3A5 Datenschutz & DSGVO

• Ausweisdaten und Benutzerkennungen – Zuordnung der Person zu einem elektronischen Ausweis (Badge) oder Transponder. Dies umfasst Namen, Personalnummern, Bilddaten (für Fotoausweise) sowie Karten‑IDs.

• Biometrische Merkmale (optional) – Einsatz biometrischer Identifikatoren (z. B. Fingerabdruck, Venenmuster) erfolgt ausschließlich bei ausdrücklicher Einwilligung der betroffenen Person. Biometrische Daten sind besonders schützenswert; sie werden pseudonymisiert und mit höchsten Sicherheitsstandards gespeichert.

• Zutrittsprotokolle – Zeitstempel, Standort (Zutrittszone), Terminal‑ID und Ereignistyp (Eintritt/Verlassen). Diese Protokolle dienen der Überwachung der Zutrittsberechtigung und der Analyse von Vorfällen.

• Besucherdaten – Für Besucher werden Name, Kontaktinformationen, Unternehmen, Besuchszweck, Besuchszeitraum, ausgehändigter Ausweis und ggf. Kennzeichen erfasst.

• System- und Betriebsdaten – Logfiles des Zutrittskontrollsystems, Protokolle über Berechtigungsänderungen sowie Alarmmeldungen.

Alle vorstehend genannten Informationen sind personenbezogene Daten im Sinne der DSGVO. Biometrische Daten sind besondere Kategorien personenbezogener Daten und erfordern daher zusätzliche Schutzmaßnahmen. Zutrittsprotokolle können Verhaltensmuster abbilden und gelten als sensibel. Daraus ergibt sich die Pflicht zu einer besonders sorgfältigen Verarbeitung.

Die Daten werden ausschließlich zum Zweck der Zugangssicherung, zur Gewährleistung der Sicherheit von Personen und Sachwerten, zur Durchsetzung von Hausrechten sowie zur Erfüllung gesetzlicher Pflichten verarbeitet. Eine Verarbeitung für andere Zwecke (wie Leistungs- oder Verhaltenskontrolle) ist ausgeschlossen. Es werden nur die Daten erhoben, die zur Erfüllung dieser Zwecke erforderlich sind. Biometrische Verfahren kommen nur zum Einsatz, wenn ein geringeres Eingriffsmaß (z. B. Ausweiskarten) aus objektiven Gründen nicht ausreicht.

Die Speicherdauer wird nach dem Grundsatz der Speicherbegrenzung bemessen. Logfiles und Zutrittsprotokolle werden nur so lange aufbewahrt, wie dies für die Aufrechterhaltung der IT‑Infrastruktur und die Gewährleistung der Sicherheit erforderlich ist. Fachbeiträge zum Datenschutz halten eine Speicherfrist von bis zu 90 Tagen für vertretbar.

• Zutrittsprotokolle – Standardmäßig werden Protokolle 90 Tage nach Erfassung gelöscht. Bei besonderen sicherheitsrelevanten Vorfällen können sie zum Zweck der Beweissicherung länger gespeichert werden. Eine längere Speicherung erfolgt nur bei gesetzlicher Verpflichtung oder auf Anweisung des Auftraggebers.

• Besucherdaten – Besucherinformationen werden nach 90 Tagen gelöscht, sofern keine gesetzlichen Vorgaben eine längere Aufbewahrung erfordern (z. B. behördliche Meldepflichten).

• Biometrische Daten – Biometrische Daten werden lediglich während der Gültigkeit der Zutrittsberechtigung gespeichert. Nach Beendigung des Vertragsverhältnisses oder bei Widerruf der Einwilligung werden sie unverzüglich und unwiderruflich gelöscht.

• System‑ und Administrationsprotokolle – Logfiles zu Administrationsvorgängen werden maximal 90 Tage gespeichert, es sei denn, sicherheitsrelevante Anforderungen erfordern eine längere Aufbewahrung. Die Erforderlichkeit wird regelmäßig geprüft.

Für die Löschung werden zertifizierte Verfahren eingesetzt, die eine Wiederherstellung ausgeschlossen machen. Die Löschungen werden protokolliert, so dass gegenüber dem Auftraggeber und Aufsichtsbehörden eine Nachweisführung möglich ist. Bei beauftragten Cloud‑Anbietern wird sichergestellt, dass auch dort gespeicherte Daten gelöscht oder anonymisiert werden.

Der Anbieter führt ein Verzeichnis über alle Verarbeitungstätigkeiten gemäß Art. 30 DSGVO. Darin sind die jeweiligen Speicherfristen, verantwortlichen Stellen sowie Löschkonzepte dokumentiert. Die Einhaltung der Aufbewahrungs‑ und Löschfristen wird regelmäßig audit- und nachweisbar überprüft. Bei Änderungen der Rechtslage oder der technischen Gegebenheiten werden die Fristen entsprechend angepasst.

