GZ: 2022-0.021.739 vom 1. März 2022 (Verfahrenszahl: DSB-D213.971)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet aufgrund des gegen die N*** Österreich GmbH (Verantwortliche), **** K***stadt, O***gasse *3, Firmenbuchnummer: *4*8*2r, vertreten durch A***, B*** Partner Rechtsanwälte, **** Wien, ****platz 4*/3, durchgeführten amtswegigen Prüfverfahrens, wie folgt:
- Die Verantwortliche verstößt dadurch gegen die DSGVO, indem sie personenbezogene Daten von Dienstnehmern mittels des in fünfzehn Dienstfahrzeugen verbauten GPS-System „L**Track“ verarbeitet, ohne dass die erforderlichen Voraussetzungen dafür gegeben sind. Der Verantwortlichen wird mit sofortiger Wirkung untersagt, die mit dem GPS-Systems „L**Track“ ermittelbaren personenbezogene Daten zu verarbeiten.
Rechtsgrundlagen : Art. 6, Art. 51 Abs. 1, Art. 57 Abs. 1 lit h, Art. 58 Abs. 2 lit. f DSGVO der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1, 18 Abs. 1 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF, §§ 17 ff des Arbeitszeitgesetzes (AZG), BGBl. Nr. 461/1969 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Mit Schreiben vom 11. Dezember 2019 und der Ergänzung vom 5. Jänner 2020 wurde die Datenschutzbehörde durch einen anonymen Hinweis, dass in den Dienstautos der Verantwortlichen GPS-Tracker eingebaut worden seien, informiert. Diese würden nicht nur die Dienstfahrten, sondern auch die Privatfahrten überwachen und es werde ebenfalls ein Bewegungsprofil der Mitarbeiter erstellt.
2. Die Datenschutzbehörde leitete mit Erledigung vom 28. Jänner 2020 eine Datenschutzüberprüfung gemäß Art. 57 Abs. 1 lit. h DSGVO („amtswegiges Prüfverfahren“) gegen die Verantwortliche betreffend die Überwachung der Firmenfahrzeuge durch GPS-Tracker ein.
3. Die anwaltlich vertretene Verantwortliche brachte in ihrer Stellungnahme vom 4. März 2020 zusammengefasst vor, dass es den Tatsachen entspreche, dass GPS/GSM-Geräte, mit der Bezeichnung „L**Track“ von der Firma C***-IT GmbH in den Dienstfahrzeugen eingebaut worden und auch zur Anwendung gelangt seien. Die Dienstfahrzeuge würden von der Verantwortlichen ihren Servicemitarbeitern zur Verfügung gestellt werden. Das Gerät, welches die Daten mittels GPS/GSM an einen Server übermittle, werde durch den Start der Zündung des Fahrzeuges aktiviert und durch Ausschalten der Zündung wieder deaktiviert. Zusätzlich gebe es in jedem Fahrzeug eine Vorrichtung (Schalter), mit dem das Gerät jederzeit, und zwar ohne vorheriger Ausschaltung der Zündung, durch den jeweiligen Fahrer/Mitarbeiter wieder von diesem deaktiviert werden könne.
Das System selbst übermittle folgende Daten: den Kilometerstand, Datum und Uhrzeit, Fahrtausgangspunkt sowie Ziel und die Standortdaten des Fahrzeuges (und die tatsächlich gefahrene Strecke).
Die Verantwortliche nutze dies, um ihren gesetzlichen Verpflichtungen, insbesondere der Führung eines Fahrtenbuches, der Arbeitszeitaufzeichnungen und der damit einhergehenden Lohnverrechnung nachzukommen. Sinn und Zweck sei es nicht, Bewegungsprofile der einzelnen Techniker zu erstellen oder deren Privatfahrten aufzuzeichnen. Dies sei weder im Interesse der Verantwortlichen noch durch das System möglich. Durch diese Vorgehensweise könne die Verantwortliche die administrativen Vorgänge vereinfachen und auch zuverlässiger sowie fälschungssicherer abwickeln. Ansonsten müsse sie sich auf die Ehrlichkeit und die Dokumentationsarbeit der einzelnen Mitarbeiter verlassen. Darüber hinaus könne das verwendete GPS-System jederzeit von den einzelnen Mitarbeitern deaktiviert werden, wodurch nur die gefahrenen Kilometer innerhalb eines Zeitraumes erfasst werden, in dem das System aktiviert sei. Auch innerhalb der Arbeitszeit sei es möglich, das System mittels Knopfdruck zu deaktivieren. Im Fall einer Deaktivierung werden nur der Kilometerstand sowie die gefahrenen Kilometer erfasst. Dies sei aber auch bereits durch die davor geführten Fahrtenbücher möglich bzw. erkennbar gewesen.
GPS-Datenpunkte, wo die Kilometer gefahren werden, würden nicht gesetzt werden. Auch könne ein Fahrer/Mitarbeiter im Falle einer irrtümlich erfassten Privatfahrt diese im Nachhinein aus der Systemansicht entfernen. Es sei ebenfalls noch zu erwähnen, dass Teile der Daten ohnehin der Verantwortlichen bekannt seien, weil die Mitarbeiter durch die Koordinatoren im Innendienst für verschiedene Aufträge pro Tag eingeteilt werden würden. Durch das eingebaute System würden die Daten lediglich bestätigt bzw. genauer erfasst werden.
