Integrale Betriebsvereinbarung für das Zutrittskontroll- und Sicherheitsmanagementsystem

• Allgemeine Systemarchitektur: Das System besteht aus den oben definierten Modulen, die technisch miteinander verknüpft sind, um Informationen auszutauschen. Alle Module sind zentral in einer sicheren Datenbank bzw. Server-Infrastruktur integriert, die vom Unternehmen (Abteilung IT-Sicherheit) betrieben wird. Schnittstellen ermöglichen, dass z. B. das Evakuierungsmanagement auf aktuelle Zutrittsdaten zugreifen kann oder der Sicherheitsleitstand sowohl Kamerabilder als auch Zutrittsereignisse in Echtzeit einsehen kann. Die Systeme sind gegen unberechtigten Zugriff geschützt (siehe Datenschutz und Datensicherheit unten).

• Zutrittskontrollsystem: An allen relevanten Zugängen zum Betriebsgelände und zu Gebäuden sind elektronische Leser installiert (für RFID-Ausweise, QR-Codes oder mobile Credentials). Mitarbeitende erhalten einen personalisierten Mitarbeiterausweis (mit RFID-Chip) oder können alternativ eine vom Unternehmen bereitgestellte Mobile Credential (Smartphone-App oder digitaler Token) nutzen. In bestimmten Hochsicherheitsbereichen kann zusätzlich oder alternativ ein biometrisches Identifikationsverfahren eingesetzt werden (z. B. Fingerabdruckscanner oder Iris-Scan). Biometrische Verfahren werden nur auf freiwilliger Basis der Beschäftigten eingesetzt; es wird stets eine alternative Zugangsmöglichkeit ohne biometrische Erfassung angeboten. Die Zutrittskontrollhardware ist redundant ausgelegt, sodass bei technischem Ausfall oder im Notfall (Stromausfall, Brandalarm) Türen entweder automatisch in einen definierten Sicherheitszustand wechseln (z. B. Entriegelung von Notausgängen) oder mechanische Notschlüssel genutzt werden können.
  Das Zutrittskontrollsystem erfasst bei jeder Zutrittsbuchung folgende Daten: Name/ID des Mitarbeiters, Datum und Uhrzeit des Zutritts, Ort/Lesepunkt (z. B. Haupttor, Gebäudeeingang, Serverraum) sowie den Erfolgsstatus (erfolgreich / verweigert). Besondere Zutrittsereignisse (z. B. Tür gewaltsam geöffnet, mehrfacher Fehlversuch bei PIN-Eingabe) werden als Alarm an den Sicherheitsleitstand gemeldet. Zutrittsberechtigungen sind rollenbasiert vergeben (z. B. Mitarbeiter, Führungskraft, Fremdfirma) und nach Zutrittszonen strukturiert (Allgemeinbereich, sicherheitskritischer Bereich etc.)). Beantragung, Änderung oder Entzug von Berechtigungen folgen einem definierten Prozess (siehe organisatorische Regelungen).
  

• Besuchermanagement: Das Besuchermanagement-Modul ermöglicht es, Besucher vorab online anzumelden und vor Ort am Empfang registrieren zu lassen. Besucher geben ihre notwendigen Daten an (Name, Firma, Grund des Besuchs, Gastgeber). Beim Eintreffen werden sie in einer Besucherdatenbank erfasst und erhalten einen Besucherausweis (gewöhnlich zeitlich befristete RFID-Karte oder Badge) ausgehändigt. Dieser Ausweis ermöglicht nur Zutritt in bestimmte, freigegebene Bereiche und auch nur für die Dauer des genehmigten Besuchs. Optional können Besucher statt eines physischen Ausweises einen QR-Code auf dem Handy erhalten, der an den Lesern gültig ist. Das System stellt sicher, dass Besucher ohne Begleitung nur in allgemein zugängliche Zonen gelangen; für sensible Bereiche wird eine Begleitperson (Mitarbeiter des Unternehmens) als Auflage im System vermerkt. Besucher werden über die Videoüberwachung und sonstige Sicherheitsmaßnahmen im Empfangsbereich durch Hinweisschilder und Informationsblätter aufgeklärt. Ihre Daten werden nach dem Besuch für eine definierte Dauer gespeichert (siehe Datenschutz) und anschließend gelöscht.

• Fremdfirmenmanagement: Externe Dienstleister und Vertragsfirmen erhalten bei Bedarf Zugang zum Betriebsgelände. Hierfür nutzen sie ein Fremdfirmen-Portal, in dem die jeweiligen Firmen vor dem Einsatz ihre Mitarbeiter anmelden. Notwendige Dokumente (z. B. Sicherheitsunterweisungen, Berechtigungsscheine, Ausweiskopien falls nötig) können dort hochgeladen und geprüft werden. Die im Portal freigegebenen Fremdfirmen-Mitarbeiter erhalten entweder temporäre Zutrittsausweise oder dauerhafte Ausweise, falls es sich um regelmäßig wiederkehrende Personen handelt. Das System verwaltet deren Zugangsprofile analog zu eigenen Beschäftigten, jedoch üblicherweise mit eingeschränkten Rechten (zeitlich und räumlich begrenzter Zutritt, z. B. nur Werktage 08–18 Uhr, nur Gebäude X). Fremdfirmen-Mitarbeiter müssen sich ebenfalls am Zutrittssystem anmelden (z. B. Karte vorhalten). Ihre Anwesenheit kann im Evakuierungsfall ermittelt werden. Das System kennzeichnet sie als Externe, sodass bei sicherheitskritischen Vorgängen (z. B. Zutritt zu sensiblen Zonen) ggf. besondere Alarmierung erfolgt oder zusätzliche Genehmigung durch Verantwortliche nötig ist.

• Evakuierungsmanagement: Dieses Modul greift auf die aktuellen Anwesenheitsdaten aus Zutrittskontrolle und Besuchermanagement zu, um im Notfall (Feueralarm, Bombendrohung, etc.) Echtzeit-Listen aller anwesenden Personen (Beschäftigte, Besucher, Fremdfirmen) bereitzustellen. An definierten Sammelplätzen können verantwortliche Evakuierungshelfer per Tablet oder ausgedruckter Liste prüfen, welche Personen sich bereits in Sicherheit befinden. Die Tablets synchronisieren sich mit dem Leitstand, der den Evakuierungsfortschritt überwacht. Türen können vom System im Alarmfall automatisch geöffnet oder entriegelt werden, um eine schnelle Flucht zu ermöglichen. Um Falschalarmen vorzubeugen, erfolgt die Alarmierung des Evakuierungsmanagements nur bei bestätigten Events (z. B. Feueralarm durch Brandmeldeanlage). Regelmäßige Funktionstests und Evakuierungsübungen finden statt; dabei werden keine individuellen Verhaltenskontrollen durchgeführt, sondern nur die Systemfunktion geprüft.

• Videoüberwachung: Es sind Überwachungskameras an strategisch wichtigen Punkten installiert, z. B. an Eingangstoren, Zufahrten, Gebäudeeingängen, in bestimmten Produktionsbereichen mit hohem Sicherheitsrisiko sowie auf Parkplätzen. Die genaue Anzahl und Standort der Kameras sowie deren Erfassungsbereiche sind in Anlage 1 zu dieser Vereinbarung dokumentiert. Es werden keine Kameras in Pausenräumen, Sanitärbereichen, Umkleiden oder Büros eingesetzt, in denen überwiegend eine Verhaltensüberwachung der Belegschaft stattfinden würde – mit Ausnahme ausdrücklich vereinbarter besonderer Fälle (z. B. Kassenschalter, Wertstofflager), die ebenfalls in Anlage 1 aufgeführt sind. Die Kameras sind sichtbar installiert und mit einem Hinweisschild „Videoüberwachung“ kenntlich gemacht. Eine Audioaufzeichnung findet nicht statt. Die Kameras übertragen die Bilder in den Sicherheitsleitstand und zeichnen diese digital auf einem zentralen Server auf. Die Aufzeichnungen werden nach Ablauf der zulässigen Speicherdauer automatisch gelöscht (siehe Datenschutz). Die Bildqualität ist so gewählt, dass Personen und Ereignisse im Sicherheitskontext erkannt werden können, ohne unnötig Details der Privatsphäre preiszugeben. Eine automatische Gesichtserkennung erfolgt nicht (außer etwaigen biometrischen Zutrittsterminals, die separat geregelt sind). Die Live-Monitore im Leitstand dürfen nur von befugtem Sicherheitspersonal eingesehen werden.

• KFZ-Kennzeichenerkennung: An den Fahrzeug-Zufahrten sind Kameras mit automatischer Nummernschilderkennung (ANPR) installiert. Berechtigte Fahrzeuge von Beschäftigten sind im System mit ihrem Kennzeichen hinterlegt; nähert sich ein solches Fahrzeug der Schranke, wird das Kennzeichen erfasst und automatisch mit der Datenbank abgeglichen. Bei positiver Erkennung öffnet das System die Schranke; gleichzeitig wird das Ereignis protokolliert (Zeit, Kennzeichen, Fahrer falls bekannt). Besucher oder Fremdfirmenfahrzeuge erhalten entweder vorab ein temporär registriertes Kennzeichen oder melden sich über eine Gegensprechanlage. Unbekannte oder nicht freigegebene Kennzeichen lösen einen Alarm im Leitstand aus, sodass das Personal manuell entscheiden kann (z. B. Einfahrt verweigern oder überprüfen). Die Kennzeichenbilder werden wie Videodaten behandelt und gespeichert. Eine Verknüpfung zwischen Kennzeichen und Mitarbeiter erfolgt, soweit das Kennzeichen im System einem Mitarbeiterprofil zugeordnet ist; andernfalls wird es als Besucherdaten geführt. Das System dient ausschließlich der Zugangskontrolle und Parkplatzverwaltung – eine Geschwindigkeitsüberwachung oder Bewegungsprofilermittlung von Mitarbeitern über ihre Fahrzeuge findet nicht statt.

