Der Verlust eines Schlüs­sels kann dazu führen, dass Tür­schlös­ser oder ganze Schließ­an­la­gen aus­ge­tauscht werden müssen. Di­gi­ta­le Schließ­sys­te­me machen me­cha­ni­sche Schlüs­sel über­flüs­sig. Ver­liert ein Nutzer z.B. seinen Trans­pon­der muss dieser le­dig­lich de­ak­ti­viert werden, um einen wei­te­ren Zutritt zu verhindern.

Die Schließ­an­la­ge erhält den Befehl zum Öffnen der Türe digital. Der Trans­pon­der und andere Öff­nungs­me­di­en können mit der Tür über z.B. Blue­tooth, Funk­fre­quenz oder WLan kom­mu­ni­zie­ren. Dabei werden in Ab­hän­gig­keit der Schließ­an­la­ge und der Pro­gram­mie­rung Daten erzeugt, z.B. wer wann in welchem Gebäude welche Türe ge­öff­net hat. Diese ge­spei­cher­ten Daten können von der Haus­ver­wal­tung, vom Ar­beit­ge­ber, dem Ver­mie­ter, dem IT-Diens­t­­leis­­ter, dem An­bie­ter (Sof­t­­wa­re-Her­s­tel­­ler) oder Dritten aus­ge­le­sen werden.

Ein di­gi­ta­les Schließ­sys­tem ist kein Zu­tritts­kon­troll­sys­tem. Es ver­ar­bei­tet – erfasst und spei­chert – auch den Zeit­punkt, zu dem der Be­nut­zer das Gebäude bzw. den Raum wieder ver­las­sen hat. Di­gi­ta­le Schließ­sys­te­me dienen in erster Linie der di­gi­ta­len Steue­rung und Ver­wal­tung von Türen (Vergabe und Entzug von Zu­tritts­rech­ten).

Umgang mit per­so­nen­be­zo­ge­nen Daten

Was sind per­so­nen­be­zo­ge­ne Daten?

Per­so­nen­be­zo­ge­ne Daten sind alle In­for­ma­tio­nen über eine be­stimm­te oder be­stimm­ba­re lebende Person (Be­trof­fe­ne). Ver­schie­de­ne Teil­in­for­ma­tio­nen, die zu­sam­men die Iden­ti­fi­zie­rung einer be­stimm­ten Person er­mög­li­chen, sind eben­falls per­so­nen­be­zo­ge­ne Daten. Per­so­nen­be­zo­ge­ne Daten, die ver­schlüs­selt oder pseud­ony­mi­siert wurden, aber zur er­neu­ten Iden­ti­fi­zie­rung einer Person ver­wen­det werden können, bleiben per­so­nen­be­zo­ge­ne Daten und fallen in den An­wen­dungs­be­reich der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung. Die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung schützt per­so­nen­be­zo­ge­ne Daten un­ab­hän­gig von der zur Da­ten­ver­ar­bei­tung ver­wen­de­ten Technik – sie ist tech­no­lo­gie­neu­tral.1

Bei­spie­le für per­so­nen­be­zo­ge­ne Daten die bei der Nutzung von di­gi­ta­len Schließ­an­la­gen ver­ar­bei­tet werden können:

  • Vor- und Nach­na­me, Geburtsdatum,
  • Pri­vat­an­schrift und E-Mail-Adresse,
  • Per­so­nal­num­mer, Kundennummer,
  • Stand­ort­da­ten, IP-Adresse, Cookie-Kennung
  • Daten der Trans­pon­der (u.a. Aus­ga­be­da­tum, Zu­ord­nung zum Nutzer, Trans­pon­der­num­mer, Schließberechtigungen),
  • Daten zu Schließ­vor­gän­gen (u.a. Datum, Uhrzeit, Nutzer, Transpondernummer).
 Was be­deu­tet Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten?

Ver­ar­bei­tung“ be­deu­tet jeden mit oder ohne Hilfe au­to­ma­ti­sier­ter Ver­fah­ren ausgeführte Vorgang oder jede solche Vor­gangs­rei­he im Zu­sam­men­hang mit per­so­nen­be­zo­ge­nen Daten wie das Erheben, das Er­fas­sen, das Or­ga­ni­sie­ren, das Ordnen, die Spei­che­rung, die An­pas­sung oder Veränderung, das Aus­le­sen, das Ab­fra­gen, die Ver­wen­dung, die Of­fen­le­gung durch Übermittlung, Ver­brei­tung oder eine andere Form der Be­reit­stel­lung, den Ab­gleich oder die Verknüpfung, die Einschränkung, die An­ony­mi­sie­rung, die Pseud­ony­mi­sie­rung, das Löschen oder die Vernichtung.

Zu­tritts­be­rech­ti­gung ist Datenschutz

Die DSGVO fordert zum Schutz von per­so­nen­be­zo­ge­nen Daten or­ga­ni­sa­to­ri­sche und tech­ni­sche Maß­nah­men vor, dies be­trifft ganz klar auch die Zu­tritts­be­rech­ti­gung zu Ge­bäu­den und Räumen, denn un­be­fug­ter Zutritt durch Un­be­fug­te kann zu un­be­rech­tig­tem Da­ten­zu­griff und Da­ten­ver­lust führen.

Was ist eine Zu­tritts­kon­trol­le? Die Zu­tritts­kon­trol­le stellt sicher, dass nur befugte Per­so­nen Zutritt zu den für sie frei­ge­ge­be­nen Be­rei­chen er­hal­ten. Zu diesen Be­rei­chen zählen u.a. Räume, Gebäude, Frei­­ge­län­­de-Areale oder auch Stockwerke. 

Es sind an­ge­mes­se­ne Maß­nah­men zu im­ple­men­tie­ren, um eine Aus­fall­si­cher­heit zu ge­währ­leis­ten und IT-In­­fra­­struk­­tu­­ren sowie Ge­­schäfts- und Be­triebs­ge­heim­nis­se zu schützen.

Die Zu­tritts­kon­trol­le umfasst (prä­ven­ti­ve) Maß­nah­men zur Ver­hin­de­rung von un­be­rech­tig­tem Zutritt und – für den Fall eines un­be­rech­tig­ten Zu­tritts oder des Aus­falls einer di­gi­ta­len Schließ­an­la­ge – Maß­nah­men zur wirk­sa­men Be­gren­zung der Folgen und Aus­wir­kun­gen. Die Zu­tritts­kon­trol­le gehört zu den tech­­nisch-or­­ga­­ni­­sa­­to­ri­­schen Maß­nah­men (Art. 32 DSGVO Si­cher­heit der Ver­ar­bei­tung) zum Schutz per­so­nen­be­zo­ge­ner Daten.

Beschäftigte(ndatenschutz)

In einem elek­tro­ni­schen Schließ­plan ist fest­zu­le­gen, welche Türen mit welchen Trans­pon­dern ge­öff­net werden können. Es wird hier elek­tro­nisch ge­spei­chert, welcher Trans­pon­der welchem Be­schäf­tig­ten aus­ge­hän­digt wurde. Auf diese Weise kann si­cher­ge­stellt werden, dass Räume, in denen z.B. sen­si­ble Daten (u.a. Per­so­nal­ak­ten) auf­be­wahrt werden, nur von den zu­stän­di­gen Mit­ar­bei­tern be­tre­ten werden können. Ver­lässt z.B. ein Mit­ar­bei­ter das Un­ter­neh­men oder geht ein Trans­pon­der ver­lo­ren, kann der Zutritt sofort ge­sperrt oder be­trof­fe­ne Tür­zy­lin­der um­pro­gram­miert werden. Der Finder kann sich somit nicht un­be­fugt Zutritt zu den Bü­ro­räu­men verschaffen.

Mit der di­gi­ta­len Schließ­an­la­ge werden per­so­nen­be­zo­ge­ne Daten der Be­schäf­tig­ten erhoben und ver­ar­bei­tet. Auch hier wird min­des­tens ge­spei­chert, welcher Mit­ar­bei­ter welchen Schlüs­sel mit welchen Zu­tritts­be­rech­ti­gun­gen er­hal­ten hat. Darüber hinaus wird ge­spei­chert, mit welchem Trans­pon­der zu welchem Zeit­punkt welche Tür ge­öff­net wurde. Durch die Ver­knüp­fung der ein­deu­ti­gen Schlüs­­sel-Iden­­ti­­fi­­ka­­ti­ons­num­­mer mit den zu­ge­hö­ri­gen per­so­nen­be­zo­ge­nen Daten aus dem elek­tro­ni­schen Schließ­plan kann dann der ein­zel­ne Be­schäf­tig­te ein­deu­tig iden­ti­fi­ziert werden. Das Zu­tritts­ver­hal­ten kann nach­voll­zo­gen und letzt­lich ein Be­we­gungs­pro­fil er­stellt werden.2

Sofern im Betrieb bzw. in der öf­fent­li­chen Ver­wal­tung ein Be­triebs­rat / Per­so­nal­rat vor­han­den ist, ist dieser ent­spre­chend zu beteiligen.

Durch den Einsatz eines Zu­tritt­kon­troll­sys­tems ist eine in­di­vi­du­el­le Ver­hal­tens­kon­trol­le im Sinne des § 87 Abs. 1 Nr. 6 BetrVG tech­nisch möglich. Auch im Per­so­nal­ver­tre­tungs­recht un­ter­liegt die „Ein­füh­rung, An­wen­dung […] von tech­ni­schen Ein­rich­tun­gen, die ge­eig­net sind, das Ver­hal­ten oder die Leis­tung der Ar­beit­neh­mer zu über­wa­chen“ der Mit­be­stim­mung (z.B. § 70 Abs. 1 Nr. 2 PersVG-MV).

Pu­bli­ka­ti­on:
Quar­tier – Fach­ma­ga­zin für urbanen Woh­nungs­bau (Ausgabe 4.2023)
https://www.magazin-quartier.de/article/digitale-schliessanlagen-vorgaben-zum-datenschutz/

Wir un­ter­stüt­zen und beraten Sie bei den da­ten­schutz­recht­li­chen Anforderungen.
Rufen Sie an +49 173 8198864 oder schrei­ben an consulting@adorgasolutions.de.
Wir be­spre­chen mit Ihnen dann die in­di­vi­du­el­le und prag­ma­ti­sche Lösung für Ihre Organisation.

 

WP 136, Stel­lung­nah­me 4/2007 zum Begriff „per­so­nen­be­zo­ge­ne Daten“ der Artikel-29-Da­­tenchut­z­­grup­­pe https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_de.pdf (zuletzt auf­ge­ru­fen am 20.06.2023)

2 27. Tä­tig­keits­be­richt des BayLfD Bayern, Pkt. 11.2

Related Posts

Mit Da­ten­schut­zirr­tü­mern aufräumen

Mit Da­ten­schut­zirr­tü­mern aufräumen

2. April 2024
Pre­pa­ra­ti­on is ever­y­thing: How to prepare for a cyberattack

Pre­pa­ra­ti­on is ever­y­thing: How to prepare for a cyberattack

28. März 2024
Der Datenschutz­beauftragte – wich­ti­ger denn je!

Der Datenschutz­beauftragte – wich­ti­ger denn je!

17. März 2024

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!