Zugriff auf die Daten erhalte man über eine Software-Applikation und die entsprechenden Log-in-Daten, welche von L**Track generiert werden.
Im Unternehmen selbst erhalte nur jene(r) Mitarbeiter/in Zugriff auf die Daten, welche(r) diese für seine/ihre Tätigkeit benötigte, zum Beispiel für die Lohnverrechnung, die Finanzleitung, Koordinatoren. Extern habe nur die C***-IT GmbH als Auftragsverarbeiter Zugang, weil diese das System zur Verfügung stelle und warte.
Der Einsatz des Systems erfolge zum Zweck des Wiederauffindens des Fahrzeuges im Falle eines Diebstahles, der Arbeitsaufzeichnungen sowie der Führung eines Fahrtenbuches und sonstiger Abrechnungen. Diese Aufzeichnungen seien deshalb erforderlich, um den gesetzlichen Verpflichtungen im Zusammenhang mit dem Arbeitszeitgesetz und der ordnungsgemäßen Verrechnung (zum Beispiel: Reiseentschädigung, Berechnung des Sachbezugs, Überstundenauszahlung) nachkommen zu können.
Die Arbeitsleistung selbst werde von den Mitarbeitern nicht überwacht. Die Mitarbeiter seien ausreichend über die Funktionsweise des Systems informiert bzw. geschult worden. Die Menschenwürde sei durch das System nicht beeinträchtigt, somit sei auch eine Vereinbarung mit einem allfälligen Betriebsrat, welcher bei der Verantwortlichen nicht eingerichtet sei, nicht abzuschließen gewesen.
In der Stellungnahme war im Anhang als Beilage ein Screenshot der im System erfassten Daten während der Arbeitszeit und Aktivierung sowie außerhalb bzw. bei Deaktivierung angeschlossen.
Die Verantwortliche stütze sich sowohl auf Art. 6 Abs. 1 lit. f DSGVO als auch auf § 17 bzw. § 17a AZG.
4. Die Datenschutzbehörde forderte die Verantwortliche am 30. Juni 2020 zu einer weiteren Stellungnahme auf. Diese blieb von der Verantwortlichen unbeantwortet und ist sie daher am 25. Jänner 2021 erneut zur Stellungnahme aufgefordert worden. Die rechtlich vertretene Verantwortliche ersuchte mit Schreiben vom 9. Februar 2021 um eine Fristerstreckung bis zum 15. März 2021. Mit Schreiben vom 15. März 2021 ersuchte die Verantwortliche nochmals, die Frist bis zum 29. März 2021 zu erstrecken.
5. Die vertretene Verantwortliche verwies, nach Fristerstreckung bis 29. März 2021, in ihrer ergänzenden Stellungnahme vom 24. März 2021 auf ihr bisheriges Vorbringen und brachte ergänzend vor, dass die GPS-Tracker Anfang 2020 in die Fahrzeuge eingebaut worden seien. Derzeit seien nur wenige Funktionen im Einsatz. Die Zeiterfassung der Arbeitszeiten erfolge nicht über die GPS-Tracker. Eine Aktivierung bzw. Einrichtung dieser Funktion sei allerdings geplant. Die GPS-Tracker seien derzeit in 15 Fahrzeugen eingebaut und daher ebenso viele Arbeitnehmer/Fahrer betroffen. Die Dienstfahrzeuge würden ausschließlich zum Technikeinsatz verwendet werden. Den Mitarbeitern sei es erlaubt, die Fahrzeuge privat zu nutzen. Im Unternehmen der Verantwortlichen sei kein Betriebsrat etabliert und deshalb könne auch keine Betriebsratsvereinbarung abgeschlossen bzw. vorgelegt werden. Der GPS Tracker könne mittels einer einfachen Schaltung deaktiviert werden. Eine Datenschutz-Folgenabschätzung sei nicht durchgeführt worden, weil die Verantwortliche davon ausgegangen sei, dass die Datenverarbeitung der DSFA-AV unterliege.
Die Verantwortliche habe mit der C***-IT GmbH eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO abgeschlossen. Die Firma C***-IT GmbH habe alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit bei der Verarbeitung ergriffen. Die Daten werden solange als notwendig gespeichert.
Im Anhang der Stellungnahme sind Screenshots als Beilagen übermittelt worden.
