Zutritt: Mustergefährdungsbeurteilung

• Arbeitsschutzgesetz (ArbSchG): Pflicht zur Durchführung einer Gefährdungsbeurteilung und Unterweisung der Beschäftigten

• Betriebssicherheitsverordnung (BetrSichV): Anforderungen an sichere Arbeitsmittel und Anlagen (z. B. kraftbetätigte Türen, Schleusen)

• DGUV-Vorschriften (insbesondere DGUV Vorschrift 1 „Grundsätze der Prävention“): Regelung von Grundpflichten des Arbeitgebers und der Versicherten

• Arbeitsstättenverordnung (ArbStättV) und Technische Regeln für Arbeitsstätten (ASR): Anforderungen an Türen, Flucht- und Rettungswege (z. B. ASR A1.7, ASR A2.3)

• Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG): Regelungen zum Umgang mit personenbezogenen Daten, insbesondere Zutrittsprotokollen

• Betriebsverfassungsgesetz (BetrVG): Mitbestimmungsrechte des Betriebsrats bei technischen Überwachungseinrichtungen (Zutrittskontrolle)

• Baurechtliche Vorschriften (Landesbauordnung): Anforderungen an Brandschutztüren und Notausgänge, je nach Standort Unternehmen dieser Größe sind verpflichtet, einen Datenschutzbeauftragten und einen Sicherheitsbeauftragten zu bestellen. Auch eine Beteiligung des Betriebsrats ist in Bezug auf die Einführung und Ausgestaltung des Zutrittskontrollsystems notwendig.

• Verhinderung von Diebstahl, Spionage und Sabotage

• Schutz sensibler Unternehmensbereiche wie Labore, IT-Serverräume oder Gefahrstofflager

• Kontrollierter Zutritt für Fremdfirmen und Besucher

• Effizienzgewinn durch automatisierte Prozesse (z. B. keine händische Schlüsselverwaltung)

• Schnelle Sperrung/Änderung von Berechtigungen (im Vergleich zu mechanischen Schließsystemen)

• Rechtssicherheit und Compliance durch gezielte Protokollierung und Einhaltung von Datenschutzvorgaben

• Integration in weitere Sicherheitssysteme (Videoüberwachung, Einbruchmeldeanlage, Brandmeldeanlage)

• Erfüllung gesetzlicher Anforderungen (z. B. keine unbefugte Person in gefährlichen Betriebsbereichen)

• Gesamtverantwortung für Arbeitsschutz und Datenschutz

• Bereitstellung der finanziellen und personellen Ressourcen

• Entscheidung über Einführung und Umfang des Zutrittskontrollsystems

• Fachliche Beratung bei Gefährdungsbeurteilung und Maßnahmenumsetzung

• Überprüfung der Arbeitsplatz- und Anlagensicherheit (z. B. Türen, Drehkreuze, Fluchtwege)

• Überprüfung und Freigabe datenschutzrelevanter Aspekte des Zutrittskontrollsystems

• Beratung und Kontrolle hinsichtlich DSGVO- und BDSG-Vorgaben

• Technische Administration des Zutrittskontrollsystems (Software, Server, Datenbanken)

• Datensicherung, Verschlüsselung, Berechtigungsmanagement, Systemupdates

• Wartung, Instandhaltung und Prüfung der physischen Komponenten (Türen, Schlösser, Drehkreuze, Notausgänge)

• Koordination externer Dienstleister für die Mechanik/Elektronik

• Überwachung und Durchsetzung der Zugangskontrollen vor Ort

• Erste Reaktionskraft bei Sicherheitsvorfällen, Kontrolle von Besuchern

• Rundgänge zur täglichen Sichtprüfung von Türen, Schleusen und Lesegeräten

• Bestimmung der Zutrittsrechte für das eigene Team (wer darf in welche Bereiche)

• Verantwortung für Einhaltung der Sicherheitsregeln in der Abteilung

• Mitbestimmung bei der Einführung und Ausgestaltung des Zutrittskontrollsystems (Betriebsvereinbarung)

• Überwachung der Einhaltung von Arbeitnehmerrechten (Datenschutz, Persönlichkeitsrechte)

• Pflicht zum ordnungsgemäßen Umgang mit Ausweisen / Zutrittsmedien

• Melden von Verlust, technischen Störungen oder Sicherheitsvorfällen

• Unbefugter Zutritt (extern): Diebstahl, Spionage, Sabotage, Vandalismus

• Ursache: Unzureichend gesicherte Eingänge, Manipulation, Ausweisweitergabe

• Mitarbeitende oder Fremdfirmen in sensiblen Bereichen ohne Berechtigung

• Ursache: Zu weitreichende oder falsch vergebene Berechtigungen, Schlampigkeit bei Türkontrolle

• Hacken der Software, Manipulation der Türsteuerung

• Stromausfall, Überbrücken von Sensoren oder Kabeln

• Missbrauch von Zutrittsprotokollen, unberechtigter Zugriff auf personenbezogene Daten

• Mangelnde Verschlüsselung, zu lange Speicherzeiten, fehlende Zugriffskontrollen

• Serverausfall, Defekte an Lesegeräten, Ausfall der Stromversorgung

• Folge: Stillstand von Zutrittsfunktionen, Sicherheitslücken, Behinderung betrieblicher Abläufe

• Zutrittskontrollanlagen blockieren Notausgänge oder behindern Evakuierung

• Fehlfunktion der Notentriegelung bei Feueralarm

• Quetschungen, Scherstellen, Stolperfallen

• Unzureichende Sicherheitsabstände, fehlende Sensorik

• Fehlende Verantwortlichkeiten, keine Wartungspläne, keine Schulungen

• Unklare Prozesse für Ausweisvergabe / Rückgabe

• Elektronische Zutrittssteuerung: Software mit Berechtigungsstufen (Wer darf wann, wo rein)

