestimmten Zeitraums in Einklang mit den Vorschriften des DSGVO zu bringen. Die Anordnungsbefugnis setzt somit das Vorliegen eines entsprechenden datenschutzrechtlichen Verstoßes voraus
Solch ein Verstoß liegt hier vor: Die Verarbeitung von Positionsdaten der Beschäftigten im Rahmen der ordnungsgemäßen betrieblichen Nutzung der Firmenfahrzeuge durch das von der Klägerin eingerichtete Ortungssystem steht nicht im Einklang mit dem nach §
26 BDSG zu gewährleistenden Beschäftigtendatenschutz, der über die Öffnungsklausel nach Art.
88 Abs. 1 DSGVO zu beachten ist.
Die Erhebung und Speicherung von Standort-, Bewegungs- und Zeitdaten der genutzten Fahrzeuge, die über das Ortungssystem anfallen, sowie deren Auswertung, stellt typischerweise eine „Verarbeitung“ nach Art.
4 Nr. 2 DSGVO dar.
Die Verarbeitung betrifft auch „personenbezogene Daten“, denn nach Art.
4 Nr. 1 DSGVO fallen darunter alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann. Vorliegend werden zwar nur die Fahrzeugkennzeichen erfasst, jedoch ist der jeweilige Nutzer über die Zuordnung zu dem ihm zugeteilten Fahrzeug identifizierbar.
Es handelt sich auch um die Verarbeitung personenbezogener Daten von Beschäftigten nach §
26 Abs. 8 Nr. 1 BDSG, denn die Objektbetreuer, Reinigungskräfte und der Hausmeister sind Arbeitnehmer/Arbeitnehmerinnen der Klägerin.
Es ist weder ein Erlaubnistatbestand (1.) nach §
26 Abs. 1 S.1 Halbsatz 1 BDSG (Erforderlichkeit für Zwecke des Beschäftigungsverhältnisses) noch ein solcher (2.) nach §
26 Abs. 2 S.1 BDSG (Einwilligung) – jedenfalls nach derzeitigem Sachstand – gegeben.
1. Nach §
26 Abs. 1 S. 1 Halbsatz 1 BDSG dürfen personenbezogene Daten von Beschäftigten für den Zweck des Beschäftigungsverhältnisses verarbeitet werden, soweit dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.
Erforderlich ist die Datenverarbeitung insbesondere, wenn der Arbeitgeber diese zur Erfüllung seiner – gegenüber dem Beschäftigten oder Dritten – bestehenden gesetzlichen Pflichten, für die Erfüllung seiner vertraglichen Pflichten oder zur Wahrnehmung seiner gesetzlichen oder vertraglichen Rechte benötigt. Für die Bestimmung der Erforderlichkeit kommt es auf die berechtigten Interessen und Zwecke des Arbeitgebers an Hierbei ist grds. in Rechnung zu stellen, dass dem Arbeitgeber die nach Art.
12 GG verbriefte unternehmerische Freiheit zusteht, zu entscheiden, wie er seinen Betrieb organisiert (vgl. BeckOK DatenschutzR/Riesenhuber, 26. Ed. 1.11.2018, BDSG §
26 Rn. 114). Mit „Erforderlichkeit“ bezeichnet das Gesetz eine Abwägung der gegenläufigen Interessen. Klar jedoch ist, dass ungeeignete Mittel/Maßnahmen niemals erforderlich sind.
Die Verarbeitung der o.g. Daten im Rahmen der ordnungsgemäßen betrieblichen Nutzung der Fahrzeuge ist nicht für die Durchführung des Beschäftigungsverhältnisses erforderlich.
Soweit außerhalb der Arbeitszeiten anfallende Daten über das Ortungssystem zu dem Zweck erhoben und gespeichert werden, um ein womöglich bestehendes arbeitsvertragliches Wochenendfahrverbot oder ein Verbot von Privatfahrten festzustellen, ist dies schon deshalb nicht erforderlich, weil die Klägerin selbst eingeräumt hat, dass Privatfahrten geduldet werden und der geldwerte Vorteil nach der sog. 1%-Regelung versteuert werde. Für die Zulässigkeit/Duldung von Privatfahrten sprechen auch die von der Klägerin mit einem Teil der Arbeitnehmer getroffenen Vereinbarungen, in denen es formularmäßig u.a. heißt:
„Die GPS-Geräte dienen nicht zur Überwachung der Privatfahrten und Fahrten am Wochenende sowie Urlaubszeiten. Sie erhalten einen Zugangscode (…) Mit diesem können Sie tageweise Zeiten sperren, in denen ihr Fahrzeug nicht geortet wird und der privaten Nutzung dient.“
Bei wenigstens geduldeten Privatfahrten besteht aber kein pauschales Überwachungsbedürfnis des Arbeitgebers. Dem Eingriff in das Recht auf informationelle Selbstbestimmung steht in diesem Fall schon kein berechtigtes unternehmerisches Interesse des Arbeitgebers gegenüber.