Der Schutz personenbezogener Daten wird durch kombinierte technische und organisatorische Maßnahmen gewährleistet. Diese orientieren sich am Stand der Technik, berücksichtigen die Empfehlungen des BSI und entsprechen den Anforderungen des § 64 BDSG.

• Zutrittskontrolle und physische Sicherheit – Zutrittskontrollmaßnahmen verhindern den unbefugten physischen Zugang zu Datenverarbeitungsanlagen. Dazu gehören elektronische Ausweise, ggf. mit integrierten RFID‑Transpondern, sowie der Einsatz von Alarmanlagen und Überwachungseinrichtungen. Besondere Sicherheitszonen (z. B. Serverräume) werden zusätzlich durch Schleusen, Schlüsselmanagement und biometrische Lesegeräte gesichert.

• Zugangskontrolle – Nur autorisierte Personen erhalten Zugang zu den Datenverarbeitungssystemen. Die Authentifizierung erfolgt durch individuelle Benutzerkonten mit starken Passwörtern und Zwei‑Faktor‑Authentifizierung. Passwortmanagement und Protokollierung der Passwortnutzung sind zentrale Elemente.

• Zugriffskontrolle – Rollenbasierte Berechtigungskonzepte sorgen dafür, dass berechtigte Nutzer nur auf die Daten zugreifen können, die sie zur Aufgabenerfüllung benötigen. Rechtevergabe, Änderungen und Entzug werden dokumentiert und regelmäßig überprüft.

• Übertragungskontrolle – Datenübertragungen sind durch Ende‑zu‑Ende‑Verschlüsselung gesichert. Netzwerkverbindungen zwischen Zutrittskontrollzentrale, Endgeräten und Servern werden über verschlüsselte Protokolle (z. B. TLS) hergestellt. VPN‑Tunnel und verschlüsselte APIs verhindern unbefugtes Mitlesen.

• Eingabekontrolle – Jede Eingabe, Veränderung oder Löschung personenbezogener Daten wird protokolliert. Es ist nachvollziehbar, wer welche Daten zu welcher Zeit eingegeben, verändert oder gelöscht hat.

• Datenintegrität und Verfügbarkeitskontrolle – Regelmäßige Datensicherungen, redundante Systeme, unterbrechungsfreie Stromversorgungen und Notfallpläne stellen sicher, dass Daten im Störungsfall wiederhergestellt werden können. Integritätsprüfungen verhindern Manipulationen.

• Verschlüsselung und Pseudonymisierung – Personenbezogene Daten werden im Ruhezustand (Data at Rest) sowie während der Übertragung verschlüsselt. Wo möglich, werden pseudonymisierte Identifikatoren verwendet, um die Identität der Nutzer zu schützen. Verschlüsselungsverfahren entsprechen dem Stand der Technik und werden regelmäßig auf Sicherheitslücken überprüft.

• Schwachstellenmanagement – Regelmäßige Penetrations- und Schwachstellentests werden durchgeführt. Sicherheitsupdates und Patches für Hard‑ und Software werden zeitnah eingespielt. Alle Komponenten entsprechen den Normen für elektronische Zutrittskontrollanlagen (z. B. DIN EN 60839‑11‑1).

• Datenschutzorganisation – Ein Datenschutzbeauftragter (DSB) ist benannt. Der DSB überwacht die Einhaltung der datenschutzrechtlichen Vorgaben, berät zu neuen Verarbeitungsvorgängen und fungiert als zentraler Ansprechpartner für den Auftraggeber.

• Schulung und Sensibilisierung – Alle mit der Zutrittskontrolle befassten Mitarbeitenden werden regelmäßig hinsichtlich Datenschutz, IT‑Sicherheit und Vertraulichkeit geschult. Sensibilisierung umfasst die sichere Nutzung von Ausweismedien, den Schutz von Passwörtern und das Melden von Sicherheitsvorfällen.

• Zugriffsregelungen – Der Zugriff auf technische Räume, Server und Sicherheitszentrale wird über ein abgestuftes Berechtigungssystem gesteuert. Berechtigungen werden nach dem Need‑to‑Know‑Prinzip vergeben und regelmäßig revalidiert.

• Notfall‑ und Vorfallmanagement – Es existieren definierte Prozesse zur Erkennung, Meldung und Behandlung von Sicherheitsvorfällen. Datenschutzverletzungen werden gemäß Art. 33 DSGVO innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet. Betroffene Personen werden informiert, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.

