Auf einen Blick
Der Garante der Privacy hat ein Gesundheitsunternehmen mit 6.000 Euro bestraft, weil es seine Fahrer zu detailliert (alle 60 Sekunden und in Echtzeit) mittels GPS in Firmenfahrzeugen verfolgt hat. Dies geschah ohne eine vorherige Datenschutz-Folgenabschätzung (DPIA), und die Daten wurden zur Sanktionierung eines Mitarbeiters verwendet. Obwohl das Unternehmen das System später korrigiert und mit dem Garante zusammengearbeitet hat, wurde der anfängliche Verstoß als schwerwiegend erachtet, weil er die Mitarbeiter übermäßig überwachte und ihre Privatsphäre verletzte. Die Entscheidung betont, dass Unternehmen beim Einsatz von Technologie zur Kontrolle von Mitarbeitern sehr vorsichtig sein müssen und stets deren Privatsphäre sowie die Grundsätze der DSGVO respektieren müssen.
Was zu tun ist
- Wenn Ihr Unternehmen GPS- oder Ortungssysteme in von Mitarbeitern genutzten Fahrzeugen einsetzt, überprüfen Sie sofort, wie diese konfiguriert sind.
- Stellen Sie sicher, dass die Mitarbeiter klar und umfassend über die Ortung informiert wurden.
- Überprüfen Sie, ob die gesammelten Daten auf das für den Zweck (z. B. Flottenmanagement oder Schutz des Eigentums) unbedingt notwendige Minimum beschränkt und nicht übermäßig sind.
- Führen Sie eine 'Datenschutz-Folgenabschätzung' (DPIA) für diese Systeme durch, um Datenschutzrisiken zu identifizieren und zu managen.
Was zu vermeiden ist
- Mitarbeiter nicht kontinuierlich oder in Echtzeit verfolgen, es sei denn, es gibt einen sehr starken und gerechtfertigten Grund dafür.
- Geolokalisierungsdaten nicht zur Sanktionierung von Mitarbeitern verwenden, wenn sie nicht unter Einhaltung aller Datenschutzvorschriften erhoben wurden.
- Denken Sie nicht, dass eine Vereinbarung mit den Gewerkschaften ausreicht; Sie müssen immer auch die Datenschutzgesetze (DSGVO) vollständig einhalten.
Hintergrund
Ein Mitarbeiter der Azienda Sociosanitaria Ligure Nr. 1 (später in Azienda Tutela della Salute per la Liguria aufgegangen), der als Fahrer tätig war, meldete dem Garante, dass er einem Disziplinarverfahren und einer Sanktion unterzogen wurde, basierend auf Daten, die von einem in seinem Firmenfahrzeug installierten Satelliten-Ortungssystem erfasst wurden. Der Betroffene beanstandete das Fehlen der in Art. 4 des Gesetzes Nr. 300/1970 vorgesehenen Rechtmäßigkeitsvoraussetzungen und die unterlassene Information. Er übermittelte auch medizinische Bescheinigungen auf implizite Anforderung des Unternehmens. Ähnliche Verstöße wurden von anderen Mitarbeitern gemeldet, was zu einer gemeinsamen Untersuchung führte. Das Unternehmen erklärte, das System aus organisatorischen Gründen und zum Schutz des Eigentums eingeführt zu haben, mit einer Gewerkschaftsvereinbarung und Information, doch die Untersuchung ergab, dass das System alle 60 Sekunden verfolgte, Echtzeitzugriff ermöglichte und keine Datenschutz-Folgenabschätzung (DPIA) durchgeführt worden war.
Die Entscheidung
Der Garante stellte die Rechtswidrigkeit der vom Unternehmen durchgeführten Verarbeitung personenbezogener Daten fest, insbesondere aufgrund der Verletzung der Grundsätze der Datenminimierung (Erfassung alle 60 Sekunden und Echtzeitzugriff, als übermäßig angesehen), des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sowie der unterlassenen Durchführung einer vorherigen Datenschutz-Folgenabschätzung (DPIA). Er stellte ferner fest, dass die Verwendung von rechtswidrig erhobenen Geolokalisierungsdaten zu disziplinarischen Zwecken gegen den Grundsatz der Zweckbindung verstieß. Obwohl die volle Kooperation des Unternehmens und die spontane Annahme von Korrekturmaßnahmen während der Untersuchung (Verlängerung des Erfassungsintervalls auf 15 Minuten und Deaktivierung der Echtzeitüberwachung) anerkannt wurden, verhängte der Garante eine Geldbuße von 6.000 Euro, da die Auswirkungen des rechtswidrigen Verhaltens als erschöpft und weitere Korrekturmaßnahmen neben der Veröffentlichung der Verfügung als nicht notwendig erachtet wurden.
Verletzte DSGVO-Artikel
| Artikel | Beschreibung | Relevanz |
|---|---|---|
|
par.1 lett.a DSGVO |
Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. | die verarbeitung der geolokalisierungsdaten, aufgrund ihrer invasivität und des missbräuchlichen gebrauchs zu disziplinarischen zwecken, wurde nicht als rechtmäßig und transparent angesehen. |
|
par.1 lett.b DSGVO |
Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben und dürfen nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. | die auf rechtswidrige weise (übermäßige invasivität) für organisatorische zwecke erhobenen daten wurden später für disziplinarische zwecke verwendet, unter verstoß gegen die zweckbindung. |
|
par.1 lett.c DSGVO |
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung). | die positionserfassung alle 60 sekunden und die möglichkeit der echtzeitüberwachung wurden als unverhältnismäßig und nicht notwendig im hinblick auf die vom unternehmen verfolgten zwecke erachtet. |
|
DSGVO |
Rechtmäßigkeit der Verarbeitung, die auf mindestens einer der vorgesehenen Bedingungen basieren muss. | die gesamtverarbeitung hatte, angesichts ihrer invasivität und der nutzung rechtswidrig erhobener daten zu disziplinarischen zwecken, in ihrer gesamtheit keine angemessene rechtsgrundlage. |
|
DSGVO |
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. | das geolokalisierungssystem wurde nicht von anfang an mit geeigneten technischen und organisatorischen maßnahmen konzipiert und konfiguriert, um die grundsätze des datenschutzes, insbesondere die minimierung, wirksam umzusetzen. |
|
DSGVO |
Datenschutz-Folgenabschätzung (DPIA), obligatorisch für Verarbeitungen, die ein hohes Risiko darstellen. | die verarbeitung von geolokalisierungsdaten von mitarbeitern, die aufgrund ihrer schutzbedürftigkeit und potenziellen invasivität als hohes risiko gilt, erfolgte ohne vorherige dpia. |
|
DSGVO |
Bestimmungen zur Datenverarbeitung im Beschäftigungskontext, einschließlich Überwachungssysteme am Arbeitsplatz, die nationale Vorschriften einhalten müssen. | der verstoß erstreckt sich auf artikel 88, da das unternehmen die nationalen vorschriften (art. 113 und 114 codice privacy und 4 gesetz nr. 300/1970) und die dsgvo-grundsätze zur verarbeitung von arbeitnehmerdaten nicht vollständig eingehalten hat. |
|
Codice Privacy |
Erhebung personenbezogener Daten und Relevanz für die berufliche Tätigkeit. | das geolokalisierungssystem sammelte detaillierte und kontinuierliche informationen über bewegungen, die als nicht relevant oder übermäßig im hinblick auf die tatsächlichen arbeitsbedürfnisse und den eigentumsschutz angesehen wurden. |
|
Codice Privacy |
Garantien im Bereich der Fernüberwachung von Arbeitnehmern, in Bezug auf Artikel 4 des Gesetzes vom 20. Mai 1970, Nr. 300 (Arbeitnehmerstatut). | trotz der gewerkschaftsvereinbarung entsprachen die invasiven Überwachungsmodalitäten und die verwendung der rechtswidrig erhobenen daten zu disziplinarischen zwecken nicht den nationalen bestimmungen zum schutz der arbeitnehmerwürde. |
Auferlegte Maßnahmen
Zahlung einer Geldbuße; Veröffentlichung der Verfügung auf der Webseite des Garante
Sanktion
Der Garante ordnete der Azienda Tutela della Salute per la Liguria die Zahlung einer Geldbuße von 6.000 Euro an, weil sie personenbezogene Daten zur Geolokalisierung von Mitarbeitern, die Firmenfahrzeuge nutzen, unter Verstoß gegen Art. 5 Abs. 1 lit. a), b), c), 6, 25, 35 und 88 der Verordnung (DSGVO) sowie 113 und 114 des Codice Privacy verarbeitet hat. Die Strafe wurde unter Berücksichtigung der mittleren Schwere des Verstoßes (kontinuierliche Überwachung und disziplinarische Nutzung der Daten), aber auch der vollen Kooperation des Unternehmens, des Fehlens relevanter vorheriger Verstöße und der freiwillig ergriffenen Korrekturmaßnahmen festgelegt.
