Skip to content
DSGVO-Pflichten calendar_today Aktualisiert: 7. April 2026 schedule 6 Min. Lesezeit

GPS-Tracking von Mitarbeitern: Was ist unter der DSGVO erlaubt?

verified Zuletzt überprüft 7. April 2026 · das GDPRWise Rechtsteam

GPS-Daten von Firmenfahrzeugen und Mitarbeitern sind personenbezogene Daten unter der DSGVO. Dieser Artikel erklärt, wann Tracking erlaubt ist, mit zwei belgischen Gerichtsurteilen als Warnung.

summarize Kernaussagen
  • check_circle GPS-Standortdaten sind personenbezogene Daten, sobald sie einer Person zugeordnet werden können
  • check_circle 24/7-Tracking von Mitarbeitern ist fast nie erlaubt, auch nicht wenn das Firmenfahrzeug privat genutzt wird
  • check_circle Ein belgischer Arbeitgeber verlor einen Rechtsstreit, weil er Mitarbeiter außerhalb der Arbeitszeit lückenlos verfolgte
  • check_circle Sie benötigen eine DSFA (Datenschutz-Folgenabschätzung), wenn Sie systematisch Standortdaten verarbeiten

GPS-Daten sind personenbezogene Daten

Sobald Standortdaten einer identifizierbaren Person zugeordnet werden können, sind sie personenbezogene Daten unter der DSGVO. Bei Firmenfahrzeugen ist das fast immer der Fall: Das Fahrzeug ist einem bestimmten Mitarbeiter zugewiesen, also entspricht der Standort des Fahrzeugs dem Standort dieser Person.

Das betrifft:

  • GPS-Tracker in Firmenwagen
  • Standortdaten von Diensthandys
  • Routenerfassung über Bordcomputer
  • Apps, die den Standort von Außendienstmitarbeitern erfassen

Weil Standortdaten detaillierte Einblicke in das Verhalten und die Bewegungen einer Person geben, behandelt die DSGVO sie als besonders sensibel.

Zwei belgische Warnbeispiele

Arbeitsgericht Leuven: 24/7-Tracking ist rechtswidrig

Ein Arbeitgeber installierte GPS-Tracker in Firmenfahrzeugen und verfolgte Mitarbeiter lückenlos, auch außerhalb der Arbeitszeit. Das Fahrzeug wurde sowohl beruflich als auch privat genutzt. Das Gericht urteilte:

  • 24/7-Tracking ist ein unverhältnismäßiger Eingriff in das Privatleben
  • Der Arbeitgeber hatte keinen klaren, berechtigten Zweck für die kontinuierliche Überwachung
  • Die Mitarbeiter waren unzureichend informiert über die Datenverarbeitung

Ergebnis: Die Verarbeitung war rechtswidrig. Der Arbeitgeber verlor den Fall.

Geldbuße der belgischen Datenschutzbehörde: Transportunternehmen (2022)

Ein Transportunternehmen erfasste GPS-Daten von Fahrern über Bordcomputer. Die Datenschutzbehörde (GBA) stellte fest:

  • Keine klare Rechtsgrundlage (berechtigtes Interesse nicht ausreichend begründet, keine gültige Einwilligung)
  • Kein internes Datenschutzkonzept zur Nutzung der GPS-Daten
  • Unzureichende Information an die Fahrer darüber, was mit ihren Daten geschah

Ergebnis: Geldbuße wegen mangelnder Transparenz.

Wann IST GPS-Tracking erlaubt?

GPS-Tracking ist nicht verboten, aber Sie müssen strenge Voraussetzungen erfüllen:

1. Sie haben einen klaren, spezifischen Zweck Beispiele für gültige Zwecke:

  • Routenoptimierung und -planung
  • Diebstahlschutz von Fahrzeugen
  • Abrechnung auf Basis gefahrener Kilometer
  • Sicherheit von Mitarbeitern in Risikogebieten

“Prüfen, ob Mitarbeiter wirklich arbeiten” ist selten ein gültiger Zweck.

