BVwG W214 2207491-1

Spruch:

W214 2207491-1/44E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch die Richterin Dr. Eva SOUHRADA-KIRCHMAYER als Vorsitzende und die fachkundigen Laienrichterinnnen Mag. Huberta MAITZ-STRASSNIG und Mag. Claudia KRAL-BAST als Beisitzerinnen über die Beschwerde der XXXX gegen den Bescheid der Datenschutzbehörde vom 08.08.2018, Zl. DSB-D213.658/0002-DSB/2018, nach Ergehen einer Beschwerdevorentscheidung vom 18.09.2018, Zl. DSB-D062.151/0001-DSB/2018, und nach Stellung eines Vorlageantrages sowie nach Durchführung einer mündlichen Verhandlung zu Recht erkannt:

A)

Gemäß § 28 Abs. 2 Verwaltungsgerichtsverfahrensgesetz, BGBl. I Nr. 33/2013 idgF (VwGVG), wird die Beschwerdevorentscheidung dahingehend abgeändert, dass der Spruch zu lauten hat:

„Die XXXX wird angewiesen, innerhalb einer Frist von sechs Monaten bei sonstiger Exekution die Verarbeitung (GPS-System und Fahrzeugverwaltung für unternehmenseigene Fahrzeuge) aufgrund folgender Maßnahmen in Einklang mit der Datenschutz-Grundverordnung zu bringen:

1. Es sind technische Vorkehrungen zu treffen, dass bei Privatfahrten bei Aktivierung des Privatmodus durch die Arbeitnehmer ein Abrufen ihrer Standortdaten durch die Beschwerdeführerin nur im Fall eines Diebstahles erfolgen kann.

2. Die Standortdaten sind nach maximal 45 Tagen zu löschen. Eine längere Speicherung der Standortdaten von Arbeitnehmern ist nur zulässig, solange dies zur Durchsetzung von konkret dokumentierten Rechtsansprüchen der Beschwerdeführerin oder des betroffenen Arbeitsnehmers oder dies im Rahmen einer gesetzlichen Aufbewahrungspflicht erforderlich ist.

3. Es ist zu gewährleisten, dass eine Überprüfung von Arbeitszeiten und Ruhepausen der Arbeitnehmer mittels Standortdaten bezüglich der gefahrenen Routen nur dann stattfindet, wenn sich der Verdacht einer fehlenden oder falschen Eintragung ergibt und eine Klärung beim Arbeitnehmer nicht möglich ist oder eine versuchte Klärung bei diesem zu keinem klaren Ergebnis führt.

4. Es ist zu gewährleisten, dass eine Überprüfung von Schwarzfahrten (und Schwarzarbeiten) der Arbeitnehmer mittels Standortdaten bezüglich der gefahrenen Routen nur im Verdachtsfall einer falschen Eintragung erfolgt und eine Klärung beim Arbeitnehmer nicht möglich oder ist eine versuchte Klärung bei diesem zu keinem klaren Ergebnis führt.

5. Die Beschwerdeführerin hat ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen, das mit den oben genannten Maßnahmen im Einklang steht.

6. Die Beschwerdeführerin hat eine neue Vereinbarung über einen Auftragsverarbeitungsvertrag nach Art. 28 und 29 DSGVO oder eine Ergänzung/Änderung der bestehenden Vereinbarung im Sinne der oben genannten Maßnahmen abzuschließen.

7. Die Beschwerdeführerin hat eine Datenschutz-Folgenabschätzung durchzuführen.

8. Die Einwilligungserklärungen (nach dem AVRAG) sind entsprechend der oben genannten Maßnahmen zu adaptieren, wobei den Arbeitnehmern gegenüber auch transparent gemacht wird, in welchen Fällen die Beschwerdeführerin Zugriff auf welche Standortdaten des Arbeitnehmers nimmt.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

1. In einer Beschwerde, die im April 2018 bei der Datenschutzbehörde (belangte Behörde vor dem Bundesverwaltungsgericht) einlangte, wurde vom Einschreiter ausgeführt, dass die XXXX (Beschwerdeführerin in Verfahren vor dem Bundesverwaltungsgericht) Fahrzeuge per GPS überwache. Die Arbeitnehmer hätten bei Fahrzeugübernahme eine diesbezügliche Einverständniserklärung unterzeichnen müssen, was mit einem eventuellen Diebstahl des Fahrzeuges erklärt worden sei. Das System werde aber zur Überwachung der Arbeitnehmer verwendet. Es sei eine punktgenaue Ortung des Arbeitnehmers durch den Arbeitgeber möglich. Mitarbeiter seien bereits wegen Unpünktlichkeit gerügt bzw. gefragt worden, weshalb man zwischendurch bei einem Geschäft stehen geblieben sei.

2. Die belangte Behörde leitete daraufhin ein Kontroll- und Ombudsmannverfahren gemäß § 30 DSG 2000 ein und ersuchte die nunmehrige Beschwerdeführerin mit Schreiben vom 20.04.2018 um Stellungnahme.

3. Die (nunmehrige) Beschwerdeführerin nahm mit Schreiben vom 02.05.2018 Stellung und verwies darauf, dass von den Fahrern eine Zustimmungserklärung eingeholt worden sei. Das GPS-System werde zum Schutz und zur Sicherheit für ihr Eigentum (Versicherungsbonus), zur monatlichen Abrechnung mit der Leasingfirma, zur Routenplanung und -optimierung, zur Disposition und als Fahrtenbuch genutzt, hingegen nicht zur Mitarbeiterüberwachung. Weiters wurde auf einen Link der Hersteller-Homepage verwiesen.

4. Mit Schreiben vom 09.05.2018 ersuchte die belangte Behörde die (nunmehrige) Beschwerdeführerin um Übermittlung einer Musterzustimmung. Weiters wurde um Mitteilung ersucht, ob bezüglich des GPS-Systems eine Betriebsvereinbarung vorliege. Sofern kein Betriebsrat eingerichtet sei, werde die Beschwerdeführerin ersucht mitzuteilen, ob eine Zustimmung nach § 10 AVRAG vorliege (diese wäre gegebenenfalls ebenso an die belangte Behörde zu übermitteln).

5. Die Beschwerdeführerin legte daraufhin mit Schreiben vom 14.05.2018 eine „Vereinbarung über die Bestellung zum verantwortlichen Beauftragten“ vor.

6. Daraufhin forderte die belangte Behörde die Beschwerdeführerin nochmals auf, die Fragen nach der Betriebsvereinbarung oder nach Zustimmung nach § 10 AVRAG zu beantworten. Weiters wurde um Mitteilung der Speicherdauer der GPS-Daten gebeten.

7. Mit Schreiben vom 18.05.2018 teilte die nunmehrige Beschwerdeführerin mit, dass sie die Frage nach einer Betriebsvereinbarung mangels Betriebsrat nicht beantwortet habe und die Zustimmung zum GPS-System auch in Beantwortung der Frage nach der Zustimmung nach dem AVRAG erfolgt sei. Laut Hersteller des GPS-Systems betrage die derzeitige Speicherdauer 93 Tage, wobei der Hersteller mitgeteilt habe, dass derzeit noch nicht bekannt sei, ob sich diese aufgrund der sich ändernden regulativen Vorgaben womöglich ändern werde. In der Anlage werde zum besseren Verständnis ein Screenshot übermittelt.

8. In einer erneuten Aufforderung zur Stellungnahme vom 25.05.2018 erging seitens der belangten Behörde an die nunmehrige Beschwerdeführerin ein Hinweis auf die nunmehrige Geltung der DSGVO und dass daher im gegenständlichen Verfahren ein Bescheid zu erlassen sei. Es werde um Mitteilung gebeten, ob die übermittelte Mustereinwilligung anlässlich der Geltung der DSGVO überarbeitet worden sei oder ob die Mustereinwilligung nach wie vor in dieser Form zum Einsatz käme.

9. Mit Schreiben vom 04.06.2018 teilte die Beschwerdeführerin mit, dass eine neue, der DSGVO entsprechende Mitarbeitereinwilligung zur Anwendung komme. Diese war der Stellungnahme angeschlossen. In dieser Zustimmungserklärung waren die Art des Systems, die Datenarten, die Zwecke und die Angabe, dass die Daten nicht an Drittstaaten übermittelt würden, enthalten. Die Daten würden für 93 Tage und darüber hinaus im Rahmen der gesetzlichen Aufbewahrungspflichten aufbewahrt. Im Einzelfall könnten Daten, die für die Geltendmachung oder für die Abwehr von Ansprüchen erforderlich seien, länger aufbewahrt werden. Weiters wurde auf das Recht hingewiesen, die Einwilligung zu widerrufen, und wurde ein Ansprechpartner für allfällige Rückfragen angegeben.

10. Mit Schreiben vom 22.06.2018 teilte die belangte Behörde der Beschwerdeführerin mit, dass das Verfahren nunmehr unter einer neuen Geschäftszahl fortgeführt werde. Weiters wurden einige weitere Fragen an die Beschwerdeführerin gestellt.

11. In ihrer Stellungnahme, datiert mit 13.07.2018, führte die Beschwerdeführerin aus, dass auf die Software ausschließlich der Geschäftsführer Zugriff habe. Die Frage, ob in der Vergangenheit Mitarbeiter bzw. Fahrer befragt worden seien, weshalb diese sich zu einer gewissen Zeit an einem gewissen Standort befunden hätten, wurde verneint. Die Frage, welche Maßnahmen getroffen worden seien, um sicherzustellen, dass jene Mitarbeiter, die Zugriff auf die GPS-Software hätten, die GPS Daten nicht in unzulässiger Weise missbrauchten, wurde mit dem Hinweis darauf beantwortet, dass nur der Geschäftsführer Zugriff habe. Die Frage, ob die Funktion bereits in Anspruch genommen worden sei, dass Berichte in Form von PDF-Dateien erstellt würden, die eine genaue Analyse ermöglichen (wo und wie lange das Fahrzeug gestanden sei, wie viele Kilometer zurückgelegt worden seien und wie pünktlich das Fahrzeug gewesen sei), wurde dahingehend beantwortet, dass die Funktion lediglich stichprobenweise zu jenen Mitarbeitern abgerufen worden sei, die wegen kleinen Sachbezugs/oder der Verwendung eines Pool-Autos zur Führung eines Fahrtenbuches verpflichtet seien. Auf die Frage, wie viele Mitarbeiter bereits die neue Mustereinwilligung unterzeichnet hätten, wurde geantwortet, dass alle Mitarbeiter bereits eingewilligt hätten. Auf die Frage, welche Folgen es für den Arbeitnehmer hätte, wenn er keine Einwilligung erteile bzw. wenn er eine bereits erteilte Einwilligung widerrufe, führte die Beschwerdeführerin aus, dass diese Frage sich bis dato nie gestellt habe, weil die Mitarbeiter ohnehin keine Bedenken betreffend die branchenübliche Verwendung der GPS-Systeme hätten. Sollte einmal keine Einwilligung gegeben werden oder diese widerrufen werden, würde sodann für den jeweiligen Mitarbeiter kein Fahrzeug mit GPS-System Verwendung finden. Zur Frage, ob – unter der Annahme, dass für den Arbeitnehmer die Einwilligung zur Verwendung des GPS-Trackers Voraussetzung sei, um auch tatsächlich als Fahrer tätig zu sein und die Nicht-Einwilligung die Auflösung des Arbeitsverhältnisses bzw. die Nichteinstellung zur Folge hätte – aus Sicht der Beschwerdeführerin die Einwilligung freiwillig abgegeben werden könne, wurde geantwortet, dass es sich um eine hypothetische Frage handle, die auf eine rechtliche Beurteilung abziele, die nach dem Verständnis der Beschwerdeführerin die belangte Behörde oder ein Arbeitsgericht zu beurteilen hätte, jedoch nicht von der Beschwerdeführerin zu beantworten sei.

12. Mit dem angefochtenen Bescheid vom 08.08.2018, zugestellt am 14.08.2018, entschied die belangte Behörde „im Rahmen eines amtswegigen Prüfverfahrens aus Anlass einer anonymen Eingabe im vorangehenden Kontrolle und Ombudsmannverfahren […] betreffend Einwilligung der Arbeitnehmer zur Nutzung eines GPS-Systems für unternehmenseigene Fahrzeuge“ gegen die nunmehrige Beschwerdeführerin wie folgt: 1. Das amtswegige Prüfverfahrens sei berechtigt gewesen und es werde festgestellt, dass die Einwilligung der Arbeitnehmer zur Nutzung eines GPS-Systems für firmeneigene Fahrzeuge nicht freiwillig erfolge. 2. Die nunmehrige Beschwerdeführerin werde angewiesen, innerhalb einer Frist von vier Wochen bei sonstiger Exekution die Verarbeitung (Nutzung des GPS-Systems für firmeneigene Fahrzeuge) in Einklang mit der Datenschutz-Grundverordnung zu bringen.

Begründend führte die belangte Behörde Folgendes aus:

Verfahrensgegenstand sei die Frage, ob die seitens der Beschwerdeführerin eingeholte datenschutzrechtliche Einwilligung der Arbeitnehmer zur Nutzung eines GPS-Systems für firmeneigene Fahrzeuge freiwillig erfolge.

Eine Einwilligung sei im Beschäftigungskontext zwar nicht grundsätzlich ausgeschlossen, jedoch müsse dies zu einem erkennbaren Vorteil der Arbeitnehmer gereichen. Dies sei im konkreten Fall nicht gegeben. Die Beschwerdeführerin führe etwa Schutz bzw. Sicherheit des Firmeneigentums, Erleichterung der monatlichen Abrechnung mit der Leasingfirma, Routenplanung und -optimierung sowie einen Versicherungsbonus ins Treffen. Dabei übersehe sie jedoch, dass diese Faktoren zwar im Rahmen einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO berücksichtigt werden könnten, nicht jedoch im Rahmen der Beurteilung der Freiwilligkeit einer Einwilligung. Die Beschwerdeführerin habe als Verantwortliche die Einhaltung der DSGVO zu gewährleisten. Von einer freiwilligen Einwilligung könne nicht ausgegangen werden. Die wahrscheinliche Konsequenz wäre, dass ein Arbeitnehmer das Dienstverhältnis (als Fahrer) ohne Einwilligung nicht eingehen könne bzw. dass ein aufrechtes Dienstverhältnis ohne Einwilligung beendet werden würde.