Sofern von der Klägerin nur gegenüber einem bestimmten Beschäftigtenkreis (etwa Objektleitern) die private Nutzung/Wochenendnutzung von Firmenfahrzeugen geduldet wird, eine solche für einen anderen Beschäftigtenkreis (etwa mobile Reinigung) aber nicht toleriert wird, genügt die Anweisung etwa Fahrzeugschlüssel am Firmensitz abzugeben und/oder die Auflage Fahrtenbücher zu führen. Dem unternehmerischen Interesse des Arbeitgebers wäre damit gleichermaßen Rechnung getragen, ohne dass hierzu eine ständige Erfassung der Fahrzeugpositionen und deren Speicherung für 150 Tage benötigt wird.
Soweit während wie auch außerhalb der Arbeitszeiten anfallende Daten über das Ortungssystem zu dem Zweck erhoben und gespeichert werden, um Diebstähle zu verhindern bzw. womöglich entwendet Firmenfahrzeuge wieder aufzufinden, ist dies ebenfalls nicht erforderlich.
Ortungssysteme sind für präventiven Diebstahlsschutz völlig ungeeignet. Für das Wiederauffinden womöglich entwendeter Firmenfahrzeuge reicht die anlassbezogene Erhebung im Falle eines festgestellten Fahrzeugverlustes aus. Eine ständige Erfassung der Fahrzeugposition und die Speicherung über 150 Tage ist nicht erforderlich.
Soweit während der Arbeitszeiten anfallende Daten über das Ortungssystem zu dem Zweck erhoben und gespeichert werden, um Touren zu planen, Mitarbeiter- und Fahrzeugeinsatz zu koordinieren, ist dies ebenfalls nicht erforderlich.
Die Tourenplanung ist zukunftsorientiert. Informationen über aktuelle und vergangene Standorte der Firmenfahrzeuge sind planungsunerheblich.
Für eine womöglich außerplanmäßig (z.B. infolge von Krankheitsausfällen, Staus, Unfällen) akut werdende zentrale Koordination von Mitarbeitern und Fahrzeugen würde als weniger stark eingreifende Maßnahme die Gewährleistung einer Erreichbarkeit von Mitarbeitern per Mobiltelefon genügen. Die ständige Erfassung von Standort-, Bewegungs- und Zeitdaten der Firmenfahrzeuge und die Speicherung über 150 Tage ist nicht erforderlich.
Der Einzelrichter geht davon aus, dass die im Reinigungsgewerbe zu erledigenden Aufgaben – anders als etwa im Transport- und Beförderungsgewerbe – ihrer Natur nach nicht zeitkritisch sind, was auch im Falle von Akutausfällen gilt.
Hierfür spricht auch die Angabe der Klägerin selbst, wonach die Ortung der Fahrzeuge sehr unregelmäßig erfolge, je Fahrzeug maximal 3 – 4 Mal pro Jahr. Da die Ortung der ausgerüsteten Fahrzeuge technisch so gestaltet ist, dass die Ortung beginnt, sobald das Fahrzeug gestartet wird, und unterbrochen wird, sobald die Zündung abgestellt wird, kann die Aussage der Klägerin nur so zu verstehen sein, dass sie je Fahrzeug maximal 3 – 4 Mal pro Jahr von den anfallenden Ortungsdaten Gebrauch macht, sich diese also konkret ansieht.
Die Klägerin hat zudem angegeben, dass zum Zeitpunkt des Erlasses der angefochtenen Verfügung 25 Beschäftigte die mit dem Ortungssystem ausgestatteten Fahrzeuge nutzten und diese auch namentlich benannt (Bl. 65 ff. d.A.). Mit Schreiben vom 07.11.2016 hatte die Klägerin angegeben, dass zum damaligen Zeitpunkt ca. 360 Mitarbeiter bei ihr beschäftigt seien. Selbst wenn manvon dieser Zahl großzügig 100 Beschäftigte für den administrativen Bereich und die zuvor genannten 25 Beschäftigten abzieht, verblieben noch immer 235 Mitarbeiter die im Außendienst zur Erledigung von Reinigungsarbeiten eingesetzt werden. Bei diesen Mitarbeitern scheint aber seitens der Klägerin keine Notwendigkeit zu bestehen, deren Arbeitseinsatz über Ortungssysteme kontrollieren und koordinieren zu können. Auch dies wiederum stellt die Notwendigkeit der Einrichtung des Ortungssystems bei „nur“ 18 Fahrzeugen in Frage. Sofern man die Zahlen auf der aktuellen Homepage der Klägerin zugrunde legt, auf der es heißt, „… mittlerweile arbeiten rund 600 MA für die Unternehmensgruppe die täglich auf einer Fläche von ca. 40 Fußballfeldern für Sauberkeit sorgt“, scheint die Anzahl derjenigen, die im Außendienst tätig sind, noch ungleich höher zu sein.
