GPS-Tracking von Firmenfahrzeugen

Das GPS-Tracking ist ein „typisches“ datenschutzrechtliches Thema: „Nichts Genaues weiß man nicht“. Solange Standortdaten mit der Person des Fahrers verknüpft werden können, also die Information „Aufenthaltsort einer natürlichen Person zu einer bestimmten Zeit“ in Datenform zur Verfügung steht (gleich, ob sie so auch genutzt wird), sind die entsprechenden Daten personenbezogen und fallen unter das Datenschutzrecht. Noch dazu unter den Beschäftigtendatenschutz, einer Querschnittsmaterie aus Datenschutzrecht und Arbeitsrecht, die mangels ausreichend klarer gesetzlicher Grundlagen in besonderem Maße mit viel Interpretationsspielraum behaftet ist. Bei der rechtlichen Prüfung, unter welchen Umständen ein Arbeitgeber (im arbeitsrechtlichen Sinne) und gleichzeitig Verantwortlicher (im datenschutzrechtlichen Sinne) solche Daten wie erheben darf, ist also von vornherein kein klares Ergebnis erwartbar. Der Gesetzgeber denkt über Klarstellungen nach. An dieser scheinbar so einfachen Thematik lässt sich gut aufzeigen, welche datenschutzrechtlichen Untiefen in Grundsatzfragen die Ermittlung einer juristisch sauber hergeleiteten Lösung erschweren.

Kann der Personenbezug vermieden werden?

Fangen wir von vorne an: Es dürfte kaum möglich sein, Firmenfahrzeugdaten zu anonymisieren und damit ihren Personenbezug – und die Anwendbarkeit des Datenschutzrechts – zu vermeiden. Denn ebenso, wie das einzelne GPS-Datum etwas über den Standort eines entsprechenden GPS-Empfängers, der in einem Firmen-Kfz verbaut ist, zu einem bestimmten Zeitpunkt aussagt, gibt es auch Dienstpläne und interne (sowie teils auch für Kundenbeziehungen produzierte) Protokoll-Daten, aus denen sich ergibt, welcher Mitarbeiter wann welches Firmen-Kfz gefahren ist. Unerheblich ist damit, ob ein Firmen-Kfz einem bestimmten Mitarbeiter fest zugewiesen ist („Dienstwagen“) oder dynamisch zugewiesen wird („Poolfahrzeug“). Die Standort- und Personenzuordnungsdaten können, selbst wenn sie getrennt beim Verantwortlichen gespeichert sind, zusammengeführt werden und sind damit nicht mehr anonym. Die Zusammenführung muss ungeachtet des Unternehmensgegenstands und der betrieblichen Notwendigkeit zuordenbarer Daten auch möglich bleiben, um z. B. Verwarnungen (Rotlichtverstoß etc.) und dergleichen dem Fahrer zuordnen zu können. Es bleibt allenfalls die genannte getrennte Speicherung als Gestaltung übrig, um datenschutzrechtliche Risiken durch technische und organisatorische Maßnahmen (TOMs) in Form der Pseudonymisierung der GPS-Daten abzumildern. Auch wenn diese Maßnahme datenschutzrechtlich positiv zu bewerten ist, sind pseudonyme Daten aber vollständig Gegenstand des Datenschutzrechts und begründen datenschutzrechtliche Pflichten des Verantwortlichen in vollem Umfang.

Die Befugnis, ein personenbezogenes Datum in bestimmter Weise verarbeiten zu dürfen, ist im Wesentlichen an zwei Faktoren gekoppelt: an den (vom Verantwortlichen selbst gesetzten) Zweck der Verarbeitung und an das Vorliegen einer gesetzlichen Rechtsgrundlage für Verarbeitungshandlungen zu diesem Zweck (Erlaubnistatbestand). Nur dann, wenn eine konkrete Verarbeitungshandlung sowohl für legitime Verarbeitungszwecke erforderlich als auch durch einen Erlaubnistatbestand abgedeckt wird, ist sie datenschutzrechtlich zulässig. Verarbeitungshandlung ist dabei jeder Umgang mit den Daten, beispielsweise das Erheben und Speichern (für eine bestimmte Speicherdauer), die inhaltliche Auswertung, das Zusammenführen mit anderen Daten oder die Übermittlung an Dritte.

Die Zweckdiskussion

Der erste Schritt ist demnach, einen legitimen Verarbeitungszweck zu suchen. Das ist einfacher gesagt als getan. Zwar ist die GPS-Ortung als solche keineswegs von vornherein datenschutzrechtlich „illegitim“, nein, der Grund für die Komplexität der Suche eines tauglichen Zwecks ist ein anderer. In der juristischen Diskussion geht es darum, verschiedene mögliche Verarbeitungszwecke in Bezug auf die GPS-Daten einerseits und bestimmte Verarbeitungshandlungen mit diesen Daten andererseits in ein Verhältnis zueinander zu setzen. Dabei ergibt sich bei genauerer Betrachtung häufig, dass die konkrete Verarbeitungshandlung für den definierten Zweck gar nicht erforderlich ist, mit anderen Worten: Der Zweck der Verarbeitung „trägt“ die gewünschte Verarbeitung nicht auf die konkret angestrebte Weise bzw. im konkret angestrebten Ausmaß. Höchstrichterliche Urteile im Kontext der GPS-Ortung von Firmenfahrzeugen, die derartige Fragen klar beantworten würden, gibt es bislang ohnehin nicht.

Ein Beispiel für einen aus dieser Perspektive „kritischen“ Zweck ist aus der Sicht beispielsweise des hessischen Datenschutzbeauftragten die von Verantwortlichen immer wieder genannte Überwachung von Vorfällen oder Unfällen. Ein Notruf oder ein direkter Anruf bei der Pannenhilfe erschienen dem hessischen Datenschutzbeauftragten „zielführender“ als eine kontinuierliche GPS-Überwachung, die tatsächlich nur dann „gebraucht“ wird, wenn etwas Ernstes geschieht – was bei manchen Fahrern in ihrem gesamten Berufsleben ausbleiben kann. Man kann diese Argumentation auch mit dem Gebot der Datenminimierung begründen, aber letztlich spiegelt auch dieses nur die Erforderlichkeit im Verhältnis zum Zweck wider, d. h. die Verarbeitung soll „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ werden.

Die Frage der Erforderlichkeit der Verarbeitungshandlung für den gewählten Zweck spiegelt sich auch noch in einem anderen Beispielsfall des hessischen Datenschutzbeauftragten wider, welcher auf den Zwecken Störungsbehebung und Effizienzsteigerung der Routenplanung aufbaut. Auch diese Zwecke rechtfertigen, so der Datenschutzbeauftragte, nur die Verarbeitung einzelner „Momentaufnahmen“, nicht aber eine Speicherung (bzw. kontinuierliche Aufzeichnung). Eine (punktuelle und nicht kontinuierliche) „Ortung zur reinen Standortbestimmung“ hält auch der Datenschutzbeauftragte NRW für zulässig, wenn sie zur Routenoptimierung erfolgt, d. h. um das nächstgelegene Fahrzeug zum Zeitpunkt eines neuen Auftrags bestimmen zu können. Auch die Erfassung von Beginn und Ende der Arbeitszeit im Sinne einer punktuellen Ortung bei den Ereignissen „verlässt den Betriebsparkplatz“ bzw. „kommt zurück zum Betriebsparkplatz“ ist danach möglich. Ähnliches gilt für den Zweck „Nachweis oder Rückverfolgung des Fahrtweges“: Wiederum rechtfertigt dieser Zweck für sich genommen nach Ansicht der Datenschutzbehörden keine kontinuierliche Ortung. Übrigens liegt der Zweck „Nachweis oder Rückverfolgung des Fahrtweges“ auch den gesetzgeberischen Vorgaben für Fahrpersonal zugrunde, auf die unten noch eingegangen wird.

Untergerichtliche Rechtsprechung aus der Zeit der Geltung der DSGVO (seit Mai 2018), in der ein GPS-Tracking im konkreten Fall für zulässig gehalten wurde, scheint nicht zu existieren. In den veröffentlichten Fällen wurde die Ortung im konkreten Fall letztlich immer für unrechtmäßig gehalten, und zwar nicht aufgrund eines schlechthin ungeeigneten Zwecks, sondern aufgrund der hier diskutierten (überschießenden) Verarbeitungshandlungen, die aus Sicht des jeweiligen Gerichts für das Erreichen des Zwecks nicht unbedingt erforderlich waren. Warum die Position eines Lkws kontinuierlich orten, auch ohne dass ein „Problemfall“ vorliegt? Warum die Positionsdaten für 150 Tage speichern, wenn es um die Zwecke Tourenplanung und Diebstahlschutz (oder noch generischer: Prävention unspezifischer Straftaten) geht? Auch in diesen konkreten Sachverhalten in Gerichtsentscheidungen ging es also meist um eine überschießende kontinuierliche Ortung (im Gegensatz zur anlassbezogenen, punktuellen Ortung). Solche rechtlichen „Sollbruchstellen“ lassen sich relativ leicht aus den konkreten Umständen des Einzelfalles konstruieren: Gerade wenn man sich auf eine sehr feingranulare (insbesondere auch noch technische) Betrachtungsebene begibt, wird man immer ein Detail in der Verarbeitungskette finden, das man als nicht mehr vom Zweck gedeckt ansehen kann. Im Ergebnis erscheinen damit sämtliche Lösungen „wackelig“, weil es mit wenigen Ausnahmen (dazu noch unten) keinen sicheren Hafen in Form von Urteilen, in denen die Zulässigkeit einer bestimmten Datenverarbeitung positiv festgestellt wurde, gibt.