13. Dagegen erhob die Beschwerdeführerin mit Schriftsatz vom 10.09.2018, eingelangt bei der belangten Behörde am 12.09.2018, eine Beschwerde an das Bundesverwaltungsgericht. Darin wurde ausgeführt, dass die belangte Behörde im amtswegigen Prüfverfahren einzig und allein die Frage gestellt habe, ob die von der Beschwerdeführerin eingeholte datenschutzrechtliche Einwilligung der Arbeitnehmer zur Nutzung eines GPS-Systems für ihre firmeneigenen Fahrzeuge freiwillig erfolgt sei. Zur Freiwilligkeit habe die belangte Behörde auf eine Mutmaßung abgestellt, die nicht zutreffe, und wenn doch, überhaupt keinen Raum für Freiwilligkeit lasse.

Die belangte Behörde habe unverständlicherweise nicht geprüft, ob die Beschwerdeführerin ein berechtigtes Interesse im Sinne des Art. 6 DSGVO an der Nutzung eines GPS-Systems für ihre firmeneigenen Fahrzeuge habe, obwohl ein solches auf der Hand liege. Bei ordnungsgemäßer Prüfung hätte die belangte Behörde auch das berechtigte Interesse prüfen müssen. Gemäß Art. 6 Abs. 1 lit. c DSGVO sei die Verarbeitung personenbezogener Daten rechtmäßig, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich sei, welche der Verantwortliche unterliege. Da bei der Beschwerdeführerin kein Betriebsrat installiert sei, mit dem eine entsprechende Betriebsvereinbarung ausgehandelt werden könnte, bestehe gemäß § 10 AVRAG eine gesetzliche Verpflichtung, im Fall der Einführung und Verwendung von Kontrollmaßnahmen und technischen Systemen eine entsprechende Vereinbarung mit jedem Mitarbeiter abzuschließen. Da diese Vereinbarung nicht nur Voraussetzung für die Erfüllung der im Dienstvertrag festgelegten Aufgaben und der im Unternehmen etablierten Prozesse sei, sondern auch gemäß § 10 AVRAG vom Gesetzgeber gefordert werde, könne nicht davon gesprochen werden, dass die Leistung der Unterschrift nicht freiwillig erfolgt sei bzw. dass der Arbeitnehmer das Dienstverhältnis ohne Einwilligung nicht eingehen könne. Eine Einstellung (der Arbeitnehmer, Anm.) bzw. Verwendung des Systems ohne eine derartige schriftliche Vereinbarung wäre nicht gesetzeskonform und daher per se ungültig.

Weiters bestehe gemäß § 17 AZG die gesetzliche Pflicht zum Führen eines Fahrtenbuches, wenn das Kraftfahrzeug weder mit einem analogen noch mit einem digitalen Kontrollgerät ausgerüstet sei, oder wenn auf die Verwendung eines Kontrollgerätes verzichtet werde. Durch die Art der Aufzeichnung entfalle für Mitarbeiter, die das so genannte „kleine Pauschale“ hinsichtlich der steuerlichen Anrechnung von Firmenfahrzeugen hätten, durch den Einbau des GPS-Systems das Führen eines Fahrtenbuches. Dies sei ein klarer Vorteil für die Mitarbeiter. Mit der Unterschrift der Mitarbeiter werde nicht das Einverständnis dieser eingeholt, sondern lediglich die Information über diese Art der Aufzeichnung bestätigt.

Weiters wurde auf § (gemeint: Art., Anm.) 6 Abs. 1 lit. f DSGVO als Grundlage für die gegenständliche Verarbeitung hingewiesen.

Die belangte Behörde habe eine eingeschränkte Prüfung, die lediglich auf die Zustimmungserklärung bezogen war, durchgeführt. Wenn andere Erlaubnistatbestände in Frage kämen, so stelle sich die Frage, ob die Beschwerdeführerin dann in Entsprechung des zweiten (Spruch-)Punktes des Bescheides die Verarbeitung nur unter Berufung auf berechtigte Interessen „in Einklang“ bringen könne. Es werde daher beantragt, den angefochtenen Bescheid ersatzlos aufzuheben.

14. Die belangte Behörde erließ daraufhin am 18.09.2018 eine Beschwerdevorentscheidung, mit der die Beschwerde abgewiesen wurde. Begründend wurde ausgeführt, dass sich die Beschwerdeführerin wortwörtlich auf Art. 6 Abs. 1 lit. a DSGVO, sohin die Einwilligung als Erlaubnistatbestand, gestützt habe. Der belangten Behörde stehe es nicht zu, im Rahmen ihrer Befugnisse gemäß Art. 58 Abs. 2 lit. d DSGVO den Verantwortlichen anzuweisen, die Verarbeitung auf einen spezifischen Erlaubnistatbestand zu stützen. Ebenso wenig sei es Aufgabe der belangten Behörde einen „Ersatzerlaubnistatbestand“ für den Verantwortlichen zu suchen, sofern sich der von ihm genannte als untauglich erweise.

15. Mit Schreiben vom 02.10.2018 stellte die Beschwerdeführerin einen Vorlageantrag. Weiters wurde beantragt, das Bundesverwaltungsgericht möge den angefochtenen Bescheid ersatzlos aufheben; in eventu dahingehend abändern, dass der Einsatz von GPS-Trackern durch die Beschwerdeführerin auf gerechtfertigte Interessen gestützt (und) nicht zu beanstanden sei.

16. Mit Schreiben vom 04.10.2018 legte die belangte Behörde die Beschwerde samt dem Verwaltungsakt dem Bundesverwaltungsgericht vor.

17. Am 19.03.2019 fand eine mündliche Verhandlung vor dem Bundesverwaltungsgericht statt.

18. Mit Stellungnahme vom 26.03.2019 übermittelte die Beschwerdeführerin ein Verarbeitungsverzeichnis und eine Vereinbarung über eine Auftragsvereinbarung und begründete, warum keine Datenschutzfolgenabschätzung durchgeführt wurde.

19. Mit Erkenntnis des Bundesverwaltungsgerichts vom 04.04.2019 wurde der Bescheid idF der Beschwerdevorentscheidung ersatzlos behoben.

20. Mit Erkenntnis des Verwaltungsgerichthofes 12.11.2021, Ra 2019/04/0055, wurde das Erkenntnis des Bundesverwaltungsgerichts teilweise (im Umfang der ersatzlosen Behebung des Spruchpunktes 2. der Beschwerdevorentscheidung) wegen Rechtswidrigkeit des Inhalts aufgehoben.

21. Auf Nachfrage des Bundesverwaltungsgerichts vom 27.04.2022 wurde von der Beschwerdeführerin (sinngemäß) mitgeteilt, dass seit der mündlichen Verhandlung keine Änderungen am GPS-System vorgenommen wurden und der Sachverhalt diesbezüglich gleichgeblieben ist.

22. Mit Schreiben vom 23.05.2022 wurde die Beschwerdeführerin aufgefordert, die Speicherdauer für die einzelnen Zwecke bekanntzugeben und zu begründen.

23. Dazu ergingen Stellungnahmen der Beschwerdeführerin vom 14.06.2022 und 05.07.2022, in der sie auf die Zwecke und Speicherfrist einging.

24. Mit Schreiben vom 03.08.2022 sendete das Bundesverwaltungsgericht einen Fragenkatalog an die Beschwerdeführerin, welcher mit Schreiben vom 16.08.2022 beantwortet wurde.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

1. Bei der Beschwerdeführerin handelt es sich um eine XXXX Firma. Sie verwendet als datenschutzrechtliche Verantwortliche in all ihren Fahrzeugen ein GPS-System, das die Standortdaten der Fahrzeuge aufzeichnet, welche den Fahrern zuordenbar sind bzw. auch zugeordnet werden.

2. Dieses GPS-System wird von der Firma XXXX zur Verfügung gestellt, die als Auftragsverarbeiter agiert. Diesbezüglich hat die Beschwerdeführerin im Jahr 2018 eine Vereinbarung über eine Auftragsverarbeitung geschlossen.

3. Die Standortdaten werden vom Auftragsverarbeiter verarbeitet, wobei die gesamten Fahrtrouten der Fahrer (inklusive Pausen und Ankunft beim Auftragsort) vom System erfasst werden. Diese sind einige Minuten zeitverzögert abrufbar und werden überdies für 93 Tage gespeichert.

4. Das GPS-System ist für die Arbeitnehmer (Servicetechniker) nicht abschaltbar. Wenn ein Mitarbeiter es wünscht, erhält er einen Auszug aus dem (GPS-)System. Allerdings können die Mitarbeiter, die das Fahrzeug auch privat nutzen, vom Firmenmodus in den Privatmodus schalten. In diesem Fall wird keine Aufzeichnung der GPS-Positionsdaten vorgenommen, sondern werden nur die sonst fahrtenbuchrelevanten Daten aufgezeichnet.

5. Eine Privatnutzung der Fahrzeuge ist nicht generell üblich. Bei Privatnutzungen des Fahrzeuges muss der Fahrer den halben Sachbezug bezahlen. Von ca. 60 Fahrzeugen werden ca. 15 Dienstfahrzeuge auch privat genutzt.

6. Bei Pool-Fahrzeugen ist der Name des Arbeitnehmers nur aus analogen Aufzeichnungen rückschließbar. Anderen Arbeitnehmern sind bestimmte Fahrzeuge und die jeweiligen Fahrtenbücher zugeordnet.

7. Zugriff auf die GPS-Daten hat ausschließlich der Geschäftsführer der Beschwerdeführerin. Die Datenverarbeitungen und –zugriffe werden protokolliert.

8. Die GPS-Daten werden verschlüsselt verarbeitet.

9. Bei der Beschwerdeführerin ist kein Betriebsrat eingerichtet.

10. Die Beschwerdeführerin hat mit den Fahrern von Fahrzeugen, die mit dem GPS-System ausgestattet sind, die im angefochtenen Bescheid der belangten Behörde (Seiten 5 ff.) zitierte Mitarbeitereinwilligung abgeschlossen, in der die Art der Daten und die Zwecke, für die die Daten verwendet werden, genannt sind.

11. In der genannten Zustimmungserklärung werden folgende Zwecke der GPS-Datenverarbeitung genannt:

 Disposition

 Diebstahlschutz-Versicherung

 Wochenberichtskontrolle

 Vorbeugung von Schwarzfahrten

 Schwarzarbeit-Überprüfung

 Automatisches Fahrtenbuch

 Leasingabrechnung

 Fahrzeugkontrollen durch die Polizei

 Einhaltung der Ruhepausen

 Ankunft am Aufenthaltsort

12.. Dazu wird im Einzelnen Folgendes festgestellt:

12.1. Disposition

Künftig sollen die GPS-Daten in Verbindung mit dem Kennzeichen und dem Fahrer auch zur Routenplanung und -optimierung bzw. Disposition verwendet werden, diese Funktion wurde jedoch noch nicht aktiviert. Die Routenplanung soll durch die Regionalleiter stattfinden.

Derzeit bekommen die Servicetechniker die Aufträge für eine Woche in schriftlicher Form und können sich selbst einteilen, welche Aufträge sie wann in dieser Woche erledigen. Wenn ein Mitarbeiter einen Auftrag erledigt hat, dann meldet er sich telefonisch oder per Mail beim Regionalleiter zurück und teilt mit, welchen Auftrag er durchgeführt hat. Es gibt auch fixe Termine, die die Vorgesetzten im Vorhinein kennen.

12.2. Diebstahlschutz - Versicherung:

Die Tatsache, dass ein GPS-System verwendet wird, führt zu einem Versicherungsbonus für die Beschwerdeführerin.

Für den Schutz und die Sicherheit des Eigentums erfolgt nur dann eine Abfrage der (aktuellen) GPS- Daten, wenn das Fahrzeug gestohlen wird.

12.3. Wochenberichtskontrolle und Einhaltung der Ruhepausen

Die Servicetechniker tragen ihre Arbeitszeiten in die Wochenberichte ein und geben diese Berichte Ende des Monats ab. Diese werden vom Geschäftsführer kontrolliert um die Einhaltung des Arbeitszeitgesetzes zu überprüfen. Der Geschäftsführer kontrolliert auch das Fahrtenbuch, ob die Kilometeranzahl stimmt. Der Geschäftsführer vergleicht gewisse Routen auch mit der tatsächlichen Arbeitszeit. Arbeitszeitkontrollen erfolgen nur stichprobenartig.

Für die Kontrolle der Wochenberichte und Ruhepausen werden vom Geschäftsführer stichprobenartig GPS-Daten abgefragt. Für die Kontrolle der Einhaltung der Ruhepausen werden die GPS-Daten, die Wochenberichte und Vergleichswerte aus mehreren Systemen verwendet. Es kann nicht kontrolliert werden, ob eine Ruhepause tatsächlich eingehalten wird, sondern nur, ob sie eingetragen ist. Der Vergleich mit GPS-Daten stellt lediglich eine Plausibilitätsprüfung dar.

12.4. Vorbeugung von Schwarzfahrten und Schwarzarbeit-Überprüfung

Es werden stichprobenartige Kontrollen zur Vorbeugung und Überprüfung von Schwarzfahrten durchgeführt. Unter „Schwarz-Fahren“ sind Privatfahrten außerhalb der Arbeitszeit zu verstehen, die etwa am Samstag oder Sonntag oder spät am Abend stattfinden, wenn sie nicht erlaubt sind, wenn die Fahrer das Fahrzeug nicht privat nutzen dürfen. Die Schwarzarbeits-Überprüfung findet nur im Verdachtsfall statt.

12.5. Automatisches Fahrtenbuch

Für das Fahrtenbuch werden die Daten „Kennzeichen“ und „Fahrer“ verarbeitet. Die Verarbeitung enthält weiters Daten über die Route, die der Fahrer gefahren ist sowie die gefahrenen Kilometer. Durch die Verwendung des elektronischen Fahrtenbuches ersparen sich die Mitarbeiter eine eigene Führung des (analog zu führenden) Fahrtenbuches. Weiters erfüllt das Fahrtenbuch eine steuerliche Funktion (in Verbindung mit dem halben Sachbezug). Der Geschäftsführer kontrolliert, ob der Treibstoffverbrauch den gefahrenen Kilometern entspricht. Er überprüft auch, ob die Kilometerstände dem halben Sachbezug entsprechen, da dieser auf 6.000 km Privatnutzung im Jahr beschränkt ist. Die Beschwerdeführerin führt in Vorausschau zu Finanzamtsprüfungen stichprobenartige Überprüfungen von GPS-Daten durch.