6. Die anwaltlich vertretene Verantwortliche brachte in ihrer ergänzenden Stellungnahme vom 29. November 2021 zusammengefasst vor, dass das Ende 2019 bzw. Anfang 2020 eingebaute GPS-System vorerst nicht aktiv genutzt worden sei, weil die rechtliche Situation hinsichtlich der Nutzung als Fahrtenbuch, zur Zeiterfassung und Diätenabrechnung erst geklärt habe werden müssen. Im Jänner 2020 sei das System nur genutzt worden, um den Fuhrpark zu managen bzw. um Aufträge zu koordinieren sowie zur Erstellung von Kundenabrechnungen. Erst ab Juli 2021 sei das GPS-System zur Zeiterfassung bzw. Diätenabrechnung sowie als Fahrtenbuch genutzt worden. Davor sei die Datenerfassung noch händisch bzw. via Excellisten erfolgt. Der verbaute Schalter zum Aktivieren und Deaktivieren des Systems würde im Privatmodus rot und im Arbeitsmodus nicht leuchten. Sämtliche Mitarbeiter seien vor Beginn der Nutzung des neuen Systems geschult und über die Funktion des Ein- und Ausschalters informiert worden. Auch seien diese nochmals im Juni 2021 darauf hingewiesen und ihnen abermals erklärt worden, wie nachträglich die Fahrt als privat abgeändert werden könne. Einen Nachweis darüber, dass die Mitarbeiter jemals tatsächlich falsche Arbeitszeiten angegeben hätten, habe die Verantwortliche nicht. Das Gerät sammle auch im Privatmodus die Daten, jedoch würde diese an die Software-Applikation nicht weitergeleitet werden und können somit auch nicht an den Arbeitgeber übermittelt werden. Nur der jeweilige Mitarbeiter selbst habe durch einen direkten Einstieg die Möglichkeit dazu. Auch könne er im Nachhinein eine private Fahrt als dienstliche Fahrt ausweisen. Dies würde jedoch an die Software Applikation übermittelt werden und sei dementsprechend auch für den Arbeitgeber ersichtlich. Umgekehrt sei diese Umstellung auch möglich, wobei für den Dienstgeber aber nur mehr die Kilometeranzahl ersichtlich sei. Die Daten würden aus gesetzlichen (buchhalterischen) Gründen bzw. zu Verrechnungszwecken insgesamt 7 Jahre ab dem Jahr der Erfassung gespeichert.
Im Anhang der Stellungnahme sind Bilder des GPS-Aktivierungs-Schalters übermittelt worden.
7. Die anwaltlich vertretene Verantwortliche brachte in ihrer abschließenden Stellungnahme vom 11. Jänner 2022 vor, dass kein Betriebsrat installiert sei und auch keine Zustimmung der einzelnen Mitarbeiter gemäß § 10 AVRAG vorliege. Eine Erforderlichkeit dieser Zustimmung liege zudem nicht vor, weil die Menschenwürde durch diese Kontrollmaßnahme nicht berührt sei.
Das in den Fahrzeugen installierte „L**Track-System“ erfülle zwar die objektive Eignung zur Kontrolle der Arbeiternehmer, berühre aber die Menschenwürde nicht, weil keinerlei Daten aus der Privatsphäre der Arbeitnehmer erfasst werden würden. Die Datenübermittlung finde ausschließlich während der betrieblichen Verwendung des jeweiligen Firmenwagens statt. Die ermittelten Daten, Fahrtenausgangspunkt und Ziel, Standortdaten des Fahrzeuges, dadurch gefahrene Strecke, Kilometerstand sowie Datum und Uhrzeit haben keinerlei Berührungspunkte mit der miteingebrachten Privatsphäre der Arbeitnehmer. Das Kontrollsystem sei ausschließlich der betrieblichen Sphäre der Verantwortlichen zuzuordnen.
Die Kontrollintensität finde nicht in einer übersteigenden Intensität statt und ebenso wenig übersteige diese ein typisches Maß, welches geboten erscheint. Hierzu führte die Verantwortliche aus, dass von einer übersteigenden Kontrollintensität durch die Verwendung eines elektronischen Fahrtenbuches ausschließlich während der Arbeitszeiten nicht die Rede sein könne. Die Menschenwürde werde somit nicht berührt. Die Verwendung erfordere aufgrund der wechselnden Einsatzorte des Kundendiensttechnikers ohnedies besondere zeitgemäße Kontrollmechanismen, weil die Fahrten ja nach sinnvollen betriebswirtschaftlichen Kriterien einzuteilen seien.
Die Verantwortliche habe ein Interesse daran, bestehende Rechtsvorschriften einzuhalten bzw. zu erfüllen, wie zum Beispiel die Einhaltung der Arbeitszeit oder Arbeitnehmerschutzvorschriften, zum Schutz ihres Eigentums der Betriebsmittel, aber auch das Interesse an der effizienten Betriebsführung und der Einhaltung der vertraglich vereinbarten Arbeitsbedingungen sowie der Beachtung der Fürsorgepflicht (insb. des Arbeitnehmerschutzes).
Das verwendete System sei nicht mit einer ständigen Überwachung der Arbeitnehmer verbunden, zumal - wie oben ausgeführt - ja nur der Standort des Fahrzeuges festgestellt werden könne. Verglichen damit unterliege ein Innendienstmitarbeiter hinsichtlich seines jeweiligen Aufenthaltsortes einer wesentlich intensiveren Kontrolle, bei der auch wesentlich einfacher und viel eindringlicher seine Arbeitsleistung überwacht werden könnte.
Eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO liege nicht vor, weil diese nicht erforderlich sei. Die Verantwortliche stütze sich bei der Verwendung des L**Track-Systems einerseits auf das berechtigte Interesse und andererseits auf die Erfüllung einer rechtlichen Verpflichtung.
Gemäß § 17b AZG treffe die Verantwortliche die Verpflichtung, über die geleisteten Arbeitsstunden ihrer Mitarbeiter/Lenker Aufzeichnungen zu führen, die gegebenenfalls „lückenlos“ dem Arbeitsinspektor vorgelegt werden können. Es gebe die Möglichkeit des Einsatzes eines digitalen Kontrollgeräts.