• KI-gestützte Anomalieerkennung: In das Videoüberwachungs- und Zutrittssystem sind KI-Funktionen integriert, die definierte Muster und Anomalien erkennen. Beispielsweise analysiert eine Software die Videoströme darauf, ob Personen untypische Bewegungen machen (etwa in verbotene Richtung durch Drehkreuze gehen), ob nach Dienstschluss noch Personen im Gebäude sind, oder ob Gegenstände liegen bleiben. Ebenso kann das Zutrittssystem auffällige Muster erkennen (z. B. mehrfache Fehlversuche, missbräuchliche Verwendung eines Ausweises durch mehrere Personen). Wenn die KI eine Anomalie feststellt, generiert sie einen Alarm, der im Sicherheitsleitstand angezeigt wird. Keinerlei automatisierte disziplinarische Maßnahmen erfolgen durch die KI allein – das Sicherheitspersonal bewertet jeden Alarm manuell und entscheidet über weitere Schritte. Die eingesetzten KI-Modelle werden vor Inbetriebnahme und laufend darauf geprüft, dass sie zuverlässig und diskriminierungsfrei arbeiten. Insbesondere wird sichergestellt, dass keine ungerechtfertigte Benachteiligung einzelner Personen(gruppen) durch fehlerhafte Erkennungen erfolgt. Etwaige Fehlalarme werden dokumentiert, um die KI-Systeme zu verbessern. Die Parameter, nach denen die KI Anomalien definiert (z. B. Zugangszeiten außerhalb definierter Sollzeiten), werden dem Betriebsrat offengelegt. Änderungen dieser Parameter unterliegen der Mitbestimmung (vgl. Verfahren bei Änderungen).

• Sicherheitsleitstand und mobile Endgeräte: Der Sicherheitsleitstand ist rund um die Uhr mit geschultem Sicherheitspersonal besetzt (Werkschutz oder gleichwertige Stelle). Alle sicherheitsrelevanten Ereignisse aus den oben genannten Modulen laufen dort zusammen. Das Personal hat Zugriff auf ein Leitstand-System, das Alarme priorisiert anzeigt, Live-Video einschaltet und die Möglichkeit gibt, Gegensprechanlagen oder Durchsagen zu nutzen. Mobile Endgeräte (z. B. Tablets) werden genutzt, damit Sicherheitsmitarbeiter vor Ort flexibel agieren können – etwa um bei einer Alarmverfolgung die Videoansicht auch außerhalb des Leitstands zu haben, oder um im Evakuierungsfall die Sammelplatz-Listen abzurufen. Die Tablets sind über eine gesicherte Verbindung mit dem Leitstand gekoppelt. Auf ihnen sind nur die unbedingt erforderlichen Funktionen freigeschaltet, entsprechend der Rolle des Nutzers (z. B. ein Evakuierungshelfer sieht nur die Evakuierungsapp, ein Sicherheitsstreifen-Mitarbeiter kann Türsteuerungen bedienen und Kameras in seinem Bereich einsehen). Mobile Geräte sind durch technische Maßnahmen geschützt (MDM, Gerätekrypto, Passwort/biometrische Sicherung), um unbefugten Zugriff oder Verlustfolgen zu verhindern. Bei Verlust oder Ausscheiden eines berechtigten Mitarbeiters wird das Gerät bzw. die Zugangsberechtigung umgehend gesperrt.

• Zuständigkeiten im Unternehmen: Die Gesamtverantwortung für Einführung, Betrieb und Einhaltung dieser Vereinbarung liegt beim Arbeitgeber, vertreten durch die Geschäftsleitung. Operativ wird das System von folgenden Stellen betreut: Die Abteilung Werkschutz/Sicherheit ist federführend für das Zutrittskontrollsystem, die Videoüberwachung, den Leitstandbetrieb und die Reaktion auf Alarme zuständig. Die IT-Abteilung ist verantwortlich für technische Betreuung der Software/Hardware, Server, Netzwerksicherheit und Benutzerverwaltung des Systems. Der Datenschutzbeauftragte (DSB) des Unternehmens überwacht die Einhaltung der Datenschutzvorgaben und berät hinsichtlich Privacy-by-Design und Datenminimierung. Die Personalabteilung (HR) ist involviert bei der Zuteilung von Mitarbeiterberechtigungen und bei Fragen der personellen Maßnahmen (z. B. Schulungen, Unterweisungen).
  Für jede der genannten Modul-Komponenten wird ein Systemverantwortlicher benannt (z. B. Leiter Werkschutz für Zutritt/Videosystem, Leiter IT für technische Plattform), der die ordnungsgemäße Anwendung sicherstellt. Dessen Kontaktdaten werden in Anlage 2 aufgeführt. Änderungen in Zuständigkeiten teilt der Arbeitgeber dem Betriebsrat unverzüglich mit.

• Vergabe und Verwaltung von Zugangsberechtigungen: Neue Beschäftigte erhalten im Rahmen des Onboardings einen Mitarbeiterausweis und die für ihre Tätigkeit notwendigen Zutrittsrechte. Die Vergabe erfolgt nach dem Prinzip der minimalen Rechte: Zugriff nur auf die Bereiche, die für die Arbeitsaufgabe erforderlich sind. Der direkte Vorgesetzte beantragt die Zutrittsberechtigungen über ein dafür vorgesehenes Formular/IT-System unter Angabe des Zwecks (Abteilung, Standort des Arbeitsplatzes etc.). Die Sicherheitsabteilung prüft den Antrag und richtet die Rechte im System ein. Regelmäßige Überprüfungen der vergebenen Berechtigungen finden mindestens halbjährlich statt, um ungenutzte oder unberechtigte Zugänge zu entziehen. Insbesondere bei Abteilungswechsel, längerer Abwesenheit oder Änderung der Rolle eines Mitarbeiters werden die Zutrittsprofile angepasst oder neu bewertet.
  Beim Austritt eines Mitarbeiters (Beendigung des Arbeitsverhältnisses) oder bei längerfristiger Beurlaubung werden dessen Zugangsberechtigungen am letzten Arbeitstag deaktiviert. Ausweise sind zurückzugeben; mobile Credentials werden serverseitig gesperrt. Gleiches gilt für Fremdfirmen-Mitarbeiter nach Abschluss ihrer Tätigkeit: deren Zugänge verfallen automatisch mit Vertragsende, oder werden manuell früher entzogen, falls ein Projekt vorzeitig endet.

• Umgang mit verlorenen/defekten Ausweisen: Beschäftigte sind verpflichtet, den Verlust oder die Beschädigung ihres Ausweises unverzüglich der Sicherheitsabteilung zu melden. Der entsprechende Ausweis wird sofort im System gesperrt, um Missbrauch vorzubeugen. Ein Ersatzausweis wird zügig ausgestellt. Bis zum Erhalt eines Ersatzes kann bei Bedarf ein Tagesausweis genutzt werden, der vom Werkschutz nur nach Identitätsprüfung ausgehändigt wird. Gleiches Prozedere gilt für vergessene Ausweise (wobei Vergesslichkeit nicht sanktioniert wird, aber mehrfaches Vergessen ggf. zum Gespräch mit HR führen kann, um die Bedeutung der Ausweismitführung zu unterstreichen).

• Besuchermanagement-Prozess: Alle internen Gastgeber (Mitarbeiter, die Besucher einladen) müssen ihre Besucher idealerweise vorab über das Besuchermanagement-Portal anmelden, mit vollständigem Namen und Besuchsgrund. Der Empfang kontrolliert bei Ankunft des Besuchers einen amtlichen Lichtbildausweis und lässt den Besucher das Besucherregister unterschreiben bzw. digital bestätigen, womit er auch über die geltenden Sicherheitsregeln und die Datenverarbeitung informiert wird. Besucher erhalten eine sichtbare Besucherkarte, die stets zu tragen ist. Der Gastgeber oder ein von ihm benannter Vertreter ist verantwortlich dafür, den Besucher während des Aufenthalts zu begleiten, insbesondere in nicht-öffentlichen Bereichen. Beim Verlassen melden sich Besucher am Empfang ab und geben den Ausweis zurück; dies wird im System erfasst. Das System kann so jederzeit die aktuelle Anzahl und Identität der Besucher im Werk nachvollziehen, jedoch keine Bewegungsprofile der Besucher darüber hinaus erstellen.

• Fremdfirmenmanagement-Prozess: Vor Einsatzbeginn meldet die Fremdfirma ihre Mitarbeitenden über das Portal an und bestätigt, dass alle notwendigen Sicherheitsunterweisungen (z. B. Arbeitsschutz, Unfallverhütung) durchgeführt wurden. Die Sicherheitsabteilung prüft die Angaben und schaltet die Fremdfirmen-Mitarbeiter im System frei. Bei der ersten Ankunft erhalten Fremdfirmen-Mitarbeiter eine Sicherheitsunterweisung vor Ort (sofern erforderlich) und ihren temporären Ausweis. Es wird dokumentiert, welche Fremdfirmen-Person sich wann im Werk aufhält, ähnlich den Beschäftigten. Allerdings können für Fremdfirmen strengere Zutrittszeitfenster gelten (z. B. nur Werktags 08–18 Uhr, keine Nachtzeiten, außer mit Sondergenehmigung). Bei Verstößen einer Fremdfirmenkraft gegen Sicherheitsregeln (etwa unbefugtes Betreten einer Zone) wird der Fall dem Ansprechpartner der Fremdfirma gemeldet und der Ausweis ggf. sofort gesperrt.

• Sicherheitsleitstand-Betrieb: Das Sicherheitspersonal im Leitstand arbeitet in Schichten und ist zur Verschwiegenheit über personenbezogene Beobachtungen verpflichtet. Mindestens zwei Personen (Werkschutzmitarbeiter) sollen gemeinsam anwesend sein, um das Vier-Augen-Prinzip bei sicherheitsrelevanten Entscheidungen zu gewährleisten. Eingehende Alarme werden gemäß festgelegten Alarmprozeduren abgearbeitet, die in einem Alarmhandbuch (Anlage 3) dokumentiert sind. Beispielsweise: Bei Einbruchalarm oder unbefugtem Zutritt wird sofort eine mobile Streife geschickt; bei technischem Alarm (Ausfall Kamera) wird die IT informiert, etc. Das Leitstandpersonal dokumentiert besondere Vorkommnisse in einem Ereignisprotokoll (z. B. Alarm um 22:30 in Lagerhalle, Streife geschickt, nichts festgestellt).
  Zugriffe auf aufgezeichnete Video- oder Log-Daten zu Kontrollzwecken erfolgen nur durch ausdrücklich berechtigte Personen. Standardmäßig haben die Leitstandmitarbeiter Zugriff auf Live-Bilder und aktuelle Ereignisse, aber nicht auf historische Detaildaten einzelner Mitarbeiter (siehe Datenschutzregelungen zu Protokollauswertungen). Falls ausnahmsweise eine Auswertung von Archivdaten (Videoaufnahmen oder Zutrittslogs) zu einem bestimmten Mitarbeiter erfolgt – etwa zur Aufklärung eines Diebstahls – muss dies vorab durch den benannten berechtigten Personenkreis genehmigt werden (z. B. Leiter Sicherheit und ein vom Betriebsrat benannter Vertreter gemeinsam). Dieses Vorgehen folgt dem Vier-Augen-Prinzip: der Zugriff wird technisch so gestaltet, dass eine Einzelperson nicht unbemerkt auf diese sensiblen Daten zugreifen kann. Jeder solche Zugriff wird zudem protokolliert und begründet (siehe Protokollierung).

• Schulung und Unterweisung: Alle Beschäftigten erhalten im Rahmen der Einführung des Systems eine umfassende Information und Unterweisung. In regelmäßigen Abständen (mindestens jährlich) erfolgt eine Auffrischung bzw. Unterrichtung über neue Funktionen. Schulungen umfassen sowohl die korrekte Bedienung (z. B. wie verhalte ich mich am Drehkreuz, was tun bei Ausweisverlust) als auch die Sensibilisierung für Datenschutz („Meine Daten werden geschützt, ich habe Rechte“). Spezialschulungen erhalten: das Sicherheitsleitstand-Personal (Bedienung der Leitstandsoftware, datenschutzgerechter Umgang mit Videobildern), die IT-Administratoren (Datensicherheit, Protokollierung) und alle sonstigen mit dem System befassten Personen. Die Beschäftigten werden ausdrücklich auf Meldewege hingewiesen, um Vorfälle oder Missbrauch des Systems zu berichten (z. B. an Datenschutzbeauftragten oder an eine interne Meldestelle).

• Pflichten der Beschäftigten: Von den Beschäftigten wird erwartet, dass sie die Sicherheitsregeln befolgen, die mit dem System einhergehen. Insbesondere dürfen Ausweise/Schlüssel nicht an Unbefugte weitergegeben oder Dritten überlassen werden. Jede/r Mitarbeiter/in darf nur eigene Zugangsdaten nutzen und keinem Unberechtigten Zutritt verschaffen (Verbot des „Tailgating“). Verstöße gegen diese Pflichten können arbeitsrechtliche Konsequenzen haben, wobei ein etwaiges Fehlverhalten stets im Rahmen der gesetzlichen Bestimmungen und in Abstimmung mit dem Betriebsrat bewertet wird. Die Beschäftigten unterstützen ferner die Sicherheitsorganisation, indem sie z. B. ungewöhnliche Beobachtungen oder sicherheitsrelevante Ereignisse melden. Es wird betont, dass die Sicherheit aller im Betrieb auch von der Mitwirkung aller abhängt.

Grundsätze der Datenverarbeitung: Bei Betrieb des Systems werden die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) strikt eingehalten. Die Verarbeitung personenbezogener Daten erfolgt nur auf der Grundlage rechtskonformer Rechtsgrundlagen und unter Wahrung der Prinzipien der DSGVO, insbesondere Zweckbindung, Datenminimierung, Speicherbegrenzung, Integrität und Vertraulichkeit. Es werden nur solche Daten erhoben, die für die definierten Zwecke erforderlich sind (Prinzip der Erforderlichkeit). Die Nutzung der Daten ist auf die in dieser Vereinbarung genannten Zulässigen Zwecke beschränkt; Unzulässige Zwecke sind ausdrücklich ausgeschlossen (siehe unten).

Als Rechtsgrundlage für die Verarbeitung der Mitarbeiterdaten dient primär diese Betriebsvereinbarung i. V. m. § 26 Abs. 4 BDSG und Art. 88 DSGVO, welche eine Verarbeitung im Beschäftigungskontext ermöglichen. Soweit besondere Kategorien personenbezogener Daten (insb. biometrische Daten nach Art. 9 DSGVO) betroffen sind, erfolgt die Verarbeitung nur unter den strengen Voraussetzungen des Art. 9 Abs. 2 DSGVO – etwa aufgrund einer ausdrücklichen Einwilligung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO) oder weil sie zur Erfüllung von Rechten und Pflichten aus dem Arbeitsrecht zwingend erforderlich ist (Art. 9 Abs. 2 lit. b DSGVO). Da im Arbeitsverhältnis die Freiwilligkeit einer Einwilligung stets kritisch zu sehen ist (§ 26 Abs. 2 BDSG), setzt das Unternehmen biometrische Verfahren nur freiwillig ein; niemand wird benachteiligt, wenn er keine biometrischen Daten zur Verfügung stellen möchte. In jedem Fall werden für biometrische Daten zusätzliche Schutzmaßnahmen ergriffen (siehe unten).

Die Verarbeitung von Besucherdaten und Daten von Fremdfirmenangehörigen erfolgt auf Grundlage berechtigter Interessen des Unternehmens an der Aufrechterhaltung von Sicherheit und Ordnung (§ 6 Abs.1 lit. f DSGVO) und – sofern erforderlich – auf Basis von Einwilligungen (etwa wenn ein Besucher freiwillig seine E-Mail angibt für Besuchervoranmeldung). Video- und Kennzeichendaten werden i. d. R. auf Grundlage berechtigter Interessen gem. Art. 6 Abs.1 lit. f DSGVO verarbeitet (Schutz des Eigentums, Durchsetzung des Hausrechts, Beweissicherung bei Vorfällen), unter Abwägung mit den Persönlichkeitsrechten der Betroffenen.

• Stammdaten: Name, Personalnummer, Abteilung/Organisationseinheit, ggf. Foto (auf Ausweis) und bei Nutzung mobiler Credentials die dienstliche E-Mail/Telefon zur Verknüpfung des Geräts.

• Zutrittsdaten: Zugangsberechtigungen (Rollen, Zutrittszonen), jede Zutrittsbuchung mit Zeitstempel und Ort, Zutrittsversuche (erfolgreich oder abgelehnt), Verwaltungsdaten zu Ausweisen (Ausweisnummer, Gültigkeit).

• Arbeitszeitbezogene Informationen: Hinweis: Das System ist kein Zeiterfassungssystem. Es werden zwar Ankunfts-/Verlassenszeiten erfasst, aber ausschließlich zu Sicherheitszwecken (Wer befindet sich im Werk). Diese Daten werden nicht zur Kontrolle der Arbeitszeit oder Pausenzeiten verwendet. Etwaige Übersichten werden nicht an Vorgesetzte zu arbeitszeitlichen Auswertungen weitergegeben.

• Videodaten: Bild- und Videomaterial der Überwachungskameras, auf dem Mitarbeiter, Besucher oder Dritte zu sehen sein können. Metadaten: Kamerastandort, Zeit der Aufnahme, ggf. Erkennungsmarkierungen (z. B. bewegtes Objekt erkannt). Es erfolgt keine Audioaufzeichnung.

• KFZ-Daten: Kfz-Kennzeichen von Mitarbeitern (freiwillig registriert, falls Parkplatznutzung gewünscht), sowie die Zu- und Abfahrtszeiten dieser Kennzeichen. Bei Besuchern Kfz-Kennzeichen, falls angegeben, verknüpft mit Besucherdatensatz.

• Anomalie/Alarm-Daten: Protokolle über vom System generierte Alarmmeldungen (z. B. „unberechtigter Zutrittsversuch durch Karte Nr. 1234 um 23:14 Uhr“ oder „KI-Alarm: liegendes Objekt in Halle 2 um 02:00 Uhr“). Diese Alarme enthalten den Grund, Zeit, beteiligte Systeme und werden mit dem Bearbeitungsvermerk durch das Sicherheitspersonal versehen (z. B. „geprüft, false alarm“ oder „Polizei gerufen“).

• Besucherdaten: Name, Firma/Institution, Person des Ansprechpartners im Haus, Zweck des Besuchs, Datum/Uhrzeit von Ankunft und Verlassen, ausgehändigter Besucherausweis (Nr.), ggf. KFZ-Kennzeichen. Bei Stammgästen ggf. eine Besucherliste historisch.

• Fremdfirmendaten: Name des externen Mitarbeiters, Geburtsdatum und Kontakt (falls zur Identifikation nötig), Firma/Arbeitgeber, Einsatzgrund und -ort, verantwortliche interne Kontaktperson, gültige Einsatzzeiträume, absolvierte Schulungen (ja/nein, Datum), Ausweisnummer, Zutrittsprotokolle analog Mitarbeiter.

Diese Aufzählung ist vollständig in Anlage 4 (Verzeichnis der Datenarten) dokumentiert. Eine Änderung oder Erweiterung der erhobenen Datenkategorien bedarf der Zustimmung des Betriebsrats (siehe Verfahren bei Änderungen).

• Zulässige Zwecke: Gewährleistung der Sicherheit von Mitarbeitern, Besuchern und Anlagen; Schutz von Eigentum und vertraulichen Informationen; Verhinderung und Aufklärung von Diebstahl, Sabotage oder sonstigen Straftaten; Kontrolle und Steuerung des Zutritts zu bestimmten Bereichen je nach Berechtigung; Unterstützung von Evakuierungen und Notfällen (Auffinden von Personen, die sich in Gefahr befinden könnten); allgemeine Analyse von sicherheitsrelevanten Vorfällen und Mustererkennung zur Prävention (in anonymisierter Form). Die Nutzung der Daten erfolgt dabei immer unter Wahrung der Verhältnismäßigkeit, d. h. nur bei Vorliegen eines Anlasses oder zur Erfüllung der genannten Zwecke.

• Unzulässige Zwecke: Keine Verwendung der Daten zur verhaltens- oder Leistungskontrolle von Beschäftigten (z. B. Auswertung von Zutrittszeiten zur Überprüfung von Pünktlichkeit oder Pausendauer ist untersagt)). Es erfolgt keine dauerhafte Überwachung einzelner Mitarbeiter ohne Anlass. Eine automatisierte Profilbildung über das Verhalten der Beschäftigten findet nicht statt. Ferner ist eine Weitergabe von Rohdaten an Dritte unzulässig, sofern nicht gesetzlich vorgeschrieben (siehe unten). Marketing- oder personenbezogene Auswertungen zu anderen Zwecken sind verboten. Die Daten dürfen nicht zur Entscheidungsfindung in Personalangelegenheiten (Beförderungen, Kündigungen etc.) herangezogen werden, außer es handelt sich um Erkenntnisse aus zulässiger Aufklärung von konkretem Fehlverhalten. Insbesondere ist es Vorgesetzten untersagt, eigenmächtig Einblick in individuelle Bewegungsdaten oder Kameraufnahmen ihrer Mitarbeiter zu nehmen.

In der Regel gilt: Mitarbeiterdaten und Zutrittslogs dürfen nur von Mitarbeitenden der Sicherheitsabteilung und IT-Administration eingesehen werden, soweit es zur Erfüllung ihrer Aufgaben nötig ist. Vorgesetzte haben keinen direkten Zugriff auf individuelle Zutritts- oder Aufenthaltsdaten ihrer Mitarbeiter. Sie können bei berechtigtem Anlass (z. B. Verdacht auf sicherheitsrelevante Pflichtverletzung) über die Sicherheitsabteilung eine Auswertung anfordern, die jedoch dem in (3) genannten Einschränkungen unterliegt und nur mit Zustimmung des berechtigten Personenkreises erfolgt.

Videodaten (Live und Aufzeichnung) können vom Leitstandpersonal eingesehen werden. Eine gezielte Sichtung von Aufzeichnungen erfolgt nur anlassbezogen und mit Freigabe wie oben beschrieben. Automatisierte Kennzeichenerkennungsdaten werden vom System im normalen Betrieb lediglich zur Schrankensteuerung genutzt; die Rohdaten (Kennzeichen und Zeit) können von der Sicherheitsabteilung eingesehen werden, jedoch ebenfalls nur bei Erforderlichkeit.

Besucherdaten sind durch Empfangs- und Sicherheitsmitarbeiter einsehbar, um Besucher zu verwalten. Fremdfirmendaten können neben der Sicherheitsabteilung auch von dem Fachbereich, der die Fremdfirma beauftragt hat, eingesehen werden (z. B. um zu sehen, welche externen Monteure angemeldet sind), jedoch nur in dem für die Zusammenarbeit nötigen Umfang.

Der Datenschutzbeauftragte hat jederzeit Zugriff auf alle Daten im Rahmen seiner Prüfungs- und Überwachungsaufgaben. Er kann Protokolle einsehen, um die Einhaltung der Datenschutzregeln zu kontrollieren.

Der Betriebsrat erhält keine personenbezogenen Rohdaten aus dem System. Er hat jedoch das Recht, anonymisierte Auswertungen zu erhalten, um z. B. die generelle Nutzung des Systems oder Auswirkungen auf die Belegschaft zu beurteilen. So kann auf Wunsch des Betriebsrats z. B. eine Statistik erstellt werden über die Anzahl der Zutrittsbuchungen pro Monat oder über die Gesamtanzahl der Videokameraeinsätze, ohne dass daraus Rückschlüsse auf individuelles Verhalten möglich sind. Individuelle Bewegungsprofile oder personenbezogene Nutzungsdaten werden dem Betriebsrat nicht herausgegeben, es sei denn im Einzelfall mit Zustimmung der Betroffenen oder im Rahmen der gemeinsamen Auswertung eines Vorfalls durch den in Abschnitt Organisatorisches (6) genannten Personenkreis.

• Strafverfolgungsbehörden: Bei einem konkreten Verdacht einer Straftat oder auf rechtmäßige Anfrage von Polizei/Staatsanwaltschaft können relevante Aufzeichnungen (z. B. Video-Mitschnitte, Zutrittslogs) an diese Behörden übermittelt werden. Die Weitergabe wird protokolliert und der Betriebsrat wird – soweit zulässig – informiert.

• Behördliche Auflagen: Falls andere gesetzliche Mitteilungspflichten bestehen (z. B. nach Arbeitsschutzgesetz bei schweren Unfällen oder nach dem Bundesdatenschutzgesetz bei bestimmten Anfragen der Datenschutzaufsicht), erfolgt eine Datenübermittlung nur im erforderlichen Umfang und unter Wahrung der Datenschutzbestimmungen.

• Externe Dienstleister als Auftragsverarbeiter: Soweit externe Firmen mit Wartung, Support oder Betrieb von Teilen des Systems beauftragt sind (z. B. ein externer IT-Dienstleister für die Systemwartung, ein Wachdienst für den Leitstand oder ein Betreiber für die Schrankenanlage), gelten sie nicht als „Dritte“ im datenschutzrechtlichen Sinne, sondern als Auftragsverarbeiter. Mit ihnen werden schriftliche Verträge nach Art. 28 DSGVO abgeschlossen, die sicherstellen, dass sie die Daten nur nach Weisung des Unternehmens und im Rahmen dieser Vereinbarung verarbeiten. Eine Weitergabe von Daten an sie erfolgt nur, soweit zur Aufgabenerfüllung nötig (z. B. Zugriff eines Technikers auf Logs zur Fehlerbehebung). Auch sie sind zur Verschwiegenheit verpflichtet.

Eine Nutzung der Daten durch konzernangehörige Unternehmen oder andere Standorte erfolgt nicht, außer der Betriebsrat hat dem in einer erweiterten Regelung zugestimmt oder es besteht eine gesetzliche Grundlage. Insbesondere findet keine Übermittlung in Drittstaaten außerhalb der EU statt; sollte dies im Einzelfall (z. B. Cloud-Service) erforderlich sein, werden zuvor die gesetzlichen Voraussetzungen (Angemessenheitsbeschluss oder Standardvertragsklauseln) geschaffen und der Betriebsrat informiert.

Personenbezogene Daten werden nicht dauerhaft aufbewahrt, sondern nach Erfüllung des Zwecks bzw. nach definierten Fristen gelöscht oder anonymisiert.

• Zutrittsprotokolle (Mitarbeiter und Fremdfirmen): Reguläre Zutrittsbuchungen werden für maximal 90 Tage gespeichert. Ältere Daten werden rollierend gelöscht. In besonderen Fällen, in denen Zutrittsdaten sicherheitsrelevant sind (z. B. ein protokollierter unbefugter Zutritt als Bestandteil einer Untersuchungsakte), können betroffene Datensätze mit Kennzeichnung bis zur Klärung des Vorfalls aufbewahrt werden; anschließend sind sie unverzüglich zu löschen.

• Videoaufzeichnungen: Aufgezeichnete Videodaten (Bildmaterial) werden für 72 Stunden gespeichert, danach automatisch gelöscht. Diese Frist kann verlängert werden, wenn innerhalb der 72 Stunden ein Vorfall festgestellt wird, der eine Auswertung erforderlich macht (z. B. bei erkanntem Diebstahl die betreffende Sequenz sichern). In einem solchen Fall wird die betreffende Aufnahme separat gesichert und aufbewahrt, bis der Zweck erfüllt ist (z. B. Abschluss eines Ermittlungsverfahrens), jedoch längstens 6 Monate, sofern nicht staatliche Stellen eine längere Aufbewahrung anordnen. Nicht benötigtes Material wird frühzeitig gelöscht.

• KFZ-Kennzeichendaten: Kennzeichen-Ereignisse (Einfahrt/Ausfahrt) werden analog zu Zutrittsdaten 90 Tage vorgehalten, es sei denn, sie werden einem sicherheitsrelevanten Ereignis zugeordnet (z. B. Fahrerflucht auf Parkplatz); dann gelten dieselben Ausnahmeregelungen wie bei Zutrittsdaten. Fotos von Kennzeichen (falls gespeichert) werden wie Video nach 72 Stunden gelöscht, sofern sie nicht für o. g. Ausnahmefälle gesichert wurden.

• Anomalie/Alarm-Logs: Die Alarmprotokolle des Systems (textuelle Logs über Alarme und deren Abarbeitung) werden für 1 Jahr aufbewahrt, um Trends erkennen zu können und ggf. Nachweispflichten (gegenüber Arbeitsschutzbehörde bei Unfällen, etc.) zu erfüllen. Danach werden sie gelöscht oder archiviert in anonymisierter Form für Statistikzwecke.

• Besucherdaten: Besucherregister und digitale Besucherdaten werden 30 Tage nach dem Besuch gelöscht. Eine längere Speicherung (bis zu 6 Monate) erfolgt nur, wenn ein sicherheitsrelevanter Vorfall im Zusammenhang mit dem Besuch eingetreten ist (z. B. Unfall des Besuchers, Diebstahl während des Besuchs) und die Daten zur Aufklärung benötigt werden.

• Fremdfirmendaten: Daten externer Mitarbeiter werden spätestens 6 Monate nach Ende ihres letzten Einsatzes gelöscht. In vielen Fällen erlischt ihr Account nach Vertragsende sofort, aber gewisse Angaben (Name, Firma, Einsatzzeitraum) können zur Dokumentation von Fremdfirmeneinsätzen bis zu 6 Monate vorgehalten werden.

• Biometrische Merkmale: Sofern biometrische Daten (z. B. Fingerabdruck-Templates) im System gespeichert werden, werden diese unmittelbar nach dem Ausscheiden des Mitarbeiters oder nach dessen Widerruf der Nutzung gelöscht. Falls ein Mitarbeiter von biometrisch auf Ausweis umgestellt wird, wird das biometrische Datum ebenfalls sofort entfernt. Biometrische Referenzdaten von aktiven Mitarbeitern werden regelmäßig auf Aktualität überprüft; veraltete oder nicht mehr benötigte Datensätze sind zu entfernen.

Die Löschung erfolgt automatisiert, soweit technisch möglich, ansonsten manuell in festgelegten Intervallen. Eine Protokollierung der Löschvorgänge findet statt, die vom Datenschutzbeauftragten stichprobenartig geprüft wird. Daten, die einer gesetzlichen Aufbewahrungspflicht unterliegen (z. B. Unfalldokumentation nach ArbSchG), werden nach Ablauf dieser Fristen gelöscht. Auf Anforderung des Betriebsrats werden dem Betriebsrat die aktuellen Löschfristen und die technischen Löschkonzepte erläutert.

Das Unternehmen implementiert umfangreiche technische und organisatorische Maßnahmen (TOM), um die Sicherheit der verarbeiteten personenbezogenen Daten zu gewährleisten (Art. 32 DSGVO).

• Zugriffskontrolle (IT): Die Systemserver sind in einem gesicherten Rechenzentrum untergebracht. Zugriff auf die Systemdatenbank und Anwendungen haben nur autorisierte Administratoren mit personalisierten Accounts. Es besteht ein Rollenkonzept, das sicherstellt, dass Administratoren nur die jeweils notwendigen Rechte haben. Alle Administrator-Logins erfolgen über MFA (Multi-Faktor-Authentifizierung).