12.6. Abrechnung mit der Leasingfirma:

Die Abrechnung der Leasingfirmen finden monatlich pauschal statt. Dabei werden Treibstoff-Service-, oder Reifenkosten anteilig aufgelistet. Die Auflistung der realen Kosten erfolgt quartalsmäßig. Dementsprechend werden vierteljährlich der Kilometerstand, der Treibstoffverbrauch und die Instandsetzungskosten des jeweiligen Fahrzeuges kontrolliert und festgestellt und in Verbindung mit dem Autokennzeichen an die Leasingfirma weitergegeben. Der Geschäftsführer führt in diesem Zusammenhang bezüglich der gefahrenen Kilometer stichprobenartige Kontrollen durch und vergleicht sie mit dem Treibstoffverbrauch.

Die Abrechnung mit der Leasingfirma erfolgt nur fahrzeugbezogen.

12.7. Fahrzeugkontrollen durch die Polizei:

Eine Überprüfung im Zusammenhang mit Fahrzeugkontrollen durch die Polizei wird anlassbezogen durchgeführt, insbesondere, wenn eine Strafe verhängt wird, die nicht zuordenbar ist.

12.8. Ankunft am Aufenthaltsort

Die Ankunft am Auftragsort wird lediglich bei Verdacht, dass eine falsche Eintragung vorliegt, kontrolliert.

13. Echtzeitkontrollen finden derzeit grundsätzlich nicht statt.

14. Die Funktion „ XXXX “ zeigt an, wenn die Spannungsversorgung unterbrochen wird. Die Funktionen „ XXXX “ („ XXXX “), „ XXXX “ (Kommunikation mit dem Fahrer und LKW-Navi) und „ XXXX “ (Abruf der Fahrzeugpositionen von Smartphones) werden von der Beschwerdeführerin nicht verwendet.

15. Eine Gesamtauswertung über die Route, die Anzahl der km und die Pausen bzw. Zeitpunkte, wann der Fahrer wo stehengeblieben ist, findet nicht statt. Es findet auch keine systematische Überwachung der Arbeiternehmer statt.

16. Die XXXX führt für die Beschwerdeführerin, die ein Tochterunternehmen der Holding ist, ein Verzeichnis der Verarbeitungstätigkeiten.

17. Die Beschwerdeführerin hat keine Datenschutzfolgenabschätzung durchgeführt.

18. Die belangte Behörde führte ein amtswegiges Verfahren durch, prüfte jedoch nur die Freiwilligkeit der Einwilligung der Fahrer, nicht jedoch das allfällige Vorliegen anderer Rechtfertigungsgründe.

Der Spruch des ursprünglich angefochtenen Bescheides lautete:

„1. Das amtswegige Prüfverfahren war berechtigt und es wird festgestellt, dass die Einwilligung der Arbeitnehmer zur Nutzung eines GPS-Systems für firmeneigene Fahrzeuge nicht freiwillig erfolgt.

2. Die XXXX wird angewiesen, innerhalb einer Frist von vier Wochen bei sonstiger Exekution die Verarbeitung (Nutzung des GPS-Systems für firmeneigene Fahrzeuge) in Einklang mit der Datenschutz-Grundverordnung zu bringen.“

Als Rechtsgrundlage für diesen Bescheid wurde Art. 58 Abs. 2 lit. d DSGVO angegeben.

Die gegen diesen Bescheid erhobene Beschwerde wurde von der belangten Behörde mit einer Beschwerdevorentscheidung abgewiesen.

19. Mit Erkenntnis des Bundesverwaltungsgerichts vom 04.04.2019 wurde der Bescheid idF der Beschwerdevorentscheidung ersatzlos behoben.

20. Mit Erkenntnis des Verwaltungsgerichthofes vom 12.11.2021, Ra 2019/04/0055, wurde das Erkenntnis des Bundesverwaltungsgerichts teilweise (im Umfang der ersatzlosen Behebung des Spruchpunktes 2. der Beschwerdevorentscheidung) wegen Rechtswidrigkeit des Inhalts aufgehoben.

2. Beweiswürdigung:

Die Feststellungen ergeben sich aus dem Verwaltungsakt und aus dem Gerichtsakt (insbesondere aus der Niederschrift über die mündliche Verhandlung) und den von der Beschwerdeführerin beigebrachten Unterlagen und Stellungnahmen. Vorweg wird angemerkt, dass die Aussagen des Geschäftsführers der Beschwerdeführerin in der mündlichen Verhandlung sowie die Ausführungen in den diversen Stellungnahmen der Beschwerdeführerin grundsätzlich als glaubwürdig angesehen werden.

Dazu im Einzelnen:

Zu 1: Die Feststellung ergibt sich aus dem Verwaltungsakt und dem Protokoll über die mündliche Verhandlung beim Bundesverwaltungsgericht.

Zu 2: Die Feststellung ergibt sich aus dem Verwaltungsakt, dem Protokoll über die mündliche Verhandlung beim Bundesverwaltungsgericht und dem von der Beschwerdeführerin vorgelegten Auftragsverarbeitungsvertrag (OZ 11 des Gerichtsaktes).

Zu 3: Die Feststellung ergibt sich aus dem Verwaltungsakt, dem Protokoll über die mündliche Verhandlung beim Bundesverwaltungsgericht und der von der Beschwerdeführerin vorgelegten Bekanntgabe vom 16.08.2022 (OZ 39 des Gerichtsaktes).

Zu 4: Die Feststellung ergibt sich aus dem Protokoll über die mündliche Verhandlung beim Bundesverwaltungsgericht, dem vorgelegten Verzeichnis (S. 17) der XXXX Holding (OZ 11 des Gerichtsaktes) und der Bekanntgabe der Beschwerdeführerin vom 16.08.2022 (OZ 39 des Gerichtsaktes).

Zu 5: Die Feststellung ergibt sich aus dem Protokoll über die mündliche Verhandlung beim Bundesverwaltungsgericht und der Bekanntgabe der Beschwerdeführerin vom 16.08.2022 (OZ 39 des Gerichtsaktes).

Zu 6: Die Feststellung ergibt sich aus dem Protokoll über die mündliche Verhandlung beim Bundesverwaltungsgericht und der Bekanntgabe der Beschwerdeführerin vom 16.08.2022 (OZ 39 des Gerichtsaktes).

Zu 7: Die Feststellung, dass nur der Geschäftsführer Zugriff hat, ergibt sich aus dem Protokoll über die mündliche Verhandlung beim Bundesverwaltungsgericht. Zur Feststellung, dass eine Protokollierung erfolgt, wird festgehalten, dass die Beschwerdeführerin selbst nicht wusste, ob dies der Fall ist. Aus dem vorgelegten Verzeichnis (OZ 11 des Gerichtsaktes) geht jedoch hervor, dass Protokollierungen vorgenommen werden, weshalb das Bundesverwaltungsgericht davon ausgeht, dass dies der Fall ist.

Zu 8: Diese Feststellung ergibt sich aus Anlage 1 des von der Beschwerdeführerin vorgelegten Auftragsverarbeitungsvertrags (OZ 11 des Gerichtsaktes):

Zu 9: Diese Feststellung ergibt sich aus dem Verwaltungsakt.

Zu 10 und 11: Diese Feststellungen ergeben sich aus dem Verwaltungsakt.

Zu 12.1 und 12.2.: Diese Feststellungen ergeben sich aus dem Protokoll über die mündliche Verhandlung beim Bundesverwaltungsgericht und aus der Stellungnahme der Beschwerdeführerin vom 16.08.2022 (OZ 39 des Gerichtsaktes).

Zu 12.3: Diese Feststellung ergibt sich aus dem Protokoll über die mündliche Verhandlung beim Bundesverwaltungsgericht und den Stellungnahmen der Beschwerdeführerin vom 14.06.2022 (OZ 27 des Gerichtsaktes) und vom 16.08.2022 (OZ 39 des Gerichtsaktes).

Zu 12.4, 12.5, 12.6 und 12.7: Diese Feststellungen ergeben sich aus dem Protokoll über die mündliche Verhandlung beim Bundesverwaltungsgericht und den Stellungnahmen der Beschwerdeführerin vom 14.06.2022 (OZ 27 des Gerichtsaktes) und vom 16.08.2022 (OZ 39 des Gerichtsaktes). Zwar wird in der Stellungnahme vom 16.08.2022 ausgeführt, dass die Kontrollen von Schwarzfahrten und Schwarzarbeiten „gleich“ erfolgt, jedoch folgt hier das Bundesverwaltungsgericht den Ausführungen des als Zeugen einvernommenen Geschäftsführers in der mündlichen Verhandlung, dass eine Überprüfung von Schwarzarbeit im Anlassfall vorgenommen wird (was auch logisch scheint, da das Aufdecken von Schwarzfahrten in bestimmten Konstellationen zum Verdacht führen kann, das diese mit einer Schwarzarbeit verbunden waren).

Zu 12.8: Diese Feststellung gründet sich auf das Protokoll über die mündliche Verhandlung beim Bundesverwaltungsgericht und die Stellungnahme der Beschwerdeführerin vom 16.08.2022 (OZ 39 des Gerichtsaktes).

Zu 13: Diese Feststellung gründet sich auf die Stellungnahme der Beschwerdeführerin vom 14.02.2022 (OZ 27 des Gerichtsaktes).

Zu 14: Diese Feststellung gründet sich auf das Protokoll über die mündliche Verhandlung beim Bundesverwaltungsgericht und die Stellungnahme der Beschwerdeführerin vom 16.08.2022 (OZ 39 des Gerichtsaktes).

Zu 15: Diese Feststellung gründet sich auf das Protokoll über die mündliche Verhandlung beim Bundesverwaltungsgericht, die Stellungnahmen der Beschwerdeführerin vom 14.06.2022 (OZ 27 des Gerichtsaktes) und vom 16.08.2022 (OZ 39 des Gerichtsaktes) sowie auf den Verwaltungsakt.

Zu 16 und 17: Diese Feststellungen gründen sich auf das Protokoll über die mündliche Verhandlung beim Bundesverwaltungsgericht sowie auf das vorgelegte Verzeichnis und die vorgelegte Begründung für die nicht erfolgte Durchführung einer Datenschutz-Folgenabschätzung (OZ 11 des Gerichtsaktes).

Zu 18: Diese Feststellung ergibt sich aus dem Verwaltungsakt und dem Gerichtsakt des Bundesverwaltungsgerichts.

Zu 19: Diese Feststellung ergibt sich aus dem Gerichtsakt des Bundesverwaltungsgerichts.

Zu 20: Diese Feststellung ergibt sich aus dem zitierten Erkenntnis des Verwaltungsgerichtshofes (OZ 10 des Gerichtsaktes des Bundesverwaltungsgerichtes).

3. Rechtliche Beurteilung:

3.1.1. Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist. Gemäß § 27 Datenschutzgesetz (DSG) idgF entscheidet das Bundesverwaltungsgericht in Verfahren über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß § 24 Abs. 7 und der Entscheidungspflicht der Datenschutzbehörde durch Senat. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer.

Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I 2013/33 idF BGBl. I 2013/122, geregelt (§ 1 leg.cit .). Gemäß § 58 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.

3.1.2. Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.

3.1.3. Gemäß § 28 Abs. 1 VwGVG hat das Verwaltungsgericht die Rechtssache durch Erkenntnis zu erledigen, sofern die Beschwerde nicht zurückzuweisen oder das Verfahren einzustellen ist. Gemäß § 31 Abs. 1 VwGVG erfolgen die Entscheidungen und Anordnungen durch Beschluss, soweit nicht ein Erkenntnis zu fällen ist.

Gemäß § 28 Abs. 2 VwGVG hat das Verwaltungsgericht über Beschwerden gemäß Art. 130 Abs. 1 Z 1 B-VG dann in der Sache selbst zu entscheiden, wenn (1.) der maßgebliche Sachverhalt feststeht oder (2.) die Feststellung des maßgeblichen Sachverhalts durch das Verwaltungsgericht selbst im Interesse der Raschheit gelegen oder mit einer erheblichen Kostenersparnis verbunden ist.

Hebt das Verwaltungsgericht den angefochtenen Bescheid auf, sind gemäß Art. 28 Abs. 5 VwGVG die Behörden verpflichtet, in der betreffenden Rechtssache mit den ihnen zu Gebote stehenden rechtlichen Mitteln unverzüglich den der Rechtsanschauung des Verwaltungsgerichtes entsprechenden Rechtszustand herzustellen.

3.1.4. Nach der Rechtsprechung des Verwaltungsgerichtshofes derogiert eine Beschwerdevorentscheidung dem Ausgangsbescheid endgültig. Das Rechtsmittel, über welches das Verwaltungsgericht zu entscheiden hat, bleibt aber im Fall eines zulässigen Vorlageantrages dennoch die Beschwerde. Da sich die Beschwerde gegen den Ausgangsbescheid richtet (und sich ihre Begründung auf diesen beziehen muss), bleibt der Ausgangsbescheid auch Maßstab dafür, ob die Beschwerde berechtigt ist oder nicht. Aufgehoben, abgeändert oder bestätigt werden kann aber nur die – außer in Fällen einer Zurückweisung einer Beschwerde – an die Stelle des Ausgangsbescheides getretene Beschwerdevorentscheidung (siehe VwGH 04.03.2016, Ra 2015/08/0026).

3.2. Zu Spruchteil A)

3.2.1. Rechtslage:

Die im gegenständlichen Verfahren maßgeblichen Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO), ABl. L 119 vom 4. Mai 2016, lauten auszugsweise:

KAPITEL II

Grundsätze

Artikel 5

Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

​

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Artikel 6

Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

​

[…]

(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist — unter anderem

​

Artikel 7

Bedingungen für die Einwilligung

(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.Artikel 28

Auftragsverarbeiter

(1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

(2) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter

​

Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

(4) Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.

(5) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen.

(6) Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten Zertifizierung sind.

(7) Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.

(8) Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.

(9) Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.

(10) Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.

Artikel 29

Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters

Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.

Artikel 30

Verzeichnis von Verarbeitungstätigkeiten

(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

​

(2) Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:

​

(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

(4) Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.

(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.

Artikel 35

Datenschutz-Folgenabschätzung

(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

(2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.

(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

​

(4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.

(5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.

(6) Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.

(7) Die Folgenabschätzung enthält zumindest Folgendes:

​

(8) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgängen, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.

(9) Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.

(10) Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.