Man mag nun versuchen, durch ein Kumulieren verschiedener Zwecke möglichst große Rechtssicherheit zu erlangen, getreu dem Motto: Wenn man zehn Zwecke notiert, wird schon einer die angestrebte Verarbeitungshandlung rechtfertigen. Das Verwaltungsgericht Wiesbaden hat dem einen bemerkenswerten Riegel vorgeschoben. Es ließ offen, ob die dort vom Verantwortlichen genannten Zwecke „effiziente Routengestaltung, Verhinderung von Diebstahl und Beweissicherung bei Zivilprozessen“ legitim sind, sah die Datenspeicherung (bis zu 400 Tage) aber schon als nicht geeignet an, diese Zwecke auch nur zu fördern, „sodass sich diese Zwecke als vorgeschoben erweisen“. Man muss deshalb als Verantwortlicher, wenn man einen Zweck nennt, auch in der Lage sein, die gesamte Bandbreite der darauf gestützten Verarbeitung (Speicherdauer, Übermittlung an Dritte, Zugriffsmöglichkeiten der Mitarbeiter auf die Daten, Verknüpfungsmöglichkeit mit anderen Datenquellen etc.) als „erforderlich“ für typische und tatsächlich „gelebte“ (Weiterverarbeitungs-) Szenarien innerhalb dieses Zwecks darstellen können. Allgemeinplätze als Zwecke, nur um eine möglichst große Bandbreite an Verarbeitungsszenarien rechtfertigen zu können, reichen nicht aus.

Ein legitimer Zweck, der als gesichert gelten kann, in der Praxis systematischer GPS-Ortung aber dennoch wenig Bedeutung aufweist, ist die – auch verdeckte – Überwachung bei einem vorliegenden, begründeten Anfangsverdacht einer Straftat gegen einen Mitarbeiter, wenn keine anderen Aufklärungsmittel zur Verfügung stehen. Die Überwachung dient dann der Aufklärung einer begangenen Straftat (bzw. arbeitsrechtlich Pflichtverletzung) und nicht – vergleichbar mit einer Vorratsdatenspeicherung – deren Prävention. Kein Unternehmen wird aber in seine Fahrzeugflotte präventiv GPS-Ortungsgeräte einbauen, die dann nur anlassbezogen – aber auch zur kontinuierlichen Datensammlung – eingeschaltet werden, wenn ein konkreter Anfangsverdacht einer Straftat besteht. Wenn es also nur um diesen einen Zweck geht, wird man sich eher mit einem mobilen GPS-Tracker behelfen, den man dem verdächtigten Fahrer unauffällig am Wagen platziert. Dies bedeutet im Ergebnis, dass die Möglichkeit der Aufklärung von konkreten Straftaten immer nur ein Zusatznutzen eines aus anderen (datenschutzrechtlich legitimen) Gründen verwendeten GPS-Systems in der Fahrzeugflotte sein wird, nicht aber der Auslöser für die breitflächige Ausstattung der Firmenfahrzeuge mit GPS-Systemen.

Das Beschäftigungsverhältnis mit dem Fahrer eines Firmen-Kfz ist kein tauglicher Verarbeitungszweck für dessen Bewegungsdaten, sondern ein Vertrag und damit Grundlage des datenschutzrechtlichen Erlaubnistatbestands „Vertrag“ (dazu noch unten). Verarbeitungszwecke des Verantwortlichen sind vielmehr aus dem Gegenstand bzw. der Organisation des Unternehmens und nicht aus der Sicht des einzelnen Mitarbeiters heraus zu entwickeln. Das, was ein Unternehmen im Rahmen seines Geschäftsbetriebes benötigt, spiegelt sich gerade in den vertraglichen „job descriptions“ der Mitarbeiter und in den in diesem Rahmen erteilten Anweisungen (z. B. zum nächsten Einsatzort zu fahren) wider. Diese sind aber kein eigenständiger (Verarbeitungs-) Zweck.

Wichtig ist deshalb im Ergebnis, den Zweck oder die Zwecke, zu denen GPS-Daten von Firmenfahrzeugen erhoben werden, vor Aufnahme der Verarbeitungshandlungen möglichst konkret zu dokumentieren und natürlich auch, warum die konkrete Verarbeitungshandlung für diesen Zweck „erforderlich“ ist. Die Zwecke werden sich meist aus den Notwendigkeiten der vom Unternehmen etablierten betrieblichen Organisation ergeben, beispielsweise Vermeidung von Leerfahrten, Routenoptimierung, Fahrzeugdisposition, nächtlicher Diebstahlsschutz etc. Kommen verschiedene Zwecke in Betracht, sollte der Fokus auf diejenigen Zwecke gelegt werden, die mehr Verarbeitungshandlungen „erfordern“. Zwecke aber, die bestimmte Verarbeitungshandlungen sicher – im Hinblick auf die „Erforderlichkeit“ – erlauben, sind schwer zu identifizieren.

Die Diskussion über den Erlaubnistatbestand

Noch theoretischer als die Zweckdefinition mag manchem datenschutzrechtlichen Laien die Diskussion über den nächsten Prüfungsschritt vorkommen: Die für einen vom Verantwortlichen selbst definierten, legitimen Verarbeitungszweck erforderliche Verarbeitungshandlung muss durch einen gesetzlichen Erlaubnistatbestand gedeckt sein, sonst wäre sie verboten.

Ein erster „Stolperstein“ ist hierbei, dass der Beschäftigtendatenschutz „eigentlich“ abschließend in § 26 Bundesdatenschutzgesetz (BDSG) geregelt sein sollte. Zwar wird seit langem ein eigenes Beschäftigtendatenschutzgesetz gefordert, weil § 26 BDSG relativ nichtssagend ist und im Grunde nur Inhalte wiederholt, die sich so aus der DSGVO ergeben, aber das war bislang nicht von Erfolg gekrönt. Die „Trivialität“ von § 26 BDSG hat schon den Europäischen Gerichtshof veranlasst, eine wortgleiche Regelung auf Landesebene für mit EU-Recht unvereinbar zu erklären, weil sie kurz gesagt nichts vom EU-Recht Abweichendes regelt.

Im Ausgangspunkt fordert der Beschäftigtendatenschutz im hiesigen Kontext, gleich ob man ihn in § 26 BDSG oder in der DSGVO selbst verankert sieht, dass eine Verarbeitung von Beschäftigtendaten für die Durchführung des Beschäftigungsverhältnisses erforderlich sein muss. Letztlich ist das inhaltsgleich mit dem DSGVO-Erlaubnistatbestand „erforderlich zur Erfüllung eines Vertrages mit der betroffenen Person“, hier in Gestalt des Anstellungsvertrages. Diese inhaltsgleichen Erlaubnistatbestände sind nicht nur auf „Personalaktendaten“ (Stammdaten) im Rahmen der administrativen Vertragsabwicklung anwendbar, sondern auch auf Bewegungs- bzw. Verlaufsdaten (wie GPS-Daten), die Beschäftigte bei der Ausübung ihrer vertragsgemäßen Tätigkeiten produzieren bzw. die über sie produziert werden. Man kann vereinfacht sagen, dass ein legitimer, aus dem Unternehmensgegenstand abgeleiteter Verarbeitungszweck über den Erlaubnistatbestand Vertrag insbesondere auf dessen „job description“ (als Inhalt der Leistungspflichten des Arbeitnehmers) rückgekoppelt wird. Ist für einen Lieferdienst die Routenplanung der einzelnen Lieferfahrzeuge unmittelbar aus dessen Unternehmensgegenstand ableitbar, so ist also weiter zu fragen, ob die entsprechende Datenverarbeitung auch vor dem Hintergrund des konkreten Aufgabenbereichs des einzelnen Mitarbeiters – und damit der betroffenen Person, deren Daten verarbeitet werden – erforderlich ist.