• Verschlüsselte Karten/Transponder, biometrische Systeme nur nach DSGVO-Prüfung

• Regelmäßige Firmware- und Software-Updates

• Drehkreuze, Sicherheitstüren oder Schleusen für kritische Bereiche

• Alarmkontakte an Türen (Alarm bei unzulässiger Offenzeit)

• Sicherung gegen Manipulation (Sabotageschalter, verdeckte Verkabelung)

• Unterbrechungsfreie Stromversorgung (USV)

• Zweites, unabhängiges Server-System

• Mechanische Notfallöffnungen für den Brand- oder Stromausfall

• Freigabe der Türen und Notausgänge bei Brandalarm (elektrische Entriegelung)

• Panikbeschläge, Schlüsseldepots für Feuerwehr und Rettungskräfte

• Reguläre Prüfungen und Wartungen (z. B. Jahresprüfung durch Sachkundige)

• Verschlüsselung aller Zutrittsdaten

• Zugriff nur für klar definierte Administratoren, Rollen- und Rechtemanagement

• Regelmäßige Penetrationstests, Intrusion Detection Systems, Firewalls

• Betriebsanweisungen und Betriebsvereinbarung: Verbindliche Regeln für die Nutzung des Zutrittskontrollsystems

• Betriebliche Datenschutzvereinbarung (Speicherfristen, Zweckbindung)

• Festlegung der Zugriffsrechte auf Protokolldaten

• Zentrale Stelle für Ausgabe, Verwaltung, Sperrung und Rücknahme von Ausweisen

• Protokollierung jeder Ausgabe oder Änderung

• Sofortige Sperrung bei Verlust, automatisierter Offboarding-Prozess

• Wartungspläne für alle Türen, Drehkreuze, Kartenleser

• Dokumentation jeder durchgeführten Prüfung oder Reparatur

• Prüfungen durch befähigte Personen (z. B. Fachfirma für Tür-/Toranlagen)

• Handlungsvorgaben bei Systemausfall oder Brand (Notöffnung, manuelle Kontrolle)

• Interne Alarmierungskette (Werkschutz, IT, Führungskräfte)

• Regelmäßige Notfallübungen und Evakuierungsproben

• „Need-to-know“- oder „Need-to-access“-Prinzip: Zugang nur bei tatsächlichem Bedarf

• Regelmäßige Überprüfung der Berechtigungen (z. B. alle 6 Monate)

• Minimierung des Zeitfensters (z. B. kein Zutritt außerhalb Schichtzeiten, sofern nicht nötig)

• Mitarbeiterunterweisungen: Regelmäßige Schulungen zu Bedienung, Sicherheit und Datenschutz

• Verhaltensregeln bei Zutrittskontrollen (z. B. keine Weitergabe von Karten)

• Erkennen von Tailgating und Manipulationsversuchen

• Vertiefte Ausbildung zu Systembedienung, Alarmmanagement und Konfliktsituationen

• Kenntnisse über rechtliche Grundlagen (Hausrecht, Datenschutz)

• Hinweise auf typische Angriffe (z. B. „Ich habe meine Karte vergessen…“)

• Förderung einer Sicherheitskultur: Verdächtige Situationen melden

• Verständnis für Rechte und Pflichten hinsichtlich Datenschutz, Betriebsvereinbarungen

• Einbindung in Entscheidungsprozesse, um Akzeptanz zu erhöhen

Unterschrift Prüfer / Datum:

Unterschrift Verantwortlicher:

• Einführung in die Sicherheitskultur des Unternehmens

• Erklärung der Ausweisnutzung, Meldepflicht bei Verlust

• Sensibilisierung für Risiken (Tailgating, Social Engineering)

• Datenschutzhinweise (Wer hat welche Daten?)

• Umgang mit Software (Live-Überwachung, Alarmierung)

• Konfliktmanagement, rechtliche Grundlagen bei Unbefugten

• Zusammenarbeit mit Polizei und Rettungsdiensten

• Technische Workshops zu Systemwartung, Updates, Verschlüsselung

• Regularien zur Datenhaltung und Löschfristen nach DSGVO

• Rollen- und Rechtemanagement

• Verantwortung für korrekte Berechtigungsvergabe

• Überwachung der Einhaltung des Sicherheitskonzepts in ihren Teams

• Kurzunterweisung, z. B. Merkblatt „Sicherheitsregeln“

• Ggf. Begleitung durch betriebliche Ansprechpartner

Schulungen werden dokumentiert (Datum, Teilnehmer, Inhalte). Wiederholungsunterweisungen erfolgen mindestens jährlich oder bei Systemänderungen.

• Gesamtverantwortung liegt bei der Geschäftsführung und dem bestellten Anlagenbetreiber

• Regelmäßige Aktualisierung der Gefährdungsbeurteilung bei organisatorischen oder technischen Änderungen

• Vertrags- und Kontrollverantwortung gegenüber Dienstleistern (z. B. Wartung, IT-Service)

• Nachweisführung über Wartungen, Schulungen und Prüfungen

• Kontinuierliche Verbesserung: Sicherheitssystem an neue Bedrohungen anpassen, Feedback aus Audits einbeziehen

• Alle Unterlagen (Gefährdungsbeurteilung, Betriebsanweisungen, Schulungsnachweise, Wartungs- und Prüfprotokolle) werden zentral dokumentiert.

• Jährliche interne Audits zur Überprüfung der Wirksamkeit des Zutrittskontrollsystems.

• Bei Sicherheits- oder Datenschutzvorfällen: sofortige Überprüfung, Protokollierung und Ableitung verbessernder Maßnahmen.