Die Klägerin hat letztlich bezüglich dieses von ihr angegebenen Verarbeitungszweckes auch nicht konkret dargelegt, wie häufig GPS-Daten in der Vergangenheit überhaupt für Dispositionszwecke verwendet worden sind, obwohl sie von der Beklagten hierzu bereits mit Schreiben vom 14.11.2016 aufgefordert worden ist.
Soweit während der Arbeitszeiten anfallende Daten über das Ortungssystem zu dem Zweck erhoben und gespeichert werden, um den Nachweis für geleistete Tätigkeiten gegenüber Auftraggebern der Klägerin zu erbringen, ist dies ebenfalls nicht erforderlich.
Ein Nachweis über Tätigkeiten am/im Objekt eines Kunden kann mittels Ortungsdaten nicht geführt werden. Über diese Daten könnte allenfalls nachgewiesen werden, dass ein bestimmtes Firmenfahrzeug am Objekt bzw. in dessen Nähe für einen bestimmten Zeitraum anwesend gewesen ist. Somit ist die Erfassung solcher Daten zur Erreichung des Zwecks völlig ungeeignet.
Die Klägerin hat auch bezüglich dieses von ihr angegebenen Verarbeitungszweckes nicht konkret dargelegt, wie häufig GPS-Daten in der Vergangenheit überhaupt für den Nachweis von Arbeiten gegenüber Auftraggebern verwendet worden sind, obwohl sie von der Beklagten hierzu bereits mit Schreiben vom 14.11.2016 aufgefordert worden ist.
Soweit die Klägerin im Gerichtsverfahren dazu weiter vorgetragen hat, sie betreue 250 Auftraggeber, mit denen vertraglich vereinbart sei, dass mindestens 1 x wöchentlich ein Objektleiter für Rücksprachen mit dem Auftraggeber bzw. zu Kontrollzwecken erscheine, ist dies – wie bereits ausgeführt wurde – ebenso wenig wie der gegenüber den Auftraggebern abgerechnete Zeitaufwand für Reinigungsleistungen durch GPS-Daten nachweisbar.
Nach wie vor ist die Klägerin eine konkrete Darlegung, wie häufig sie solchen Daten tatsächlich zum Nachweis verwendet hat, schuldig geblieben. Die Pauschalausführungen auf Seite 2 bis 5 des Schriftsatzes vom 15.06.2017 zur Klagebegründung führen nicht weiter. Ein konkretes Bedürfnis der Klägerin, die Standort- und Zeitdaten der Fahrzeuge unter diesem Gesichtsunkt zu erheben und zu speichern, ist daher nicht erkennbar.
Im Rahmen von §
26 Abs. 1 S.1 BDSG ist darüber hinaus zweifelhaft, ob es insoweit nicht außerdem schon am Bezugspunkt zur Durchführung eines Beschäftigungsverhältnisses mangelt, denn es werden Nachweispflichten des datenverarbeitenden Arbeitgebers gegenüber seinem Kunden als Vertragspartner zum Bezugspunkt gemacht, die mit den Pflichten/Rechten aus dem Beschäftigungsverhältnis nichts zu tun haben.