Alternativ lassen sowohl § 26 BDSG als auch die DSGVO zwar im Grundsatz auch eine (freiwillige) Einwilligung des Beschäftigten in die Verarbeitung zu, aber die Grenzen sind hier aufgrund der meist fehlenden Freiwilligkeit im Über-/Unterordnungsverhältnis („sonst schmeißen die mich raus“) so eng gezogen, dass eine wirksame Einwilligung in der Praxis kaum vorliegen wird. In den Erwägungsgründen der DSGVO heißt es dazu treffend: „Es sollte nur dann davon ausgegangen werden, dass die betroffene Person ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“

Diese beiden Erlaubnistatbestände (Vertrag und Einwilligung) könnten eine „Sperrwirkung“ für den in der DSGVO ebenfalls vorgesehenen Erlaubnistatbestand des (überwiegenden) berechtigten Interesses (des Verantwortlichen) entfalten. Denn das berechtigte Interesse ist inhaltlich vergleichbar mit einer mutmaßlichen Einwilligung einer „typischen“ betroffenen Person in der konkreten Situation: Würde ein „fairer“ bzw. vernünftiger Betroffener bei Abwägung der typisierten unterschiedlichen Interessen der beiden Seiten (betroffene Person selbst und Verantwortlicher) der Verarbeitung zustimmen? Dabei geht es nicht um die Abwägung tatsächlicher Interessen konkreter, möglicherweise „schrulliger“ Personen im Einzelfall, sondern um eine abstrakte Abwägung der vernünftigen, aber kollidierenden Interessen eines „typischen“ Verantwortlichen an einer bestimmten Verarbeitung und einer „typischen“ vernünftigen betroffenen Person an der (gegenläufigen) Unterlassung dieser Verarbeitung. Die Rechtsprechung vertrat schon vor Einführung der DSGVO den nachvollziehbaren Gedanken, dass dort, wo aufgrund einer direkten „Kommunikationsschnittstelle“ zwischen Verantwortlichem und betroffener Person die Möglichkeit besteht, letztere konkret zu fragen, ob sie in eine Verarbeitung einwilligt oder nicht, für eine Interessenabwägung kein Raum ist. Man kennt diese „Doppelbödigkeit“ von Einwilligung und Interessenabwägung auch aus (durchaus nicht unproblematischen) neueren Datenschutzhinweisen auf Websites, bei denen der Nutzer seine Einwilligung „abwählen“ kann, dann aber in einem zweiten Schritt auf einer weiteren Unterseite – die oft übersehen wird – noch seinen Widerspruch gegen eine auf dieselbe Verarbeitung gerichtete Interessenabwägung lancieren muss. Paradoxerweise gehen viele Datenschutzrechtler davon aus, dass der Erlaubnistatbestand Einwilligung noch viel zu viel genutzt wird, weil die Betroffenen die seitenlangen Einwilligungstexte nicht lesen und deshalb gleichzeitig über- und unterinformiert auf „Ja“ klicken. Im Kontext des Beschäftigtendatenschutzes spielt dieses Thema allerdings keine große Rolle, weil in den meisten Fällen mangels Freiwilligkeit der Einwilligung selbst eine ausdrücklich erteilte Einwilligung im Beschäftigungsverhältnis rechtlich bedeutungslos ist. Wenn aber die meisten Einwilligungen unwirksam sind, stellt sich noch viel mehr die Frage, warum dann eine mutmaßliche Einwilligung – d. h. eine legitimierende Interessenabwägung – möglich sein soll. In der juristischen „Forschung“ wird dieses Problemfeld unter dem Stichwort „innere Kohärenz der Rechtfertigungstatbestände“ untersucht mit dem Ergebnis, dass sich durchaus auch ein „Rangverhältnis“ der Erlaubnistatbestände ergeben kann, sodass nicht alle gleichwertig nebeneinander verwendet werden können. Die Erwägungsgründe der DSGVO selbst verwässern den nachvollziehbaren Gedanken, dass dort, wo eine Einwilligung erfragbar ist oder ein Vertragsverhältnis mit klaren Rechten und Pflichten besteht, eine außerhalb dieser Erlaubnistatbestände stattfindende Interessenabwägung nicht mehr in Betracht kommen kann, durch die Formulierung, dass ein berechtigtes Interesse „beispielsweise vorliegen könnte, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht“. Gerade in diesen Fällen ergibt sich aber eigentlich die Legitimation zur Verarbeitung gerade daraus, dass die jeweilige Vertragsbeziehung das erfordert. Ob man diesen Erwägungsgrund deshalb als Einladung an den Verantwortlichen verstehen darf, sich beliebige „vertragsfremde Zwecke“ auszudenken und neben dem Vertrag zu postulieren, ist fraglich. Den Verordnungsgeber kann man das nicht fragen.

Es bleibt also letztlich in der theoretischen Diskussion (bislang) offen, ob GPS-Daten von Beschäftigten noch nach einem anderen Maßstab als dem Beschäftigungsverhältnis selbst datenschutzrechtlich gerechtfertigt werden können. In der Praxis hingegen – auch der Gerichte – muss man in Bezug auf bestimmte Datenverarbeitungen wohl eher unterstellen, dass „der gesunde Menschenverstand gebietet, dass das irgendwie erlaubt sein muss“, und dann bahnt man sich seinen (argumentativen) Weg dahin, wenn man mit der „Durchführung des Beschäftigungsverhältnisses“ an Grenzen stößt. Damit läuft die Interessenabwägung als alternativer Erlaubnistatbestand Gefahr, die durch das Beschäftigungsverhältnis – insbesondere die „job description“ des Arbeitnehmers – gezogenen Grenzen zu unterlaufen und zu einem argumentativ leichter erreichbaren Universal-Rechtfertigungsmittel „neben“ dem Beschäftigungsverhältnis zu werden. Damit werden – im vertraglichen Kontext – vertragsfremde Zwecke datenschutzrechtlich „salonfähig“, von denen das Unternehmen viele ins Feld führen mag, deren dann vorgesehene Abwägung mit den Interessen der betroffenen Person aber wiederum auch vom Beschäftigungsverhältnis (und damit vom Arbeitsrecht und von Grundrechtserwägungen) geprägt wird. Die Grenzen zwischen dem (Anstellungs-) Vertrag als Erlaubnistatbestand und einer Interessenabwägung außerhalb von Vertragsverhältnissen verschwimmen damit bis zur Konturlosigkeit. All dies ist bislang nirgends rechtlich zufriedenstellend aufgearbeitet worden, was sich auch in der mäandernden Einzelfallrechtsprechung widerspiegelt.

Unabhängig davon stellt sich, wenn man beim Anstellungsvertrag als Erlaubnistatbestand bleibt, die Frage, ob das Beschäftigungsverhältnis inhaltlich beliebig ausgestaltet werden darf, um später auf dieser Basis dann auch beliebige Verarbeitungshandlungen „zur Durchführung des Beschäftigungsverhältnisses“ legitimieren zu können. In erster Näherung könnte man annehmen, dass eine Regelung im Anstellungsvertrag eines Lieferdienst-Fahrers, wonach er einen stets per GPS ortbaren Lieferwagen zu fahren hat, den Rahmen der „job description“ und gleichzeitig einen konkreten Zweck innerhalb des Beschäftigungsverhältnisses definiert. Darf ein Anstellungsvertrag also einfach alles vorgeben, was datenschutzrechtlich z. B. im Rahmen einer Interessenabwägung kritisch wäre, und damit die entsprechende Verarbeitungshandlung legitimieren?

Dies führt zu einer allgemeinen Diskussion um die datenschutzrechtliche „Tragfähigkeit“ von Vertragsinhalten, die ursprünglich im Bereich von Benutzungsverträgen im Zusammenhang mit datengetriebenen Technologien angestoßen wurde. So können dem Käufer eines Smart-TVs im Rahmen eines einheitlichen Benutzungsvertrages eine Vielzahl von Dauerschuldverhältnissen im Bereich der Nutzung von Services vertraglich „aufoktroyiert“ werden mit der Folge, dass die jeweils zugeordneten Datenverarbeitungshandlungen für die Erfüllung des geschlossenen Vertrages und den konkreten Zweck einer vertraglichen Einzelregelung erforderlich werden. Die Inhaltskontrolle derartiger Verträge durch das (deutsche) AGB-Recht – das übrigens auch für Anstellungsverträge gilt, aber dort eher ein Schattendasein führt – und das (europäische) Verbraucherschutzrecht erscheinen vielen Datenschützern als nicht ausreichend, um „übergriffige“ (und mit entsprechender Verhandlungsmacht ausgestattete) Vertragspartner in die Schranken zu weisen. Nach dem Europäischen Datenschutzausschuss ist dort „Schluss“, wo einzelne Verarbeitungstätigkeiten nicht mehr der Erfüllung der vom Betroffenen gewollten Leistungen dienen, sondern allein für das Geschäftsmodell des Verantwortlichen notwendig sind. Es ist also durchaus möglich, dass Klauseln in Anstellungsverträgen, wonach eine GPS-Ortung des vom Angestellten genutzten Firmenfahrzeugs „Teil des Vertrages“ ist, datenschutzrechtlich als „für den Kern der geschuldeten Tätigkeit nicht erforderlich“ eingestuft und damit nicht als tauglicher Erlaubnistatbestand angesehen werden. Für derartige Fälle verweist der Europäische Datenschutzausschuss (im Kontext von Verbraucherverträgen) auf die Möglichkeit einer separaten, freiwilligen und widerruflichen Einwilligung, die es im Beschäftigungskontext aber nur in seltenen Ausnahmefällen gibt (s. o.) und die eine kontinuierliche GPS-Ortung nicht rechtfertigen könnte. Auf den oben zitierten Satz aus den Erwägungsgründen der DSGVO, dass gerade in derartigen (Kunden- oder Anstellungs-) Vertragsverhältnissen der Erlaubnistatbestand der Interessenabwägung für „vertragsfremde“ Zwecke in Frage kommt, geht der Europäische Datenschutzausschuss in diesem Zusammenhang nicht ein.

Zu diesen Grenzen im Datenschutz selbst, um den Betroffenen gegen allzu „mächtige“ Verantwortliche zu schützen, kommen arbeitsrechtliche Grenzen, wenn auch weniger aus dem „technischen“ Bereich des AGB-Rechts (d. h. Inhaltskontrolle der Regelungen eines vorformulierten Anstellungsvertrages auf „Angemessenheit“) als aus den in das Beschäftigungsverhältnis „gespiegelten“ Grundrechten des Arbeitnehmers. Als Beispiel hierfür kann eine Argumentation des Europäischen Gerichtshofs für Menschenrechte (EGMR) aus dem Jahr 2022 auf Basis von Art. 8 der Europäischen Menschenrechtskonvention zum Thema GPS-Ortung von Dienstwagen dienen. Nach dieser Entscheidung müssen die staatlichen Gerichte jedenfalls sicherstellen, dass Überwachungsmaßnahmen des Arbeitgebers, die das Grundrecht des Arbeitnehmers auf Achtung seines Privatlebens beeinträchtigen, verhältnismäßig und von angemessenen und ausreichenden Garantien gegen Missbrauch begleitet sind. Dies engt (auch) die Möglichkeiten ein, in Anstellungsverträgen beliebige Ortungsmöglichkeiten festzuschreiben, die in der Folge zu Überwachungsmöglichkeiten führen, gleich, ob diese beabsichtigt waren. Zwar sind die einzelnen Gesichtspunkte, die nach Ansicht des EGMR in die Abwägung einbezogen werden müssen, auch datenschutzrechtlich in unterschiedlichen Prüfschritten relevant, aber was speziell den Bereich des Erlaubnistatbestands anbelangt, geht es nach dem EGMR in erster Linie darum, „berechtigte Gründe“ des Arbeitgebers und mögliche Folgen für den Betroffenen abzuwägen.

Eine weitere Frage ist, ob neben den bisher dargestellten Erlaubnistatbeständen eine Betriebsvereinbarung einen eigenständigen Erlaubnistatbestand darstellen kann. Nach § 26 BDSG ist die Verarbeitung von Beschäftigtendaten auch „auf der Grundlage von Kollektivvereinbarungen“ zulässig. Ungeachtet des Umstands, dass der Einsatz von technischen Einrichtungen, die objektiv geeignet sind, das Verhalten oder die Leistung von Arbeitnehmern zu überwachen (unabhängig davon, ob diese Überwachungsmöglichkeit wahrgenommen wird) – also auch Geräten zur GPS-Ortung in Firmenfahrzeugen –, betriebsverfassungsrechtlich der Mitbestimmung durch den Betriebsrat unterliegt, scheinen sich hier auf den ersten Blick bei entsprechendem Konsens weitreichendere Möglichkeiten für die Datenverarbeitung zu ergeben. Beim Europäischen Gerichtshof liegt jedoch seit 2022 ein Vorabentscheidungsersuchen des Bundesarbeitsgerichts vor zu der Frage, ob diese gesetzliche Formulierung vor dem Hintergrund der DSGVO zulässigerweise einen eigenständigen Erlaubnistatbestand schaffen kann. Das Bundesarbeitsgericht sieht dies selbst kritisch, weil damit die gesamte DSGVO im Bereich des Beschäftigtendatenschutzes unterlaufen werden könnte. Insbesondere wäre die Datenverarbeitung aufgrund von Betriebsvereinbarungen gerichtlich nicht mehr überprüfbar. Das würde auch gelten, wenn man den Parteien der Betriebsvereinbarung auch nur einen „gerichtlich nicht überprüfbaren „Beurteilungsspielraum“ zugestehen würde. Derzeit ist deshalb davon auszugehen, dass sich hieraus keine neuen Erkenntnisse bzw. Gestaltungsmöglichkeiten im Hinblick auf die oben besprochenen Erlaubnistatbestände ergeben werden.

Wie gesagt, werden einem datenschutzrechtlichen Laien nach solchen „Irrungen und Wirrungen“ die Ohren klingeln. Man kann zum Erlaubnistatbestand zusammenfassen, dass am Ende alles „in der Sache selbst“ auf eine umfassende, oftmals nicht explizit vorgenommene Abwägung gegenseitiger Interessen hinausläuft, auch wenn die unterschiedlichen datenschutzrechtlichen Erlaubnistatbestände der DSGVO eine solche Abwägung nur für das berechtigte Interesse explizit fordern. So sind auch die veröffentlichten Gerichtsentscheidungen in diesem Gebiet alles andere als „dogmatisch stringent“; der gesunde Menschenverstand des jeweiligen Richters und Urteilsverfassers scheint hindurch und findet dann schon einen gesetzlichen Anknüpfungspunkt, in den er seine „vernünftigen“ Erwägungen hineinlesen kann. In der Rechtstheorie spricht man in derartigen Situationen übrigens davon, dass sich das Gesetz durch diesen „Auffüllmechanismus“ als klüger als der Gesetzgeber entpuppen kann – eine sehr treffende Beschreibung, wenn man die Gesetzgebungshistorie besonders der DSGVO bedenkt.

Unabhängig von diesen Erlaubnistatbeständen Einwilligung, Vertrag und Interessenabwägung ist ein datenschutzrechtlich sicherer Hafen die Einhaltung zwingender gesetzlicher Vorgaben, etwa zur Arbeitszeiterfassung oder für einen digitalen Fahrtenschreiber. Was der Gesetzgeber an Datenverarbeitung vorschreibt, ist datenschutzrechtlich auch erlaubt – hierzu besteht ein eigener weiterer Erlaubnistatbestand in der DSGVO. Allerdings verlangt auch die für die Aufzeichnung von Standortdaten primär einschlägige Verpflichtung nach § 2 FPersV, Art. 8 Abs. 1 VO (EU) 165/2014 nur eine Aufzeichnung des Standorts zu Beginn und zum Ende der täglichen Arbeitszeit, zum Zeitpunkt der Überschreitung der Grenzen von EU-Mitgliedstaaten, bei jeder Be- oder Entladung des Fahrzeugs und nach jeweils drei Stunden kumulierter Lenkzeit. Eine kontinuierliche Aufzeichnung ist danach gerade nicht gefordert, sodass umgekehrt der Zweck der Einhaltung des Gesetzes gerade keine kontinuierliche Aufzeichnung erfordert. Art. 8 Abs. 2 der genannten EU-VO gibt sogar explizit vor: „Andere Standortdaten als die – soweit möglich – in geografischen Koordinaten ausgedrückten Daten zur Bestimmung der Standorte gemäß Absatz 1 dürfen im Fahrtenschreiber nicht dauerhaft gespeichert werden. Standortdaten, die vorübergehend gespeichert werden müssen, um die automatische Aufzeichnung der Punkte gemäß Absatz 1 zu ermöglichen oder um den Bewegungssensor abzugleichen, dürfen für keinen Nutzer zugänglich sein und müssen automatisch gelöscht werden, sobald sie für diese Zwecke nicht mehr benötigt werden.“ Selbstredend dürfen die zu gesetzlichen Zwecken verarbeiteten Daten dann auch zunächst einmal nur für diesen Zweck verarbeitet werden; dient dieselbe Verarbeitung auch anderen Zwecken, sind diese natürlich datenschutzrechtlich separat zu definieren und ein entsprechender Erlaubnistatbestand muss identifiziert werden.

Wurde nun nach alledem innerhalb eines gesetzten Zwecks für eine dafür erforderliche Verarbeitungshandlung ein datenschutzrechtlicher Erlaubnistatbestand aus dem Kanon der DSGVO identifiziert, ist die entsprechende Verarbeitungshandlung als solche zunächst einmal inhaltlich zulässig. Mit welchen „Begleiterscheinungen“ sie aber einherzugehen hat, bestimmt sich nach vielen weiteren Regelungen der DSGVO. Dazu zählen die Verwendung „datenschutzfreundlicher“ Technik („privacy by design“), die Gewährleistung der Sicherheit der Verarbeitung durch technisch-organisatorische Maßnahmen (TOMs), die Transparenz gegenüber den Betroffenen und die rechtzeitige und effektive Löschung der Daten.

Transparenz gegenüber den Betroffenen

Bisweilen wird im Rahmen der Differenzierung zwischen „verdeckter“ und „offener“ Ortung davon gesprochen, dass das Ausmaß an Transparenz über die stattfindende Ortung gegenüber der betroffenen Person im Rahmen der Prüfung der Zulässigkeit der Verarbeitung zu berücksichtigen ist – im Sinne von „je mehr Transparenz, desto mehr ist zulässig“. Das mag zwar nach landläufiger Ansicht im Rahmen einer Interessenabwägung eine Rolle spielen – darauf ist unten noch zurückzukommen –, aber eigentlich ist die Transparenz der Verarbeitung eine datenschutzrechtliche Grundvoraussetzung der Durchführung der Erhebung personenbezogener Daten, von der im Normalfall gar nicht abgewichen werden kann. Die Frage lautet also nicht „Kann nur eine offene bzw. gegenüber dem Betroffenen transparente Ortung datenschutzrechtlich rechtfertigt werden?“, sondern die Aussage muss sein „Wenn eine Ortung stattfindet, stellt sie eine Erhebung personenbezogener Daten dar, über die der Betroffene nach Art. 13, 14 DSGVO umfangreich zu informieren ist“. Mit einer über die Pflichtinformationen hinausgehenden (also überobligatorischen) „Transparenz“ ist dann allenfalls eine längliche Prosa-Aufklärung über die Hintergründe gemeint, die dem Betroffenen die Verarbeitung erklären bzw. „schmackhaft“ machen soll. Auf den Sinn oder Unsinn dieser Transparenz-Stufen kommen wir gleich zurück.