• Datentransportverschlüsselung: Die Kommunikation zwischen Systemkomponenten (z. B. von Zutrittslesern zum Server, von Kameras zum Leitstand, von Tablets zum Server) ist verschlüsselt (VPN, TLS o. ä.), um Abhören oder Manipulation zu verhindern.

• Speicher- und Datenbankverschlüsselung: Sensible Daten wie biometrische Templates werden verschlüsselt in der Datenbank gehalten. Wo möglich, werden biometrische Daten nur in Form von Templates/Hashes gespeichert, aus denen das Originalmerkmal nicht rekonstruiert werden kann.

• Protokollierung: Alle sicherheitsrelevanten Aktionen im System werden mitgeloggt. Insbesondere der Zugriff auf personenbezogene Daten durch Administratoren oder das Leitstandpersonal wird protokolliert, mit Angabe von Zeit, Person und Zweck. Diese Protokolle werden mindestens 1 Jahr aufbewahrt und vom Datenschutzbeauftragten sowie – im Rahmen seiner Rechte – vom Betriebsrat eingesehen, um Missbrauch zu erkennen. Unautorisierte Zugriffsversuche auf System oder Daten lösen Alarm aus und werden untersucht.

• Datensicherung: Regelmäßige Backups der Systemdaten werden erstellt und sicher (verschlüsselt) aufbewahrt, um im Desasterfall eine Wiederherstellung zu ermöglichen. Die Backups unterliegen denselben Zugriffsbeschränkungen.

• Test- und Entwicklungsumgebung: Falls für Systemupdates Testdaten genutzt werden, werden entweder anonymisierte Daten verwendet oder echte personenbezogene Daten nur mit vorheriger Zustimmung des Betriebsrats in einer separaten, gesicherten Umgebung verarbeitet.

• Audit und Penetrationstests: Das System wird mindestens jährlich durch die IT-Sicherheit auf Schwachstellen geprüft. Ergebnisse fließen in Verbesserungen ein. Auch externe Datenschutzaudits können durchgeführt werden. Der Datenschutzbeauftragte und der Betriebsrat können gemeinsame Prüfungen veranlassen, um die Einhaltung dieser Vereinbarung sicherzustellen.

Beschäftigte erhalten mit dieser Betriebsvereinbarung und ergänzend in einer verständlichen Form (z. B. als Merkblatt oder im Intranet) alle erforderlichen Informationen gemäß Art. 13 DSGVO: Zweck der Systeme, verantwortliche Stelle, Kategorien der verarbeiteten Daten, Rechte der Betroffenen, Kontakt des Datenschutzbeauftragten usw. Dieses Datenschutz-Informationsblatt wird in Anlage 5 beigefügt und bei Änderungen aktualisiert.

An Orten mit Videoüberwachung wird gut sichtbar auf die Kamera hingewiesen (Piktogramme und Hinweistext nach § 4 BDSG bei öffentlich zugänglichen Bereichen, ansonsten nach DSGVO). Besucher werden bereits beim Empfang über die Datenverarbeitung informiert, etwa durch einen Kurzhinweis auf dem Besucherschein oder einen Aushang. Fremdfirmen sind vertraglich verpflichtet, ihre Mitarbeiter über die erhobenen Daten und geltenden Regeln zu informieren, bevor sie in unseren Betrieb kommen.

Die im System erfassten Beschäftigten (und im entsprechenden Rahmen auch Besucher und Fremdfirmenangehörige) haben jederzeit die Möglichkeit, Auskunft über die zu ihrer Person gespeicherten Daten zu verlangen (Art. 15 DSGVO). Anfragen hierzu können formlos an die Personalabteilung oder den Datenschutzbeauftragten gerichtet werden. Die Auskunft wird innerhalb der gesetzlichen Frist erteilt und umfasst die Datenkategorien sowie den Zweck der Verarbeitung. Darüber hinaus haben Betroffene das Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO), auf Löschung ihrer Daten, sofern kein Rechtmäßigkeitsgrund für eine weitere Speicherung mehr besteht (Art. 17 DSGVO), auf Einschränkung der Verarbeitung unter den Voraussetzungen des Art. 18 DSGVO sowie auf Widerspruch gegen die Verarbeitung aus Gründen, die sich aus ihrer besonderen Situation ergeben (Art. 21 DSGVO). Die Grenzen dieser Rechte gemäß DSGVO und BDSG – etwa wenn bestimmte Daten zur Erfüllung rechtlicher Pflichten vorgehalten werden müssen – werden beachtet. Insbesondere kann das Recht auf Löschung bei Videoaufnahmen eingeschränkt sein, wenn die Aufnahmen zur Beweissicherung eines Vorfalls noch benötigt werden; in solchen Fällen wird die Löschung unverzüglich nach Zweckerreichung nachgeholt.

Beschäftigte können sich mit Datenschutzfragen an den Datenschutzbeauftragten wenden. Zudem steht es ihnen frei, bei vermuteten Verstößen die Datenschutzaufsichtsbehörde zu kontaktieren. Das Unternehmen und der Betriebsrat bevorzugen jedoch, eventuelle Konflikte zunächst intern gütlich zu klären (siehe auch internes Schlichtungsverfahren).

Vor Inbetriebnahme des Systems wurde gemeinsam mit dem Datenschutzbeauftragten eine Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO durchgeführt, da es sich um eine umfangreiche Überwachungseinrichtung handeln kann. Die DSFA kam zu dem Ergebnis, dass bei Einhaltung der in dieser Betriebsvereinbarung festgelegten Maßnahmen die Rechte und Freiheiten der Betroffenen gewahrt sind. Etwaige im DSFA-Bericht empfohlene zusätzliche Maßnahmen (z. B. besonders kurze Löschfristen für Videodaten, Pseudonymisierung von Logs für statistische Zwecke) wurden umgesetzt. Der DSFA-Bericht wurde dem Betriebsrat vorgelegt. Sollte das System wesentlich geändert oder erweitert werden, wird geprüft, ob eine aktualisierte DSFA erforderlich ist. Die Aufsichtsbehörde wurde bei Bedarf konsultiert.

• Wahrung der Persönlichkeitsrechte: Die Einführung und Nutzung des Systems darf nicht zur unangemessenen Beschränkung der persönlichen Rechte der Beschäftigten führen. Durch diese Vereinbarung wird sichergestellt, dass die freie Entfaltung der Persönlichkeit im Betrieb gewahrt bleibt (§ 75 Abs. 2 BetrVG). Insbesondere wird das Recht auf Privatsphäre am Arbeitsplatz respektiert, soweit mit den betrieblichen Erfordernissen vereinbar. Kein Beschäftigter wird pauschal unter Generalverdacht gestellt oder lückenlos überwacht.

• Einsehbarkeit der eigenen Daten: Beschäftigte haben das Recht, die über sie im System gespeicherten individuellen Daten einzusehen. Auf Anfrage kann z. B. ein Auszug der eigenen Zutrittszeiten oder der personenbezogenen Ereignisse erfolgen. Diese Auskunft wird in verständlicher Form bereitgestellt. Sofern datenschutzrechtlich zulässig, kann ein Mitarbeiter auch Einsicht in auf ihn bezogene Videoaufnahmen erhalten (z. B. wenn er wissen möchte, ob eine bestimmte Situation mit ihm aufgezeichnet wurde), soweit dadurch keine Rechte Dritter beeinträchtigt werden. Die Modalitäten dafür sind mit dem Datenschutzbeauftragten abzustimmen.

• Freiwilligkeit bei biometrischen Verfahren: Kein Beschäftigter ist verpflichtet, seine biometrischen Daten für das System bereitzustellen, sofern alternative Zugangsmethoden zur Verfügung stehen. Die Teilnahme an z. B. Fingerabdruck- oder Venenscannern ist freiwillig. Wer dies ablehnt, erhält ohne Nachteile einen normalen Ausweis oder eine andere Zugangslösung. Sollte in sehr sensiblen Bereichen aus Sicherheitsgründen ein biometrisches Verfahren unumgänglich sein, wird vorab mit den betroffenen Mitarbeitern und dem Betriebsrat eine Lösung gesucht, die entweder alternative Aufgaben ohne Zugang zu diesem Bereich vorsieht oder die Zustimmung der Mitarbeiter einholt. Aus einer Ablehnung der biometrischen Erfassung dürfen keine Sanktionen oder Benachteiligungen im Arbeitsverhältnis entstehen.

• Keine Auswertung für Leistung/Kontrolle: Daten aus dem System (insbesondere Zutritts- und Aufenthaltszeiten) werden nicht für disziplinarische Maßnahmen oder Leistungsbewertungen herangezogen. Insbesondere finden keine Abmahnungen oder Bewertungen statt allein aufgrund von erfassten Kommen/Gehen-Zeiten oder Verweilorten der Mitarbeiter. Sollte ausnahmsweise der Verdacht bestehen, ein Mitarbeiter habe gegen Pflichten verstoßen (z. B. unbefugtes Verlassen des Arbeitsplatzes während der Arbeitszeit), so darf eine Überprüfung nur erfolgen, wenn konkrete Anhaltspunkte vorliegen und unter Einbeziehung des Betriebsrats. Generelle Verhaltenskontrolle ist ausgeschlossen.

• Anhörungsrecht bei belastenden Feststellungen: Falls auf Basis von Systemdaten einem Beschäftigten ein Fehlverhalten vorgeworfen werden soll (z. B. unerlaubtes Entfernen vom Arbeitsplatz belegt durch Zutrittsdaten, oder Diebstahlshinweis durch Video), ist der Mitarbeiter vor Ergreifen von Maßnahmen anzuhören und es sind ihm die betreffenden Beweise offenzulegen, soweit dies die Ermittlungen nicht gefährdet. Er hat das Recht, hierzu Stellung zu nehmen und ggf. ein Betriebsratsmitglied hinzuzuziehen. Dieses Verfahren entspricht dem Anspruch auf rechtliches Gehör und fairen Umgang.

• Beschwerderecht: Beschäftigte können sich jederzeit beim Betriebsrat oder Datenschutzbeauftragten beschweren, wenn sie den Eindruck haben, das System werde nicht gemäß dieser Vereinbarung eingesetzt oder beeinträchtige sie unzulässig. Der Betriebsrat wird solchen Hinweisen nachgehen und mit dem Arbeitgeber auf Klärung hinwirken. Den Beschäftigten dürfen aus einer Beschwerde keine Nachteile entstehen. Das gilt ebenso für Fremdfirmen-Mitarbeiter und Besucher, die einen Ansprechpartner (z. B. am Empfang oder via Datenschutzkontakt) für Beschwerden nutzen können.