Hierzu führt etwa Franzen im Erfurter Kommentar zum Arbeitsrecht,19. Auflage 2019, §
26 BDSG, Rz. 6, 7 aus:
„§ 26 ist damit anwendbar, wenn der AG personenbezogene Daten des AN erhebt, speichert bzw. nutzt für Zwecke des BeschVerh. Nach bis 2018 bestehender Rechtslage war nicht vollständig geklärt ist, was hierunter zu verstehen ist. Nach einer sehr engen Auff. erschöpfen sich die Zwecke des BeschVerh. in der Erfüllung der beiderseitigen Hauptleistungspflichten des Arbeitsvertrags (Joussen NZA 2010, 254, 258; ders. NZA 2011 Beil. 1 S. 35, 40 f.; wohl a. Bissels/Meyer-Michaelis/Schiller DB 2016, 3042 für „Big Data“-Analysen im Personalbereich). Dem steht ein sehr weites Verständnis ggü., welches alle Datenerhebungen und -verarbeitungen einbeziehen möchte, die mit dem BeschVerh. in Zusammenhang stehen (Schmidt DuD 2010, 207, 209; Wybitul, HdB Datenschutz im Unternehmen, 2011, Anh. 3 S. 428). Einen Mittelweg beschreiten wohl Gola/Jaspers (RDV 2009, 212, 214; iE ebenso Zikesch/Reimer DuD 2010, 96, 98): Danach soll ein Rückgriff auf die allg. Erlaubnistatbestände zulässig sein, wenn die beabsichtigte Datenerhebung oder -verarbeitung der Erfüllung weiterer vom BeschVerh. unabhängiger Pflichten dient. Diese Problematik besteht unter der Geltung der DS-GVO fort, allerdings haben sich die rechtl. Beurteilungsmaßstäbe gewandelt. Entscheidend ist nun die Reichweite des Begriffs „Beschäftigungskontext“ iSd. Art.
88 I DS-GVO. Denn nur in diesem Rahmen dürfen die Mitgliedstaaten von den allg. Vorgaben der DS-GVO abweichen. Daher gibt dieser unionsrechtl. Begriff Maß für die Reichweite des § 26. In der Sache ist der diff. Auff. der Vorzug zu geben: Dient der Datenumgang durch den AG der Erfüllung von Pflichten, die unabhängig vom BeschVerh. bestehen, erscheint es nicht gerechtfertigt, diesen an den strengeren Vorgaben des § 26 zu messen, auch wenn hierdurch mittelbar ANDaten betroffen sind. Insofern ist der Rückgriff auf die allg. Vorschr. der DS-GVO einschl. Art.
6 I UAbs. 1 lit. b DS-GVO zulässig und geboten.“
Selbst wenn man hier aber auf die allgemeinen Erlaubnistatbestände aus Art.
6 UAbs. 1 c) oder f) DSGVO zurückgriffe, falls nach entsprechender Lesart §
26 Abs. 1 S.1 BDSG für diesen Fall nicht als bereichsspezifische Spezialregelung angesehen würde, mangelt es aus den zuvor ausgeführten Gründen an der Erforderlichkeit der Datenverarbeitung. Ach die genannten Erlaubnistatbestände aus Art.
6 UAbsch. 1 c) und f) DSGVO setzten nämlich eine „Erforderlichkeit“ der Datenverarbeitung voraus.
2. Nach §
26 Abs. 2 S.1 BDSG ist eine Verarbeitung personenbezogener Daten von Beschäftigten zulässig, wenn diese freiwillig in die Datenverarbeitung eingewilligt haben.
Für die Beurteilung der Freiwilligkeit sind insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Nach §
26 Abs. 2 S.2 BDSG kann Freiwilligkeit insbesondere dann vorliegen, wenn für die Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird. Dasselbe gilt, wenn Arbeitgeber und Beschäftigte gleichgelagerte Interessen verfolgen. Ferner setzt die Einwilligung nach §
26 Abs. 2 S.4 BDSG eine informierte Willensbekundung voraus, was erfordert, dass der Arbeitgeber die beschäftigte Person über den Zweck der Datenverarbeitung und über das Widerrufsrecht nach Art. 7 Abs. 3 DGSVO zuvor aufgeklärt hat. §
26 Abs. 2 BDSG knüpft insgesamt an Art.
4 Nr. 11 DSGVO an. Nach dieser Vorschrift ist als „Einwilligung” der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Vorliegend mangelt es schon daran, dass nicht alle betroffenen Beschäftigten eine solche Einwilligung unmissverständlich zum Ausdruck gebracht haben.
Die von der Klägerin vorgelegten schriftlichen Vereinbarungen (Bl. 67 ff. d.A.) zwischen ihr und den jeweiligen Beschäftigten, die jeweils beide Parteien unterzeichnet haben, beginnen alle mit dem Hinweis, dass die Firmenfahrzeuge mit GPS-Geräten ausgestatte sind und dass hierzu „nachfolgende Punkte“ vereinbart sind. Diese variieren, wie folgt:
Variante 1:
1. Das System dient zur Standortbestimmung des Fahrzeugs und soll zur Optimierung der Objektbetreuung beitragen.
2. Die Fahrzeugortung dient zur Auffindung des Fahrzeugs bei Diebstahl. Hierdurch werden Versicherungsprämien gesenkt.
3. Die Firmenfahrzeuge der Abteilung Glas- und Sonderreinigung sind nicht für Privatfahrten zulässig.
Variante 2:
1. Das System dient zur Standortbestimmung des Fahrzeugs und soll zur Optimierung der Objektbetreuung/Tourenplanung beitragen.