Die datenschutzrechtlichen Pflichtinformationen sind dem Betroffenen entweder zu Beginn des Beschäftigungsverhältnisses, oder, wenn das Tracking erst danach eingeführt wird, zu diesem Zeitpunkt zur Verfügung zu stellen. Ebenso muss der Betroffene wissen, ob Daten über seinen Standort „im Moment“ aufgezeichnet (d. h. erhoben) werden oder nicht. Fehlen diese Informationen, liegt ein (eigenständiger) Datenschutzverstoß vor, und zwar unabhängig davon, ob eine Legitimationsgrundlage für die Verarbeitung besteht oder nicht.

Ist der zugrundeliegende Erlaubnistatbestand eine Interessenabwägung, so kommen verschiedene juristische Literaten zu dem Schluss, dass schon im Rahmen dieser Abwägung eine weitreichende Information der betroffenen Person über die Verarbeitung auch „mehr Verarbeitung“ rechtfertigt. Dem liegt die Hypothese zugrunde, dass, je transparenter die Verarbeitung für die betroffene Person ist (bzw. je freimütiger der Verantwortliche dazu informiert), desto eher diese Person im Rahmen einer „mutmaßlichen Einwilligung“ bereit wäre, der Verarbeitung zuzustimmen. Die Erwägungsgründe reflektieren dies etwas anders unter dem Stichwort der Absehbarkeit für die betroffene Person: Wenn diese zum Zeitpunkt der Erhebung (durch entsprechende Transparenz) „vernünftigerweise absehen“ kann, dass möglicherweise eine Verarbeitung für einen bestimmten Zweck erfolgen wird, ist dies in die Abwägung einzubeziehen. In der Zielrichtung läuft das aber eigentlich nicht darauf hinaus, durch „viel Transparenz“ dem Verantwortlichen „viel Verarbeitungslegitimation“ zuzuschanzen, sondern die Stoßrichtung der DSGVO ist umgekehrt formuliert: „Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen.“

All das führt nur zu der oben aufgeworfenen Frage zurück, ob man überhaupt eine Interessenabwägung im inhaltlichen Sinne einer mutmaßlichen Einwilligung eben gerade aufgrund erhöhter (tatsächlicher) „Aufklärung“ als tauglich ansehen kann, wenn doch die betroffene Person, bildlich gesprochen, „vor einem steht und ebenso gut nach ihrer tatsächlichen Einwilligung gefragt werden kann“ (auch wenn diese dann aus anderen Gründen im Beschäftigungskontext meist nicht wirksam sein wird). In der Praxis hingegen ist aus der Interessenabwägung, wie oben dargestellt, längst ein „Ersatz der Einwilligung“ geworden, womit die betroffene Person datenschutzrechtliche Autonomie verliert, weil ihr eine Abwägung „objektivierter“ Interessen gleichsam „aufgedrängt“ wird, gegen die sie sich mit einem Widerspruch nur „aus Gründen, die sich aus ihrer besonderen Situation ergeben“ (Art. 21 DSGVO), wehren kann – nicht aber dann, wenn sie mit einer von den Aufsichtsbehörden und den Gerichten (später) für zulässig erklärten Abwägung objektivierter Interessen grundsätzlich nicht einverstanden ist. Man kann deshalb, Transparenz hin oder her, im Kontext der Interessenabwägung nur höchst eingeschränkt von einem effektiven Selbstbestimmungsrecht der betroffenen Personen im Zusammenhang mit ihren personenbezogenen Daten sprechen, und das wird zusätzlich untergraben, wenn man ihr desto mehr Verarbeitung „unterschieben“ kann, je mehr man ihr die Verarbeitung erklärt. Automatisch „williger“ wird die betroffene Person dadurch nicht, und inhaltlich gewichtiger werden die Verarbeitungsinteressen des Verantwortlichen durch die Transparenz auch nicht. Letztlich stellt sich der Erlaubnistatbestand der Interessenabwägung – mit rechtlicher „Pseudopräzision“ – als ein Auffangtatbestand für sämtliche Verarbeitungshandlungen dar, die auch über den Kopf des Betroffenen hinweg zulässig sein sollten, weil sonst die Welt nicht mehr so funktionieren könnte, wie wir sie kennen.

Dennoch: Wer als Verantwortlicher die GPS-Ortung der eigenen Firmenfahrzeuge weitreichend legitimieren möchte, der verhält sich möglichst transparent gegenüber den Betroffenen über die Erhebung und vor allem über die Modalitäten der weiteren Verarbeitung der Daten (d. h. angeschlossene Systeme, Auswertungsmöglichkeiten, Fortspeicherung etc.). Damit werden der betroffenen Person nicht nur die obligatorischen Pflichtinformationen zugänglich gemacht, sondern darüber hinaus nach landläufiger Meinung auch die Chancen für eine für den Verantwortlichen positive Abwägung im Rahmen des Erlaubnistatbestandes Interessenabwägung erhöht.

Die Elemente datenschutzrechtlicher Pflichtinformationen sollen hier, im Kontext einer GPS-Ortung von Firmenfahrzeugen, nicht noch einmal im Detail besonders dargestellt werden. Besonderes Augenmerk sollte aber in jedem Fall darauf gelegt werden, die Weiterübermittlung an Dritte richtig darzustellen. Wenn ein Unternehmen seinen Kunden die Mobilfunknummer (und ggf. den Namen) eines Fahrers für Rückfragen anzeigt und gleichzeitig die Position des zugehörigen Lieferwagens (und die Anzahl der noch ausstehenden Lieferadressen) im Zeitraum vor der Auslieferung, kann es sich auch aus der Perspektive des Kunden um (ihm übermittelte) personenbezogene Daten handeln. Damit kann ein Kunde durchaus auch die Länge und GPS-Position einer Pause oder einen auffälligen Umweg zwischen zwei Lieferadressen überwachen. Welche derartigen Datenweitergaben als eigenständige Verarbeitungshandlungen durch das Beschäftigungsverhältnis oder eine Interessenabwägung gerechtfertigt werden können, muss in diesem Fall sehr genau geprüft werden.

„Privacy by design“ und TOMs

Neben der Transparenz gegenüber der betroffenen Person durch umfangreiche Informationen über die Verarbeitung lautet eine Grundforderung der DSGVO: Wenn schon Datenverarbeitung, dann wenigstens technisch möglichst „schmal und sicher“. Nach der „privacy by design“-Vorgabe (Art. 25 DSGVO) müssen schon beim Design bzw. bei der Beschaffung der Geräte, Schnittstellen, Datenformate, Übertragungsprotokolle und Prozessabläufe die Datenschutzgrundsätze wie Zweckbindung, Datenminimierung und Speicher(zeit)begrenzung so weitgehend wie dem Verantwortlichen zumutbar beachtet werden. Dasselbe gilt dann natürlich auch für die spätere tatsächliche Durchführung der Verarbeitung, einerseits für die Anwendung des zuvor definierten (Prozess-) Designs und bei der Anwendung der dazu beschafften Mittel, andererseits für die weitere (feingranulare) Strukturierung der Datenverarbeitung in diesem Rahmen. Diese Vorgaben überschneiden sich mit der allgemeinen Anforderung der DSGVO, hinsichtlich der verarbeiteten Daten „ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ (Art. 32 DSGVO), welche dann zur Definition und Anwendung technisch-organisatorischer Maßnahmen (TOMs) zur Umsetzung solcher Schutzmaßnahmen führt.

Am Beispiel der technischen Anforderungen an den „digitalen Fahrtenschreiber“ aus dem oben zitierten Art. 8 der VO (EU) 165/2014 kann man die sich hier aus der Sicherheit der Verarbeitung und der Verwendung datenschutzfreundlicher Technik ergebenden Fragen umreißen: Zeichnet der GPS-Empfänger ständig GPS-Koordinaten auf, gibt diese aber – je nach Einstellung – nur zu einzelnen Zeitpunkten weiter? Wer ist befugt, solche technischen Einstellungen abzuändern und wer kann solche Abänderungsrechte erteilen bzw. entziehen (Berechtigungskonzept)? Werden die Auslöser („triggering events“) für eine Standortmessung sicher generiert? Wenn der GPS-Empfänger nur zu bestimmten Zeitpunkten „aktiv“ wird und dann auf Anforderung ein momentanes Positionsdatum liefert: Wie wird sichergestellt, dass diese Aktivierung zu den rechtlich „richtigen“ Zeitpunkten geschieht und nicht zu häufig? Ist die Übertragung der Standortdaten auf vom Verantwortlichen betriebene Server sicher? Wer hat Zugriff auf unternehmensinterne Datenbanken, in denen die GPS-Koordinaten gespeichert werden („need to know“)? Wie werden diese GPS-Rohdaten aufbereitet und anderen Systemen des Unternehmens zur Routenplanung oder Kundeninformation zur Verfügung gestellt? Werden technische Kopien für die Verteilung von Daten zwischen Systemen (Export-Dateien etc.) frühzeitig und sicher gelöscht? Werden die Standortdaten auch im Übrigen sicher und rechtzeitig überall beim Verantwortlichen gelöscht? Über allem steht dabei die Fragestellung: Welche Missbrauchsszenarien (d. h. eigene oder fremde Datenschutzverstöße) sind – auch durch Zusammenführung mit anderen Daten über dieselbe betroffene Person – im Rahmen der Verarbeitung denkbar und realistisch und wie kann man ihnen begegnen?