Fristen: Innerhalb von 30 Tagen nach Zustellung dieser Verfügung (oder innerhalb von 30 Tagen für die Zahlung der Hälfte der Strafe im Falle einer Streitbeilegung)
Praktische Auswirkungen
Diese Verfügung unterstreicht die Bedeutung einer sorgfältigen Bewertung und Konfiguration von Ortungssystemen im Arbeitsumfeld. Auch bei Vorhandensein von Gewerkschaftsvereinbarungen gemäß Art. 4 des Gesetzes Nr. 300/1970 müssen Unternehmen die vollständige Einhaltung der Grundsätze der DSGVO gewährleisten, insbesondere Datenminimierung, Datenschutz durch Technikgestaltung und Zweckbindung. Es ist zwingend erforderlich, eine Datenschutz-Folgenabschätzung (DPIA) für Geolokalisierungsverarbeitungen durchzuführen, die eine systematische oder großflächige Überwachung von Mitarbeitern beinhalten, die als schutzbedürftig gelten. Daten, die auf rechtswidrige Weise erhoben wurden, können nicht rechtmäßig für sekundäre Zwecke, einschließlich Disziplinarverfahren, verwendet werden. Unternehmen müssen die Systeme so konfigurieren, dass die Erfassungsfrequenz begrenzt wird, die Echtzeitüberwachung deaktiviert wird, wenn nicht unbedingt erforderlich, und Mechanismen vorgesehen werden, die es den Arbeitnehmern ermöglichen, die Geolokalisierung während Pausen oder außerhalb der Arbeitszeit zu deaktivieren, sofern dies ohne Beeinträchtigung der legitimen und unabdingbaren Zwecke des Eigentumsschutzes möglich ist.
Zu vermeidende Fehler
- Keine DPIA für Hochrisikoverarbeitungen wie die Geolokalisierung von Mitarbeitern durchzuführen.
- Annahme übermäßig invasiver Konfigurationen von Ortungssystemen (z. B. kontinuierliche oder alle paar Sekunden erfolgende Erfassung, Echtzeitzugriff) ohne eine stringente und verhältnismäßige Rechtfertigung.
- Verwendung von Geolokalisierungsdaten, die unter Verstoß gegen die DSGVO-Grundsätze erhoben wurden, um Disziplinarverfahren einzuleiten oder zu unterstützen.
- Die Annahme, dass eine Gewerkschaftsvereinbarung über die Installation von Kontrollsystemen von der vollständigen Einhaltung der DSGVO-Vorschriften befreit.
- Unterlassung der Bereitstellung vollständiger und aktueller Informationen an die Arbeitnehmer über die Funktionsweise und die Zwecke der Ortungssysteme.
Fragen zur Selbsteinschätzung
- Wurde unser Ortungssystem für Firmenfahrzeuge einer DPIA unterzogen?
- Wurde die Häufigkeit der Positionserfassung im Hinblick auf Minimierung und Verhältnismäßigkeit zu den Zwecken bewertet?
- Sind die Mitarbeiter klar und umfassend über die Funktionsweise des Systems und die Datennutzung informiert?
- Gibt es die Möglichkeit, die Geolokalisierung während Pausen oder außerhalb der Arbeitszeit zu deaktivieren, wenn dies mit den Zwecken vereinbar ist?
- Werden die Geolokalisierungsdaten nur für die Zwecke verwendet, für die sie erhoben wurden, und in Übereinstimmung mit allen Grundsätzen der DSGVO und nationalen Vorschriften?
Verweise
Nationales Recht: D.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) · Legge 20 maggio 1970, n. 300 (Statuto dei Lavoratori - Art. 4) · D.lgs. 10 agosto 2018, n. 101 (Decreto di adeguamento al GDPR) · D.lgs. 27 giugno 2022, n. 104 (Decreto trasparenza) · Legge Regionale n.18 del 12 dicembre 2025 (Riforma Sanitaria Regione Liguria)
Anmerkungen
Die Verfügung bekräftigt, dass die Gewerkschaftsvereinbarung gemäß Art. 4 des Gesetzes Nr. 300/1970, obwohl notwendig, an sich nicht ausreicht, um die vollständige Rechtmäßigkeit der Verarbeitung personenbezogener Daten zu gewährleisten, die stets den Grundsätzen der DSGVO entsprechen muss. Darüber hinaus wird der Grundsatz der Unverwertbarkeit von personenbezogenen Daten, die unter Verstoß gegen die Vorschriften erhoben oder verarbeitet wurden, insbesondere in disziplinarischen Kontexten, hervorgehoben. Das Unternehmen hat während der Untersuchung erhebliche freiwillige Korrekturmaßnahmen ergriffen (Änderung des Erfassungsintervalls und Deaktivierung der Echtzeitüberwachung), die als mildernde Umstände anerkannt wurden und es ermöglichten, die Verhängung weiterer Korrekturmaßnahmen durch den Garante zu vermeiden.