Bislang erfolgte die Aufzeichnung mittels Excelliste. Die Arbeitszeiten seien somit nicht sofort, sondern erst im Nachhinein eingetragen worden. Dadurch seien diese oft ungenau, da sich die Mitarbeiter nicht mehr genau erinnern konnten, von wann bis wann sie wo gewesen seien und so nur ungefähre Angaben machen haben können. Auch seien hin und wieder Privatfahrten während der Dienstzeit unternommen und auch als Arbeitszeit verrechnet worden. Durch das L**Track-System werde dies vermieden.
Die Verantwortliche habe ein Interesse daran, dass die Aufzeichnungen der Arbeitnehmer betreffend Arbeitseinsatz, Arbeitszeit, Reisekostenabrechnung etc. korrekt geführt werden. Zusätzlich bestehe ein wirtschaftliches Interesse, die einzelnen Arbeitnehmer ökonomisch sinnvoll einzusetzen und unnötige Stehzeiten oder Umwege zu vermeiden. Falsche Aufzeichnungen könnten auch für die Verantwortliche zu hohen Strafen führen. Ein schnelles Agieren auf Anfragen sei insbesondere für die Kundenbindung enorm wichtig und das System diene auch unter anderem hierfür. Ebenso handle es sich bei den Dienstfahrzeugen, welche den Mitarbeitern zur Verfügung gestellt werden, um Leasingfahrzeuge und gelange das System auch infolge eines Diebstahles zwecks Lokalisation des Fahrzeuges zur Anwendung.
B. Prüfgegenstand
Gegenstand des vorliegenden Verfahrens ist, ob die Verantwortliche sich betreffend die Datenverarbeitung durch GPS-Tracker in den Dienstfahrzeugen auf die von ihr angegebenen Rechtsgrundlagen stützen kann.
C. Sachverhaltsfeststellungen
1. Bei der Verantwortlichen handelt es sich um eine GmbH. Die Verantwortliche verfügt über keinen Betriebsrat. Sie hat die von ihren Mitarbeitern verwendeten Firmenfahrzeuge von einem Leasinganbieter geleast.
Beweiswürdigung : Diese Feststellungen ergeben sich aus der Stellungnahme der anwaltlich vertretenen Verantwortlichen vom 24. März 2021 sowie der Stellungnahme vom 11. Jänner 2022.
2. Die Verantwortliche hat Ende 2019 und zu Beginn des Jahres 2020 GPS-Tracker von der Firma C***-IT GmbH in die insgesamt fünfzehn Firmenfahrzeuge einbauen lassen. Den Servicetechnikern ist nicht nur eine rein dienstliche Nutzung der geleasten Firmenfahrzeuge erlaubt, sondern auch die private Nutzung. Der GPS-Tracker, bei welchem es sich um ein GPS/GSM Gerät mit der Bezeichnung „L**Track“ handelt, ist fix in den einzelnen Fahrzeugen verbaut und es handelt sich daher um kein portables Gerät. Von Ende 2019 bis Juli 2021 ist das GPS-System lediglich zur konkreten Abfrage nach dem Fahrzeugstandort genutzt worden. Ab Juli 2021 ist das System zur Zeiterfassung und für die Diätenabrechnung sowie als Fahrtenbuch erweitert worden. Davor ist die Datenerfassung händisch bzw. via Excellisten erfolgt.
Beweiswürdigung : Diese Feststellungen ergeben sich aus der Stellungnahme der anwaltlich vertretenen Verantwortlichen vom 24. März 2021 sowie der Stellungnahme vom 29. November 2021.
3. Das Gerät mit der Bezeichnung „L**Track“ wird beim Start der Zündung des Fahrzeuges aktiviert und durch Ausschaltung der Zündung deaktiviert. Zusätzlich gibt es in jedem Fahrzeug einen Schalter, mit dem das Gerät, und zwar unabhängig von der Stellung der Zündung, aktiviert bzw. deaktiviert werden kann. Sobald Daten an das System übermittelt werden, erlischt das Licht am Schalter. Wird der Privatmodus von dem jeweiligen Servicetechniker aktiviert, leuchtet der Schalter.
[Anmerkung Bearbeiter/in: Das an dieser Stelle als Faksimile (grafische Datei) wiedergegebene Lichtbild kann im RIS nicht problemlos dargestellt werden und wurde daher entfernt.]
Foto des eingeschalteten ,,Schalters‘‘. Formatierung nicht 1:1.
[Anmerkung Bearbeiter/in: Das an dieser Stelle als Faksimile (grafische Datei) wiedergegebene Lichtbild kann im RIS nicht problemlos dargestellt werden und wurde daher entfernt.]
Foto vom fix verbauten „Schalter“ im Dienstauto. Formatierung nicht 1:1
Beweiswürdigung : Wie oben.
4. Das System des GPS/GSM-Gerätes, welches durch das D*** Rechnungszentrum gehostet wird, übermittelt die Daten an einen Server. Folgende Daten werden aktuell übermittelt: Kilometerstand, Fahrtausgangspunkt und Ziel, Standortdaten des Fahrzeuges, die gefahrene Strecke sowie Datum und Uhrzeit. Telemetrie-Daten, wie zum Beispiel Bremsverhalten, Sitzbelegung, Zuladung, Drehzahl, Schaltpunkte, Geschwindigkeit werden nicht übermittelt. Teile dieser Daten (Adresse sowie Ankunft und Abfahrt beim Kunden) sind der Verantwortlichen aufgrund der Koordinatoren, welche die Aufträge im Innendienst einteilen bzw. organisieren auch ohne Einsatz des verbauten Gerätes bekannt. Zugriff auf die Daten erhält man über eine Software-Applikation und die entsprechenden Log-in-Daten, welche von L**Track generiert werden. Log-in-Daten sind vom jeweiligen Benutzer beim erstmaligen Login zu ändern, hierdurch liegt eine Personalisierung für den jeweiligen Mitarbeiter vor. Nur jene Arbeiternehmer der Verantwortlichen haben Zugriff auf das System, welche diese Daten für ihre Tätigkeit benötigen. Dies sind Mitarbeiter, welche für die Lohnverrechnung und die Finanzleitung zuständig sind sowie die Koordinatoren. Extern hat nur die C***-IT GmbH als Auftragsverarbeiter Zugang.
Beweiswürdigung : Diese Feststellungen ergeben sich aus den Stellungnahmen der anwaltlich vertretenen Verantwortlichen vom 4. März 2020, 23. März 2020 sowie vom 29. November 2021.
5. Eine Betriebsvereinbarung oder eine Zustimmung zur Verwendung des „L**Track-Systems“ in den Dienstautos der jeweils betroffenen Servicetechniker liegt nicht vor.
Beweiswürdigung : Diese Feststellung erfolgt aufgrund der Stellungnahme der Verantwortlichen vom 4. März 2020 und der Stellungnahme vom 11. Jänner 2022. Zudem ist amtswegig aufgrund eines derzeit anhängigen Beschwerdeverfahrens bei der Datenschutzbehörde unter der GZ: D124.3940 bekannt, dass zumindest ein Mitarbeiter nicht eingewilligt hat.
6. Die Koordinatoren im Innendienst teilen die Servicemitarbeiter, welche das Firmenleasingfahrzeug nutzen, für verschiedene Aufträge pro Tag ein. Daher sind der Verantwortlichen Teile der Daten, welche durch das GPS-System übermittelt werden, bekannt. Die Verantwortliche verfügt über Innendienstkoordinatoren, einen technischen Innendienst und über einen werkseigenen Kundendienst. Die Servicetechniker sind für die Inbetriebnahme, die Instandhaltung und die Wartung der Produkte zuständig. Die Servicetechniker verwenden bei den Wartungsaufträgen und Instandhaltungsaufträgen die originalen Ersatzteile der Verantwortlichen. Bei ca. 70% der anfallenden Aufträge handelt es sich um Wartungen, für welche eigens zugeordnete Ersatzteile benötigt werden. Bei einem vorzeitig beendeten Einsatz haben die Servicetechniker den Koordinator telefonisch zu kontaktieren und ihm dies mitzuteilen. Weder werden in den Dienstfahrzeugen der Beschwerdegegnerin nennenswerten Wertgegenstände mitgeführt noch wurde bei der Beschwerdegegnerin ein Fahrzeug entwendet bzw. gestohlen.
Beweiswürdigung : Diese Feststellungen erfolgen aufgrund der Stellungnahme der Verantwortlichen vom 4. März 2020. Die Feststellung, dass früher beendete Einsätze den Koordinatoren telefonisch zu melden sind und es sich bei 70% der Einsätze um Wartungseinsätze handelt, ergeben sich aus den Stellungnahmen des Beschwerdeführers (Mitarbeiter der Verantwortlichen) vom 10. November 2021 und 17. November 2021 sowie aus der Stellungnahme der Beschwerdegegnerin (Verantwortlichen) vom 23. Februar 2022 aus dem Beschwerdeverfahren mit der GZ: D124.3940 sowie aus der amtswegigen Recherche vom 14. Jänner 2022:
[Anmerkung Bearbeiter/in: Der an dieser Stelle als grafische Datei wiedergegebene Screenshot von der Website der Verantwortlichen kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Formatierung nicht 1:1. Screenshot von der Homepage: https://n***.com/at/de/n***-austria/Kontakt/Wir-****-****-zertifiziert
[Anmerkung Bearbeiter/in: Der an dieser Stelle als grafische Datei wiedergegebene Screenshot von der Website der Verantwortlichen kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Formatierung nicht 1:1. Screenshot von der Homepage mit der Adresse: https://n***.com/at/de/n*** -austria/ (Blaue Hervorhebung erfolgte durch die Datenschutzbehörde).
[Anmerkung Bearbeiter/in: Der an dieser Stelle als grafische Datei wiedergegebene Screenshot von der Website der Verantwortlichen kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Formatierung nicht 1:1. Screenshot von der Homepage mit der Adresse: https://n***.com/at/de/n*** -austria/. (Blaue Hervorhebung erfolgte durch die Datenschutzbehörde)
7. Einen konkreten Nachweis bzw. Hinweis, dass ein Servicetechniker falsche Arbeitszeiten angegeben hat, gibt es nicht. Es konnte nicht festgestellt werden, dass ein Auto gestohlen oder beschädigt worden ist.
Beweiswürdigung : Diese Feststellung erfolgt aufgrund der Stellungnahme der Verantwortlichen vom 29. November 2021. Die Feststellung, dass kein Leasingauto gestohlen oder beschädigt worden ist, ergibt sich zum einen daraus, dass während des laufenden Verfahrens die Verantwortliche keinen konkreten Fall eines Diebstahles oder einer Sachbeschädigung bei der Datenschutzbehörde vorgebracht hat. Zum anderen ergibt sich die Feststellung aus den Stellungnahmen des Beschwerdeführers (Mitarbeiter der Verantwortlichen) vom 10. November 2021 und 17. November 2021 aus dem Beschwerdeverfahren mit der GZ: D124.3940, aus welchen hervorgeht, dass es noch keinen Diebstahl gegeben hat.
D. In rechtlicher Hinsicht folgt daraus:
Ein Verantwortlicher ist gemäß Art. 4 Z 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Im vorliegenden Fall bestehen keine Zweifel und wurde von der Verantwortlichen auch nicht bestritten, dass sie die datenschutzrechtliche Verantwortliche für die durchgeführte Datenverarbeitung ist.
Unter personenbezogenen Daten sind gemäß Art. 4 Z 1 DSGVO alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Um festzustellen, ob eine natürliche Person identifizierbar ist, sind alle Mittel zu berücksichtigen, die vom Verantwortlichen oder einem Dritten nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die Person direkt oder indirekt zu identifizieren („objektive“ Theorie). Diese weite Definition personenbezogener Daten hat zur Folge, dass davon praktisch alle Informationen über eine natürliche Person erfasst sind, soweit sie zumindest in Kombination mit anderen Informationen einem bestimmten Menschen zugeordnet werden können.
Gemäß Art. 4 Z 2 DSGVO fällt unter den Begriff der Verarbeitung jeder „ mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, [...]“.
Im vorliegenden Fall erfolgt die Verarbeitung jedenfalls nicht im lebenswichtigen Interesse der betroffenen Servicetechniker, ebenso liegt unstrittig – wie unter Punkt 7 der Feststellungen ausgeführt und in der Stellungnahme vom 11. Jänner 2022 von der anwaltlich vertretenen Verantwortlichen vorgebracht – keine Einwilligung zur Datenverarbeitung vor. Die Verantwortliche stützte die Verarbeitung der personenbezogenen Daten der betroffenen Servicetechniker sinngemäß auf Art. 6 Abs. 1 lit. c sowie lit. f DSGVO.
Folglich ist zu prüfen, ob die genannten Rechtfertigungsgründe vorliegen.
Zum Vorliegen eines berechtigten Interesses
Nach der ständigen Rechtsprechung des EuGH sind für eine Berufung auf Art. 6 Abs. 1 lit. f DSGVO drei Voraussetzungen kumulativ erforderlich. Erstens muss vom Verantwortlichen oder Dritten ein berechtigtes Interesse wahrgenommen werden; zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein; drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen.
Die Abwägung der jeweiligen gegenüberstehenden Rechte bedarf einer Beurteilung im Einzelfall (siehe zuletzt das Urteil vom 17. Juni 2021, C -597/19). Im konkreten Fall sind die angeführten Interessen der Verantwortlichen und das Recht der betroffenen Servicetechniker auf den Schutz ihrer personenbezogenen Daten gegenüberzustellen.
Die Verantwortliche bringt vor, neben gesetzlichen Verpflichtungen ein berechtigtes Interesse an der Verwendung des GPS-Systems zu haben. Es sei für sie von Interesse, dass die Aufzeichnungen betreffend Arbeitseinsatz, Arbeitszeit, Reisekostenabrechnung etc. korrekt geführt werden, weil sie eine Verantwortung gegenüber ihren Arbeitnehmern insofern habe, dass diese ihre Arbeitszeiten einhalten bzw. entsprechend entlohnt werden. Zusätzlich bestehe ein wirtschaftliches Interesse, die einzelnen Arbeitnehmer ökonomisch sinnvoll einzusetzen und unnötige Stehzeiten oder Umwege zu vermeiden. In Bezug auf die Kunden habe die Verantwortliche ein wirtschaftliches Interesse dahingehend, dass die erbrachte Leistung korrekt verrechnet werde bzw. sei ein schnelles Agieren auf Anfragen, insbesondere für die Kundenbindung, wichtig. Zusätzlich bestehe ein berechtigtes Interesse der Verantwortlichen an der Verwendung des Systems, um als Leasingnehmerin die Dienstfahrzeuge während der Arbeitszeit lokalisieren zu können.
Demgegenüber steht das Interesse der jeweiligen betroffenen Mitarbeiter, durch den Einsatz des GPS-Trackers während ihrer Arbeitszeit nicht kontrolliert bzw. überwacht zu werden.