(11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

Artikel 57

Aufgaben

(1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet

​

[…]

​

[…]

Artikel 58

Befugnisse

(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,

​

(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,

​

ErwGr 129 zur DSGVO lautet:

„Um die einheitliche Überwachung und Durchsetzung dieser Verordnung in der gesamten Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und wirksamen Befugnisse haben, darunter, insbesondere im Fall von Beschwerden natürlicher Personen, Untersuchungsbefugnisse, Abhilfebefugnisse und Sanktionsbefugnisse und Genehmigungsbefugnisse und beratende Befugnisse, sowie — unbeschadet der Befugnisse der Strafverfolgungsbehörden nach dem Recht der Mitgliedstaaten — die Befugnis, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und Gerichtsverfahren anzustrengen. Dazu sollte auch die Befugnis zählen, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen. Die Mitgliedstaaten können andere Aufgaben im Zusammenhang mit dem Schutz personenbezogener Daten im Rahmen dieser Verordnung festlegen. Die Befugnisse der Aufsichtsbehörden sollten in Übereinstimmung mit den geeigneten Verfahrensgarantien nach dem Unionsrecht und dem Recht der Mitgliedstaaten unparteiisch, gerecht und innerhalb einer angemessenen Frist ausgeübt werden. Insbesondere sollte jede Maßnahme im Hinblick auf die Gewährleistung der Einhaltung dieser Verordnung geeignet, erforderlich und verhältnismäßig sein, wobei die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind, das Recht einer jeden Person, gehört zu werden, bevor eine individuelle Maßnahme getroffen wird, die nachteilige Auswirkungen auf diese Person hätte, zu achten ist und überflüssige Kosten und übermäßige Unannehmlichkeiten für die Betroffenen zu vermeiden sind. Untersuchungsbefugnisse im Hinblick auf den Zugang zu Räumlichkeiten sollten im Einklang mit besonderen Anforderungen im Verfahrensrecht der Mitgliedstaaten ausgeübt werden, wie etwa dem Erfordernis einer vorherigen richterlichen Genehmigung. Jede rechtsverbindliche Maßnahme der Aufsichtsbehörde sollte schriftlich erlassen werden und sie sollte klar und eindeutig sein; die Aufsichtsbehörde, die die Maßnahme erlassen hat, und das Datum, an dem die Maßnahme erlassen wurde, sollten angegeben werden und die Maßnahme sollte vom Leiter oder von einem von ihm bevollmächtigen Mitglied der Aufsichtsbehörde unterschrieben sein und eine Begründung für die Maßnahme sowie einen Hinweis auf das Recht auf einen wirksamen Rechtsbehelf enthalten. Dies sollte zusätzliche Anforderungen nach dem Verfahrensrecht der Mitgliedstaaten nicht ausschließen. Der Erlass eines rechtsverbindlichen Beschlusses setzt voraus, dass er in dem Mitgliedstaat der Aufsichtsbehörde, die den Beschluss erlassen hat, gerichtlich überprüft werden kann.“

§ 2 Abs. 1 und 2 Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V)BGBl. II Nr. 278/2018, lautet

„Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist

§ 2. (1) Sofern die Verarbeitung rechtmäßig im Sinne der Art. 6, Art. 9 und 10 DSGVO erfolgt und keine Datenverarbeitung gemäß der Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV), BGBl. II Nr. 108/2018, vorliegt, ist nach Maßgabe der folgenden Bestimmungen jedenfalls eine Datenschutz-Folgenabschätzung durchzuführen.

(2) Eine Datenschutz-Folgenabschätzung ist durch den Verantwortlichen durchzuführen, wenn zumindest ein in Z 1 bis Z 6 genanntes Kriterium erfüllt ist:

1. Verarbeitungen, die eine Bewertung oder Einstufung natürlicher Personen – einschließlich des Erstellens von Profilen und Prognosen – umfasst für Zwecke, welche die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben und Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel der Person betreffen und ausschließlich auf einer automatisierten Verarbeitung beruhen und negative rechtliche, physische oder finanzielle Auswirkungen haben können.

2 […]

3. Verarbeitungsvorgänge, welche die Beobachtung, Überwachung oder Kontrolle von betroffenen Personen insbesondere mittels Bild- und damit verbundenen Akustikdatenverarbeitungen zum Ziel haben unda) über Netzwerke erfasste Daten betreffen oder auf eine systematische, umfangreiche Überwachung öffentlich zugänglicher Bereiche abzielen,

b bis h […]

4 bis 6 […]

Im Zusammenhang mit Beschäftigungsverhältnissen gilt dies nicht, wenn eine Betriebsvereinbarung oder Zustimmung der Personalvertretung vorliegt. Als systematische Überwachung sind jene Vorgänge zu verstehen, die im Rahmen eines Systems oder vorab festgelegt, organisiert und methodisch erfolgen.“

§ 10 Arbeitsvertragsrechts-Anpassungsgesetz – AVRAG, BGBl. Nr. 459/1993 idgF lautet:

„Kontrollmaßnahmen

§ 10. (1) Die Einführung und Verwendung von Kontrollmaßnahmen und technischen Systemen, welche die Menschenwürde berühren, ist unzulässig, es sei denn, diese Maßnahmen werden durch eine Betriebsvereinbarung im Sinne des § 96 Abs. 1 Z 3 ArbVG geregelt oder erfolgen in Betrieben, in denen kein Betriebsrat eingerichtet ist, mit Zustimmung des Arbeitnehmers.

(2) Die Zustimmung des Arbeitnehmers kann, sofern keine schriftliche Vereinbarung mit dem Arbeitgeber über deren Dauer vorliegt, jederzeit ohne Einhaltung einer Frist schriftlich gekündigt werden."

3.2.2. Der Verwaltungsgerichtshof führt im gegenständlichen Erkenntnis vom 12.11.2021, Ra 2019/04/0055-7, Folgendes aus:

„Gemäß Art. 78 Abs. 1 und 3 DSGVO iVm Erwägungsgrund 143 richtet sich das Verfahren über Beschwerden gegen Entscheidungen der nationalen Aufsichtsbehörde nach dem jeweiligen mitgliedstaatlichen Verfahrensrecht (vgl. Jahnel, Kommentar zur Datenschutz-Grundverordnung (DSGVO), Art. 78, Rz 8; Nemitz in Ehmann/Selmayr (Hrsg), Datenschutz-Grundverordnung (2017), Art. 78, Rn 7).

25 Nach der Rechtsprechung des Verwaltungsgerichtshofes ist „Sache“ des Bescheidbeschwerdeverfahrens vor dem Verwaltungsgericht (nur) jene Angelegenheit, die den Inhalt des Spruchs der belangten Behörde gebildet hat (VwGH 9.9.2015, Ro 2015/03/0032, mwN), d.h. jene Angelegenheit, die von der belangten Behörde entschieden wurde (VwGH 16.3.2016, Ra 2015/04/0042). Der durch die Beschwerde gemäß § 27 VwGVG festgelegte Prüfungsumfang ist nach der Rechtsprechung des Verwaltungsgerichtshofes nicht ausschließlich an das Vorbringen der Beschwerdeführerin gebunden. Der äußerste Rahmen für die Prüfbefugnis ist die „Sache“ des bekämpften Bescheides (VwGH 16.3.2016, Ra 2015/04/0042).

26 Fallgegenständlich ist maßgeblicher Inhalt des mit der Beschwerdevorentscheidung bestätigten Spruchs des Bescheides die Anweisung, die einer Überprüfung unterzogene Datenverarbeitung (Nutzung des GPS-Systems für die unternehmenseigenen KFZ) in Einklang mit der DSGVO zu bringen. „Sache“ des Beschwerdeverfahrens war, fallgegenständlich daher die Überprüfung der Rechtmäßigkeit der in Ausübung der durch Art. 58 Abs. 2 lit. d DSGVO eingeräumten Abhilfebefugnis erteilten Anweisung, die einer Überprüfung unterzogene Datenverarbeitung in Einklang mit der DSGVO zu bringen, bzw. die Frage, ob eben diese Datenverarbeitung durch die mitbeteiligte Partei im Einklang mit der DSGVO erfolgte (siehe VwGH 17.12.2014, Ra 2014/03/0049, und 27.11.2020, Ra 2020/03/0086, zu insofern vergleichbaren Konstellationen). Dass die rechtliche Beurteilung durch die Revisionswerberin im behördlichen Verfahren zu kurz gegriffen haben mag, weil diese - wie das Verwaltungsgericht meint zu Unrecht - lediglich einen Rechtfertigungstatbestand geprüft hat, hat auf den Umfang der „Sache“ keinen Einfluss.

[…]“

3.2.3. Die belangte Behörde hat sich bei der Bescheiderlassung auf ihre Befugnis Art. 58 Abs. 2 lit. d DSGVO berufen. Auch in der Beschwerdevorentscheidung hat sie auf ihre Aufgaben und Befugnisse nach Art. 57 und Art. 58 DSGVO verwiesen. In der mündlichen Verhandlung hat die belangte Behörde ebenfalls ausdrücklich auf Art. 58 Abs. 2 lit. d DSGVO als Grundlage ihres Verfahrens hingewiesen.

In der wissenschaftlichen Literatur wird diese Befugnis folgendermaßen kommentiert:

„Abs. 2 lit. d setzt voraus, dass Verarbeitungsvorgänge nicht im Einklang mit der Verordnung stehen. Das bedingt, dass die Aufsichtsbehörde den Sachverhalt zuvor ermittelt und einen Verstoß festgestellt hat. Da die Verarbeitungsvorgänge in Einklang mit der Verordnung gebracht werden können, kann es sich nur um Verarbeitungen handeln, die nicht gar nicht durchgeführt werden dürfen. Vielmehr müssen behebbare Verstöße vorliegen. In Betracht kommen etwa die fehlerhafte oder fehlende Bestellung eines Datenschutzbeauftragten (Art. 37), Verletzungen bei der Führung von Verfahrensverzeichnissen (Art. 30), notwendige Anpassungen von Verträgen zur Auftragsverarbeitung (Art. 28) oder von Einwilligungserklärungen (Art. 7) oder Kollektivvereinbarungen (Art. 88). Die Vorschrift hat aber vor allem dort einen großen Anwendungsbereich, wo für die Verarbeitungen nicht die technisch-organisatorischen Anforderungen beachtet wurden. […].

Abs. 2 lit. d statuiert, dass mit der Anordnung die Anpassung der Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums verlangt werden kann. Anordnungen müssen immer inhaltlich hinreichend bestimmt sein. Für den Adressaten der Anordnung muss vollständig, klar und unzweideutig erkennbar sein, was die anordnende Stelle verlangt, damit dieser sein Verhalten danach richten kann. Die Formulierung „gegebenenfalls“ kann sich vor diesem Hintergrund nicht auf die Bestimmtheit der Anordnung selbst beziehen. Vielmehr sind Konstellationen gemeint, in denen für die Einhaltung der Vorgaben der DSGVO mehrere Möglichkeiten in der Umsetzung bestehen. Die Handlungsmöglichkeiten des Adressaten der Anordnung dürfen in solchen Situationen aus Gründen der Verhältnismäßigkeit nicht eingeengt werden. […]“ (Polenz in Simitis/Hornung/Spiecker (Hrsg.), Datenschutzrecht (2018) Anmerkungen zu Abschnitt 2 „Zuständigkeit, Aufgaben und Befugnisse“, 1090).

„Die Aufsichtsbehörde kann den Verantwortlichen bzw Auftragsverarbeiter anweisen, Verarbeitungsvorgänge ggf auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DSGVO zu bringen. Dies betrifft rechtliche, aber auch technische oder organisatorische Vorschriften. Die Aufsichtsbehörde hat dabei die Maßnahmen im Bescheid konkret zu benennen, damit die Einhaltung der Anweisung objektiv kontrollierbar bzw ggf exekutierbar ist. […]. Prinzipiell kann jede Abweichung von der DSGVO Anlass für eine Anweisung sein. Die Anweisung ist nicht auf Verstöße zu beschränken, die zur materiellen Unzulässigkeit der Datenverarbeitung führen. Wenn jedoch für die Datenverarbeitung die Rechtsgrundlage fehlt und dieser Mangel nicht geheilt werden kann – etwa durch Einholung einer rechtswirksamen Einwilligung – ist es unmöglich, die Datenverarbeitung in Einklang mit der DSGVO zu bringen […] Weitere Anweisungen nach lit d können zB solche bezüglich Führens eines Verzeichnisses von Verarbeitungstätigkeiten gem Art. 30, Benennung eines DSBA gem Art. 37, oder Abschluss eines Auftragsverarbeitervertrages gem Art 28 sein.“ (Zavadil, in: Knyrim (Hrsg.), Der DatKomm, Praxiskommentar zum Datenschutzrecht – DSGVO und DSG (2021), Art. 58 Rz 32 bis 34).“

Die belangte Behörde hat zwar ein Ermittlungsverfahren getätigt, aber lediglich die Prüfung einer möglichen Rechtsgrundlage, nämlich der freiwilligen Einwilligung, durchgeführt. Eine Prüfung der sonstigen allenfalls in Frage kommenden Rechtsgrundlagen und dementsprechende Feststelllungen fanden nicht statt. Überdies verweist die Beschwerdeführerin in ihrer an das Bundesverwaltungsgericht gerichteten Beschwerde darauf, dass es sich um Zustimmungserklärungen nach dem AVRAG handle, welche – wie auch die DSB in ihrer bisherigen Rechtsprechung festhielt – nicht ident mit einer datenschutzrechtlichen Einwilligung sind. Die belangte Behörde hat sich damit auch in ihrer Beschwerdevorentscheidung nicht auseinandergesetzt.

Trotz dieser aufgezeigten Defizite des Ermittlungsverfahrens ist eine Zurückverweisung an die belangte Behörde nicht mehr möglich. Wie der Verwaltungsgerichthof festgestellt hat, ist es nunmehr – nach Durchführung einer mündlichen Verhandlung – Sache des Bundesverwaltungsgerichts, eine umfassende Prüfung der Rechtmäßigkeit der gegenständlichen Verarbeitungen durchzuführen.

Was den Spruch des angefochtenen Bescheides anlangt, so ist dieser jedenfalls – auch im Sinne der oben genannten Literatur – viel zu vage gefasst, als dass für die Beschwerdeführerin erkennbar wäre, wie sie den rechtmäßigen Zustand herzustellen hat.