2. Sie wählen die richtige Rechtsgrundlage

  • Berechtigtes Interesse ist die gängigste Grundlage für GPS-Tracking, aber Sie müssen eine Interessenabwägung durchführen und dokumentieren
  • Einwilligung ist im Arbeitsverhältnis wegen des Machtgefälles problematisch; ein Mitarbeiter kann kaum “freiwillig” einwilligen

3. Sie beschränken das Tracking auf das Notwendige

  • Nur während der Arbeitszeit, nicht 24/7
  • Nur die Daten, die Sie tatsächlich benötigen (z.B. Start- und Endpunkt, nicht jede Sekunde die Position)
  • Kein Tracking von Privatfahrten

4. Sie informieren Ihre Mitarbeiter

  • Nehmen Sie GPS-Tracking in Ihr Mitarbeiter-Datenschutzkonzept auf
  • Erklären Sie: welche Daten, wofür, wie lange aufbewahrt, wer Zugriff hat
  • Informieren Sie Mitarbeiter bevor Sie das Tracking aktivieren, nicht danach

5. Sie führen eine DSFA durch Bei systematischem, großflächigem Tracking ist eine Datenschutz-Folgenabschätzung (DSFA) Pflicht. Dokumentieren Sie die Risiken und die getroffenen Maßnahmen.

Dos und Don’ts

Was Sie tun SOLLTEN

  • Dokumentieren Sie die GPS-Nutzung in Ihrem Verarbeitungsverzeichnis und Mitarbeiter-Datenschutzkonzept
  • Beschränken Sie das Tracking auf Arbeitszeiten, sofern keine spezifische Rechtfertigung vorliegt
  • Beschränken Sie den Zugriff auf GPS-Daten auf Führungskräfte, die ihn tatsächlich benötigen
  • Führen Sie eine DSFA bei großflächigem Tracking durch
  • Wenden Sie Pseudonymisierung an, wo möglich (z.B. Fahrzeug-ID statt Mitarbeitername)
  • Legen Sie Aufbewahrungsfristen fest und löschen Sie alte GPS-Daten automatisch

Was Sie NICHT tun sollten

  • 24/7-Tracking ohne zwingende Notwendigkeit
  • Tracking auf eine pauschale Einwilligung stützen (“Sie haben den Arbeitsvertrag unterschrieben, also stimmen Sie zu”)
  • GPS-Daten für andere Zwecke verwenden als die, für die Sie sie erhoben haben (z.B. erhoben für Routenplanung, genutzt für Leistungsbeurteilung)
  • GPS-Daten länger aufbewahren als nötig
  • Die Meldepflicht bei Datenschutzverletzungen ignorieren, wenn GPS-Daten geleakt werden

Was sollten Sie jetzt tun?

  1. Ermitteln Sie, ob Sie GPS-Daten verarbeiten (Firmenfahrzeuge, Telefone, Apps)
  2. Dokumentieren Sie den Zweck, die Rechtsgrundlage und die Aufbewahrungsfrist in Ihrem Verarbeitungsverzeichnis
  3. Prüfen Sie, ob Mitarbeiter über das Mitarbeiter-Datenschutzkonzept informiert sind
  4. Beschränken Sie das Tracking auf Arbeitszeiten und notwendige Daten
  5. Führen Sie eine DSFA durch, wenn Sie systematisch Standortdaten verarbeiten
  6. Legen Sie Aufbewahrungsfristen fest und löschen Sie alte GPS-Daten automatisch
auto_awesome GPS-Tracking in Ihrem Verarbeitungsverzeichnis?

GDPRWise hilft Ihnen, alle Verarbeitungsaktivitäten zu dokumentieren, einschließlich GPS-Tracking. Mit automatisch generierten Datenschutzerklärungen und Empfehlungen.

Teilen share LinkedIn mail E-Mail
GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.