• Schutz vor unberechtigter Beobachtung: Räumlichkeiten, in denen ein berechtigtes Vertraulichkeitsinteresse der Beschäftigten besteht (z. B. Sanitärräume, Sozialräume), sind tabu für jegliche Überwachung. Sollte ein Mitarbeiter den Eindruck haben, dennoch unzulässig beobachtet zu werden (z. B. durch eine falsch ausgerichtete Kamera), kann er dies melden. Das Unternehmen wird den Vorwurf umgehend prüfen und ggf. Abhilfe schaffen (z. B. Kamera neu ausrichten oder Bereich schwärzen).

• Mitbestimmung bei individuellen Maßnahmen: Alle individuell mit dem System zusammenhängenden Maßnahmen, die einen einzelnen Beschäftigten betreffen (z. B. individuelle Auswertung seiner Daten im Verdachtsfall), erfolgen im Einklang mit dem BetrVG und unter Beteiligung des Betriebsrats, soweit erforderlich. Der Mitarbeiter kann verlangen, dass ein Betriebsratsmitglied bei Gesprächen zu solchen Themen anwesend ist.

• Mitbestimmungstatbestand: Die Einführung und Anwendung des beschriebenen Systems unterliegt der vollen Mitbestimmung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG, da es sich um technische Einrichtungen handelt, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Durch den Abschluss dieser Betriebsvereinbarung stimmt der Betriebsrat dem Einsatz der Systeme im hier geregelten Umfang zu. Ohne eine solche Vereinbarung wäre der Einsatz unzulässig. Änderungen des Systems bedürfen ebenfalls der vorherigen Zustimmung des Betriebsrats (siehe Verfahren bei Änderungen).

• Informationsrechte: Der Betriebsrat wird vom Arbeitgeber umfassend und rechtzeitig informiert, sowohl vor der Einführung des Systems (was erfolgt ist) als auch fortlaufend über dessen Betrieb. Insbesondere erhält der Betriebsrat: die technischen Beschreibungen der Komponenten, Protokolle der Datenschutz-Folgenabschätzung, die Benennung der Verantwortlichen, sowie regelmäßige Berichte über den Betrieb (siehe Absatz 4). Auftretende Störungen oder sicherheitsrelevante Ereignisse größeren Umfangs (z. B. ein größerer Sicherheitsvorfall, Datenpanne) sind dem Betriebsrat zeitnah mitzuteilen. Ebenso wird der Betriebsrat informiert, wenn Behörden in Bezug auf das System an das Unternehmen herantreten (z. B. Aufsichtsbehörde ordnet Prüfung an).

• Kontroll- und Zugangsrechte: Zur Wahrnehmung seiner Aufgaben kann der Betriebsrat nach vorheriger Absprache mit dem Arbeitgeber Einsicht in das System nehmen. Dies beinhaltet das Recht, sich die Einstellungen und Protokollierungsmechanismen zeigen zu lassen, um sicherzustellen, dass keine nicht vereinbarten Funktionen aktiviert sind (z. B. keine verdeckte Aufzeichnung oder unzulässige Datenfelder). Ein solches Einsichtsrecht wird in der Regel durch ein vom Betriebsrat benanntes Mitglied und in Begleitung eines IT- oder Datenschutzexperten des Unternehmens ausgeübt, um die technischen Details zu verstehen. Der Betriebsrat darf zudem bei Stichproben anwesend sein, wenn z. B. die Kameras überprüft werden oder wenn Zugriffsprotokolle ausgewertet werden (beispielsweise der DSB und ein Betriebsratsmitglied prüfen gemeinsam die Zugrifflogs, um sicherzustellen, dass kein Unbefugter sich Zugang verschafft hat).
  Die Betriebsparteien vereinbaren, dass der Betriebsrat keinen direkten Zugriff auf Livesysteme im Alleingang haben muss, solange ihm auf Verlangen alle relevanten Informationen zur Verfügung gestellt werden. Alternativ kann z. B. ein datenschutzrechtlich neutralisiertes Administrations-Dashboard bereitgestellt werden, in dem der Betriebsrat selbst sehen kann, ob z. B. anormal viele Auswertungen erfolgen oder ob Parameter geändert wurden. Über diese Option kann später einvernehmlich entschieden werden.

• Regelmäßige Berichterstattung: Die Sicherheitsabteilung wird dem Betriebsrat halbjährlich einen Bericht über die Nutzung des Systems vorlegen. Dieser Bericht enthält u. a.: Anzahl der registrierten Mitarbeiter und Änderungen, Anzahl der Besucher und Fremdfirmen im Berichtszeitraum, Anzahl der sicherheitsrelevanten Vorfälle (Alarme, Interventionen) und grobe Kategorisierung (ohne Namen), ggf. besondere Trends oder Erkenntnisse. Ferner wird berichtet, ob irgendwelche Datenschutz- oder Sicherheitsverletzungen festgestellt wurden. Diese Berichte dienen der Transparenz und ermöglichen dem Betriebsrat, die Auswirkungen des Systems zu bewerten. Ergänzend kann der Datenschutzbeauftragte seinen Befund aus Audits dem Betriebsrat mitteilen (sofern relevant, ansonsten erfolgt ohnehin jährlicher Datenschutzbericht auch an Betriebsrat).

• Beteiligung an Auswertungen im Einzelfall: Wie bereits im Abschnitt Datenschutz (4) beschrieben, wird der Betriebsrat – vertreten durch ein von ihm benanntes Mitglied – in die Auswertung von aufgezeichneten Daten einbezogen, wenn diese zur Aufklärung von arbeitnehmerbezogenen Verdachtsfällen dient. Dieses Mitglied hat dabei die gleichen Zugangsrechte wie die Vertreter des Arbeitgebers im Auswertungsteam und kann insbesondere darauf achten, dass keine unzulässige Ausforschung erfolgt. Die gemeinsame Auswertung wird protokolliert. Sollte der Betriebsrat der Meinung sein, dass eine bestimmte geplante Auswertung gegen diese Vereinbarung verstößt, kann er Einspruch erheben; in diesem Fall darf die Maßnahme erst durchgeführt werden, wenn eine Einigung erzielt oder eine nötige Entscheidung herbeigeführt wurde (z. B. Einigungsstelle).

• Initiativrecht und Vorschläge: Der Betriebsrat hat das Recht, Verbesserungen oder Einschränkungen des Systems vorzuschlagen, falls er Handlungsbedarf sieht, etwa zum besseren Schutz der Mitarbeiterdaten oder um den Mitbestimmungsrechten Rechnung zu tragen. Diese Vorschläge wird der Arbeitgeber prüfen und sich mit dem Betriebsrat beraten. Beispielsweise könnte der Betriebsrat initiieren, einzelne Kameras abzuschalten, wenn sich herausstellt, dass ihr Nutzen gering, der Eingriff aber groß ist, oder vorschlagen, neue Funktionen (wie zusätzliche Anzeigegeräte für Evakuierungsdaten) einzuführen, wenn dies dem Schutz der Belegschaft dient. Solche Änderungen würden dann im Konsens umgesetzt oder gemäß Verfahren bei Änderungen formal vereinbart.

• Kontrolle der Einhaltung: Der Betriebsrat kann im Zusammenwirken mit dem Datenschutzbeauftragten Kontrollen durchführen, ob diese Vereinbarung eingehalten wird. Dazu gehören u. a. Überprüfung der Löschfristen (z. B. stichprobenhaft Prüfen, ob alte Videodaten tatsächlich gelöscht wurden), sowie Kontrolle der Zugriffsberechtigungen (ob nur berechtigte Personen Zugang haben). Sollten Verstöße festgestellt werden, ist der Arbeitgeber verpflichtet, diese unverzüglich abzustellen und alle daraus resultierenden Folgen zu tragen.

• Betriebsversammlungen: Der Betriebsrat darf in Betriebsversammlungen über das System und diese Vereinbarung berichten und Diskussionen anregen. Das Unternehmen unterstützt dies durch Bereitstellung von Informationen. Insbesondere neue Mitarbeiter sollen in Versammlungen auf ihr Recht hingewiesen werden, Fragen zum System an Betriebsrat oder Management zu richten.

• Biometrische Daten: Biometrische Identifikationsverfahren (z. B. Fingerabdruckscanner) werden nur dort eingesetzt, wo es unerlässliche Sicherheitsanforderungen gibt (z. B. Hochsicherheitsbereiche, Rechenzentrum) oder wo sie den Beschäftigten als bequeme Option dienen (z. B. optionaler Zugang via Finger statt Ausweis am Haupteingang). In jedem Fall gilt: Die Verwendung biometrischer Daten erfolgt nur mit informierter Einwilligung des Mitarbeiters, außer eine zwingende gesetzliche Vorschrift würde es erlauben/verlangen. Die biometrischen Daten (z. B. der hinterlegte Fingerabdruck-Template) werden verschlüsselt gespeichert und sind ausschließlich zum Abgleich beim Zutritt nutzbar. Eine andere Verwendung (z. B. Abgleich mit externen Datenbanken oder Zeitwirtschaft) ist unzulässig. Das System speichert nach Möglichkeit nur einen mathematischen Hash/Template anstatt des Rohbilds. Aus dem Template kann der ursprüngliche Fingerabdruck nicht rekonstruiert werden. Biometrische Daten werden nie an Dritte weitergegeben. Wenn ein Mitarbeiter seine Einwilligung zur Nutzung biometrischer Zugangskontrolle widerruft, wird sein Template unverzüglich gelöscht und ihm ein Alternativzugang eingerichtet.
  Sollte der Arbeitgeber der Auffassung sein, dass ein biometrisches Verfahren für einen bestimmten Bereich aus Sicherheitsgründen obligatorisch sein müsse, wird dies vor Umsetzung mit dem Betriebsrat verhandelt und es ist ggf. eine Ergänzung dieser Vereinbarung erforderlich. Bis dahin bleibt es freiwillig.

• Gesundheitsdaten: Das System ist nicht dazu bestimmt, Gesundheitsdaten der Mitarbeiter zu verarbeiten. Es werden keine Informationen über den Gesundheitszustand, Behinderungen o. ä. erfasst. Sollte im Evakuierungsfall die Information relevant sein, dass bestimmte Personen hilfsbedürftig sind (z. B. ein Rollstuhlfahrer, der Treppen nicht nutzen kann), wird dies nicht durch das System automatisch erfasst, sondern durch organisatorische Maßnahmen (z. B. Liste von Schwerbehindertenbeauftragtem in Papierform für Evakuierungshelfer). Jegliche zufällig erfasste Gesundheitsdetails (z. B. jemand ist auf Video ohnmächtig geworden) unterliegen strikter Vertraulichkeit und dürfen nicht außerhalb des Zwecks (hier Notfallhilfe) verwendet werden.