2. Die Fahrzeugortung dient zur Auffindung des Fahrzeugs bei Diebstahl. Hierdurch werden Versicherungsprämien gesenkt.
3. Die Firmenfahrzeuge der Abteilungen Glasreinigung, Sonderreinigung und mobile Reinigung sind ausschließlich für firmenrelevante Fahrten einzusetzen. Privatfahrten sind mit diesen Fahrzeugen unzulässig.
4. Ich bin damit einverstanden, dass die Daten des GPS-Systems zur Überprüfung der Arbeitszeit und zur Überprüfung der Anwesenheit in den Reinigungsobjekten genutzt wird.
5. Auf Wunsch wird dem Mitarbeiter Einblick in das GPS-System gewährt.
Variante 3:
1. Die GPS-Geräte dienen nicht zur Überwachung der Privatfahrten und Fahrten am Wochenende sowie Urlaubszeiten.
2. Sie erhalten einen Zugangscode für das in Ihr Fahrzeug eingebaute Gerät. Mit diesem Zugangscode können Sie tageweise Zeiten sperren, in denen Ihr Fahrzeug nicht geortet wird und der privaten Nutzung dient. Für die Eingabe dieser Zeiten sind Sie selbst verantwortlich. Es dürfen ausschließlich Urlaubstage, Feiertage und Wochenenden gesperrt werden.
3. Das System dient ausschließlich zur Standortbestimmung des Fahrzeuges und soll zur Optimierung der Objektbetreuung beitragen.
4. Die relevanten Fahrzeugdaten, wie Kilometerstand, Standort, Uhrzeit werden 30 Tage gespeichert und gehen danach unwiederbringlich verloren.
Den Vereinbarungen der Varianten 1. und 3. ist nicht unmissverständlich zu entnehmen, dass sich der jeweilige Beschäftigte mit der Verarbeitung von Standort-, Bewegungs- und Zeitdaten des von ihm genutzten Fahrzeugs einverstanden erklärt hat. Die Vereinbarungen erwecken den Eindruck, den Beschäftigten lediglich über die technische Ausrüstung der Fahrzeuge mit Ortungstechnik an sich und über teilweise damit verfolgte Zwecke (Optimierung Objektbetreuung, Ortungsmöglichkeit im Diebstahlsfall) zu informieren. Nur in der Variante 2. wird unter dem Regelungspunkt 4. eine eindeutige Einverständniserklärung des Beschäftigten formuliert.
Einer wirksamen Einwilligung stünde bei den vorliegenden Vereinbarungen in allen Varianten entgegen, dass es auch an der informierten Willensbekundung fehlt, die nach aktueller Rechtslage erforderlich ist: Zum einen hat die Klägerin über den mit der Datenverarbeitung verfolgten Zweck die Beschäftigten nur partiell informiert. Zum anderen fehlt der Hinweis auf das Widerrufsrecht vollständig.
Dem kann nicht entgegengehalten werden, dass zum Zeitpunkt des Erlasses des angegriffenen Bescheides die nunmehr maßgebliche Regelung des §
26 Abs. 2 BDSG sowie die DSGVO noch nicht existent waren. Der Klägerin hätte es frei gestanden im laufenden Verfahren von allen betroffenen Beschäftigten neue Einwilligungserklärungen einzuholen, die den aktuellen gesetzlichen Erfordernissen zur Informationspflicht entsprechen.
Ob das weitere für eine wirksame Einwilligung erforderliche Kriterium der Freiwilligkeit gegeben oder zu verneinen ist, braucht nach alledem nicht entschieden werden.
Die von der Beklagten getroffene Anordnung ist geeignet, um die Datenverarbeitung künftig in Einklang mit dem Beschäftigtendatenschutz nach §
26 BDSG zu bringen. Weniger belastende, aber gleich geeignete Anordnungen sind nicht ersichtlich. Das Übermaßverbot wird ebenfalls gewahrt: Zum einen bleibt es der Klägerin selbst überlassen, auf welche Art und Weise sie eingesetzte Ortungssysteme so gestaltet, dass die Anordnung beachtet wird. Hier wird ihr die größtmögliche unternehmerische Freiheit belassen. Zum anderen ist von der Anordnung die Positionsbestimmung im Falle eines Fahrzeugdiebstahls ausdrücklich ausgenommen worden."
Den Volltext der Entscheidung finden Sie
hier:
