
Der Verlust eines Schlüssels kann dazu führen, dass Türschlösser oder ganze Schließanlagen ausgetauscht werden müssen. Digitale Schließsysteme machen mechanische Schlüssel überflüssig. Verliert ein Nutzer z.B. seinen Transponder muss dieser lediglich deaktiviert werden, um einen weiteren Zutritt zu verhindern.
Die Schließanlage erhält den Befehl zum Öffnen der Türe digital. Der Transponder und andere Öffnungsmedien können mit der Tür über z.B. Bluetooth, Funkfrequenz oder WLan kommunizieren. Dabei werden in Abhängigkeit der Schließanlage und der Programmierung Daten erzeugt, z.B. wer wann in welchem Gebäude welche Türe geöffnet hat. Diese gespeicherten Daten können von der Hausverwaltung, vom Arbeitgeber, dem Vermieter, dem IT-Dienstleister, dem Anbieter (Software-Hersteller) oder Dritten ausgelesen werden.
Ein digitales Schließsystem ist kein Zutrittskontrollsystem. Es verarbeitet – erfasst und speichert – auch den Zeitpunkt, zu dem der Benutzer das Gebäude bzw. den Raum wieder verlassen hat. Digitale Schließsysteme dienen in erster Linie der digitalen Steuerung und Verwaltung von Türen (Vergabe und Entzug von Zutrittsrechten).
Umgang mit personenbezogenen Daten
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen über eine bestimmte oder bestimmbare lebende Person (Betroffene). Verschiedene Teilinformationen, die zusammen die Identifizierung einer bestimmten Person ermöglichen, sind ebenfalls personenbezogene Daten. Personenbezogene Daten, die verschlüsselt oder pseudonymisiert wurden, aber zur erneuten Identifizierung einer Person verwendet werden können, bleiben personenbezogene Daten und fallen in den Anwendungsbereich der Datenschutz-Grundverordnung. Die Datenschutz-Grundverordnung schützt personenbezogene Daten unabhängig von der zur Datenverarbeitung verwendeten Technik – sie ist technologieneutral.1
Beispiele für personenbezogene Daten die bei der Nutzung von digitalen Schließanlagen verarbeitet werden können:
- Vor- und Nachname, Geburtsdatum,
- Privatanschrift und E-Mail-Adresse,
- Personalnummer, Kundennummer,
- Standortdaten, IP-Adresse, Cookie-Kennung
- Daten der Transponder (u.a. Ausgabedatum, Zuordnung zum Nutzer, Transpondernummer, Schließberechtigungen),
- Daten zu Schließvorgängen (u.a. Datum, Uhrzeit, Nutzer, Transpondernummer).
Was bedeutet Verarbeitung von personenbezogenen Daten?
„Verarbeitung“ bedeutet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, das Organisieren, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, die Anonymisierung, die Pseudonymisierung, das Löschen oder die Vernichtung.
Zutrittsberechtigung ist Datenschutz
Die DSGVO fordert zum Schutz von personenbezogenen Daten organisatorische und technische Maßnahmen vor, dies betrifft ganz klar auch die Zutrittsberechtigung zu Gebäuden und Räumen, denn unbefugter Zutritt durch Unbefugte kann zu unberechtigtem Datenzugriff und Datenverlust führen.
Was ist eine Zutrittskontrolle? Die Zutrittskontrolle stellt sicher, dass nur befugte Personen Zutritt zu den für sie freigegebenen Bereichen erhalten. Zu diesen Bereichen zählen u.a. Räume, Gebäude, Freigelände-Areale oder auch Stockwerke.
Es sind angemessene Maßnahmen zu implementieren, um eine Ausfallsicherheit zu gewährleisten und IT-Infrastrukturen sowie Geschäfts- und Betriebsgeheimnisse zu schützen.
Die Zutrittskontrolle umfasst (präventive) Maßnahmen zur Verhinderung von unberechtigtem Zutritt und – für den Fall eines unberechtigten Zutritts oder des Ausfalls einer digitalen Schließanlage – Maßnahmen zur wirksamen Begrenzung der Folgen und Auswirkungen. Die Zutrittskontrolle gehört zu den technisch-organisatorischen Maßnahmen (Art. 32 DSGVO Sicherheit der Verarbeitung) zum Schutz personenbezogener Daten.
Beschäftigte(ndatenschutz)
In einem elektronischen Schließplan ist festzulegen, welche Türen mit welchen Transpondern geöffnet werden können. Es wird hier elektronisch gespeichert, welcher Transponder welchem Beschäftigten ausgehändigt wurde. Auf diese Weise kann sichergestellt werden, dass Räume, in denen z.B. sensible Daten (u.a. Personalakten) aufbewahrt werden, nur von den zuständigen Mitarbeitern betreten werden können. Verlässt z.B. ein Mitarbeiter das Unternehmen oder geht ein Transponder verloren, kann der Zutritt sofort gesperrt oder betroffene Türzylinder umprogrammiert werden. Der Finder kann sich somit nicht unbefugt Zutritt zu den Büroräumen verschaffen.
Mit der digitalen Schließanlage werden personenbezogene Daten der Beschäftigten erhoben und verarbeitet. Auch hier wird mindestens gespeichert, welcher Mitarbeiter welchen Schlüssel mit welchen Zutrittsberechtigungen erhalten hat. Darüber hinaus wird gespeichert, mit welchem Transponder zu welchem Zeitpunkt welche Tür geöffnet wurde. Durch die Verknüpfung der eindeutigen Schlüssel-Identifikationsnummer mit den zugehörigen personenbezogenen Daten aus dem elektronischen Schließplan kann dann der einzelne Beschäftigte eindeutig identifiziert werden. Das Zutrittsverhalten kann nachvollzogen und letztlich ein Bewegungsprofil erstellt werden.2
Sofern im Betrieb bzw. in der öffentlichen Verwaltung ein Betriebsrat / Personalrat vorhanden ist, ist dieser entsprechend zu beteiligen.
Durch den Einsatz eines Zutrittkontrollsystems ist eine individuelle Verhaltenskontrolle im Sinne des § 87 Abs. 1 Nr. 6 BetrVG technisch möglich. Auch im Personalvertretungsrecht unterliegt die „Einführung, Anwendung […] von technischen Einrichtungen, die geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“ der Mitbestimmung (z.B. § 70 Abs. 1 Nr. 2 PersVG-MV).
Publikation:
Quartier – Fachmagazin für urbanen Wohnungsbau (Ausgabe 4.2023)
https://www.magazin-quartier.de/article/digitale-schliessanlagen-vorgaben-zum-datenschutz/
Wir unterstützen und beraten Sie bei den datenschutzrechtlichen Anforderungen.
Rufen Sie an +49 173 8198864 oder schreiben an consulting@adorgasolutions.de.
Wir besprechen mit Ihnen dann die individuelle und pragmatische Lösung für Ihre Organisation.
1 WP 136, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ der Artikel-29-Datenchutzgruppe https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_de.pdf (zuletzt aufgerufen am 20.06.2023)
2 27. Tätigkeitsbericht des BayLfD Bayern, Pkt. 11.2