In seinem Urteil vom 11. Dezember 2019, C-708/18, führte der EuGH zur zweiten Voraussetzung des Art. 7 lit. f der Richtlinie 95/46 (bzw. nunmehr Art. 6 Abs. 1 lit. f DSGVO), der Erforderlichkeit der Verarbeitung der personenbezogenen Daten für die Verwirklichung des wahrgenommenen berechtigten Interesses aus, dass sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken müssen (siehe beispielsweise auch EuGH, 4.5.2017, C-13/16 oder EuGH, 9.11.2010, C-92/09 und C-93/09). Mit anderen Worten stellt sich die Frage, ob der gleiche Schutzzweck durch ein gelinderes Mittel ebenfalls erlangt werden bzw. das angestrebte Ziel mit einer weniger eingriffsintensiven Datenverarbeitung erreicht werden kann.
Wenn die Verantwortliche vorbringt, dass durch die Kenntnis des aktuellen Standortes auf eine kurzfristige Einsatznotwendigkeit bzw. einen Neuauftrag oder Notfall reagiert werden könne, so ist dem entgegen zu halten, dass die Standortdaten des jeweiligen Mitarbeiters der Verantwortlichen durch die Innendienstkoordinatoren ohnedies bekannt sind und daher eine Zuteilung eines neuen Auftrages möglich ist, ohne dass es hierfür eines GPS-Gerätes bedürfte.
Wie vom Beschwerdeführer im Beschwerdeverfahren mit der GZ: D124.3940 glaubhaft in seinen Stellungnahmen vom 10. November 2021 und 17. November 2021 vorgebracht und wie sich ebenfalls aus der amtswegigen Recherche vom 14. Jänner 2022 ergibt, sind die Servicemitarbeiter für Wartungs- und Instandhaltungsaufträge zuständig. Diese machen einen hohen Prozentsatz (ca. 70%) der gesamten Aufträge aus. Für diese Serviceeinsätze werden fast immer auftrags- und personenbezogen zugeordnete Ersatzteile benötigt. Dies ergibt sich aus der amtswegigen Recherche vom 14. Jänner 2022 auf der Homepage der Verantwortlichen. Da denklogisch der jeweilige Servicetechniker nicht alle erforderlichen Ersatzteile mitführt, muss dieser die auftragsbezogenen Teile erst von einem anderen Ersatzteillager abholen. Folgerichtig ist hierdurch – zumindest in etlichen Fällen – keine spontane Auftragsannahme im herkömmlichen Sinn möglich.
Dieses Argument verfängt somit nicht.
Die Argumentation der Verantwortlichen, dass das GPS-System zur Führung eines digitalen Fahrtenbuches sowie der Unterbindung falscher Arbeitszeitaufzeichnungen installiert worden sei, ist nicht nachvollziehbar. Wie die Verantwortliche selbst in der Stellungnahme vom 29. November 2021 ausführte, gibt es keinen konkreten Nachweis, dass die Mitarbeiter jemals tatsächlich falsche Arbeitszeiten angegeben haben.
Für die Datenschutzbehörde ist nicht ersichtlich, inwieweit durch das GPS-System „L**Track“ eine erhebliche administrative Entlastung der Beschwerdegegnerin vorliegt. Die Mitarbeiter der Verantwortlichen mussten selbstständig die Arbeitszeiten eintragen sowie das Fahrtenbuch führen. Für die Verantwortliche muss denklogisch auch vor Einbau des „L**Track“-Systems anhand der von ihren internen Koordinatoren vorgenommenen Auftragsverteilung an ihre Servicetechniker ersichtlich gewesen sein, wo welcher Servicetechniker an den jeweiligen Tagen gearbeitet hatte bzw. aufhältig gewesen ist. Die Verantwortliche bestätigt dies auch in ihrer Stellungnahme vom 4. März 2020, wonach die Daten für sie auch ohne GPS-System aufgrund der täglichen Auftragsverteilung durch die Koordinatoren im Innendienst bekannt sind. Einen Anhaltspunkt für falsche Arbeitszeitaufzeichnungen gibt es nicht. Dies geht aus der Stellungnahme der Verantwortlichen vom 7. November 2021 hervor.
Dieses Argument verfängt somit auch nicht.
Im Übrigen war die Verrechnung gegenüber den Mitarbeitern (Reisekostenabrechnung, Berechnung Sachbezug, Überstundenzahlungen etc.) auch ohne Einsatz des verfahrensgegenständlichen GPS-Trackers möglich, weil die Verantwortliche die Verrechnung auch vor Einsatz des GPS-Trackers über die Koordinatoren bzw. den von den Mitarbeitern geführten Aufzeichnungen geführt hat.
Den vorangegangenen Ausführungen ist zu entnehmen, dass den Anforderungen an die Verhältnismäßigkeit der in Rede stehenden Datenverarbeitung nicht entsprochen wurde. Es steht fest, dass sich die ursprünglich ergriffenen Maßnahmen (wie beispielweise Koordinierung des Fuhrparkes bzw. der Aufträge durch die Koordinatoren sowie der Aufzeichnung in einem Fahrtenbuch etc.) als ausreichend erwiesen haben, um den gesetzlichen Verpflichtungen nachzukommen.
Ferner ist nochmals festzuhalten, dass es keine Anhaltpunkte für falsche Arbeitszeitaufzeichnungen noch für einen Diebstahl gibt.