3.2.4. Zur Verwendung von GPS-Daten wird in der wissenschaftlichen Literatur (Goricnik/Grünanger: in Grünanger/Goricnik, Arbeitnehmer-Datenschutz und Mitarbeiterkontrolle2, Kap. 7 (Stand 1.11.2018 rdb.at) Folgendes ausgeführt (Text wird ohne Fußnoten wiedergegeben, Anm.):

„7.8 Bei GPS handelt es sich um ein Radionavigationssystem, das mit Hilfe von (amerikanischen) Satelliten Standortbestimmungen von Geräten mit einem GPS-Empfänger vornehmen kann. Dabei werden weder akustische noch optische Daten ermittelt. Erfasst wird nur der Standort des Empfangsgerätes. Dies kann auf wenige Meter genau geschehen. Praktisch können solche Ortungen mittlerweile häufig und einfach durchgeführt werden. Fast jedes „Smartphone“ ist mit einem GPS-Empfangsgerät ausgestattet. Ferner können solche Empfangsgeräte in Fahrzeugen oder sonstigen Gegenständen leicht angebracht werden. Insb bei Fahrzeugen sind so auch verdeckte Überwachungen des Fahrers möglich, wenn die Zuordnung zwischen Fahrzeug und Fahrer möglich ist. Datenschutzrechtlich problematisch ist die Erstellung von Bewegungsprofilen, weil sich so indirekt weitere Informationen über Personen ergeben können, zB der Ort der Nächtigung oder (längere) Aufenthalte an bestimmten Orten, zB in einer Moschee, was Rückschlüsse auf „sensible“ Daten ermöglicht. Der Einsatz von GPS wird von Versicherungen heute schon subventioniert. Kunden erhalten im Gegenzug verbilligte Tarife. Damit besitzt diese Technik das Potenzial, von großen Massen genutzt zu werden und damit gesellschaftlich akzeptiert zu sein; mittlerweile ist davon schon auszugehen. GPS-Ortung kann auch kombiniert mit der Ortung von Mobiltelefonen verwendet werden. […]

7.14 Zu prüfen ist, ob bei Personenortungen ein Eingriff in die Privatsphäre vorliegt. Der EGMR hielt in einer E fest, dass bei einer heimlichen Überwachung von Bewegungen einer Person im öffentlichen Raum mittels GPS ein Eingriff in die Privatsphäre vorliegt. Im konkreten Fall ging es um Ermittlungen wegen versuchten Mordes. Vom EGMR wurde aber betont, dass solch ein Eingriff nicht so schwer wiegt wie akustische oder optische Überwachung. Dies deshalb, weil durch akustische oder visuelle Überwachungsmethoden mehr Informationen über Verhalten, Meinung und Gefühle der überwachten Person offenbart werden. Demnach sind auch nicht die vom Gerichtshof entwickelten strengen Regeln zu Abhörmaßnahmen anzuwenden. Jedenfalls bejaht der EGMR einen Eingriff nach Art 8 EMRK auch bei bloßer Standortermittlung.

7.15 Strenger ist uE die Sachlage zu beurteilen, wenn zusätzlich zu den Standortdaten andere Daten (insb Inhaltsdaten) ermittelt werden oder auf Basis der Standortdaten ein Bewegungsprofil erstellt wird. Bei der Erstellung von Bewegungsprofilen ist, ähnlich wie bei akustischer oder visueller Überwachung, die Gefahr sehr groß, dass zu viel „Privates“ über die Person offenbart wird. So können bei laufender Standortermittlung Kenntnisse über Gewohnheiten oder Eigenschaften von Personen gewonnen werden (zB Häufigkeit von Kirchenbesuchen, Spitalsaufenthalten, Geschwindigkeitsübertretungen etc). Eine große Gefahr für die Privatsphäre birgt auch die Verknüpfung mit anderen – bereits vorhandenen –Informationen. Daraus können Rückschlüsse auf Verhalten, Meinung und Gefühle einer Person gezogen werden („Profiling“).“

Zum rechtmäßigen Zweck einer offenen Ortung wird Folgendes ausgeführt:

„7.31 Darunter sind Ortungen zu verstehen, über die der AN vom AG im Vorhinein informiert wird. Fraglich ist nun, wann sachliche Gründe (dh ein berechtigter Zweck) zur Ortung vorliegen. Mit der Beantwortung dieser Frage ist aber noch nichts Endgültiges über die Zulässigkeit einer solchen Maßnahme gesagt. Für die Zulässigkeit muss es sich ferner nämlich um eine verhältnismäßige Maßnahme, insb das gelindeste Mittel, handeln, weiters muss ein den Eingriff in die schutzwürdigen Persönlichkeitsrechte des AN überwiegendes berechtigtes Interesse des AG an dieser Maßnahme vorliegen.

7.32 Ein berechtigter Zweck liegt jedenfalls bei der Kontrolle der Einhaltung der arbeitsvertraglichen Pflichten vor. Dazu zählen die Kontrolle der Einhaltung der Arbeitszeit und die punktuelle Feststellung des Aufenthaltsortes eines AN während der Arbeitszeit. Schon semantisch wird aber zwischen „Kontrolle“ und (intensiverer und/oder umfassenderer) „Überwachung“ zu unterscheiden sein, maW rechtfertigt die grds Kontrollunterworfenheit des AN als Wesenselement eines „echten“ Arbeitsverhältnisses per se noch keine Überwachungsmaßnahmen in Richtung einer (zeitlich und/oder örtlich allgegenwärtigen) „Totalüberwachung“ (zB die ständige Ermittlung des Aufenthaltsortes eines AN zu Kontrollzwecken). […]

7.33 Ferner liegt dann ein berechtigter Zweck (als erster Prüfschritt) vor, wenn durch die Ortung ein erheblicher Verwaltungs- und Zeitaufwand eingespart werden kann (zB GPS-unterstütztes Fahrtenbuch). So könnte die Zeiterfassung bei Mitarbeitern im Außendienst (nur) über das Mobiltelefon abgewickelt werden. Auch Diebstahlsicherungen (zB das Anbringen von GPS-Empfangsgeräten in Firmenfahrzeugen zur Nachverfolgung bei Diebstahl) dienen einem rechtmäßigen Zweck. Ebenso wird ein solcher bei Ortungen zu Zwecken des AN-Schutzes vorliegen. Zu achten ist aber darauf, dass die Datenverarbeitung strikt im Rahmen des berechtigten Zweckes bleibt und nicht über diesen hinausgeht, dh keine Weiterverwendung der gewonnenen Daten für andere Zwecke (zB Kontrolle) erfolgt; dieser Prävention dient auch die Verpflichtung, die Daten nach Erreichung des Zweckes zu löschen (oder sie allenfalls nur in anonymisierter Form für statistische Zwecke länger aufzubewahren). Unter der Voraussetzung eines rechtmäßigen Erlaubnistatbestandes kann sich eine kompatible Zweckänderung allerdings auf Art 6 Abs 4 DSGVO stützen; bringt die Weiterverarbeitung aber für die betroffene Person in erster Linie (mögliche) negative Folgen (insb bei Verhaltens- oder Leistungskontrollen), spricht dieser Umstand regelmäßig gegen eine solche Vereinbarkeit. […]

7.36 In den nächsten Schritten ist dann aber zu prüfen, ob das verwendete Mittel überhaupt zur Zweckerreichung geeignet und es verhältnismäßig bzw das gelindeste ist. Abschließend hat noch eine Interessenabwägung zwischen den beeinträchtigten Persönlichkeitsrechten der AN sowie dem Grad der Beeinträchtigung einerseits und dem dadurch beförderten Interesse des AG andererseits stattzufinden. Wird sohin nicht das schonendste Mittel zur Zweckerreichung eingesetzt, ist die Maßnahme schon deshalb rechtswidrig und erübrigt sich die Vornahme einer Interessenabwägung.

b) Geeignetes Mittel

7.37 Die Frage nach einem geeigneten Mittel hängt in erster Linie vom angegebenen Zweck ab. Zu klären ist, ob der berechtigte Zweck überhaupt durch das gewählte Mittel erreicht werden kann. […]

c) Verhältnismäßigkeit und Interessenabwägung

7.39 Präzisierend soll zum Grundsatz der Verhältnismäßigkeit, der grundlegend und im Verfassungsrang in § 1 Abs 2 letzter S 3 DSG 2000 niedergeschrieben ist noch ausgeführt werden, dass damit das Verhältnismäßigkeitsgebot der Grundrechtsdogmatik verfassungsrechtlich auch für das Grundrecht auf Datenschutz verankert wird. Allerdings ist dabei zu beachten, dass es sich beim Gebot des gelindesten Mittels um eine besondere Ausprägung des Verhältnismäßigkeitsgebots handelt: Das „herkömmliche“ Verhältnismäßigkeitsgebot verlangt die Eignung, Erforderlichkeit und Proportionalität des Eingriffs, wobei Letzteres auch als Verhältnismäßigkeit im engeren Sinn bezeichnet wird. Dagegen ist nach dem Gebot des gelindesten Mittels unter den im engeren Sinn verhältnismäßigen Eingriffen nur der schonendste zulässig. IdS führt Rebhahn bspw zutreffend aus, dass es bei einer etwaigen Erforderlichkeit aus besonderen Gründen, jederzeit den aktuellen Aufenthaltsort eines AN zu wissen, dies noch nicht das Speichern dieser Daten rechtfertige. […]

7.40 Diese grundrechtliche Wertung wird nun über die erwähnten zivil- bzw arbeitsrechtlichen Generalklauseln auch in das Individualarbeitsrecht transportiert.

7.41 Sind dann alle bisherigen Voraussetzungen erfüllt, wird im letzten Schritt überprüft, ob die durch den Eingriff in ein Persönlichkeitsrecht des AN beförderten Interessen des AG die Beeinträchtigung des Persönlichkeitsrechts des AN überwiegen.

7.42 UE ist es im Kontext der Verhältnismäßigkeit sinnvoll, die Judikatur des OGH zur Videoüberwachung und zur Registrierung von Telefondaten iVm § 16 ABGB heranzuziehen. Danach sind Eingriffe immer dann unverhältnismäßig, wenn die Maßnahme eine besondere Intensität erreicht. Eine besondere Intensität liegt vor, wenn der Überwachungsdruck sehr groß oder die Kontrolldichte sehr stark ausgeprägt ist. Rechtlich problematisch ist idZ insb die permanente Ermittlung des Aufenthaltsortes von AN, wie sie etwa bei den oben beschriebenen Taxiunternehmen oder bei Berufskraftfahrern vorliegen kann.

7.43 Standortermittlungen in Echtzeit ohne Speicherung können dabei ein gelinderes Mittel darstellen. ZB ist bei Diebstahlsicherungen und Standortermittlung aus Gründen des technischen AN-Schutzes (vgl § 61 Abs 6 ASchG) Echtzeitüberwachung das gelindere (und wohl auch einzig geeignete) Mittel gegenüber einer Datenspeicherung: […]

7.45 AG haften darüber hinaus grds auch für die Bereitstellung einer wirksamen Kontrolle der AN hinsichtlich der Einhaltung der Arbeitnehmerschutzvorschriften. Nach der Judikatur des VwGH (Ro 2015/11/0003, Anm. des BVwG) liegt ein verwaltungsstrafbefreiendes wirksames Kontrollsystem nur dann vor, wenn „alle technischen Möglichkeiten ausgeschöpft“ werden. Dazu kann uE auch die permanente Ermittlung (nicht aber Speicherung oder Weiterverarbeitung) der Mobilitätsdaten von Lkw zählen. […]

7.47 Das Anbringen von GPS-Empfangsgeräten in Firmenfahrzeugen zur Nachverfolgung bei Diebstahl ist nur dann verhältnismäßig, wenn die konkrete Ausgestaltung Schutzmechanismen für die Persönlichkeitsrechte der AN vorsieht. In erster Linie muss sichergestellt sein, dass eine Ortung auch tatsächlich nur im Fall eines Diebstahles durchgeführt wird. Dies kann zB dadurch sichergestellt werden, indem das Empfangsgerät selbständig und rechtlich zulässig durch AN während der privaten, aber auch dienstlichen Nutzung des Fahrzeuges technisch abgeschaltet werden kann. Das Problem ist aber, dass AN das Einschalten der Ortungsfunktion beim Abstellen des Fahrzeuges vergessen könnten oder iZm einer Privatnutzung auch nicht wollen. Eine Alternative wäre deshalb, das GPS-Signal so zu verschlüsseln, dass der AG das Fahrzeug nicht orten kann, sondern eine Sicherheitsfirma beauftragt wird, die das Signal im Verdachtsfall rückverfolgen kann. Eine zusätzliche Speicherung der Standortdaten des AN wäre aber jedenfalls unverhältnismäßig. […]

7.49 Fraglich ist auch, inwieweit reine Kostenersparnisse des AG beim Einsatz von Standortüberwachung eine Rolle spielen dürfen. Ein Beispiel dafür ist die Kontrolle von Beginn, Einhaltung und Beendigung der Arbeitszeit von mobil eigesetzten AN. Die korrekte Einhaltung der Arbeitszeit dieser Mitarbeiter im Außendienst könnte praktisch stichprobenweise auch durch Aufseher überprüft werden. Allerdings ist der Kostenaufwand für den AG bei einer laufenden Arbeitszeiterfassung zB mittels GPS-fähigem Mobiltelefon, der bei Aktivierung der Ortungsfunktion eine jeweilige Standortüberwachung immanent ist (zB Überprüfung, ob der Paketzusteller mit der Route begonnen hat und ob er sich auch in weiterer Folge zeitkonform an die jeweils vorgegebene Route hält), wesentlich geringer und überdies lückenlos. Nach einem (zivilrechtlichen) obiter dictum des OGH liegt kein zumutbares Mittel vor, wenn es zwar ein gelinderes Mittel zur Kontrolle gibt, die Kosten dafür jedoch wirtschaftlich unzumutbar sind. Wie hoch der Kostenunterschied sein muss, um von Unzumutbarkeit ausgehen zu können, sagt der OGH nicht. IdZ muss aber einmal grds darauf hingewiesen werden, dass das Arbeitsverhältnis Jahrzehnte ohne jene Kontrollen auskam, welche jetzt zT als erforderlich propagiert werden. Zu bedenken ist idZ auch, dass früher die Kosten (zusätzlicher) Kontrollmaßnahmen der Überwachung immanente Grenzen gesetzt haben. Heutzutage sind diese Kosten durch den technischen Fortschritt idR erheblich gesunken, sodass sich das Streben nach Überwachung (nebenbei gesagt auch im öffentlichen Bereich) weit ausbreitet, sodass rechtliche Grenzen entsprechend wichtiger geworden sind. Die rechtliche Leitlinie sollte deshalb sein, dass die neuen Techniken allein die Grenzen zulässiger Kontrolle grds nicht erweitern dürfen; maW ist es sinnvoll, bei der angestrebten Nutzung moderner Technik zu fragen, wie die Lage bei ähnlichem Sachverhalt ohne Technik wäre. Deshalb ist und bleibt die permanente Standortüberwachung von Außendienstmitarbeitern mittels GPS unverhältnismäßig; lediglich in Einzelfällen, in denen es um Meinungsverschiedenheiten über das Ausmaß der geleisteten Arbeitszeit geht, könnte erwogen werden, eine solche (offene) Ortung im Einverständnis mit dem betroffenen AN durchzuführen. […]