• Dokumentationspflichten – Sämtliche technischen und organisatorischen Maßnahmen sowie Änderungen an den Systemen werden dokumentiert. Protokolle von Zutritts- und Zugriffsvorgängen können im Rahmen von Audits ausgewertet werden.

Vor der Implementierung und bei wesentlichen Änderungen des Zutrittskontrollsystems wird eine Datenschutz‑Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchgeführt. Die DSFA identifiziert Risiken für die Rechte der Betroffenen, bewertet deren Eintrittswahrscheinlichkeit und Schwere und legt geeignete Maßnahmen fest. Der Unterzeichnende unterstützt den Auftraggeber bei der Durchführung und Dokumentation der DSFA.

• Zentrale Verwaltung – Alle Benutzer, Ausweise, Berechtigungen und Zeitprofile werden zentral verwaltet. Berechtigungen können zeitlich und räumlich granular definiert werden. Änderungen werden sofort an die Endgeräte übertragen.

• Skalierbarkeit – Das System unterstützt verschiedene Sicherheitszonen und lässt sich flexibel erweitern, z. B. für zusätzliche Gebäude, Bereiche oder besondere Zutrittsszenarien (Parkhäuser, Lager).

• Redundanz und Ausfallsicherheit – Durch redundante Server, Spiegelung der Datenbanken und Notfallmodi bleibt das System auch bei Netzausfällen funktionsfähig. Türsteuerungen können im Offline‑Modus befristete Berechtigungen prüfen.

• Integration – Schnittstellen zur Gebäudeleittechnik, Zeiterfassung und Brandschutzanlage ermöglichen ganzheitliche Sicherheitsfunktionen. Eine Integration in bestehende Facility‑Management‑Systeme erleichtert den Betrieb.

• Protokollierung und Reporting – Alle Zutrittsereignisse, Berechtigungsänderungen und Systemmeldungen werden lückenlos protokolliert. Berichte können für Sicherheitsanalysen, Audit‑Nachweise und Compliance‑Reporting exportiert werden.

• Registrierung und Ausgabe von Ausweisen – Die Erfassung neuer Nutzer erfolgt über definierte Prozesse, inklusive Identitätsprüfung, Einwilligungserklärung (falls erforderlich), fotografischer Erfassung für Ausweise und Zuweisung von Rollen. Ausweise sind personalisiert und werden nur nach entsprechender Legitimation ausgehändigt.

• Rechteverwaltung – Benutzerrechte werden nach dem Minimalprinzip vergeben. Rollen und Berechtigungen spiegeln die Arbeitsplatzanforderungen wider. Änderung und Entzug von Berechtigungen erfolgen unverzüglich bei Funktionswechsel, Austritt oder Verlust von Ausweisen.

• Besucherverwaltung – Besucherdaten werden beim Empfang registriert. Besucher erhalten zeitlich begrenzte Zutrittsausweise, die nach Ende des Besuches deaktiviert werden. Eine begleitete Zutrittsregelung kann für sensible Bereiche vorgesehen werden.

• Biometrieeinsatz – Der Einsatz biometrischer Verfahren ist auf sicherheitskritische Bereiche beschränkt. Es werden nur Verfahren verwendet, die den Stand der Technik erfüllen. Die biometrische Identifikation wird als zusätzlicher Faktor eingesetzt (Multi‑Factor‑Authentifizierung), nicht als alleinige Zugangsmethode.

• Schlüssel- und Kartenmanagement – Physische Schlüssel und elektronische Karten werden in einem zentralen Schlüsseldepot verwaltet. Ausgabe und Rücknahme werden dokumentiert. Verlorene Medien werden sofort gesperrt und ersetzt.

• Wartung und Support – Regelmäßige Wartung der Hardwarekomponenten wird durchgeführt. Software‑Updates und Patches werden in Abstimmung mit dem Auftraggeber implementiert. Ein Helpdesk bearbeitet Störungen und Nutzeranfragen.

• Kontinuierliche Verbesserung – Sicherheitsprozesse werden fortlaufend überprüft und gemäß den Erkenntnissen aus Audits, Vorfallanalysen und technologischen Entwicklungen angepasst.

• eine klare Beschreibung von Umfang, Art und Zweck der Datenverarbeitung,

• die Verpflichtung, ausschließlich auf Weisung des Auftraggebers zu handeln,

• Vereinbarungen zu technischen und organisatorischen Maßnahmen,

• Regelungen zur Unterstützung bei der Erfüllung der Betroffenenrechte,

• Kontrollrechte des Auftraggebers und Auditmöglichkeiten,

• Pflicht zur Löschung oder Rückgabe aller personenbezogenen Daten nach Vertragsbeendigung.