• Daten aus Privatsphäre-Bereichen: Wie bereits festgelegt, werden Bereiche der Privatsphäre gar nicht videoüberwacht. Sollten dennoch Daten anfallen, die erkennbar höchstpersönliche Vorgänge dokumentieren (z. B. Video zeigt jemanden in einer peinlichen Situation oder eine private Unterhaltung wird unbeabsichtigt mitgehört über Gegensprechanlage), so dürfen solche Inhalte keinesfalls zur Bewertung von Personen genutzt werden. Sie sind zu löschen, sobald der Umstand bemerkt wird, und der Datenschutzbeauftragte ist hierüber zu informieren.

• Besondere Berufsgruppen: Befinden sich im Betrieb Berufsgruppen mit gesteigertem Vertrauens- oder Geheimnisschutz (z. B. Betriebsratsmitglieder, Betriebsarzt, Seelsorger etc.), so wird deren Bereich besonders berücksichtigt. Insbesondere werden Räume des Betriebsrats nicht videoüberwacht und Zugriffe auf die Betriebsratsbüros werden nicht personenbezogen ausgewertet. Das Zutrittssystem kann zwar aus Sicherheitsgründen protokollieren, wer die Betriebsratsbüros betritt, aber diese Protokolle dürfen vom Arbeitgeber nicht eingesehen oder ausgewertet werden, es sei denn der Betriebsrat selbst stimmt dem in einem konkreten Fall zu (z. B. zur Untersuchung eines Einbruchs in das Betriebsratsbüro).

• Geheimhaltungspflichten: Mitarbeiter, die aufgrund ihrer Funktion Zugang zu sensiblen Daten aus dem System haben (z. B. Sicherheitsleitstand, Administratoren, Betreiber der Besucherkontrolle), werden schriftlich auf das Datengeheimnis verpflichtet (gemäß Art. 28 DSGVO und § 53 BDSG). Sie bestätigen, dass sie die Daten nur im Rahmen dieser Vereinbarung nutzen. Verstöße gegen diese Pflicht können arbeits- und strafrechtliche Konsequenzen nach sich ziehen.

• Vertrauliche Behandlung von Protokollen: Alle Protokolle, Auswertungen und Berichte, die im Zusammenhang mit der Nutzung des Systems erstellt werden (z. B. Auswerteprotokoll eines Vorfalls, Löschnachweise), sind vertraulich zu behandeln. Sie werden nur denjenigen zugänglich gemacht, die sie zur Aufgabenerfüllung benötigen (bspw. dem Auswertungsteam, dem Datenschutzbeauftragten, ggf. dem Betriebsrat). Eine Veröffentlichung intern oder extern ist untersagt.

• Mitteilungspflicht bei Änderungen: Der Arbeitgeber verpflichtet sich, den Betriebsrat frühzeitig über geplante Änderungen oder Erweiterungen des Systems zu informieren. Als Änderung gelten insbesondere: der Einsatz neuer Hardware (z. B. zusätzliche Kameras oder Leser an neuen Orten), die Einführung neuer Softwaremodule oder KI-Funktionen, die Änderung von Datenkategorien oder Verarbeitungszwecken, Integrationen mit anderen Systemen (z. B. Kopplung mit HR-System oder Zeiterfassung) und sonstige wesentliche Modifikationen, die über den jetzigen Regelungsgehalt hinausgehen.

• Konsensprinzip: Änderungen dürfen nur im Einvernehmen mit dem Betriebsrat umgesetzt werden. Gegebenenfalls ist diese Betriebsvereinbarung vor Inkraftnahme der Änderung entsprechend zu ergänzen oder zu ändern. Kleinere Anpassungen, die keine Auswirkungen auf Beschäftigtenrechte haben (z. B. Software-Updates zur Fehlerbereinigung, Austausch defekter Kameras identischer Art), sind zulässig, bedürfen aber dennoch zumindest einer Information an den Betriebsrat.

• Eilfälle: In sicherheitsrelevanten Notfällen, in denen eine sofortige Änderung oder Maßnahme am System erforderlich ist, um akute Gefahren abzuwehren (z. B. temporäre Zuschaltung einer zusätzlichen Kamera nach einer Sabotagedrohung), darf der Arbeitgeber vorläufig handeln. Er wird den Betriebsrat umgehend informieren und die Maßnahme nur so lange aufrechterhalten, wie die Gefahrensituation anhält. Für eine dauerhafte Fortführung ist unverzüglich eine nachträgliche Zustimmung des Betriebsrats einzuholen oder die Maßnahme zu beenden.

• Evaluierung und Fortentwicklung: Arbeitgeber und Betriebsrat werden mindestens jährlich gemeinsam das System und diese Vereinbarung daraufhin evaluieren, ob Anpassungen erforderlich oder sinnvoll sind. Kriterien sind etwa: haben sich die Sicherheitsziele erfüllt, gab es Datenschutzvorfälle, ist die Belastung der Beschäftigten vertretbar, gibt es neue technische oder rechtliche Entwicklungen. Im Lichte dieser Evaluierung können beide Seiten Anpassungsvorschläge unterbreiten. Ablehnungen von sinnvollen Änderungen sollen begründet werden.

• Einigungsstelle: Können sich Arbeitgeber und Betriebsrat bei geplanten Änderungen oder Interpretation dieser Vereinbarung nicht einigen, steht beiden Seiten der Weg zur Einigungsstelle offen. Bis zu einer Entscheidung der Einigungsstelle oder einer Alternativ-Einigung gilt die bestehende Vereinbarung unverändert fort.

• Vertragliche Einbindung von Fremdfirmen: Das Unternehmen stellt sicher, dass alle externen Dienstleister, die auf dem Betriebsgelände tätig werden, vertraglich zur Einhaltung der hier geregelten Datenschutz- und Sicherheitsstandards verpflichtet werden. Im Werkverträge- oder Dienstleistungsvertrag mit der Fremdfirma wird festgelegt, dass deren Mitarbeiter den Anweisungen des Werkschutzes folgen und die Zutritts- und Verhaltensregeln gleichermaßen zu befolgen haben. Die Fremdfirma muss bestätigen, dass sie ihre Mitarbeiter über die Verarbeitung ihrer Daten (Zutrittskontrolle, Videoüberwachung etc.) informiert hat und ggf. nötige Einwilligungen eingeholt hat, soweit erforderlich. Sie wird ferner verpflichtet, die Ausweise oder Zugangsmedien ihrer Mitarbeiter sorgfältig zu verwahren und bei Abzug oder Mitarbeiterwechsel zurückzugeben.

• Datenschutz für Externe: Personenbezogene Daten von Fremdfirmen-Mitarbeitern werden mit derselben Sorgfalt und nur zu denselben Zwecken verarbeitet wie die Daten eigener Beschäftigter. Fremdfirmen-Mitarbeiter können ihre Auskunftsrechte ebenfalls wahrnehmen über die beim Auftraggeber (Unternehmen) gespeicherten Daten. Etwaige Anfragen werden in Abstimmung mit der Fremdfirma bearbeitet, um Doppelungen zu vermeiden. Eine direkte Herausgabe von Daten eines Fremdfirmen-Mitarbeiters an dessen Arbeitgeber (die Fremdfirma) erfolgt nur, wenn der Betroffene eingewilligt hat oder eine gesetzliche Grundlage dies erlaubt (z. B. im Rahmen von Sozialversicherungsprüfungen, Unfalluntersuchungen durch Behörden). Das Unternehmen selbst behandelt die Fremdfirmendaten so, als wären es eigene Mitarbeiterdaten im Sinne des Datenschutzes.

• Verantwortlichkeit bei Verstößen von Externen: Verstößt ein Fremdfirmen-Mitarbeiter gegen diese Vereinbarung oder gegen Sicherheitsauflagen (z. B. lässt unbefugt jemanden in einen Bereich, sabotiert eine Kamera, verstößt gegen Datenschutzregeln), behält sich das Unternehmen vor, ihm den Zutritt vorübergehend oder dauerhaft zu entziehen. In gravierenden Fällen wird dies auch der Geschäftsführung der entsprechenden Fremdfirma mitgeteilt, da ein solcher Verstoß regelmäßig auch einen Verstoß gegen deren Vertrag darstellt. Der Betriebsrat wird über gravierende Vorfälle mit Fremdfirmen-Personal informiert, soweit Arbeitnehmer des Betriebs tangiert sind oder allgemeine Belange der Belegschaft berührt werden.

• Besucherinformationen: Besucher des Unternehmens werden vor oder spätestens bei Betreten des Geländes in geeigneter Weise über die grundlegenden Regeln informiert. Dazu gehören insbesondere Hinweise, dass das Gelände videoüberwacht ist und dass Zutrittsdaten erfasst werden. Dies erfolgt z. B. über deutlich sichtbar ausgehängte Hinweisschilder am Werkstor und im Empfangsbereich sowie über ein Merkblatt oder eine digitale Anzeige, die dem Besucher bei Anmeldung präsentiert wird. Besucher erklären mit der Anmeldung ihr Einverständnis, sich an die Sicherheitsanweisungen zu halten (Ausweis tragen, Begleitung einhalten, Fotografierverbot in sensiblen Bereichen etc.). Die im Besuchermanagement erfassten Daten werden ausschließlich zur Sicherheitsverwaltung ihres Besuchs genutzt und nicht an ihre Organisation weitergegeben, außer auf ausdrücklichen Wunsch (z. B. Besuchsbericht an Auftraggeber).

• Haftung und Versicherung: Die Einhaltung des Sicherheitsmanagements dient auch dem Schutz von Fremdfirmen-Mitarbeitern und Besuchern vor Gefahren. Es wird klargestellt, dass diese Vereinbarung keine unmittelbaren Ansprüche dieser externen Personen gegen das Unternehmen begründet; ihre Rechte ergeben sich aus Datenschutzgesetzen und den individuellen Verträgen/Rechtsbeziehungen. Gleichwohl fühlt sich das Unternehmen auch gegenüber Gästen und externen Kräften verantwortlich, deren personenbezogene Daten zu schützen und ihre Würde zu achten. Etwaige Schäden durch Missbrauch des Systems gegenüber Externen würde das Unternehmen im Rahmen der gesetzlichen Haftungsvorschriften verantworten.