7.52 Auch bei der Interessenabwägung iZm dem Anbringen von GPS-Empfangsgeräten in Firmenfahrzeugen zur Nachverfolgung bei Diebstahl bietet sich an, zu berücksichtigen, ob es überhaupt schon einmal ein entsprechendes Vorkommnis gegeben hat oder einfach ein abstraktes Drohszenario zur Rechtfertigung des Einsatzes dieser neuen Technologie aufgebaut wird; idS könnte der AG aber für Einzelfälle auch damit argumentieren, dass das Firmenfahrzeug in einem Land oder Gebiet eingesetzt wird, in dem es notorisch permanent (oder eben auch nur vorübergehend) zu einer Häufung von Fahrzeugdiebstählen kommt; dabei wird auch das „Gefährdungspotenzial“ durch die Verwendung einer bestimmten Fahrzeugtype in diese Interessenabwägung miteinbezogen werden können. In diesem Sinne empfiehlt die Art 29-Datenschutzgruppe, dass Standortdaten des Kfz außerhalb der Arbeitszeit nicht ermittelt werden, solange das Fahrzeug nicht ein vordefiniertes Gebiet verlässt (Geofencing); selbst dann sollen die diesfalls dann ermittelten und gespeicherten Standortdaten erst eingesehen werden, wenn ein Diebstahlsfall bestätigt ist (WP 249 vom 8.6.2017, Opinion 2/2017 on data processing at work, Anm. des BVwG).

7.58 Zunächst ist zu klären, ob es sich bei Bewegungsdaten/Standortdaten um personenbezogene Daten handelt. Nur personenbezogene (bzw zumindest personenbeziehbare) Daten sind vom Datenschutzrecht erfasst. Dass es sich bei Bewegungsdaten/Standortdaten immer um personenbezogen Daten handelt, ist nicht selbstverständlich, weil etwa der Standort eines Mobiltelefons oder eines Fahrzeuges noch nicht zwingend etwas über den Aufenthaltsort einer Person aussagt. Um den Aufenthaltsort einer Person festzustellen, benötigt man die zusätzliche Information, dass diese Person das geortete Mobiltelefon mit sich führt oder mit dem georteten Fahrzeug fährt.

7.59 Nach Art 4 Z 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Damit sind ausdrücklich auch personenbeziehbare Standortdaten erfasst. Bestimmbar sind diese Personen dann, wenn ihre Identität mit Hilfe von Zusatzinformationen festgestellt werden kann. Bei einer Ortung von Mobiltelefonen oder Fahrzeugen ist also immer die Zusatzinformation notwendig, wer zum Zeitpunkt der Ortung darüber verfügt, damit es sich bei den Ortungsdaten um personenbezogene Datenhandeln kann. In aller Regel ist diese Zusatzinformation bei Arbeitsverhältnissen gegeben. Die Nummer eines dienstlichen Mobiltelefons wird beim AG personenbezogen registriert sein. Auch Firmenfahrzeuge werden, etwa durch das Kfz-Kennzeichen, zumeist einem bestimmten AN zugeordnet werden können. Bei Fuhrparks mit wechselnden Fahrzeugen werden AN idR durch ein Registrierungssystem einem Fahrzeug zugeordnet. […]

7.63 Für die Rechtfertigung der Datenverwendung ist es von Bedeutung, ob es sich bei Standortdaten um sensible oder nicht-sensible Daten handelt. Grds wird es sich bei Standortdaten zumeist um nicht-sensible Datenhandeln, weil bloße Informationen über den Aufenthaltsort einer Person selten Schlüsse auf sensible Informationen nach Art 9 DSGVO (zB religiöse Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit) zulassen. Dies wird uE insb für Standortüberwachung in Echtzeit ohne Speicherung zutreffen (zB Diebstahlsicherungen oder AN-Schutz). (…)

7.65 Findet keine Ortung in der Freizeit des AN statt und werden Standortdaten auch nicht gespeichert, wird sich die datenschutzrechtliche Rechtfertigung idR aber nach den Erlaubnistatbeständen des Art 6 DSGVO richten (die Erfüllung der weiteren datenschutzrechtlichen Grundsätze, insb die Datenverarbeitung nur nach Treu und Glauben und der Einsatz des gelindesten Mittels zur Erreichung eines berechtigten Zweckes vorausgesetzt).

7.66 Allerdings kann in Fällen mit automatischer Standorterfassung und -speicherung im Vorhinein nicht ausgeschlossen werden, dass auch sensible Daten erfasst werden. Durch Ortung kann festgestellt werden, wer sich zu welcher Zeit wo aufhält. Mit der Speicherung der Standortdaten und der Erstellung von Bewegungsprofilen lassen sich Rückschlüsse auf regelmäßige Verhaltensweisen ziehen und damit könnten sich Rückschlüsse auf sensible Informationen iSd Art 9 DSGVO ergeben. Aus Bewegungsprofilen könnte etwa herausgelesen werden, ob sich jemand regelmäßig bei einem Arzt/in einem Krankenhaus aufhält oder an Betriebsversammlungen oder an sonstigen politischen Versammlungen teilnimmt. Durch regelmäßige Arztbesuche/Teilnahme an politischen Versammlungen könnte sich etwa ableiten lassen, dass eventuell eine chronische Erkrankung vorliegt oder eine bestimmte politische Meinung vertreten wird. Fraglich ist dann, ob sich die Rechtfertigung der Datenverwendung nach Art 6 oder Art 9 DSGVO richtet. […]

7.72 Die Einwilligung des AN nach Art 6 Abs 1 lit a DSGVO mag aus datenschutzrechtlicher Sicht zwar theoretisch eine wenig praktikable Rechtfertigungsmöglichkeit sein, weil diese jederzeit widerrufbar ist; ein Widerruf einer einmal erteilten Einwilligung ist im aufrechten Arbeitsverhältnis praktisch aber auszuschließen. Generell gibt es aber Zweifel, ob die datenschutzrechtliche Einwilligung im Arbeitsverhältnis (wegen Zweifeln an ihrer „Freiwilligkeit“) überhaupt Eingriffe rechtfertigen kann. Investitionen in Soft- und Hardware zur Standortüberwachung könnten, wenn diese nur durch die Einwilligung der AN erlaubt ist, so schnell wertlos werden.

7.73 Relevanter ist idZ deshalb insb Art 6 Abs 1 lit f DSGVO. Nach diesem Erlaubnistatbestand ist auf die „überwiegenden berechtigten Interesse des Verantwortlichen“ abzustellen. Die Datenverarbeitung ist auch dann gerechtfertigt, wenn diese gem Art 6 Abs 1 lit b DSGVO zur Vertragserfüllung zwischen Verantwortlichem und Betroffenem erforderlich ist. Sohin können zwei Fallgruppen gebildet werden, nämlich einerseits Datenverarbeitungen, die zur Vertragserfüllung notwendig sind und andererseits Datenverarbeitungen im überwiegenden Interesse des Verantwortlichen. Nur bei Letzteren ist eine Interessenabwägung vorzunehmen.

7.74 Standortdatenermittlung zu Zwecken des AN-Schutzes (nur) gem § 61 Abs 6 ASchG ist wohl für die Vertragserfüllung (auch unter Berücksichtigung der Fürsorgepflicht) erforderlich.

7.75 In anderen Fällen ist das Überwiegen der berechtigten Interessen des AG zu prüfen. Die Interessenabwägung erfolgt nach einem ähnlichen System wie nach § 16 ABGB. Besonders zu berücksichtigen ist hier aber die vom Datenschutzrecht vorgegebene Prüfstruktur. Insb ist immer zu fragen, ob es sich um das hinsichtlich des Geheimhaltungsinteresses des AN gelindeste geeignete Mittel für den Eingriff handelt. Standortdatenermittlung ohne Speicherung ist das gelindere Mittel im Vergleich zur Speicherung der Standortdaten. Eine verschlüsselte Speicherung der Bewegungsdaten ist das gelindere Mittel im Vergleich zum jederzeit möglichen Zugriff auf die gespeicherten Daten (und gleichzeitig eine Datensicherheitsmaßnahme iSd Art 32 DSGVO). {…]

7.80 Wurden sensible Daten verarbeitet, durfte die Datenanwendung erst nach ihrer Prüfung (Vorabkontrolle) durch die Datenschutzbehörde – bzw alternativ, wenn zwei Monate nach Einlangen der Meldung verstrichen waren, ohne dass ein Verbesserungsauftrag erteilt wurde, nach dieser Zeitspanne – aufgenommen werden (§ 18 Abs 2 Z 1 DSG 2000 bzw § 21 Abs 1 Z 3 DSG 2000). Ansonsten durfte die Datenanwendung unmittelbar nach Abgabe der Meldung an das DVR aufgenommen werden. Künftig wird die Pflicht zur Registrierung durch die selbstregulatorische Führung eines Verarbeitungsverzeichnisses gem Art 30 DSGVO ersetzt. Überdies wird die systematische Erfassung von Standortdaten vonAN, insb wenn Bewegungsprofile erstellt werden, für ihre datenschutzrechtliche Zulässigkeit jedenfalls der Durchführung einer vorhergehenden Datenschutz-Folgenabschätzung (DPIA) – unter Einbeziehung der betroffenen AN bzw des BR – gem Art 35 f DSGVO bedürfen.

7.81 Ferner sind die betroffenen AN gem Art 13 ff DSGVO ausführlich ua über den Zweck der Datenverarbeitung zu informieren. Wie das praxistauglich genau zu erfolgen hat, ist für das Arbeitsrecht noch unklar. Für Kunden von Kaufhäusern wurde die Information über die Verwendung von RFID-Chips mit Hinweistafel im Geschäft als ausreichend angesehen. Die DSGVO schreibt keine bestimmte Form der Verständigung vor, zu beachten ist diesbezüglich aber Art 12 Abs 1 DSGVO, der insb von einer verständlichen und leicht zugänglichen Form spricht, was wohl bedeutet, dass die betroffene Person die Informationen iZm der Datenerhebung grds ohne Medienbruch entgegennehmen kann. Zu Nachweiszwecken (insb gegenüber der Datenschutzbehörde) ist aber aus Sicht des AG zur schriftlichen Information zu raten. Diese kann in Form eines Rundschreibens oder in Form einer E-Mail erfolgen. Diese Informationen sollen vor allem eine faire und transparente Verarbeitung gewährleisten (Art 13 Abs 2 DSGVO). […]

7.96 Die Lehrmeinungen gehen nun bei elektronischer Standortüberwachung (insb durch GPS) generell von einem Berühren der Menschenwürde aus. Die daraus auf den ersten Blick ableitbare Aussage, dass jede elektronische Standortdatenermittlung (zB durch GPS) der notwendigen Mitbestimmung unterliegt, ist aber zu unpräzise. Vielmehr ist zur Frage des Berührens der Menschenwürde je nach Art und Intensität einer allenfalls möglichen Kontrolle (Kriterien wären etwa die Speicherung oder nur eine Echtzeitkontrolle, Aufaeichnungsdauer, Auswertungsmöglichkeiten bzw Abgleichungsmöglichkeiten mit Daten aus anderen Systemen) im konkreten Fall zu differenzieren. Dabei kann insb zwischen Ortungen mit und ohne Speicherung der Standortdaten, zwischen der Unmittelbarkeit bzw Mittelbarkeit des Personenbezuges der Standortdaten (zB also zwischen Ortung eines Mobiltelefons und Ortung „bloß" des Firmenfahrzeuges) und zwischen dem Ausmaß der theoretisch überwachbaren Arbeitszeit unterschieden werden (vgl dazu im Folgenden sowie in den anschließenden Fallbeispielen).

c) Menschenwürde und Ortung ohne Speicherung der Standortdaten

7.97 Bei Systemen, die die Standortdaten technisch nicht aufzeichnen können und bei denen auch sonst technisch sichergestellt ist, dass keine dauernde Überwachung (zB durch die Möglichkeit des AN, die Ortung ohne Sanktion selbst zu unterbinden) erfolgen kann, wird die Menschenwürde eher nicht berührt sein. Stichprobenari:ige Kontrollen der Anwesenheit (an einem bestimmten Ort) sind zwar durch die dem Arbeitsverhältnis immanente Kontrollunterworfenheit gedeckt, wahrnehmbar zB durch stichprobenartige Kontrollen durch Aufseher oder bei Außendienstmitarbeitern durch Kontrolleure bzw Anrufe; im Vergleich dazu bringt die neue Technologie selbst unter den beschriebenen Voraussetzungen qualitativ aber eine Zunahme der Kontrollmöglichkeit, da Stichproben nicht mit einer permanenten Ortung gleichgesetzt werden können; die Möglichkeit der Unterbindung der Ortung durch den AN, so diese Möglichkeit tatsächlich sanktionslos besteht, was aber erst die tatsächliche Nutzung dieser Möglichkeit belegen würde, könnte aber das ausschlaggebende Argument dafür sein, dass die Menschenwürde (noch) nicht berührt ist.

