Die erste Frage, die sich stellt ist: Handelt es sich bei einer GPS Überwachung bzw. dem GPS Tracking überhaupt um eine Erhebung, Speicherung oder Verarbeitung von personenbezogenen Daten? Dies ist eindeutig zu bejahen, sofern Personen überwacht werden sollen. Bei einem Warentracking oder Containertracking ist die Frage zu verneinen. Die GPS Überwachung bzw. das GPS Tracking bei einer Observation dient ja gerade dazu eine Person zu überwachen. Die anfallenden Trackingdaten sind einer Person eindeutig zuzuordnen.
Einschlägig in de
r EU – DSGVO ist Art. 6 Abs. 1 lit. f) und Art. 6 Abs. 1 iVm § 26 Abs. 1 BDSG. Im Ergebnis steht am Anfang eine Erforderlichkeitsprüfung (die GPS Überwachung bzw. das GPS Tracking muß Zur Überführung des Täters bzw. zum Beweis der Straftat geeignet sein) sowie eine Interessensabwägung der widerstreitenden Interessen des Unternehmens und des Betroffenen. Nach herrschender Meinung müssen zwingend „... begründete und klar dokumentierte Anhaltspunkte dafür vorliegen, dass der Beschäftigte eine Straftat begangen hat, die mittels der Ortungstechnik beweisbar wird. ...“ (Quelle: LfD RLP).
Wie geht es weiter?
Kommt man nun zu dem Schluss, die GPS – Überwachung bzw. das GPS – Tracking ist erforderlich und verhältnismäßig, stellen sich beim Einsatz die nächsten rechtlichen Hürden, die eine Verwertung der Trackingdaten verhindern können.
Von Bedeutung sind hier die Grundsätze der Datenverarbeitung:
Zweckbindung, bedeutet
der Zweck (hier die Überführung eines Straftäters) der Datenerhebung muß eindeutig festgelegt sein.
Datenminimierung (auch Datensparsamkeit), bedeutet
es dürfen nicht mehr Daten erhoben werden, als für die Überführung des Straftäters unbedingt nötig.
Richtigkeit der Datenverarbeitung, bedeutet
die Daten müssen „sachlich richtig“ sein und es müssen Maßnahmen getroffen werden, daß mögliche unrichtige Daten unverzüglich gelöscht oder berichtigt werden.
Speicherbegrenzung, bedeutet
die Identifizierung der betroffenen Person darf nur solange möglich sein, wie es für die Beweisführung bzw. Beweisverwertung (ist hier der Zweck der Verarbeitung) unbedingt nötig ist.
Integrität und Vertraulichkeit, bedeutet
die Daten müssen so verarbeitet werden, daß mit geeigneten technischen und organisatorischen Maßnahmen eine angemessene Sicherheit der personenbezogenen Daten gewährleistet werden kann. Einbezogen ist hier auch der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.
Unter Betrachtung der Grundsätze der Datenverarbeitung ergeben sich Erfordernisse für die technische Beschaffenheit des Trackers, die technische Beschaffenheit und geografische Lage der Server, auf denen die Daten gespeichert oder verarbeitet werden sowie der organisatorischen Maßnahmen im Umgang mit den personenbezogenen Daten, die ja die Trackingdaten darstellen. Häufige Fehler sind
- der Einsatz falscher Tracker. GPS – Tracker mit integrierter Audioüberwachung sind in letzter Zeit vielfach im Handel. Der Einsatz der Audioüberwachung wird kaum unbedingt nötig sein und verstößt gegen den Grundsatz der Datensparsamkeit.
- die falsche Programmierung der Tracker. Tracker, die ein 24 Stunden Bewegungsprofil aufzeichnen, verstoßen z. B. bei Kfz. mit privater Nutzung gegen den Grundsatz der Datenminimierung (Datensparsamkeit) und ggfls. auch gegen den Grundsatz der Richtigkeit der Datenverarbeitung, da hier auch ein Familienmitglied im Fokus der Aufzeichnungen stehen kann. Weiter müssen unbedingt die Standardpasswörter im Tracker geändert werden. Bei der internen Speicherung des Bewegungsprofils könnte praktisch jeder, der den Tracker zufällig findet, darauf zugreifen. Letzteres stellt einen Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit dar.
- die falsche Wahl der Ortungsplattform. Viele der Ortungsplattformen werden auf Servern in China oder Russland gehostet. Die dort herrschenden rechtlichen Rahmenbedingungen (auch die anderer Drittländer) entsprechen nicht den Anforderungen der EU – DSGVO und stellen einen Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit dar. Sichere Drittstaaten waren Stand 25. Mai 2018: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, Japan und die USA (USA nur dann, wenn der Empfänger dem Privacy Shield angehört). In diese ist die Datenübermittlung daher ausdrücklich gestattet. Neu, Stand 01.08.2021: Mit Urteil vom 16.07.2020 (Rechtssache C-311/18, Schrems II) hat der Europäische Gerichtshof (EuGH) den Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA (sog. „Privacy Shield Abkommen“) für ungültig erklärt. Zwingend müssen nun sog. Standardvertragsklauseln abgeschlossen werden. Und weiter hat am 28. Juni 2021 die EU-Kommission einen Angemessenheitsbeschluss gem. Art. 45 DSGVO erlassen, wonach Großbritannien (nach dem Brexit) dauerhaft als sicherer Drittstaat eingestuft wird.
- fehlende Auftragsverarbeitungverträge (AV) mit den Auftragsverarbeitern. Auftragsverarbeiter sind hier die Unternehmen, auf deren Servern die Daten gehostet werden.
- fehlende Aufnahme der Datenverarbeitung, hier die Ortungsdaten, in das Verarbeitungsverzeichnis.
- fehlende Datenschutzfolgeabschätzung, die vom Verantwortlichen (der, der hier die Daten erhebt) bei einer umfassenden GPS – Überwachung bzw. der Erhebung von umfassenden Trackingdaten durchzuführen ist.
Diese Fehler können, müssen aber nicht, zu einem Beweisverwertungsverbot vor Gericht führen. Neben den Rechtsfolgen mit drohenden hohen Bußgeldern für den Verantwortlichen ist ein Beweisverwertungsverbot sicher der Worstcase in einem Gerichtsverfahren.
