Datenschutz im Zuge des Besucher-Managements

Datenschutz im Zuge des Besucher-Managements

Unternehmen und sonstige Einrichtungen haben verschiedene Interessen daran, einen Überblick über die externen Personen, die in den Räumen des Verantwortlichen ein- und ausgehen, zu behalten. Was beim Datenschutz im Zuge des Besucher-Managements zu beachten ist, betrachten wir in diesem Beitrag näher.

„Besucher-Management“

Wenn wir von Besucher-Management schreiben, fängt dies für uns damit an, dass ein Beschäftigter der Einrichtung eine externe Person, sei es ein (potentieller) Geschäftspartner, Bewerber o. Ä., zu einem Gespräch einlädt und dies in einem Kalender festhält. Da stellt sich dann die Frage, welche Daten in den Kalender eingetragen werden und wer Zugriff auf diesen hat sowie wo dieser Kalender technisch betrieben wird. Genauso umfasst das Besucher-Management auch das Eintragen der jeweils anwesenden externen Personen in einem Logbuch bzw. Besucherbuch durch die Rezeption oder einen externen Pförtnerdienst. Möglicherweise erhalten Besucher auch einen Besucherausweis für die Dauer des Aufenthaltes in der Einrichtung.

Verarbeitete personenbezogene Daten

Abgesehen davon, dass hierbei natürlich aufgrund vorhergegangener Korrespondenzen Kontaktdaten und sonstige berufliche Informationen verarbeitet werden (siehe E-Mail-Signaturen), werden bei der Planung und beim eigentlichen Besuch wahrscheinlich zumeist folgende Daten verarbeitet:

1) Name,

2) Unternehmen, falls relevant,

3) geplante Zeit für den Termin,

4) Zeit der Ankunft in den Büroräumlichkeiten bzw. Anmeldung an der Rezeption,

5) Zeit des Verlassens der Büroräumlichkeiten bzw. Abmeldung bei der Rezeption,

6) Grund für den Besuch,

7) Name des Beschäftigten, der den Besucher empfängt

8) Nummer der Ausweiskarte (wenn diese dann mit einem RFC-Chip ausgestattet ist) etc.

Rechtsgrundlage für die Verarbeitung dieser Daten

Wie auch bei anderen Verarbeitungstätigkeiten gilt auch hier ein Verarbeitungsverbot, wenn keine Rechtsgrundlage vorliegt. Das bedeutet, Verantwortliche müssen analysieren, wozu sie welche personenbezogenen Daten benötigen und welche Rechtsgrundlage für die Datenverarbeitung in Betracht kommt. Hängen die Planung und dann der eigentliche Besuch möglicherweise mit der Anbahnung, dem Abschluss oder der Erfüllung eines Vertrages zusammen, ist Art. 6 Abs. 1 lit. b) DSGVO einschlägig, wenn der Termin von einer Anfrage es Besuchers ausgeht. Das bedeutet aber wiederum nicht, dass ein Verantwortlicher durch Heranziehen dieser Rechtsgrundlage jegliche personenbezogenen Daten verarbeiten kann, sondern nur die Daten, die erforderlich sind.

Wenn wir das Beispiel der Corona-Negativtests während der Pandemiezeit heranziehen, stellen wir fest, dass es inzwischen für die Verarbeitung solcher Gesundheitsdaten keine Rechtsgrundlage mehr gibt. Folglich wäre die Verarbeitung solcher Daten im Zuge des Besucher-Managements rechtswidrig.

Möglicherweise entscheidet ein Verantwortlicher, beispielsweise den Namen, die Telefonnummer und das etwaige Unternehmen, welches der Besucher vertritt, in einem Besucherbuch festzuhalten. Der Grund hierfür kann darin liegen, dass dies eine organisatorische Datensicherheitsmaßnahme ist: Handelt es sich eventuell um ein Unternehmen, welches große Mengen sensibler personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO verarbeitet, hat es ein erhöhtes Interesse daran, zu wissen und zu kontrollieren, wer sich in den Räumlichkeiten aufhält. Gibt es beispielsweise technische Probleme oder kommen Datenträger abhanden, wären Nachforschungen bei externen Personen eine Möglichkeit zur Problemlösung bzw. um den Angreifer zu finden. In solch einem Fall könnte der Verantwortliche eventuell Art. 6 Abs. 1 lit. c) DSGVO zur Erfüllung der gesetzlichen Vorgaben, Maßnahmen zum Schutz und zur Sicherheit der verarbeiteten personenbezogenen Daten zu ergreifen (Art. 32 DSGVO).

Informationspflichten

Auch hier muss ein Verantwortlicher die Informationspflichten gemäß Art. 12 Abs. 1 und 2 DSGVO erfüllen. Das heißt also, er muss der betroffenen Person – dem Besucher – in geeigneter Form über die Verarbeitung seiner personenbezogenen Daten gemäß Art. 13 DSGVO informieren. So kann der Verantwortliche im Voraus des Besuches darüber informieren oder eine kurze, übersichtliche Datenschutzinformation neben dem Besucherbuch mit einem Link zur ausführlichen Version zur Verfügung stellen.

Weitere notwendige Dokumentationen

Des Weiteren ist es notwendig, die Verarbeitung personenbezogener Daten im Zuge des Besucher-Managements im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO festzuhalten. Werden digitale Hilfsmittel dafür genutzt, ist zu prüfen, ob eventuell eine Auftragsverarbeitung vorliegt und ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DSGVO abzuschließen ist. – Eine Möglichkeit hierfür wäre eventuell, dass Besucher sich in einem Online-Portal bei Betreten des Gebäudes eintragen, was ihnen dann entsprechend weiteren Zutritt gewährt oder den Empfänger über ihre Ankunft informiert. Die Daten werden dabei eventuell in der Cloud gespeichert. (Mehr zu datenschutzkonformen Nutzung von Cloud-Diensten erfahren Sie hier.) – Weiterführend ist es wichtig, technische und organisatorische Maßnahmen zu implementieren und zu dokumentieren, um auch den Schutz der betroffenen Personen bei der Verarbeitung ihrer Daten hierbei zu gewährleisten. Dies bedeutet beispielsweise, die Erfassung der Besucherdaten so zu gestalten, dass diese nicht in einem offenen Buch für andere Personen, also u. a. nachfolgende Besucher, einsehbar sind. Natürlich darf auch ein entsprechendes Berechtigungs- und Löschkonzept nicht fehlen.

Sind die soeben genannten Datenschutzdokumente abschließend? Keinesfalls. Der Grund liegt darin, dass Verantwortliche ein etwaiges Besucher-Management auf unterschiedliche Weise umsetzen. Genau dies ist zu analysieren, um dann zu wissen, was zu dokumentieren (siehe „Nachweispflicht eines Verantwortlichen“, Art. 5 Abs. 2 DSGVO) und welche Dokumente mit welchem Inhalt zu erstellen sind.

Fazit

Beim Besucher-Management gehen die Gedanken eines Verantwortlichen eventuell nicht sofort in Richtung der DSGVO. Sofern Sie mit uns arbeiten, muss es dies aber auch nicht sein. Im Zuge unserer Audits und unserer Zusammenarbeit haben wir ein Auge auf solche Einzelheiten und unterstützen Sie bei der Erstellung und Aktualisierung notwendiger Datenschutzdokumente. Kontaktieren Sie uns gern heute für ein kostenfreies Erstgespräch und ein unverbindliches Angebot.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.