7.98 Die dauernde Ortungsmöglichkeit während der Arbeitszeit selbst ohne Speicherung berührt jedenfalls die Menschenwürde. AG könnten aber verpflichtet sein, zB gem § 61 Abs 6 ASchG etwa bei der Reinigung von Flachdächern oder in Bezug auf Berufstaucher dauernde Ortungen in Echtzeit durchzuführen. In diesen Fällen würde nicht einmal § 96 a Abs 1 Z 1 ArbVG eingreifen, weil der AG wohl nur in Erfüllung rechtlicher Verpflichtungen handelt, um den vom AN-Schutzrecht verlangten Schutzpflichten nachzukommen, solange die Datenverarbeitung nicht darüber hinausgeht (zB die Ortung nach Ende des Arbeitseinsatzes mit erhöhter Unfallgefahr nachweislich technisch eingestellt wird). Die Judikatur des VwGH zum AN-Schutz tendiert in diese Richtung. Bei der Erfüllung gesetzlicher Verpflichtungen könnte die Mitbestimmungspflicht des BR uE ihrem Zweck nach deshalb einzuschränken sein.

d) Menschenwürde und Ortung mit Speicherung der Standortdaten („Bewegungsprofile")

7.99 Anders verhält es sich, wenn die Bewegungen des AN gespeichert werden. Dann ist zu prüfen, in welcher Dichte Bewegungsdaten aufgezeichnet werden können. Die dauernde Aufzeichnung der Bewegungen einer Person während der Arbeitszeit, etwa durch Mobiltelefon oder eingenähte RFID-Chips bei einem engmaschigen Netz von Lesegeräten, berührt uE jedenfalls die Menschenwürde bzw wird sie wohl sogar verletzen. Die Aufzeichnung eines solchen engmaschigen Bewegungsnetzes geht weit über die für das Arbeitsverhältnis typischen und angemessenen Kontrollen hinaus. Schon die individualrechtliche Zulässigkeit wird bei Bewegungsprofilen schwer zu rechtfertigen sein, weil ein sachlicher Grund selten vorliegen wird (ausgenommen zB LKW-Mautsysteme). Rebhahn verweist insb darauf, dass die Erstellung von Bewegungsprofilen jahrzehntelang für die Durchführung eines Arbeitsverhältnisses nicht erforderlich war.

7.100 Die Aufzeichnung der Bewegungen eines Firmenfahrzeuges unterliegt uE der notwendigen Mitbestimmung des BR wegen des Berührens der Menschenwürde nur dann, wenn das Kfz während der Arbeitszeit von ein und demselben AN häufig bewegt wird, etwa bei einem Boten oder einem Paketzusteller. Nur bei oftmaliger Bewegung des Kfz lassen sich durch ein Bewegungsprofil umfassende Rückschlüsse auf Verhalten oder Leistung des AN während der Arbeitszeit ziehen. Ein Berühren der Menschenwürde wird – bei seltener Bewegung des Kfz – wohl auch dann nicht vorliegen, wenn der AG detaillierte Besuchsberichte (zB Dauer der Kundentermine) verlangt und diese mit dem Bewegungsprofil des Kfz abgleichen kann.“

3.2.5. Der Oberste Gerichtshof hat in seinem Urteil vom 22.1.2020, ObA120/19s, ausgesprochen, dass in dem dort gegenständlichen Fall, in dem eine dauernde Ortungsmöglichkeit während der Arbeitszeit des Klägers gegeben war, jedenfalls die Menschenwürde berührt war und eine Betriebsvereinbarung oder Zustimmung der Arbeitnehmer nach dem AVRAG notwendig gewesen wäre. Im konkreten Fall wurde der Kläger, der das Dienstfahrzeug auch privat nutzen durfte, auch in seiner Freizeit überwacht. Dem Kläger wurde vom OGH immaterieller Schadenersatz zugesprochen.

3.2.6. Auf den konkreten Fall umgelegt bedeutet dies Folgendes:

Zunächst ist darauf hinzuweisen, dass das im gegenständlichen Fall verwendete GPS-System flächendeckend die von den Arbeitnehmern (dienstlich) gefahrenen Routen und Kilometerstände aufzeichnet und Kontrollen durch die Beschwerdeführerin anhand dieser Aufzeichnungen (und grundsätzlich nicht bei Echtzeitübertragung) stattfinden. Wenngleich keine systematische Überwachung durch den Geschäftsführer der Beschwerdeführerin stattfindet, sondern lediglich stichprobenartige Überprüfungen vorgenommen werden, wäre zumindest das Potenzial vorhanden, über einen bestimmten Zeitraum eine Überwachung von Arbeitnehmern vorzunehmen. In diesem Zusammenhang müssen für die Rechtmäßigkeit einer Datenverarbeitung nicht nur die Bestimmungen der DSGVO, sondern auch arbeitsrechtliche Bestimmungen erfüllt sein:

Bei Maßnahmen oder Systemen, die - wie hier - die objektive Eignung zur Kontrolle der AN erfüllen, ist dann gem. § 96 Abs. 1 Z 3 des Bundesgesetzes vom 14. Dezember 1973 betreffend die Arbeitsverfassung (Arbeitsverfassungsgesetz – ArbVG), BGBl. Nr. 22/1974 idgF bzw. § 10 Abs. 1 Arbeitsvertragsrechtsanpassungsgesetz (AVRAG), BGBl. Nr. 459/1993 idgF weiters zu prüfen, ob dadurch die Menschenwürde berührt ist. Die Menschenwürde wird von einer Kontrollmaßnahme oder einem Kontrollsystem dann „berührt“, wenn dadurch die vom Arbeitnehmer in den Betrieb miteingebrachte Privatsphäre kontrolliert wird. Von der Privatsphäre abgesehen, kann aber auch durch die Kontrollintensität der Arbeitsleistung und des arbeitsbezogenen Verhaltens des Arbeitsnehmers eine Berührung der Menschenwürde bewirkt werden, und zwar vor allem dann, wenn diese Kontrolle in übersteigerter Intensität organisiert wird und jenes Maß überschreitet, das für Arbeitsverhältnisse dieser Art typisch und geboten ist (9 Ob A 109/06d mwN, 9 Ob A 23/15w Pkt.5). Andererseits verlangt das „Berühren“ der Menschenwürde keine solche Eingriffsdichte, die bereits als „Verletzung“ anzusehen wäre.

Auch wenn die Beschwerdeführerin vorgebracht hat, nur stichprobenartige Überprüfungen der die Arbeitnehmer betreffenden GPS-Daten vorzunehmen, ist auch im gegenständlichen Fall eine ständige Ortungsmöglichkeit der betroffenen Arbeitnehmer gegeben, sodass auch hier (obwohl es sich nicht um eine „verdeckte Maßnahme“ handelt) angenommen werden kann, dass durch die Überwachungsmöglichkeit die Menschenwürde berührt ist. Letztendlich kann eine nähere Auseinandersetzung mit dieser Frage unterbleiben, da im gegenständlichen Fall ohnehin Zustimmungserklärungen vorliegen, die als solche nach dem AVRAG zu deuten sind.

Dazu ist zu festzuhalten, dass die (frühere) Datenschutzkommission Zustimmungen gemäß § 10 AVRAG; in den Fällen, in denen das Unternehmen keinen Betriebsrat hatte, mit dem eine Betriebsvereinbarung abgeschlossen wurde, als (weitere, aber nicht alleinige) Rechtsgrundlage anerkannt hat.

Dazu führte die ehemalige Datenschutzkommission Folgendes aus:

„Die schutzwürdigen Geheimhaltungsinteressen der Mitarbeiter sind gewahrt, weil die Antragstellerin als Arbeitgeber um einen Konsens mit den Arbeitnehmern bemüht ist, und statt einer Betriebsvereinbarung, die wegen der geringen Größe der Belegschaft nicht möglich ist, eine Zustimmung der Arbeitnehmer gemäß § 10 Abs. 1 und 2 AVRAG eingeholt hat. Diese Zustimmung ist nicht als datenschutzrechtlich gültige Zustimmung zur Übermittlung zu werten (siehe § 8 Abs. 1 Z 2 DSG 2000), aber geeignet, die schutzwürdigen Geheimhaltungsinteressen der Betroffenen zu wahren, und repräsentiert auch ohne Betriebsrat ein Element der betrieblichen Mitbestimmung.“ (K508.657-011/0002-DVR/2012 vom 24.02.2012; DSB-D600.328-001/0001-DSB/2014 vom 13. 5. 2014 uwN)

Die Erläuterungen zu § 10 AVRAG idF der Novelle BGBl. Nr 450/1994, lauten:

„§ 10 AVRAG setzt die Bestimmung des Anhanges Punkt 3 lit. b der Richtlinie über die Mindestvorschriften bezüglich Sicherheit und Gesundheitsschutz bei der Arbeit an Bildschirri1geräten (90/270/EWG ) um, orientiert sich aber an § 96 Abs. 1 Z 3 ArbVG. Durch diese Neuregelung soll sichergestellt werden, daß die Einführung und Verwendung von Kontrollrnaßnahmen, welche die Menschenwürde berühren, ohne Zustimmung der betroffenen Arbeitnehmer unzulässig' ist. Eine einmal erteilte Zustimmung kann vom Arbeitnehmer jederzeit widerrufen werden, wenn nicht schriftlich festgelegt wurde, für wie lange die Zustimmung erteilt wird. Eine Zustimmung ist nicht erforderlich, wenn über die Einführung der Kontrollmaßnahme eine Betriebsvereinbarung abgeschlossen wurde.

Jede verdeckte Kontrollmaßnahme, insbesondere solche zur qualitativen oder quantitativen Kontrolle der Arbeitsleistung an Bildschirmgeräten, ist als Maßnahme anzusehen, die die Menschenwürde berührt und die der Zustimmung entweder durch Abschluß einer Betriebsvereinbarung oder des einzelnen Arbeitnehmers bedarf. Zu Z 3 (§ 14 Abs. 1 Z 1 AVRAG - neu)“

Die Beschwerdeführerin hat in ihrer Beschwerde vom 10.09.2018 mitgeteilt, dass es sich bei den eingeholten Zustimmungserklärungen um solche nach dem AVRAG handelt. Der Annahme, dass die vorliegenden Zustimmungserklärungen als solche interpretiert werden können, ist aus Sicht des Bundesverwaltungsgerichtes nicht entgegenzutreten.

Vorweg ist einzuräumen, dass die betroffenen Arbeitnehmer damit jedenfalls vor Aufnahme ihrer Fahrten informiert worden sind, dass eine Aufzeichnung von GPS-Daten stattfindet und zu welchen Zwecken diese verwendet werden. Weiters besteht für jene Arbeitnehmer, die das Dienstfahrzeug auch privat nutzen, eine Umschaltmöglichkeit in den „Privatmodus“, sodass keine Route aufgezeichnet wird. Insofern ist der hier vorliegende Sachverhalt grundsätzlich anders gelagert als in jenem Fall, in dem einem Arbeitnehmer wegen (ursprünglich) verheimlichter Standortdatenüberwachung bei privaten Fahrten vom OGH Schadenersatz zugesprochen wurde. Schließlich ist auch anzumerken, dass besondere Sicherheitsmaßnahmen ergriffen wurden und die GPS-Daten verschlüsselt verarbeitet werden. Auch werden die Daten nur vom Geschäftsführer der Beschwerdeführerin abgerufen.

Wie in der mündlichen Verhandlung vom Geschäftsführer und auch in diversen Stellungnahmen der Beschwerdeführerin ausgeführt wurde, können grundsätzlich die Namen der Fahrer den benützten Kraftfahrzeugen zugeordnet werden (und werden in bestimmten Fällen auch zugeordnet) und ist somit ein Personenbezug im Sinne DSGVO gegeben. Grundsätzlich ist bei dienstlichen Fahrten nicht davon auszugehen ist, dass hier sensible personenbezogene Daten anfallen, weshalb grundsätzlich zur Beurteilung der Rechtmäßigkeit der Verarbeitung Art. 6 DSGVO heranzuziehen ist.

Die Beschwerdeführerin führt als Rechtsgrundlage für ihre Verarbeitung vor allem den Tatbestand des Art. 6 Abs. 1 lit. f DSGVO an. Weiters wurde von der Beschwerdeführerin auch weiterhin die Rechtmäßigkeit der Verarbeitung aufgrund Art. 6 Abs. 1 lit. a DSGVO behauptet.

Was die Rechtsgrundlage der (datenschutzrechtlichen) Einwilligung zu den genannten Zwecken betrifft, so ist zunächst auf Art. 7 Abs. 3 DSGVO zu verweisen, demgemäß bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, dem Umstand in größtmöglichem Umfang Rechnung getragen werden muss, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Wie auch von Goricnik/Grünanger in „Arbeitnehmer-Datenschutz und Mitarbeiterkontrolle“ ausgeführt wird, ist es zweifelhaft, ob die datenschutzrechtliche Einwilligung im Arbeitsverhältnis (wegen Zweifel an ihrer „Freiwilligkeit“) überhaupt Eingriffe rechtfertigen kann.

Der Geschäftsführer der Beschwerdeführerin hat zwar in der mündlichen Verhandlung ausgeführt, dass die theoretische Möglichkeit bestünde, dass ein Arbeitnehmer auch die Nutzung von mit GPS-Systemen ausgestatteten Fahrzeugen verweigern könne. Zugleich wurde jedoch von ihm jedoch angegeben, dass sämtliche Fahrzeuge mit GPS-Systemen ausgestattet sind und kein Fahrer jemals die Nutzung dieses Systems abgelehnt habe. Im Lichte der Tatsache, dass die Beschwerdeführerin auch mitteilte, dass das GPS-System vom Arbeitnehmer gar nicht abgeschaltet werden kann, ist davon auszugehen, dass die Einwilligungserklärungen mangels Freiwilligkeit keine taugliche Rechtsgrundlage für die genannte Datenverarbeitung sein kann.

Soweit sich die Beschwerdeführerin hinsichtlich ihrer Datenverarbeitung (auch) auf Art. 6 Abs. 1 lit. f DSGVO stützt, ist dazu zunächst vorweg festzuhalten, dass im hier gegenständlichen Fall (mit Ausnahme der Privatfahrten) derzeit stichprobenartige Kontrollen von Aufzeichnungen (und keine stichprobenartigen Kontrollen bei Echtzeitübertragung) erfolgen, sodass grundsätzlich eine Überwachung von Standortdaten von Arbeitnehmern über einen längeren Zeitraum möglich ist. Daher ist auch die damit verbundene Eingriffsintensität zu berücksichtigen.

