Emory Pro light background logo (scaled)Emory Pro light background logo (scaled)

Wie wirkt sich die DSGVO auf digitale Inspektionsabläufe in Deutschland aus?

Für Unternehmen, die in Deutschland tätig sind und digitale Inspektionsabläufe nutzen, ist die DSGVO von großer Bedeutung. Die DSGVO ist die Datenschutz-Grundverordnung der EU. Es handelt sich dabei nicht um eine Vorschrift, die Unternehmen lediglich im Hintergrund einhalten müssen. Die DSGVO verändert vielmehr die Art und Weise, wie Unternehmen Inspektionsdaten erfassen, speichern, abrufen und löschen.

Viele Unternehmen aus verschiedenen Ländern und Softwareanbieter verstehen nicht, inwieweit die DSGVO sie im Zusammenhang mit Inspektionen betrifft. Wenn Unternehmen Inspektionen durchführen, erfassen sie häufig Fotos, Standortdaten und Informationen über die Geräte und Personen, die die Inspektionen durchführen. Die DSGVO besagt, dass all dies Daten sind. Das bedeutet, dass Unternehmen bei der Erfassung und Nutzung dieser Daten bestimmte Regeln befolgen müssen. Sie müssen für jede Verwendung der Daten schriftlich festhalten, wofür sie diese nutzen.

In diesem Artikel geht es darum, wie sich die DSGVO auf digitale Inspektionsabläufe auswirkt. Es wird erläutert, was Unternehmen tun müssen, um die DSGVO einzuhalten, wenn sie Inspektionsplattformen nutzen. Außerdem wird erklärt, wie sichergestellt werden kann, dass der Prozess der Erhebung und Nutzung von Inspektionsdaten den Vorschriften der DSGVO entspricht. Die DSGVO ist für digitale Inspektionsabläufe von großer Bedeutung.

Welche Inspektionsdaten gelten gemäß DSGVO als personenbezogene Daten?

Die Definition des Begriffs „personenbezogene Daten“ in der DSGVO ist weit gefasst: Es handelt sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. In Inspektionsabläufen umfasst dies mehr, als viele Organisationen zunächst annehmen:

  • Die Identität des Inspektors – also der Name, der System-Login oder die Gerätekennung, die mit einem Inspektionsdatensatz verknüpft ist – ist das, was den Inspektor identifiziert. Diese Identität des Inspektors ist von großer Bedeutung. Alle Protokolle, die mit einem namentlich genannten Inspektor oder einem identifizierbaren Inspektor verknüpft sind, enthalten die Daten des Inspektors.
  • Es gibt Fotos, wie beispielsweise Inspektionsfotos, auf denen manchmal Mitarbeiter oder Kfz-Kennzeichen oder andere Informationen zu sehen sind, anhand derer Personen identifiziert werden können. Diese Fotos gelten als Daten der darauf abgebildeten Personen.
  • Auch die GPS-Standortdaten gelten als Daten, wenn sie mit dem Gerät eines bestimmten Inspektors verknüpft sind. Denn sie können zeigen, wo sich der Inspektor aufgehalten hat.
  • Auch die Gerätekennungen sind wichtig. Die Metadaten auf Geräteebene, die mit dem Gerät eines Mitarbeiters verknüpft sind, können als personenbezogene Daten angesehen werden. Dies gilt für die Gerätekennungen des Geräts des Inspektors.

Organisationen, die davon ausgingen, dass ihre Inspektionsdaten rein betrieblicher Natur und daher außerhalb des Geltungsbereichs der DSGVO liegen, sind oft überrascht, wenn sie feststellen, dass die von ihnen routinemäßig erhobenen Daten der Definition von personenbezogenen Daten entsprechen.

Nach der DSGVO kommt es nicht darauf an, ob sich die Daten auf einen Geschäftsprozess beziehen, sondern ob sie sich auf eine identifizierbare natürliche Person beziehen. Bei Inspektionsdaten ist dies fast immer der Fall.

Die Rechtsgrundlage für die Verarbeitung von Inspektionsdaten

DSGVO requires that every processing activity involving personal data has a lawful basis. For inspection data, the most commonly applicable bases are:

  • Legitimate interests (Article 6(1)(f)), where processing is necessary for the legitimate interests of the organisation and those interests are not overridden by the data subject’s rights. This basis is commonly applicable to operational inspection records where the processing serves a genuine business purpose and is proportionate.
  • Legal obligation (Article 6(1)(c)), where processing is necessary to comply with a legal obligation, such as health and safety regulations that require inspection records to be maintained.
  • Performance of a contract (Article 6(1)(b)), where inspection data is generated as part of a contractual obligation, such as condition reporting required under a logistics contract.

The lawful basis should be documented in the organisation’s records of processing activities (Article 30 DSGVO) and should be specific to the inspection data category, not a generic statement covering all company data.