• Zusammenarbeit mit Fremdfirmen: Sofern Fremdfirmen eigene Zugangssysteme oder Regeln mitbringen (z. B. ein Subunternehmer hat eigene Ausweiskarten), wird abgestimmt, wie diese integriert werden. Das Fremdfirmen-Portal ermöglicht gewisse Schnittstellen, z. B. dass die Fremdfirma vorab Personaldaten selbst eingibt. Dabei wird technisch sichergestellt, dass diese Fremdeingaben nur auf deren Mitarbeiter zugreifen und keine Daten unserer Beschäftigten einsehen können. Die Zugänge für Fremdfirmen zum Portal werden vom IT-Administrator verwaltet und sind ebenfalls nur auftragsbezogen nutzbar.

• Effizienz und Nutzen: Die Einführung des integrierten Sicherheitsmanagementsystems erfolgt auch unter dem Aspekt der Effizienzsteigerung. Durch die Kombination mehrerer Funktionen in einem System sollen Synergien genutzt werden: z. B. entfällt eine doppelte Erfassung von Personendaten in separaten Systemen, der Personalaufwand für manuelle Besucherregistrierung sinkt, Vorfälle können schneller erkannt und behoben werden, was Ausfallzeiten und Schäden reduziert. Mittelfristig erwartet das Unternehmen ein positives Kosten-Nutzen-Verhältnis, indem z. B. Diebstähle und Störungen reduziert, Versicherungsprämien ggf. gesenkt und Arbeitsprozesse gestrafft werden.

• Keine Personalkürzungen zulasten der Sicherheit: Einsparungen, die durch effizientere Prozesse entstehen, werden nicht zulasten der Beschäftigten gehen. Insbesondere ist nicht vorgesehen, personalintensive Maßnahmen (wie den Werkschutz) vollständig durch Technik zu ersetzen. Sollte z. B. an Pförtnerposten weniger Personal benötigt werden, wird dies durch Umverteilung von Aufgaben im Sicherheitsbereich oder natürliche Fluktuation umgesetzt, ohne betriebsbedingte Kündigungen im Zusammenhang mit der Systemeinführung. Das bestehende Sicherheitspersonal wird vielmehr auf höherwertige Tätigkeiten (Analyse, Intervention) konzentriert.

• Kosten und Ressourcen: Die Kosten für Anschaffung, Betrieb und Wartung des Systems trägt der Arbeitgeber. Den Beschäftigten entstehen keinerlei Kosten, etwa für Ausweise oder die Nutzung eigener Smartphones (die Nutzung der Mobile App ist freiwillig; wer kein eigenes Gerät nutzen möchte, dem wird ein alternatives Medium gestellt). Schulungen zur Nutzung des Systems finden während der Arbeitszeit statt oder werden als Arbeitszeit angerechnet. Ebenso wird die Wartung der erforderlichen Infrastruktur (Netzwerk, Stromversorgung der Geräte) vom Arbeitgeber sichergestellt.

• Wirtschaftliche Evaluation: Der Arbeitgeber wird dem Wirtschaftsausschuss regelmäßig (z. B. jährlich) über die wirtschaftlichen Auswirkungen und Kosteneffizienz des Systems berichten. Dabei werden Kennzahlen präsentiert, etwa Höhe der getätigten Investitionen, laufende Betriebskosten, und – soweit quantifizierbar – Einsparungen oder verhinderte Schäden. Diese Transparenz soll sicherstellen, dass der Betriebsrat auch die wirtschaftliche Vertretbarkeit des Systems im Blick behalten kann. Sollten die Kosten den Nutzen erheblich übersteigen oder ausufernde Folgekosten erkennbar werden, werden Arbeitgeber und Betriebsrat über mögliche Anpassungen oder Reduzierungen beraten.

• Innovationsförderung: Das Unternehmen sieht das integrierte System als Teil der Modernisierung der betrieblichen Infrastruktur. Dabei soll es aber nicht zu Lasten von Arbeitsplätzen oder der Qualität der Arbeitsbedingungen gehen, sondern im Idealfall Mehrwert für alle schaffen – z. B. auch die Arbeitsbedingungen des Sicherheitspersonals verbessern (durch bessere Arbeitsmittel), das Sicherheitsgefühl der Beschäftigten stärken und potenziell Schäden vom Unternehmen abwenden, was langfristig Arbeitsplätze sichert. Dieser gemeinsame Nutzen wird in der präambelgemäß angestrebten Interessenausgleich erreicht.

• Inkrafttreten und Laufzeit: Diese Betriebsvereinbarung tritt nach Unterzeichnung durch beide Parteien mit sofortiger Wirkung in Kraft, spätestens jedoch am [Datum] (wenn z. B. Schulungen noch nötig sind, kann ein abweichendes Startdatum vereinbart werden). Die Vereinbarung wird auf unbestimmte Zeit geschlossen. Eine Kündigung ist frühestens zum [Datum, z. B. in 2 Jahren] zulässig und danach mit einer Frist von 6 Monaten zum Quartalsende möglich. Im Falle einer Kündigung bleiben die Bestimmungen zum Datenschutz und zur Zweckbindung der Daten bis zur Ablösung durch eine neue Vereinbarung oder Regelung weiterhin in Kraft, damit kein regelungsvakuum entsteht.

• Nachwirkung und Neuverhandlung: Sollte diese Vereinbarung gekündigt werden, verpflichten sich die Parteien unverzüglich in Verhandlungen über eine Nachfolgeregelung einzutreten, sofern das System oder vergleichbare Technik weiterbetrieben werden soll. Bis zum Inkrafttreten einer neuen Vereinbarung gilt die vorliegende – soweit rechtlich zulässig – nach. Eine einseitige Einstellung oder Änderung des Systembetriebs durch den Arbeitgeber nach Kündigung ist unzulässig, soweit die Mitbestimmung dem entgegensteht.

• Salvatorische Klausel: Sollten einzelne Bestimmungen dieser Betriebsvereinbarung unwirksam oder undurchführbar sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die Parteien werden in einem solchen Fall die unwirksame Bestimmung durch eine rechtswirksame ersetzen, die dem Sinn und Zweck der unwirksamen Bestimmung möglichst nahe kommt. Gleiches gilt für etwaige Regelungslücken.

• Verhältnis zu gesetzlichen Bestimmungen: Diese Betriebsvereinbarung konkretisiert die geltenden gesetzlichen Vorschriften im Rahmen des betrieblichen Datenschutzes und der Mitbestimmung. Die gesetzlichen Rechte und Pflichten (insbesondere aus BetrVG, DSGVO, BDSG, ArbSchG etc.) werden durch diese Vereinbarung weder eingeschränkt noch aufgehoben, sondern finden ergänzend Anwendung. Insbesondere bleiben Individualrechte der Beschäftigten aus DSGVO und kollektivrechtliche Rechte des Betriebsrats aus dem BetrVG unberührt.

• Nebenabreden: Es bestehen keine mündlichen Nebenabreden zu dieser Betriebsvereinbarung. Änderungen und Ergänzungen bedürfen der Schriftform und der Unterzeichnung durch beide Parteien. Dies gilt auch für das Abbedingen des Schriftformerfordernisses selbst.

• Bekanntmachung: Der Arbeitgeber wird den Inhalt dieser Betriebsvereinbarung allen Beschäftigten zugänglich machen, z. B. durch Aushang im Intranet oder am schwarzen Brett). Neue Beschäftigte sind im Rahmen des Onboardings auf diese Vereinbarung hinzuweisen. Ebenso werden die relevanten Auszüge den Fremdfirmen und Besuchern auf geeignete Weise mitgeteilt (siehe Informationspflichten). Alle Personen, die Zugang zum System oder zu daraus resultierenden Daten haben, werden auf die Einhaltung dieser Vereinbarung verpflichtet und unterwiesen).

• Inkraftsetzung der Anlagen: Die Anlagen 1 bis 5 (Kamerastandorte, Zuständigkeiten, Alarmhandbuch, Datenkategorien, Informationsblatt) sind Bestandteil dieser Vereinbarung. Änderungen der Anlagen, die keine Verschlechterung der Schutzstandards bedeuten, können im gegenseitigen Einvernehmen auch ohne formelle Änderung der Hauptvereinbarung erfolgen; sie sind vom Arbeitgeber und einem vom Betriebsrat benannten Vertreter gemeinsam zu unterzeichnen.

• Unterschriften: Ort, Datum – ……………………… (Geschäftsführung) – ……………………… (Betriebsratsvorsitzende/r) – (ggf. weitere Unterschriften)*.

• Betriebsverfassungsgesetz (BetrVG): § 75 Abs. 2 (Schutz der Persönlichkeitsrechte), § 87 Abs. 1 Nr. 6 (Mitbestimmung bei technischen Überwachungseinrichtungen).

• Datenschutz-Grundverordnung (DSGVO): Art. 5 (Grundsätze der Verarbeitung), Art. 6 (Rechtsgrundlagen), Art. 9 (Verarbeitung besonderer Daten, insb. biometrischer Daten), Art. 12–22 (Betroffenenrechte), Art. 32 (Datensicherheit), Art. 35 (Datenschutz-Folgenabschätzung), Art. 88 (Datenschutz im Beschäftigungskontext).

• Bundesdatenschutzgesetz (BDSG): § 26 (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses, inkl. Einwilligung und Betriebsvereinbarung als Grundlage).

• Arbeitsschutzgesetz (ArbSchG): §§ 3, 5 (Verpflichtung des Arbeitgebers zu Arbeitssicherheit und Gefährdungsbeurteilung – legitime Maßnahme: Zutrittskontrolle zur Gefahrenminimierung).

• Betriebssicherheitsverordnung (BetrSichV): Vorschriften über sichere Bereitstellung und Benutzung von Arbeitsmitteln und überwachungsbedürftigen Anlagen – relevant, da Zugangsregelungen Teil sicherer Arbeitsmittelbereitstellung sind.

• Strafgesetzbuch (StGB): §§ 201a, 202a ff. (Schutz vor Verletzung der Vertraulichkeit des Wortes und Daten, relevant für unbefugte Bild-/Datenaufnahmen).

• Landesdatenschutzgesetze / Videoüberwachungsregelungen: Soweit anwendbar (z. B. § 4 BDSG für öffentlich zugängliche Räume).

(Diese Liste ist nicht abschließend; es gelten alle zum Schutz der Beschäftigten relevanten Rechtsvorschriften.)