Vor der Beauftragung überprüft der Unterzeichnende die Datenschutzkonzepte der Unterauftragnehmer und deren Erfüllung der DSGVO und des BDSG. Es werden nur Anbieter mit hinreichender Fachkunde, Zertifizierungen (z. B. ISO 27001) und transparenten Sicherheitskonzepten ausgewählt. Dritte verpflichten sich zur Vertraulichkeit und können Subunternehmer nur mit Zustimmung des Auftraggebers einsetzen.

Eine Übermittlung personenbezogener Daten in Staaten außerhalb der EU/des EWR erfolgt grundsätzlich nicht. Sollte aus betrieblichen Gründen ein Datentransfer in ein unsicheres Drittland notwendig werden, wird im Rahmen der zweiten Stufe der Zulässigkeitsprüfung ein angemessenes Datenschutzniveau sichergestellt. Dazu werden EU‑Standardvertragsklauseln eingesetzt, die von der EU‑Kommission bereitgestellt werden. Diese Standardklauseln sind das Mittel der Wahl, um Datentransfers in unsichere Drittstaaten zu legitimieren. Sie dürfen nicht verändert werden; Ergänzungen dürfen nur erfolgen, sofern sie nicht im Widerspruch zu den Klauseln stehen. Bei Datentransfers bleibt der rechtfertigende Erlaubnistatbestand (z. B. Einwilligung oder vertragliche Notwendigkeit) zwingend.

Neben Standardvertragsklauseln können anerkannte Angemessenheitsbeschlüsse der EU‑Kommission oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) als Rechtsgrundlage dienen. Vor jedem Drittstaatentransfer wird geprüft, ob zusätzliche Schutzmaßnahmen (z. B. Verschlüsselung, Pseudonymisierung, Zugriffsprotokollierung) erforderlich sind. Der Anbieter stellt sicher, dass Zugang zu Daten nur in der EU erfolgt, und nutzt europäische Rechenzentren.

Gemäß § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein Mitbestimmungsrecht bei der Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Die Rechtsprechung des Bundesarbeitsgerichts dehnt den Anwendungsbereich aus; bereits die objektive Eignung eines Systems zur Erfassung von Verhaltens‑ oder Leistungsdaten reicht aus, damit der Betriebsrat zu beteiligen ist.

• eine umfassende Information des Betriebsrats erfolgt,

• eine Betriebsvereinbarung geschlossen wird, die Rechte und Pflichten regelt,

• der Betriebsrat am Auswahlprozess der Systeme beteiligt wird,

• die Verarbeitung biometrischer Daten nur mit Zustimmung des Betriebsrats und nach umfassender Risikobewertung erfolgt.

• Interne und externe Audits: Der Unterzeichnende führt regelmäßige interne Audits durch, um die Wirksamkeit der Datenschutz‑ und Sicherheitsmaßnahmen zu überprüfen. Unabhängige externe Audits oder Zertifizierungen können ergänzend durchgeführt werden (z. B. ISO 27001). Auditberichte werden dem Auftraggeber bereitgestellt. Abweichungen werden erfasst und zeitnah behoben.

• Kontrollrechte des Auftraggebers: Der Auftraggeber erhält umfassende Kontroll‑ und Einsichtsrechte. Er kann Audits vor Ort durchführen, Protokolle einsehen und sich vom ordnungsgemäßen Betrieb der Zutrittskontrollsysteme überzeugen. Der Anbieter verpflichtet sich, beanstandete Mängel in angemessener Frist zu beheben.

• Meldung von Sicherheitsvorfällen: Es besteht ein Meldeprozess für Datenschutzverletzungen und sicherheitsrelevante Vorfälle. Verdächtige Zugriffe, unberechtigte Zugriffsversuche oder technische Störungen werden registriert und an den Sicherheitsverantwortlichen gemeldet. Bei Datenschutzverletzungen werden die Aufsichtsbehörde und betroffene Personen gemäß den gesetzlichen Fristen informiert.

Der Unterzeichnende bestätigt, dass sämtliche personenbezogenen und systembezogenen Daten, die im Rahmen des Zutrittskontrollsystems verarbeitet werden, in voller Übereinstimmung mit den Anforderungen der DSGVO, des BDSG sowie den einschlägigen Sicherheitsnormen behandelt werden. Alle Speicher-, Lösch- und Drittverarbeitungsprozesse sind dokumentiert und können im Rahmen eines Audits nachgewiesen werden. Der Anbieter verpflichtet sich zur kontinuierlichen Anpassung der Sicherheitsmaßnahmen an den aktuellen Stand der Technik und zur engen Zusammenarbeit mit dem Auftraggeber und den zuständigen Mitbestimmungsgremien.

Ort, Datum: ______________________________________

Befugter Unterzeichnender

Name: ________________________________

Position: ______________________________

Unterschrift: ___________________________

Firmenstempel: ________________________