Leitsatz (amtlich)
Zur Zulässigkeit des GPS-Trading im Logistikbereich
Normenkette
DSGVO Art. 5-6, 58; BDSG § 26
Tenor
Die Klage wird abgewiesen.
Die Kosten des Verfahrens hat die Klägerin zu tragen.
Das Urteil ist hinsichtlich der Kosten vorläufig vollstreckbar. Die Klägerin darf die Zwangsvollstreckung durch Sicherheitsleistung in Höhe der festzusetzenden Kosten abwenden, falls nicht der Beklagte vor der Vollstreckung Sicherheit in entsprechender Höhe leistet.
Tatbestand
Die Klägerin, ein Unternehmen der Logistikbranche mit 76 Beschäftigten, hat seit dem 01.04.2020 GPS-Systeme in die 55 Fahrzeuge der Firmenflotte eingebaut. Die Klägerin erhebt und speichert mit einem Software-Tool des Unternehmens A-Firma über eine SaaS-(Cloud-)Lösung Daten zum Tracking ihrer Firmenfahrzeuge. Die Software ermöglicht die Bestimmung des Live-Standorts von Fahrzeugen per GPS und die Speicherung der Standortdaten und misst den Benzinverbrauch. Außerdem wird bei den 12 Fahrzeugen der Klägerin mit mehr als 7,5 t der Fahrtenschreiber gemanagt, wobei eine Zuordnung zum jeweiligen Inhaber der Fahrerkarte erfolgt. Die Fahrerkarte wird vom TÜV ausgestellt, enthält den Namen und das Geburtsdatum des Inhabers sowie eine individuelle Nummer. Die Daten der Fahrerkarte werden alle 28 Tage aus der Software gelöscht; die Daten der Lenk- und Ruhezeiten werden nach einem Jahr gelöscht. Im Übrigen erfolgt die Speicherung der Daten bei der Klägerin für 400 Tage.
Die Daten werden per GPS an den Server der B-Firma gesendet, dort aufbereitet und können von der Klägerin auf der Website mit verschlüsseltem Zugang abgerufen werden. Der Standort des Servers ist unbekannt.
Gemäß dem Verzeichnis von Verarbeitungstätigkeiten vom 15.03.2021 dient das Geo-Tracking der Ortung einzelner Fahrzeuge, um bei Missbrauch und Diebstahl eingreifen zu können. Zudem sollen der Benzinverbrauch und der jeweilige Kraftstoffbestand in den Tanks überwacht werden, um Kraftstoffdiebstahl erkennen zu können. Für organisatorische Zwecke soll die Ortung der Fahrzeuge der Koordination von Sonderabholungen dienen.
Darüber hinaus wird im Rahmen der gesetzlichen Bestimmungen der sogenannte Massenspeicher monatlich ausgelesen und der Fahrtenschreiber gemanagt. Als Rechtsgrundlage werden in dem Verarbeitungsverzeichnis Art. 6 UA 1 Abs. 1 lit. a), c) und f) DS-GVO angegeben. Es handele sich um Profiling im Sinne von Art. 4 Abs. 3 DS-GVO hinsichtlich des Aufenthaltsorts.
In der Datenschutzfolgeabschätzung vom 15.03.2021 heißt es, es handele sich um eine Optimierung des Workflows, in dem die personenbezogenen Daten keine Rolle spielten bzw. überwiegend nicht erfasst würden.
Eine Information der Mitarbeiter über die Einführung des GPS-Trackings erfolgte nicht, ebenso wenig liegen Einwilligungen der Mitarbeiter vor.
Nachdem der Beklagte Informationen über einen möglichen Datenschutzverstoß durch die Klägerin erhielt, hörte er die Klägerin mit Schreiben vom 15.12.2020 und Frist zur Stellungnahme bis zum 18.01.2021 an und richtete eine Reihe von Fragen an die Klägerin. Der Beklagte wies die Klägerin darauf hin, dass er beabsichtige, die Klägerin nach Art. 58 Abs. 2 DS-GVO anzuweisen, ihre Mitarbeiterinnen und Mitarbeiter nach Art. 13 DS-GVO über das GPS-Tracking entsprechend zu informieren.
Mit Schreiben vom 17.03.2021 legte der beauftragte externe Datenschutzbeauftragte der Klägerin den Auftragsverarbeitungsvertrag, das Verzeichnis der Verarbeitungstätigkeiten zum Geo-Tracking inkl. der Datenschutzfolgeabschätzung vor. Er führte aus: Bei den 43 Fahrzeugen ohne Fahrtenschreiber lasse sich durch die Software keine Zuordnung auf den jeweiligen Fahrer herstellen. Die Verarbeitung sei nach Art. 6 Abs. 1 lit. a), c) und f) DS-GVO zulässig.
Mit Schreiben vom 15.04.2021 hörte der Beklagte die Klägerin ergänzend an. Eine Einwilligung der betroffenen Beschäftigten nach Art. 6 Abs. 1 UA 1 lit. a) DS-GVO, § 26 Abs. 2 BDSG liege nicht vor, diese sei aber auch nicht ausreichend, da die Einwilligenden in einem Abhängigkeitsverhältnis zur Klägerin stünden und ein jederzeitiges Widerrufsrecht haben müssten, was vorliegend nicht gegeben sei. Die Rechtfertigungsgründe des Art. 6 Abs. 1 UA 1 lit. c) und f) DS-GVO seien nicht erfüllt. Der Beklagte kündigte an, anzuordnen, die Erhebung von Fahrverhaltensdaten und eine Speicherung der Livedaten zu unterbinden, bislang erhobene Daten zu löschen, die Betroffenen umfassend zu informieren und ein Ordnungswidrigkeitenverfahren einzuleiten. Ferner wurde der Klägerin aufgegeben, mitzuteilen, von welchem Rechenzentrum aus die Cloud der Tracking-Anbieterin betrieben werde.
Mit (in der Behördenakte nur unvollständig aufgenommener) Stellungnahme vom 25.05.2021 äußerte sich die Klägerin, wobei sie die – zuvor bereits angekündigten – Einverständniserklärungen ihrer Mitarbeiter nicht vorlegte. Die Daten würden benötigt, um Routen zu planen und Aufträge effizient zu vergeben, spontane Aufträge zu koordinieren und Aufwände zu reduzieren. Kundenbeschwerden könne so entgegengetreten werden un...