Zu den Verarbeitungen ist Einzelnen auszuführen:

Privatfahrten:

Wenngleich fallgegenständlich die Arbeitnehmer die Möglichkeit haben, einen „Privatmodus“ einzuschalten, der die Aufzeichnung von GPS-Daten unterbindet, wurde von der Beschwerdeführerin auch ausgeführt, dass der Arbeitnehmer die GPS-Ortung nicht ausschalten kann, sodass eine „Fast-Echtzeitüberwachung“ theoretisch jederzeit möglich wäre. Überdies ist festzuhalten, dass anhand von Privatfahrten uU sogar sensible Daten iSv Art. 9 DSGVO ermittelt werden können (zB Besuch einer religiösen Einrichtung). Daher müssten hier Vorkehrungen getroffen werden, dass bei Privatfahrten bei Aktivierung des Privatmodus durch den Arbeitnehmer ein Abrufen von GPS-Daten durch die Beschwerdeführerin nur im Fall eines Diebstahles erfolgen kann. In einem solchen Fall fallen die GPS-Daten weiterhin beim Auftragsverarbeiter an und sind gegenüber der Beschwerdeführerin nur im Fall eines Diebstahls des Fahrzeuges zugänglich zu machen. Damit wird auch der Anforderung des Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) entsprochen.

Der Beschwerdeführerin war daher aufzutragen, diesbezüglich den DSGVO-konformen Zustand herzustellen.

Disposition:

Die Verwendung von GPS-Daten zur Disposition/Routenplanung ist noch nicht implementiert und daher nicht Gegenstand der gegenständlichen rechtlichen Beurteilung.

Diebstahl - Versicherung

Zunächst kann von einem berechtigten Interesse der Beschwerdeführerin (Eigentümerin der Dienstfahrzeuge) ausgegangen werden, den Diebstahl von Fahrzeugen zu verhindern bzw. im Falle des Diebstahls das gestohlene Fahrzeug auch aufzufinden. In diesem Zusammenhang ist davon auszugehen, dass im Anlassfall die Interessen oder Grundrechte und Grundfreiheiten der Arbeitnehmer nicht das genannte berechtigte Interesse überwiegen. Dafür scheint eine Echtzeit- oder, wie im gegenständlichen Fall, eine „Fast-Echtzeitüberwachung“ (Übermittlung der Daten mit einer Verzögerung von einigen Minuten) bzw. in Ausnahmefällen ein Abfragen der GPS-Daten binnen weniger Tage zur Erreichung des angegebenen Zwecks zu genügen.

Wochenberichtskontrolle (Arbeitszeit und Ruhepausen)

Wie die Beschwerdeführerin ausführte, erhält der Geschäftsführer der Beschwerdeführerin Ende des Monats die Wochenberichte der Arbeitnehmer, in welche diese ihre Arbeitszeiten und Ruhepausen eintragen. Dabei obliegt es dem Arbeitgeber, die Einhaltung der im Arbeitszeitgesetz vorgesehenen Arbeitszeit durch die Arbeitnehmer zu überprüfen, was auch dem Schutz der Arbeitnehmer dient. In diesem Zusammenhang ist es legitim, beim Verdacht einer falschen oder bei Vorliegen einer fehlenden Eintragung – soweit notwendig – auch Teile der gefahrenen Route einzusehen, wenn eine Klärung mit dem Arbeitnehmer nicht möglich ist oder eine diesbezügliche Nachfrage zu keinem klaren Ergebnis führt. Diese Klärung unter Einbindung des betroffenen Arbeitsnehmers stellt auch ein gelinderes Mittel dar als die bisherige Vorgangsweise.

Überdies ist eine Überprüfung, ob eingetragene Ruhepausen wirklich stattgefunden haben, wie auch der Geschäftsführer in der mündlichen Verhandlung ausführte, nicht möglich. Selbst wenn man feststellte, dass ein Dienstwagen irgendwo einige Zeit gestanden ist, kann dies verschiedene Hintergründe haben. Im gegebenen Fall kann es sich daher – was die Beschwerdeführerin auch einräumte – lediglich um eine Plausibilitätsprüfung handeln. Eine laufende stichprobenartige Überprüfung der Pausen würde daher immer wieder zu nicht aussagekräftigen Ergebnissen führen und wäre nur in geringem Maße geeignet, den Zweck der Feststellung der Ruhepausen zu erfüllen. Nach Ansicht des Bundesverwaltungsgerichts wäre eine Überprüfung der Einhaltung der Pausenzeiten nur dann legitim, wenn der Verdacht besteht, dass hier eine Falscheintragung oder fehlende Eintragung der Pausen vorliegt und dies auch nicht beim Arbeitnehmer selbst entsprechend aufgeklärt werden kann. Demensprechend ist die Vorgangsweise der Beschwerdeführerin in Hinkunft abzuändern. Eine Überprüfung der gefahrenen Kilometer ist jedenfalls nicht ausgeschlossen.

Was die Speicherfrist der Daten betrifft, so wurde von der Beschwerdeführerin mehrmals betont, dass die Frist vom 93 Tagen vom Auftragsverarbeiter vorgegeben ist. Dies stellt freilich keine Rechtfertigung dar: Zum einen muss der Verantwortliche (im Einklang mit der Rechtsordnung) dem Auftragsverarbeiter vorgeben, wie lange er Daten verarbeiten darf, und nicht umgekehrt; zum anderen wurden von der Beschwerdeführerin keine überzeugenden Argumente vorgebracht, warum eine derart lange Speicherfrist notwendig ist. Es ist daher davon auszugehen, dass selbst dann, wenn der Geschäftsführer die Wochenberichte erst am Monatsende erhält und einige Tage zur Kontrolle der Einhaltung der Arbeitszeiten benötigt, im konkreten Fall mit einer Speicherfrist von 45 Tagen das Auslangen gefunden werden kann.

Vorbeugung von Schwarzfahrten und Schwarzarbeit-Überprüfung

Zunächst ist anzumerken, dass zur Vorbeugung von Schwarzfahrten das Vorhandensein eines GPS-Systems allein bereits zur Abschreckung beiträgt. Von der Beschwerdeführerin wurde das Beispiel angeführt, dass etwa ein Dienstfahrzeug am Wochenende an einem Ort gesichtet wird und zu überprüfen sei, ob es sich um einen dringenden Störungsbehebungseinsatz handelt oder nicht. In diesem Fall ist freilich eine längere Speicherung nicht notwendig und könnte dies innerhalb weniger Tage nach der Sichtung des Fahrzeuges überprüft werden. Überdies scheint es ausreichend, dass sowohl eine Überprüfung von Schwarzfahrten als auch von Schwarzarbeiten nur im Verdachtsfall stattfindet, da eine stichprobenartige Überprüfung auf eine Überwachung der jeweils gesamt gefahrenen Routen hinauslaufen würde und hier das Interesse der Beschwerdeführerin von den Interessen der Arbeitnehmer an Geheimhaltung überwogen wird, sofern kein Verdachtsfall vorliegt.

Leasing-Abrechnung und automatisches Fahrtenbuch

Hinsichtlich der Leasingabrechnung räumte die Beschwerdeführerin in ihrer letzten Stellungnahme vom 16.08.2022 ein, dass eine Verarbeitung der Route für diesen Zweck nicht notwendig ist. Eine Speicherung der Routen über Spruchpunkt 2 hinaus ist nicht erforderlich. Auch werden die für die Leasing-Berechnung notwendigen Angaben nur kennzeichenbezogen übermittelt.

Was das elektronische Fahrtenbuch betrifft, so räumte die Beschwerdeführerin ebenfalls ein, dass die Route für diesen Zweck gar nicht benötigt wird. Andererseits zeigt die Rechtsprechung des Bundesfinanzgerichts, dass für die Bemessung der Steuer sehr wohl auch Streckenbeschreibungen von Relevanz sein können, was zu dem Schluss führt, dass die Aufzeichnung von GPS-Daten ein relevantes Beweismittel im Steuerverfahren sein kann (siehe Unabhängiger Finanzsenat, UFSG vom 21.05.2010, RV/0826-G/08); Bundesfinanzgericht, BFG vom 29.11.2017, RV/2100038/2010). Im Anlassfall kann deshalb wohl eine längere Speicherung (siehe Spruchpunkt 2) zulässig. sein.

Fahrzeugkontrollen durch die Polizei

Eine Verarbeitung der Daten über in Spruchpunkt 2 hinaus nur für den Fall, dass die Beschwerdeführerin eine Verwaltungsstrafe erhalten könnte, die sie nicht zuordnen kann, wäre unverhältnismäßig. Auch wenn nicht ausgeschlossen ist, dass Verwaltungsstrafen erst nach einigen Wochen, allenfalls sogar nach mehreren Monaten ergehen, wäre eine „Vorratsdatenspeicherung“ für diesen Zweck nicht gerechtfertigt.

Ankunft am Aufenthaltsort

Soweit die Beschwerdeführerin angibt, dass eine Überprüfung der Ankunft am Aufenthaltsort nur im Anlassfall erfolgt, scheint dies von einem berechtigten Interesse der Beschwerdeführerin gerechtfertigt, das nicht von den Interessen oder der Grundrechte und Grundfreiheiten der Arbeitnehmer überwogen wird. Auch für eine derartige Überprüfung ist keine längere Speicherfrist notwendig als die oben genannte.

Zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten

Gemäß Art. 30 Abs. 1 DSGVO hat der Verantwortliche oder sein Vertreter ein Verzeichnis zu führen. Verantwortlicher für die GPS-Daten im gegenständlichen Fall ist die Beschwerdeführerin, die auch (selbst) einen Auftragsverarbeitungsvertrag mit dem genannten Auftragsverarbeiter geschlossen hat. Die in Art. 30 Abs. 5 DSGVO genannte Ausnahme greift schon deshalb nicht, weil die Verarbeitung von GPS-Daten ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt. Daher genügt es nicht, wenn ein Verzeichnis von der übergeordneten Holding geführt wird, sondern ist von der Beschwerdeführerin selbst ein Verzeichnis zu führen. Bei der Erstellung des Verzeichnisses werden von der Beschwerdeführerin die notwendigen Adaptierungen vorzusehen sein (zB auch, was die Anführung der Rechtsgrundlagen betrifft, aber auch die Zwecke, die Angabe, in welchen Fällen auf welche GPS-Daten zugegriffen wird, die Einschränkung der Verarbeitung von GPS-Daten auf den dienstlichen Gebrauch bzw. der technische Ausschluss jeglicher Zugriffe auf sämtliche privat anfallende GPS-Daten). Weiters wird zu präzisieren sein, welche Daten an welche Übermittlungsempfänger weitergegeben werden, soweit dies im Rahmen der obigen Ausführungen zulässig ist.

Zum Abschluss einer neuen Vereinbarung über eine Auftragsverarbeitung nach Art. 28 und 29 DSGVO oder einer Ergänzung/Änderung der bestehenden Vereinbarung

Da eine kürzere Speicherfrist vorzusehen ist und auch die sicherheitstechnischen Maßnahmen zu adaptieren sind, wird dementsprechend der Abschluss einer neuen Vereinbarung bzw. einer Änderung der bestehenden Vereinbarung notwendig sein.

Zur Durchführung einer Datenschutz-Folgenabschätzung

Die Verarbeitung von GPS-Daten im Zusammenhang mit dem jeweiligen Arbeitnehmer stellt eine Verarbeitung dar, für die gemäß Art. 35 DSGVO iVm § 2 Abs. 1 DSFA-V eine Durchführung einer Datenschutz-Folgenabschätzung erforderlich ist, da Zugriffe auf GPS-Daten zu einer Bewertung oder Einstufung von betroffenen Personen, welche den Aufenthaltsort oder den Ortswechsel der Person betreffen und ausschließlich auf einer automatisierten Verarbeitung beruhen und negative rechtliche, physische oder finanzielle Auswirkungen haben können, führen.

Überdies ist davon auszugehen, dass eine Bewertung auf der Grundlage der Kontrolle von GPS-Daten GPS-Daten, aufgrund derer etwa die Nichteinhaltung von Arbeitszeiten oder Schwarzfahrten bewiesen werden, sich nachteilig auf den betroffenen Arbeitnehmer auswirken und allenfalls auch rechtliche Sanktionen nach sich ziehen können.

Auch handelt es sich um Verarbeitungsvorgänge, welche die Beobachtung, Überwachung oder Kontrolle von betroffenen Personen zum Ziel haben und über Netzwerke erfasste Daten betreffen. Die in § 2 Abs. 2 letzter Absatz DSFA-V enthaltene Ausnahme greift im gegebenen Fall nicht, da keine Betriebsvereinbarung vorliegt.

Dazu ist festzuhalten, dass die DSFA-V nur eine „Blacklist“ enthält, bei deren Vorliegen jedenfalls eine Datenschutz-Folgenabschätzung durchzuführen ist.

Selbst wenn man die Ansicht verträte, dass § 2 Abs. 2 Z 1 und Z 3 lit. a DSFA-V nicht zur Anwendung kämen, wäre im gegebenen Fall schon auf der Grundlage des Art. 35 DSGVO eine Datenschutz-Folgeabschätzung durchzuführen: Aus Art. 35 Abs. 1 DSGVO geht hervor, dass dann, wenn die Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, vom Verantwortlichen vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen ist.

Bei einer Verarbeitung, bei der alle gefahrenen Routen von betroffenen Arbeitnehmern nachvollzogen und aufgezeichnet werden, ist von einer Verarbeitung auszugehen, die ein hohes Risiko in sich birgt.

Eine Datenschutz-Folgenabschätzung ist daher – nach den Vorgaben des gegenständlichen Erkenntnisses und insbesondere auf der Grundlage von Art. 35 Abs. 7 DSGVO - von der Beschwerdeführerin durchzuführen, wobei auch künftige Anwendungsbereiche, wie die Disposition/Routenplanung einer derartigen Datenschutz-Folgenabschätzung zu unterziehen sein werden.

Abschließend ist festzuhalten, dass das Bundesverwaltungsgericht zwar nicht verkennt, dass GPS-Systeme des Öfteren zum Einsatz kommen, dass es sich aber im gegebenen Fall zum einen um eine Verwendung von GPS-Daten im Rahmen des Arbeitsverhältnisses handelt und andererseits auf die Spezifika des hier vorliegenden Einzelfalls einzugehen war.

3.3. Zu Spruchteil B) Zulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig, weil die Entscheidung von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Soweit ersichtlich liegt keine einschlägige Rechtsprechung des Verwaltungsgerichtshofes zur Verwendung von Standortdaten von Arbeitnehmern vor. An höchstgerichtlicher Judikatur ist lediglich das – hier größtenteils nicht einschlägige – Urteil des OGH vom 22.1.2020, Ob A 120/19 auffindbar.

3.4. Es war daher spruchgemäß zu entscheiden.