Es wird deutlich, dass die Beantwortung dieser Fragen eine umfassende Risikoanalyse bezüglich der GPS-Daten und ihrer Verarbeitung beim Verantwortlichen voraussetzt, in deren Rahmen das „Gefahrenpotenzial“ der Verarbeitung für die betroffenen Personen ermittelt werden muss (welcher Schaden kann für die betroffene Person entstehen?). Dies wird auch als „Schutzbedarfsfeststellung“ in Bezug auf die Daten und unter Berücksichtigung der konkreten Geschäftsprozesse beim Verantwortlichen bezeichnet. Die dann auf dieser Basis zu ergreifenden risikoabschirmenden Maßnahmen (und deren Kosten) – eingeschlossen die Modellierung von unternehmensinternen Prozessen beim Verantwortlichen – müssen mit diesem Risikoniveau korrelieren. Was das im konkreten Fall im Detail bedeutet, kann rechtlich nur sehr grob bestimmt werden; dafür ist die Sprache der DSGVO zu unbestimmt.

Besondere Kategorien personenbezogener Daten

Bei der vorstehend skizzierten Risikoanalyse stößt man angesichts jüngerer Urteile des Europäischen Gerichtshofs immer häufiger auf eine Problematik, deren Folgen in der Praxis bislang wenig verstanden wurden. Die DSGVO kennt neben „normalen“ personenbezogenen Daten auch solche „besonderer Kategorien“, die unter ein strengeres Regelungsregime fallen, insbesondere wesentlich enger gefassten Erlaubnistatbeständen als „normale“ personenbezogene Daten. Nach dem Europäischen Gerichtshof ist ein besonders sensibles personenbezogenes Datum nicht nur (exemplarisch) ein explizites Gesundheitsdatum („Herr X ist krank“), sondern sind auch solche Daten bereits sensibel, aus denen auf den Gesundheitszustand einer betroffenen Person geschlossen werden kann. Ein GPS-Tracking kann bedeuten, dass der Standort des Fahrers auch dann erhoben wird, wenn sich dieser in einer Pause z. B. bei einem Facharzt aufhält. Dann ist sowohl für den Arbeitgeber (Verantwortlichen) als auch möglicherweise sogar für dessen Kunden aus dem Standort eine Ableitung sensibler Gesundheitsinformationen im Einzelfall möglich, auch wenn eine Erhebung von Gesundheitsdaten vom Arbeitgeber gar nicht beabsichtigt ist. Es handelt sich dabei um eine „zufällige“ Datenerhebung durch den Verantwortlichen, die dieser in dieser Dimension gar nicht beabsichtigt hat.

Wenn man nun als Verantwortlicher zu dem Schluss kommen würde, dass eine zufällige Verarbeitung personenbezogener Daten besonderer Kategorien im konkreten Verarbeitungsprozess zwar theoretisch möglich, in der Praxis aber extrem unwahrscheinlich ist, muss man dennoch berücksichtigen, dass der Europäische Gerichtshof Datenbestände, in denen personenbezogene Daten besonderer Kategorien enthalten sein „können“ (ohne dass der Verantwortliche das positiv weiß), bis zum Beweis des Gegenteils als Daten solcher Qualität behandelt wissen will. Diese müssen also dem „Sonderregime“ des Art. 9 DSGVO für personenbezogene Daten besonderer Kategorien entsprechend verarbeitet werden. Eine erste „Abwehrstrategie“ des Verantwortlichen muss hier darin bestehen, anhand des Designs der Verarbeitungsmittel (Stichwort „privacy by design“, s. o.) nachweisen zu können, dass eine Erhebung von Daten besonderer Kategorien nicht stattfindet bzw. stattfinden kann. Eine niedrige Wahrscheinlichkeit reicht für diesen Nachweis nicht, weil das Datenschutzrecht das einzelne Datum schützt und nicht darauf verzichtet, nur weil der „Topf“ der Daten groß ist.

Kann eine solche Verarbeitung nicht systematisch ausgeschlossen werden, geht es weiter um die vom Europäischen Gerichtshof zwar so nicht weitergedachte, in der datenschutzrechtlichen Literatur aber diskutierte Frage, wie ein Verantwortlicher verhindern kann, dass der gesamte GPS-Datenbestand als sensible Daten klassifiziert wird. Dazu sollte der Verantwortliche „hinreichende Vorsorgemaßnahmen“ getroffen haben, um seine nicht bestehende Auswertungsabsicht hinsichtlich des sensiblen Aspekts der Daten zu untermauern. Dies geschieht in Form entsprechender TOMs (einschließlich eines effektiven Designs der Verarbeitungsmittel). Wie das in der Praxis aussehen kann, ist offen.

Die rechtlichen Folgen einer Verarbeitung von Daten besonderer Kategorien durch den Arbeitgeber und Verantwortlichen – also das, was oben als „strengeres Regelungsregime“ bezeichnet wurde – sind nicht zu unterschätzen. Zum einen ist eine Verarbeitung auf Basis von gesetzlichen Vorschriften, welche die Verarbeitung grundsätzlich vorschreiben, nicht mehr möglich. Nur ein besonders „qualifiziertes“ Gesetz, welches „angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht“, darf zur Verarbeitung besonderer Kategorien personenbezogener Daten ermächtigen. Die VO (EU) 165/2014 oder § 2 FPersV würden in diesem Kontext keinen tauglichen Erlaubnistatbestand mehr abgeben – ebenso wenig wie Steuergesetze. Andererseits scheidet auch ein Vertrag – und damit das Beschäftigtenverhältnis – als Erlaubnistatbestand aus. Eine ausdrückliche Einwilligung bleibt zwar möglich, ist aber im Beschäftigungskontext kaum als freiwillige Einwilligung denkbar. Ein spezifischer Erlaubnistatbestand der DSGVO für die Verarbeitung sensibler Daten im Beschäftigungsverhältnis bezieht sich (lediglich) auf die Erfüllung von Pflichten bzw. die Geltendmachung von Rechten „aus dem Arbeitsrecht“, etwa die Erfassung von Krankentagen oder Angaben zur Konfessionszugehörigkeit für die Erhebung der Kirchensteuer. Es ist kaum denkbar – und bislang auch nicht behauptet worden –, dass dies GPS-Standortdaten aus dem normalen Arbeitsalltag umfasst, wenn auch biometrische Daten zur Benutzung in Zutrittsbeschränkungssystemen als Beispiel für eine Verarbeitung sensibler Daten unter diesem Erlaubnistatbestand genannt werden.

Es liegt nahe, dass auf diese Thematik in Zukunft größeres Augenmerk gelegt werden muss, nachdem die (Grundlagen-) Daten, aus denen ihrerseits sensible Daten abgeleitet werden können bzw. auf solche geschlossen werden kann, bislang in der täglichen datenschutzrechtlichen Praxis kaum aus diesem (weiteren) Blickwinkel betrachtet wurden. In der internen Dokumentation der Verarbeitung von Standortdaten sollte dieses Thema daher dargestellt und entweder die Erhebung solcher Daten kategorisch ausgeschlossen oder effektive Vorsorgemaßnahmen zur „Nicht-Ausschöpfung“ des sensiblen Potenzials solcher Daten hergeleitet und in Form von TOMs aufgezeigt und umgesetzt werden.

Datenschutz-Folgenabschätzung

Je riskanter die Verarbeitung der Daten ausfällt, desto eher gelangt der Verantwortliche in den Bereich der verpflichtenden Datenschutz-Folgenabschätzung (Art. 35 DSGVO). Hiernach ist – im Kontext der ohnehin vorzunehmenden Risikoanalyse – die konkrete Verarbeitung hinsichtlich ihrer Art, ihres Umfangs, der weiteren Umstände und der definierten Verarbeitungszwecke zu bewerten und festzustellen, ob ein „hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ droht. Die Datenschutzbehörden können dazu „Positivlisten“ definieren, in welchen Konstellationen eine Datenschutz-Folgenabschätzung vorgenommen werden muss, und auch die DSGVO enthält „Musterbeispiele“, etwa bei Profiling oder bei einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten.

Nach der Positivliste der deutschen Datenschutzaufsichtsbehörden verpflichtet eine „Geolokalisierung von Beschäftigten“ zur Durchführung einer Datenschutz-Folgenabschätzung, wenn hierbei eine „umfangreiche“ Verarbeitung stattfindet. Als Beispiele werden hier folgende Fälle genannt: „Ein Unternehmen lässt Bewegungsprofile von Beschäftigten erstellen (per RFID, Handy-Ortung oder GPS) zur Sicherung des Personals (Wachpersonal, Feuerwehrleute), zum Schutz von wertvollem Eigentum des Arbeitgebers oder eines Dritten (LKW mit Ladung, Geldtransport) oder zur Koordination von Arbeitseinsätzen im Außendienst.“ Hieraus wird ersichtlich, dass die Datenschutzaufsichtsbehörden auf den Gesichtspunkt des Profilings abstellen, auch wenn die Definition von Profiling in der DSGVO das Unterworfensein des Mitarbeiters in Bezug auf eine Entscheidung des Arbeitgebers, die „ausschließlich auf einer automatisierten Verarbeitung“ beruht, wenn die Entscheidung „ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“. Die klassischen Fälle, in denen aufgrund von Daten eine Entscheidung gefällt wird, welche die betroffene Person erheblich beeinträchtigt, betreffen allerdings verweigerte Vertragsabschlüsse und Belästigungen. Fälle, in denen bestimmte Muster in GPS-Standortdaten „automatisiert“ zu Abmahnungen oder Kündigungen von Beschäftigten geführt haben, sind bislang nicht bekannt. Es ist wesentlich wahrscheinlicher, dass derartige Maßnahmen zwar GPS-Standortdaten als „Input“ (von Verdachtsmomenten) und „Trigger“ (von weiterer Sachverhaltsaufklärung) erfordern, aber letztlich von Menschen in einer Personalabteilung im Rahmen einer Würdigung der Umstände getroffen werden und nicht von einer „Programmroutine“. Die Gefahr, dass personenbezogene Daten z. B. zu einer Kündigungsentscheidung herangezogen werden, macht die Verarbeitung dieser Daten noch nicht zum Profiling.

