Which technologies do you consult on?

All of the major location, identification and IoT technologies: RTLS (UWB, BLE, Wi-Fi), RFID (passive, active and RAIN UHF), industrial IoT and sensors, GPS and GNSS, AGV and AMR robot fleets, and hybrid stacks that combine them. We recommend the right mix for each zone and use case, not a single technology.

Are you really vendor-neutral?

Yes. We do not sell hardware or a software platform of our own, and we take no resale commissions, so our technology and vendor recommendations serve your outcome rather than a product we need to move.

Do you work outside the UK?

We are UK-based and work across Europe and internationally, delivering in English, German and French. Engagements can be remote or on-site depending on the work.

What does a consulting engagement include?

Typically discovery and requirements, vendor-neutral technology selection, vendor evaluation and RFP support, ROI and business case, solution architecture, and an implementation roadmap. We scope each engagement to where you are.

Can you help after the decision is made?

Yes. We work across the full lifecycle - we can also deploy, integrate, and operate the system, so you can keep one independent team from business case through to live operation.

How do we get started?

Usually with a short call or a fixed-fee discovery to scope the problem, followed by a proposal with clear deliverables, timeline and fees. There is no obligation and no platform pitch.

Do we need a DPIA for RTLS?

Almost always, yes, where employees can be identified. A DPIA (Data Protection Impact Assessment) documents the lawful basis, balancing test, risks, mitigations and review schedule. We produce a DPIA template tailored to RTLS during stage 1, signed off jointly with your DPO.

Can we use legitimate interest as the lawful basis?

For safety-driven deployments, usually yes, with a documented balancing test showing safety benefits outweigh privacy intrusion and that less-invasive alternatives are not viable. For productivity monitoring, legitimate interest is harder to defend; consult your DPO early.

What retention period is defensible?

Raw position telemetry is typically retained 7-30 days; aggregated analytics longer. Alarm events (duress, mustering) longer still where required by safety regulation. The principle is data minimisation: collect for the named purpose, retain only as long as necessary.

How do we handle works-council consultation in Germany / France?

Treat it as a stage 1 deliverable, not an afterthought. We have produced works-council-ready specifications for DACH and French deployments that include scope, access, retention and review cadence. Engage the council before signing the SOW, not after.

EINHALTUNG

DSGVO & RTLS – die Frage zur Mitarbeiterverfolgung.

RTLS-Systeme, die einen einzelnen Mitarbeiter – auch indirekt – identifizieren können, fallen unter die DSGVO.

Die Bereitstellung ist nicht illegal, aber sie ist reguliert, und die Architekturentscheidungen bestimmen, ob sie legal bleibt. Dies ist die Zusammenfassung auf Operatorebene, was benötigt wird.

Buchen Sie einen 30-minütigen Scoping-Termin

Wo die DSGVO gilt und wo nicht

Die DSGVO gilt immer dann, wenn Standortdaten einer identifizierbaren Person zugeordnet werden können, direkt oder in Kombination mit anderen Daten. Anonyme Personenzählung und aggregierte Belegung stellen keine DSGVO. Tag-on-Badge-Tracking schon.

Die Fahrzeugverfolgung wird aktiviert, wenn der Fahrer identifizierbar ist. Aggregierte Zonen-Heatmaps tun das in der Regel nicht, es sei denn, das Team ist so klein, dass ein Individuum abgeleitet werden kann.

Die richtige Schwellenfrage lautet: 'Könnte eine vernünftige Person ein Stellenereignis mit einem benannten Mitarbeiter verknüpfen?'

Die sechs rechtmäßigen Grundlagen und die hier gelten

In Artikel 6 bestehen sechs rechtmäßige Stützpunkte – für die Standortverfolgung von Mitarbeitern sind nur drei realistisch: legitime Interessen (mit einem dokumentierten Abwägungstest, der gebräuchlichsten Grundlage für Sicherheit RTLS),

rechtliche Verpflichtung (spezifische Compliance-Regimes) und ausdrückliche Zustimmung (selten die richtige Grundlage im Arbeitskontext, da die Zustimmung nicht frei gegeben wird).