Die Datenschutzbehörde verkennt nicht, dass die Datenverarbeitung durch einen GPS-Tracker eine Arbeitserleichterung sowie eine ökonomische Entlastung für die Verantwortliche darstellt. Dies alleine vermag jedoch eine Berufung auf Art. 6 Abs. 1 lit. f DSGVO nicht zu rechtfertigen.
Die Datenschutzbehörde kommt aufgrund vorgenannter Erwägungen zu dem Ergebnis, dass es an der Erforderlichkeit der Datenverarbeitung (zweiter Schritt der Prüfung) mangelt, weshalb eine Berufung auf Art. 6 Abs. 1 lit. f DSGVO ausscheidet.
Zum Vorliegen einer rechtlichen Verpflichtung
Wenn die Verantwortliche weiters vorbringt, sie stütze die Verwendung des GPS-Systems auf die Erfüllung gesetzlicher Verpflichtungen, ist wie folgt festzuhalten:
Gemäß Art. 6 Abs. 1 lit. c DSGVO ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
Unter einer rechtlichen Verpflichtung gemäß Art 6 Abs. 1 lit. c DSGVO ist jedenfalls eine Verpflichtung kraft objektiven Rechts (vgl. Frenzel in Paal/Pauly , Datenschutz-Grundverordnung Art. 6 Rz. 16) zu verstehen, die sich insbesondere aus einer mitgliedstaatlichen oder unionsrechtlichen Rechtsgrundlage ergeben kann und sich überdies unmittelbar auf die Datenverarbeitung bezieht (vgl. Kastelitz/Hötzendorfer/Tschohl in Knyrim (Hrsg.), DatKomm Art. 6 DSGVO Rz 39).
Wie der EuGH in ständiger Rechtsprechung festhält, sind zusätzlich zum Vorliegen zumindest eines Tatbestandes nach Art. 6 DSGVO auch alle Vorgaben des Art. 5 Abs. 1 DSGVO nachzuweisen (Urteil vom 22. Juni 2021, C-439/19, Rz 96).
Die Voraussetzung der Erforderlichkeit stellt sicher, dass die Verantwortliche ein vorgegebenes Ziel nicht zum Anlass nimmt, überschießend personenbezogene Daten zu verarbeiten. Aus der Bedingung der Erforderlichkeit ergibt sich, dass die Verantwortliche sich auf das von ihr durch die rechtliche Verpflichtung geforderte notwendige Maß beschränken muss und die Daten nicht über den geforderten Zweck und Umfang hinaus verarbeiten darf . Lässt ihr die rechtliche Verpflichtung die Möglichkeit, von der Verarbeitung und insbesondere der Weitergabe personenbezogener Daten abzusehen, entspricht es dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c), insoweit von der Verarbeitung personenbezogener Daten Abstand zu nehmen (vgl. Heberlein in Ehmann/Selmayr (Hrsg.), Datenschutz-Grundverordnung Art. 6 DSGVO und Buchner/Petri in Kühling/Buchner (Hrsg.) Kommentar zur Datenschutz-Grundverordnung Art. 6 DSGVO).
Die Verantwortliche stützt sich im Wesentlichen auf die Bestimmungen des AZG. Daher ist zu prüfen, ob die Bestimmungen des AZG eine rechtliche Verpflichtung zur Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 lit. c DSGVO durch ein GPS-System begründen.
Gemäß § 17b AZG hat der Arbeitgeber Aufzeichnungen über sämtliche geleistete Arbeitsstunden von Lenkern zu führen und alle Lenkeraufzeichnungen mindestens 24 Monate lang aufzubewahren. Diese Aufzeichnungen sind dem Arbeitsinspektorat lückenlos und geordnet nach Lenker und Datum zur Verfügung zu stellen. Die §§ 17 und 17a AZG verweisen in diesem Zusammenhang auf die Möglichkeit der Verwendung bzw. des Einsatzes eines digitalen Kontrollgerätes. Gem. § 13 Abs. 1 Z 5 AZG ist unter einem digitalen Kontrollgerät ein digitaler Fahrtenschreiber im Sinne des Art. 2 Abs. 2 lit. h der Verordnung (EU) Nr. 165/2014 zu verstehen. Nach dieser Verordnung ist ein digitaler Fahrtenschreiber ein Fahrtenschreiber, bei dem eine Fahrtenschreiberkarte im Einklang mit dieser Verordnung verwendet wird.
Die Datenschutzbehörde merkt zusätzlich an - wie auch von der Verantwortlichen selbst vorgebracht , dass bis Juli 2021 die Funktion des Fahrtenschreibers nicht freigeschaltet gewesen ist. Dies bedeutet, dass bis zu diesem Zeitpunkt gemäß § 17 Abs. 4 AZG ein Fahrtenbuch unabhängig vom L**Track-System zu führen gewesen ist und es auch keine Anzeichen dafür gab, dass fehlerhafte oder falsche Aufzeichnungen geführt wurden.
Im Summe erweist die Datenverarbeitung auf Basis von Art. 6 Abs. 1 lit. c DSGVO schon deshalb als unzulässig, weil der Zweck auch durch gelindere Mittel, welche eine geringere Datenverarbeitung mit sich bringen (Art. 5 Abs. 1 lit. c), erreicht werden könnte.
Es war daher spruchgemäß zu entscheiden.
Dieser Bescheid ist rechtskräftig.
Rückverweise