Datenminimierung in Inspektionsabläufen

DSGVO’s data minimisation principle (Article 5(1)(c)) requires that personal data is limited to what is necessary for the specified purpose. In inspection workflows, this principle has practical implications:

  • Photographs should only show what is important for the inspection finding. If photos accidentally capture workers faces or other personal details check if they are really needed. If the person’s identity does not relate to the inspection finding then taking such a photo might not be justified. The photo should be relevant to the inspection.
  • GPS data should be captured at the level of specificity required for the inspection purpose. If location verification requires confirming that an inspection occurred at a specific depot, exact GPS coordinates at the precise second may be more data than is necessary; a location tag confirming the depot would be sufficient.
  • Inspector identity data should be stored only for as long as is necessary for the operational and compliance purpose. If the purpose is audit trail maintenance, the retention period should be linked to the audit cycle, not to indefinite operational records.

Aufbewahrungsfristen und Löschung

Eine der betrieblich wichtigsten Anforderungen der DSGVO für Inspektionsabläufe ist die Verpflichtung, Aufbewahrungsfristen für Daten festzulegen und umzusetzen. Die DSGVO schreibt keine einheitliche Aufbewahrungsfrist für Inspektionsdaten vor; diese hängt vom Zweck der Datenverarbeitung und den geltenden gesetzlichen Verpflichtungen ab.

Bei Inspektionsaufzeichnungen, die Compliance- und Audit-Zwecken dienen, richten sich die Aufbewahrungsfristen in der Regel nach folgenden Faktoren:

  • dem geltenden Audit-Zyklus: Wenn behördliche Inspektionen alle drei Jahre stattfinden, müssen Inspektionsaufzeichnungen möglicherweise mindestens drei Jahre nach dem letzten Audit aufbewahrt werden;
  • vertraglichen Verpflichtungen: Verträge können vorsehen, dass Inspektionsaufzeichnungen für einen bestimmten Zeitraum nach Vertragsende aufbewahrt werden müssen;
  • gesetzlichen Verjährungsfristen: Wenn Inspektionsaufzeichnungen für Rechtsansprüche relevant sein könnten, sollten die Aufbewahrungsfristen die Verjährungsfrist für solche Ansprüche berücksichtigen.

Die entscheidende Anforderung der DSGVO ist, dass die Aufbewahrungsfrist festgelegt, dokumentiert und tatsächlich umgesetzt wird. Eine unbefristete Aufbewahrung von Inspektionsdaten entspricht nicht der DSGVO, unabhängig davon, wie die Daten gespeichert werden oder auf sie zugegriffen wird.

In Deutschland eingesetzte Inspektionsplattformen müssen die automatisierte Löschung oder Anonymisierung von Datensätzen nach Ablauf der festgelegten Aufbewahrungsfrist unterstützen. Manuelle Löschprozesse sind für groß angelegte Inspektionsvorgänge ungeeignet; das Volumen der Datensätze macht eine manuelle Einhaltung der Vorschriften unpraktikabel.

Datenschutz für Arbeitnehmer und Fotos bei Betriebsbesichtigungen

Die Schnittstelle zwischen Inspektionsfotografie und der Privatsphäre von Arbeitnehmern ist einer der sensibelsten Bereiche der DSGVO-Konformität für deutsche Unternehmen. Deutsche Arbeitnehmer genießen sowohl nach der DSGVO als auch nach dem Bundesdatenschutzgesetz (BDSG) umfassende Datenschutzrechte, und das Betriebsverfassungsgesetz (BetrVG) räumt Betriebsräten weitreichende Rechte in Bezug auf Überwachungssysteme, einschließlich digitaler Inspektionstools, ein.

Unternehmen, die in Deutschland digitale Inspektionswerkzeuge einsetzen, sollten Folgendes beachten:

  • Anhörung des Betriebsrats: Wenn Inspektionswerkzeuge zur Überwachung der Leistung oder des Verhaltens von Arbeitnehmern eingesetzt werden könnten, ist vor der Einführung möglicherweise eine Anhörung des Betriebsrats erforderlich. Dies ist eine gesetzliche Vorschrift in Unternehmen mit einem Betriebsrat und keine Empfehlung für bewährte Verfahren.
  • Benachrichtigung der Arbeitnehmer: Arbeitnehmer, die auf Inspektionsfotos zu sehen sind oder deren Geräte- oder Standortdaten erfasst werden, müssen darüber informiert werden, dass diese Daten verarbeitet werden, zu welchem Zweck und von wem.
  • Zugriffskontrollen auf Inspektionsaufzeichnungen: Der Zugriff auf Inspektionsaufzeichnungen, die personenbezogene Daten enthalten, sollte auf diejenigen beschränkt sein, die einen berechtigten betrieblichen Bedarf haben. Ein breiter Zugriff der Organisation auf Inspektionsaufzeichnungen dürfte nach der DSGVO nicht verhältnismäßig sein.