Die meisten sicherheitsorientierten RTLS-Einsätze stützen sich auf legitime Interessen mit einer dokumentierten DPIA. Wir helfen Ihnen, beide zu entwerfen.

Betriebsräte, Gewerkschaften und die Konsultationsfrage

In Deutschland, Frankreich, den Niederlanden, Österreich und vielen anderen EU-Rechtsordnungen erfordert die Mitarbeiterüberwachung eine formelle Betriebsratskonsultation (Betriebsrat / Comité Social et Économique / Ondernemingsraad) und oft eine schriftliche Vereinbarung.

Das Überspringen dieses Schritts ist der häufigste Grund, warum RTLS-Deployments in DACH ins Stocken kommen.

Wir entwerfen die Einsatzspezifikation mit den eingebauten Fragen des Betriebsrats – was wird gesammelt, was nicht, Bindung, Zugang, Transparenz – sodass die Konsultation konstruktiv statt konfrontativ ist.

Designentscheidungen, die das Bild der DSGVO verändern

Mehrere Architekturoptionen verringern die DSGVO-Exposition erheblich: Trennung der Tag-Identität von der Mitarbeiteridentität auf der Plattformebene; konfigurierbare Aufbewahrung mit automatischer Löschung (typischerweise 7-30 Tage für rohe Positionsereignisse);

rollenbasierter Zugang, bei dem die Vorgesetzten aggregiert, nicht individuell sehen; und 'nur Alarm'-Modi, bei denen der Standort bis zum Auslösen eines Zwangsereignisses unsichtbar ist.

Keines davon ist herstellerspezifisch – es sind Deployment-Design-Entscheidungen, die wir in Phase 1 (Design) der TRACIO-Programmmethode.

FAQ

Häufig gestellte Fragen

Brauchen wir eine DPIA für RTLS?

Fast immer, ja, wo Mitarbeiter identifiziert werden können. Eine DPIA (Datenschutz-Impact Assessment) dokumentiert die rechtliche Grundlage, den Abwägungstest, Risiken, Minderungen und den Überprüfungsplan.

Wir erstellen eine DPIA-Vorlage, die auf RTLS während Phase 1 zugeschnitten ist und gemeinsam mit Ihrem DPO genehmigt wird.

Können wir das legitime Interesse als rechtmäßige Grundlage heranziehen?

Bei sicherheitsgetriebenen Einsätzen gilt das in der Regel ja, wobei ein dokumentierter Balancetest zeigt, dass Sicherheitsvorteile Datenschutzverletzungen überwiegen und weniger invasive Alternativen nicht praktikabel sind.

Bei der Produktivitätsüberwachung ist legitimes Interesse schwerer zu verteidigen; Konsultieren Sie frühzeitig Ihren DPO.

Welche Aufbewahrungsdauer ist vertretbar?

Die Rohpositionstelemetrie wird typischerweise 7–30 Tage aufbewahrt; aggregierte Analysen länger. Alarmereignisse (Zwang, Zusammenstellung) werden noch länger aufgenommen, wenn es die Sicherheitsvorschriften vorschreiben.

Das Prinzip ist Datenminimierung: Sammeln für den genannten Zweck und nur so lange speichern, wie es nötig ist.

Wie handhaben wir die Konsultation der Betriebsräte in Deutschland / Frankreich?

Behandle es als Stufe-1-Ergebnis, nicht als Nachgedanke. Wir haben betriebsratsfertige Spezifikationen für DACH- und französische Einsätze erstellt, die Umfang, Zugang, Aufbewahrung und Überprüfungsrhythmus umfassen.

Kontaktiere den Rat vor der Unterzeichnung des SOW, nicht danach.

Zuletzt aktualisiert: 26. Mai 2026

DSGVO &amp; RTLS – die Frage zur Mitarbeiterverfolgung.