Die Entscheidung der Aufsichtsbehörden aus dem Jahr 2018, die „umfangreiche“ Erhebung derartiger Standortdaten als Fall der Datenschutz-Folgenabschätzung zu klassifizieren, muss daher – sechs Jahre später – differenziert betrachtet werden. Die Erhebung der in Art. 8 der VO (EU) 165/2014 zur Aufzeichnung vorgegebenen Fahrtenschreiberdaten wird als solche keine Datenschutz-Folgenabschätzung auslösen müssen; einerseits besteht hier gar kein Handlungsspielraum hinsichtlich der Modalitäten der Erhebung selbst, andererseits sind die begrenzten aufzuzeichnenden Daten gerade nicht „umfangreich“. Permanent erhobene GPS-Daten können jedoch je nach dem konkreten Verarbeitungsprozess zur Bildung eines Bewegungsprofils führen – gleich, ob der Verantwortliche dies beabsichtigt oder selbst so einschätzt –, und dieses Profil kann zur Leistungskontrolle von Mitarbeitern verwendet werden. Das Ausschöpfen dieses „Profilbildungspotenzials“ der Daten durch den Verantwortlichen ist dabei nicht entscheidend; Sinn der Datenschutz-Folgenabschätzung ist, mit wirksamen Maßnahmen vornehmlich das Entstehen derartiger „Datentöpfe“, jedenfalls aber das tatsächliche Stattfinden einer solchen Zweckentfremdung der erhobenen Daten zu verhindern.

Im Grundsatz ist die Datenschutz-Folgenabschätzung „nur“ eine besonders gründliche, an zusätzliche Erfordernisse wie die Einbeziehung des betrieblichen Datenschutzbeauftragten und von Vertretern der betroffenen Personen geknüpfte Analyse und darauf gestützte Maßnahmendefinition zur Reduzierung des mit der Verarbeitung verbundenen Risikos. Sie erzeugt aber einen größeren Aufwand und bedarf zum Nachweis ihrer Durchführung entsprechender Dokumentation.

Fahrzeughersteller als alternative Datenlieferanten

In Zeiten der allgegenwärtigen Vernetzung ist ein Kfz auch ein Bestandteil des „Internet of Things“ (IoT). Ständig werden allerlei Daten im Kfz durch Sensoren und die Onboard-IT erhoben und – mit Unterschieden im Detail – an die Hersteller übermittelt. Nach dem ab September 2025 geltenden EU Data Act werden die Daten von „Dateninhabern“ (in der Regel vom Hersteller) generiert und müssen auf Anforderung an den „Nutzer“ (und an Dritte) herausgegeben werden. Dieser Nutzer ist im Falle von Firmen-Kfz nicht der Fahrer, sondern dessen Arbeitgeber als Eigentümer oder Leasingnehmer des Fahrzeugs. Damit hat der Arbeitgeber auf Anforderung unentgeltlichen Zugriff auf sämtliche Daten, die der Fahrzeughersteller (und Dateninhaber) generiert, darunter auch Ortungsdaten aus den Fahrzeugsystemen. Schon jetzt ist es möglich, z. B. Ortungsdaten mit einer App des Fahrzeugherstellers abzurufen („Wo ist mein Fahrzeug?“), und diese Daten könnte sich der Arbeitgeber bereits zunutze machen. Was sich durch den EU Data Act entscheidend verbessern soll, ist die Übertragung der entsprechenden Daten „einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich“.

Der EU Data Act gilt „unbeschadet“ der DSGVO; im Falle eines Widerspruchs hat das Datenschutzrecht sogar Vorrang. Verantwortlicher für die vom Hersteller (Dateninhaber) erhobenen personenbezogenen Daten (des Fahrers und Angestellten) wird der Arbeitgeber erst, wenn er die Daten tatsächlich vom Dateninhaber erhält. Die Verknüpfung zur Identität des Fahrers (Zuordnungsinformation) – also welches Fahrzeugdatum welchem Fahrer zuzurechnen ist – liegt dem Arbeitgeber ohnehin schon vor. Es gilt dann nichts anderes als das oben Ausgeführte. Der Arbeitgeber, auch wenn er die Daten abrufen kann, benötigt datenschutzrechtlich einen legitimen Verarbeitungszweck und einen Erlaubnistatbestand, und natürlich sind auch die sonstigen datenschutzrechtlichen Vorgaben zu beachten. Ob die Daten von Geräten erhoben werden, die der Arbeitgeber selbst in das Fahrzeug eingebaut hat bzw. hat einbauen lassen, oder von Geräten bzw. Funktionalitäten, die der Hersteller integriert hat und deren Daten er dem Arbeitgeber zur Verfügung stellt, ist datenschutzrechtlich unerheblich.

Folgerungen für die Praxis

Eine Nutzung von Ortungssystemen durch den Arbeitgeber, wenn und soweit das Firmenfahrzeug erlaubterweise privat eingesetzt wird, ist ausgeschlossen. Das System darf in dieser Phase überhaupt keine entsprechenden Daten produzieren, auch nicht mit Zustimmung des Arbeitnehmers. Will ein Arbeitgeber dies ausschließen, muss er die private Nutzung des Fahrzeugs verbieten.

Eine permanente Datenerhebung zu Überwachungszwecken (Diebstahlsprävention), während das Fahrzeug nicht genutzt wird, also ohne Fahrer auf einem Parkplatz steht, dürfte datenschutzrechtlich zumeist zulässig sein, hängt allerdings im Detail von den näheren Umständen ab. Befindet sich das Fahrzeug an einem „Standardplatz“ wie beispielsweise dem Firmenparkplatz, so ist zunächst einmal nur das letzte Datum, wenn der bzw. ein zugeordneter Fahrer das Fahrzeug verlässt, und das erste Datum, wenn der bzw. ein Fahrer in das Fahrzeug einsteigt, personenbezogen. Die Erhebung dieser punktuellen Daten (beim Verlassen / Einsteigen) ist für den Überwachungszweck erforderlich – sie kennzeichnen den Beginn und das Ende einer „bekannten legitimen Nutzung“. Wird das Fahrzeug zwischen Ende und Beginn „unregistriert“ (von einem Dritten) bewegt, liegt nahe, dass dies eine unbefugte Nutzung darstellt. Aus der Perspektive des Erlaubnistatbestands dürfte diese Erhebung auch für die Durchführung des Mitarbeiterverhältnisses erforderlich sein, denn zu einem Anforderungsprofil, das (auch) Fahrten im Firmenwagen umfasst, gehört auch, darauf achtzugeben, dass der genutzte Firmenwagen nicht abhanden kommt. In dieser Konstellation (Firmenparkplatz) geben im Übrigen auch die Vorgaben zum digitalen Fahrtenschreiber (s. o.) die Aufzeichnung von Arbeitsbeginn und Arbeitsende vor. Anders kann es sich verhalten, wenn aus dem personenbezogenen Datum des Zeitpunkts des Verlassens / Einsteigens in Verknüpfung mit dem aktuellen Standort weitergehende Schlüsse gezogen werden können, insbesondere wenn das Fahrzeug „zwischendrin“ (inklusive in Pausen) auch zu privaten Zwecken genutzt werden darf. Entweder muss dann die Standortaufzeichnung unterbleiben oder die Verarbeitung der erhobenen Daten muss – auch in Abhängigkeit davon, welche weiteren Verarbeitungsprozesse auf Basis dieser „Rohdaten“ noch gerechtfertigt werden sollen und können – ggf. durch entsprechende TOMs stark eingeschränkt werden. Sowohl in diesen speziellen Fällen als auch generell muss darüber nachgedacht werden, ob das zuvor erhobene Datum bei der nächsten registrierten „legitimen“ Inbetriebnahme nicht automatisch (wegen Zweckfortfalls) gelöscht werden muss, da dann ja feststeht, dass das Fahrzeug in der Zwischenzeit nicht entwendet wurde.