Datenspeicherort und externe Auftragsverarbeiter

Die DSGVO schreibt vor, dass personenbezogene Daten, die außerhalb des Europäischen Wirtschaftsraums übermittelt werden, einen Schutz genießen müssen, der dem innerhalb des EWR vorgeschriebenen Schutz gleichwertig ist. Für deutsche Organisationen, die cloudbasierte Inspektionsplattformen nutzen, bedeutet dies, dass sich die Datenspeicherinfrastruktur der Plattform innerhalb des EWR befinden muss oder dass die Plattform über geeignete Mechanismen für grenzüberschreitende Datenübermittlungen verfügen muss.

Deutsche Organisationen sollten Anbieter von Inspektionsplattformen folgende Fragen stellen:

  • Wo werden die Inspektionsdaten gespeichert? Befindet sich die Speicherinfrastruktur innerhalb des EWR?
  • Handelt der Anbieter als Auftragsverarbeiter im Sinne der DSGVO? Besteht eine Auftragsverarbeitungsvereinbarung (Artikel 28 DSGVO)?
  • Welche Unterauftragsverarbeiter setzt der Anbieter ein, und wo befinden sich diese?
  • Welche Sicherheitsmaßnahmen sind zum Schutz der Inspektionsdaten getroffen worden?

Checkliste zur Einhaltung der DSGVO für Inspektionsabläufe

Anforderung Erforderliche Maßnahme
Rechtsgrundlage Dokumentation der Rechtsgrundlage für jede Datenkategorie gemäß Artikel 30
Datenminimierung Überprüfung des Umfangs von Foto- und GPS-Erfassung auf Verhältnismäßigkeit
Aufbewahrungsfristen Definition und Dokumentation von Aufbewahrungsfristen je Datenkategorie
Automatisierte Löschung Implementierung automatisierter Löschung oder Anonymisierung nach Ablauf der Aufbewahrungsfrist
Mitarbeiterinformation Bereitstellung einer DSGVO-konformen Datenschutzerklärung für alle Inspektionsmitarbeitenden
Betriebsrat Einbindung des Betriebsrats vor Einführung (sofern zutreffend)
Auftragsverarbeitungsvertrag Abschluss eines Vertrags zur Auftragsverarbeitung (Art. 28 DSGVO) mit dem Plattformanbieter
Datenresidenz Sicherstellung der Datenspeicherung im EWR oder eines geeigneten Übertragungsmechanismus
Zugriffskontrollen Implementierung rollenbasierter Zugriffskontrollen für Inspektionsdaten

Wie ist Emory Pro auf die Einhaltung der DSGVO ausgelegt?

Emory Pro wurde in erster Linie für den deutschen Markt entwickelt. Die Plattform integriert die Anforderungen der DSGVO bereits in ihre Architektur, anstatt sie als optionale Funktionen hinzuzufügen.

Die Daten werden auf Servern innerhalb der Europäischen Union gespeichert. Die Plattform unterstützt konfigurierbare Aufbewahrungsfristen mit automatischer Löschung. Die Zugriffskontrollen sind rollenbasiert und werden protokolliert. Die Plattform fungiert als DSGVO-konformer Auftragsverarbeiter, wobei im Rahmen des Onboarding-Prozesses eine Standard-Verarbeitungsvereinbarung zur Unterzeichnung bereitsteht.

Unternehmensvertretungen, die dies benötigen, können auf Materialien zur Anhörung des Betriebsrats zugreifen, darunter eine Beschreibung der verarbeiteten Daten, des Verarbeitungszwecks und der getroffenen technischen Maßnahmen.

Kernaussage: Die DSGVO ist nicht nur eine allgemeine Compliance-Anforderung für deutsche Inspektionsabläufe, sondern bestimmt aktiv, wie Inspektionsdaten erfasst, gespeichert, abgerufen und gelöscht werden dürfen. Unternehmen, die in Deutschland digitale Inspektionstools einsetzen, sollten die Einhaltung der DSGVO bei der Auswahl von Inspektionsplattformen als Beschaffungskriterium betrachten und ihren Compliance-Ansatz vor Beginn der Einführung dokumentieren.

Häufig gestellte Fragen

Die DSGVO ist das deutsche Datenschutzgesetz (GDPR), das regelt, wie Inspektionsdaten wie Fotos, GPS-Daten und Nutzeridentitäten erhoben, gespeichert und verwendet werden.

Ja—Inspektionsdaten gelten als personenbezogene Daten nach der Datenschutz-Grundverordnung, wenn sie sich auf identifizierbare Personen beziehen (z. B. Fotos, Standortdaten oder Mitarbeiter-IDs). Ohne Personenbezug fallen sie nicht darunter.

Eine Rechtsgrundlage ist ein triftiger Grund für die Verarbeitung von Daten, wie beispielsweise eine gesetzliche Verpflichtung, vertragliche Anforderungen oder ein berechtigtes geschäftliches Interesse.

Start your free trial today.

Teams adopt Emory Pro not when inspections fail—but when evidence starts getting questioned.

Start a 30 day free trial