Ein weitreichender Verarbeitungszweck während der Arbeitszeit, der in Einzelfällen eine beinahe permanente Positionsüberwachung notwendig machen kann, ist die Routensteuerung in Echtzeit. Hierfür müssen aber die Geschäftsprozesse diesen Verarbeitungszweck erfordern. Zwar verlangt das Datenschutzrecht nur einen „legitimen“ (also nicht rechtswidrigen) Verarbeitungszweck und nicht, dass dieser aus dem Unternehmensgegenstand des Verantwortlichen ableitbar ist. Insoweit könnte sich ein Verantwortlicher buchstäblich irgendeinen (für sich genommen legitimen) Verarbeitungszweck ausdenken. Aber spätestens bei der Frage nach dem Erlaubnistatbestand muss der Zweck mit der konkreten Aufgabenstellung („job description“) von Mitarbeitern rückgekoppelt werden. Diese Stellenbeschreibung als Teil des Anstellungsvertrages korreliert zumeist mit dem verfolgten Geschäftsmodell. Routensteuerung in Echtzeit bedeutet, dass aufgrund von dynamischen Positions- und Auftragsdaten ein jederzeitiger Eingriff in die aktuelle Route eines Firmenfahrzeugs erforderlich sein kann. Dafür muss die zum Zeitpunkt einer (möglichen) Umplanung aktuelle Position bekannt sein, um bestimmen zu können, ob beispielsweise ad-hoc-Zwischenziele noch in die aktuelle Route „eingeschleust“ werden können, oder ob ein in der Nähe befindliches Fahrzeug zu einem anderen Ziel mit höherer Priorität umgeleitet wird. Bei entsprechender Frequenz neuer Prioritäten bzw. Aufträge kann dadurch eine „Quasi-Echtzeitdatenerhebung“ erforderlich werden. Diesen Bedarf kann man auch nur schwer mit „herkömmlichen“ Telekommunikationsmitteln (Mobiltelefon) abhandeln, sonst müssten bei neuen Aufträgen mehrere Fahrer aus der Zentrale angerufen werden, wo sie gerade sind, um zu ermitteln, ob und welches Fahrzeug man am besten umleitet. Das alles setzt aber voraus, dass die Ausrüstungen in den Fahrzeugen und die inhaltlichen Fähigkeiten der Fahrer gleichwertig sind, sodass theoretisch jedes Fahrzeug jede Aufgabe gleichermaßen umsetzen kann. Schon bei Lieferdiensten ist das gar nicht möglich, weil die einzelnen Fahrzeuge nach Beladung nur für die vorhergesehenen Kunden in Betracht kommen und kein anderer Kunde, dessen Ware sich nicht im Fahrzeug auf der Tour befindet, „zwischengeschoben“ werden kann.

Reine Stauumfahrungen hingegen können zwar auch mit lokalen Navigationssystemen im Fahrzeug umgesetzt werden, dafür ist aber keine Anbindung an die Unternehmenszentrale notwendig. Allerdings kann für die Ankunftsvorhersage sowie für die Planung von Folgetouren wesentlich sein, ob und wie lange sich eine Fahrt staubedingt verzögert. Daneben kann der vom Unternehmen seinen Kunden gegenüber angebotene Mehrwert, zu wissen, wann das Fahrzeug eintrifft, eine häufigere Erhebung der aktuellen (die Verkehrssituation reflektierenden) Position durch die „Zentrale“ bis hin zur Echtzeiterfassung erforderlich machen. Auch hier lässt sich zunächst argumentieren, dass eine Information, wonach das Fahrzeug zu einer bestimmten Zeit eintreffen sollte, vom lokalen Navigationssystem im Fahrzeug generiert werden kann und dann nur als solche erhoben, weitergeleitet und dem Kunden zur Verfügung gestellt werden muss. Eine ständige Erhebung gerade der aktuellen Position ist dann nicht erforderlich für den Zweck. Etwas anderes kann aber gelten, wenn die Position gegenüber dem Kunden auf einer Karte dargestellt werden soll. Hier kann mit dem (unternehmensbezogenen) Begriff der „Kundenfreundlichkeit“ eine beliebig granulare Datenerhebung angestrebt werden, deren Erforderlichkeit aus der Perspektive der „job description“ eines Lieferfahrers mangels Rechtsprechung nicht abschließend beantwortet werden kann. Vor diesem Hintergrund würde es sich bei der Ausgestaltung der Anstellungsverträge durch den Verantwortlichen eigentlich empfehlen, von vornherein eine „datenintensive“ Arbeitsplatzbeschreibung – auch unter Verweis auf die angestrebte Kundenfreundlichkeit – zu wählen. Ob diese „job description“ arbeits- bzw. grundrechtlich im Einklang mit der oben skizzierten EGMR-Rechtsprechung steht, ist jedoch bislang Spekulation.

Außerhalb solcher geschäftsmodellgetriebener Datenintensität und außerhalb der Datenerhebung im Kontext des gesetzlich vorgeschriebenen Fahrtenschreibers ist bei punktuellem Bedarf nach Positionsdaten genau zu untersuchen, warum es welcher Zweck erfordert, diese Daten gerade automatisiert – ohne dass der Mitarbeiter dies steuern oder unterbinden kann – zu erheben. Im Sinne der informationellen Selbstbestimmung wird es immer das „mildere Mittel“ sein, bei solchem punktuellem Bedarf die Positionsdaten vom Mitarbeiter aktiv abzufragen, sei es über Mobiltelefon oder eine vom Mitarbeiter selbst ausgelöste Standortmeldung (sodass dieser die Standortmeldung auch unterlassen kann). Dabei kommt es natürlich auf die Frequenz derartiger Anfragen an; wird diese zu hoch, leidet die Verkehrssicherheit, wenn der Fahrer nur noch damit beschäftigt ist, Standortanfragen entgegenzunehmen, deren Berechtigung zu prüfen und den Standort mitzuteilen (oder sich darüber zu erklären, warum er den Standort nicht mitteilen möchte). Ist also eine hohe Nachfrage- bzw. Übertragungs-Frequenz beweisbar notwendig, so spricht einiges dafür, dass auch eine automatisierte Übertragung erforderlich ist.

Wichtig ist dabei auch zu beachten, dass aus anderen Gründen (Fahrtenschreiber etc.) erhobene Daten nicht automatisch auch für andere Zwecke eingesetzt werden dürfen. Das Argument „Diese Daten haben wir ohnehin schon im Haus.“ ist im Rahmen des Designs von Datennutzungsprozessen ein schlechter Ratgeber. Jede Verarbeitungshandlung ist an Zweck und Erlaubnistatbestand rückzukoppeln und das Ergebnis zu dokumentieren. Ergibt sich für bestimmte Verarbeitungen keine Erforderlichkeit hinsichtlich des Zwecks oder Erlaubnistatbestandes – wie vorstehend dargestellt –, dürfen „ohnehin“ vorhandene Datenbestände nicht zweckentfremdet werden, sondern es muss dann die „gerade noch erforderliche“ Verarbeitungshandlung in Bezug auf den weiteren Zweck stattfinden (was mit der Erhebung anderer, höher aggregierter Daten einhergehen kann).

Unabhängig davon muss jedes Argument im Rahmen der Erforderlichkeit daraufhin abgeklopft werden, ob es nicht mit dem bekannten „Übermaßargument“ gekontert werden kann. Wer etwa im Sinne von Unfallprävention (als Verarbeitungszweck) argumentieren wollte, dass der Fahrer bei schweren Unfällen ggf. nicht mehr in der Lage ist, die Information selbst auszulösen, sodass eine permanente Übermittlung von GPS-Daten „erforderlich“ ist, muss man sich vor Augen halten, wie selten statistisch derartige Unfälle sind, und dass in diesen Fällen dann auch Dritte vor Ort sind, die (anhand von Kontaktdaten im Fahrzeug oder schlicht des Kennzeichens) Kontakt aufnehmen können. Die Erhebung einer vergleichsweise sehr großen Datenmenge, um dann davon im Bedarfsfall – der ggf. nie eintritt – nur einen einzigen Datensatz zu benötigen, muss nicht nur vor dem Hintergrund des Datenminimierungsgebots zu Stirnrunzeln führen. Das Gleiche gilt für Zugriffsmöglichkeiten auf die Daten: Wenn die gesamte Belegschaft (theoretisch) freien Einblick in die Datenmenge hat, lädt das geradezu dazu ein, die Daten auch zu anderen als dem eigentlich beabsichtigten Zweck zu verwenden. Damit fordert man Datenschutzverstöße geradezu heraus.

Die vorstehenden Beispiele dienen der Veranschaulichung der Zusammenhänge und damit als Startpunkt für eigene Erwägungen des Verantwortlichen im konkreten Fall. Im Datenschutzrecht sollte eine komplexe Datenverarbeitung nie pauschal als zulässig oder unzulässig bezeichnet werden – die Notwendigkeit der Risikoanalyse zwingt zur eingehenden Beschäftigung mit den Umständen der einzelnen Verarbeitungssituation, und von jeder Regel gibt es Ausnahmen. Die notwendige Granularität der Betrachtung führt zum Einsatz nicht unerheblicher Ressourcen und zu einem langen Vorlauf bei der Umsetzung, etwa schon bei der Abfassung von Anstellungsverträgen, welche bekanntlich nicht willkürlich nach ihrem Abschluss modifiziert werden können. Aufwand, Komplexität und die trotz allem verbleibende erhebliche Rechtsunsicherheit stellen für die verantwortlichen Unternehmen einen nicht zu unterschätzenden (datenschutzrechtlichen) Hemmschuh bei der betrieblich-organisatorischen Strukturierung dar, hier bei der Umsetzung des GPS-Trackings von Firmenfahrzeugen. Wenn man den Berichten über die Genese der DSGVO Glauben schenken darf, wurden derartige Themen in den Gesetzesberatungen nie erörtert. Das rächt sich nun, denn auch der deutsche Gesetzgeber war bislang (seit 2018) nicht imstande, hierzu verbindliche Regelungen zu schaffen. Die Verantwortlichen und Arbeitgeber haben diese Suppe auszulöffeln.