20.Januar 2022 | Team Datenschutz | Thema: IT-Sicherheit

Besuchsmanagement: wofür es gut und wichtig ist

Schlagwörter: DSGVO | procado-intern | Sicherheit | Tipps

Eigentlich wissen wir es alle und die Datenschutzbeauftragte „predigt“ es auch: Betriebsfremde Personen sollen sich nicht unbeaufsichtigt im Gebäude und in Büros aufhalten dürfen.

Der Dieb im Haus

Bei uns hat es sich dieser Tage bewährt, dass Kollegen sich daran halten!
Denn ein angeblicher Service-Mitarbeiter einer Heizungsfirma hat mit der Aussage, die Heizung entlüften zu müssen, Zutritt in unsere Büroräume bekommen.
Mit dem Hinweis, dass die Entlüftung eine starke Geruchsbelästigung verursachen würde, versuchte der vermeintliche Monteur nicht nur die Heizung, sondern auch die Büros zu entleeren. Es ist ihm nur fast gelungen.
Glücklicherweise behielt ein Kollege die Situation im Blick und bemerkte, wie sich der angebliche Monteur nicht an der Heizung, sondern an einer Schublade zu schaffen machte. Zur Rede gestellt, stammelte er eine Entschuldigung und verließ die Räumlichkeiten ohne an der Heizung tätig geworden zu sein.
Der stutzig gewordene Kollege musste feststellen, dass nun seine Geldbörse fehlte und er folgte dem Dieb. Der erneut Ertappte schaltete schnell, warf die erbeutete Geldbörse von sich und flüchtete.

„Und was ist die Weisheit der Geschicht‘?
Nicht angemeldeten Monteuren traut man besser nicht.“

Nein, im Ernst: Aus diesem Anlass möchten wir Euch die Empfehlungen der Datenschutz- und der Informationssicheitsbeauftragten für den Umgang mit Besuch vorstellen.

Richtlinie zum Besuchsmanagement

Sinnvollerweise sollte eine Richtlinie zum Besuchsmanagement, also für Erfassung und Begleitung betriebsfremder Personen im Gebäude, im Unternehmen implementiert werden.
Denn es kann ja nicht nur die Geldbörse entwendet, sondern auch (personenbezogene) Daten oder vertrauliche Geschäftsinformationen können gestohlen oder es kann unberechtigt Einsicht in sie genommen werden. Dabei geht es natürlich nicht nur um Gäste, sondern wie beschrieben um Personen, die im Unternehmen Arbeiten zu verrichten haben. Sei es die Heizung zu entlüften oder defekte Festplatten im Server zu tauschen.

Ein gründliches Besuchsmanagement schützt vor ungebetenen Überraschungen

Wie unser Erlebnis zeigt, stellen „ungebetene“ Gäste ein akutes Sicherheitsrisiko für Unternehmen dar. Nach der DSGVO, im Rahmen des Verfahrens „Bekannter Versender“ oder von IT Sicherheitszertifizierungen wie ISO27001, sind Unternehmen verpflichtet geeignete technische und organisatorische Maßnahmen zu ergreifen um die Sicherheit der IT und der Verarbeitung von personenbezogenen Daten zu gewährleisten. Genauso muss ein Unternehmen geeignete Zutrittskontrollen für Besucher schaffen.
Aber Achtung, hierbei ist natürlich zu berücksichtigten, dass das Erfassen von Besucherdaten im Einklang mit der Datenschutzgrundverordnung stehen muss.

Das Besuchsmanagement

Nicht in allen Unternehmen ist das Besucheraufkommen so gering wie bei procado.
Je nach Unternehmen strömen, trotz zunehmender Digitalisierung, jeden Tag zahlreiche Besucher in die Unternehmen. In jedem Fall ist ein sorgfältiger Umgang mit Besucherdaten für ein Unternehmen unerlässlich.

Gäste, die sich lediglich für kurze Zeit im Unternehmen aufhalten, bekommen eingeschränkte Berechtigungen. Sie müssen sich beim Empfang anmelden und identifizieren. Aus Sicherheitsgründen sind sie zu jeder Zeit ihres Besuchs in Begleitung und werden anschließend wieder zum Anmeldetresen zurückgebracht.

Externe, die häufiger oder regelmäßig im Unternehmen tätig sind, müssen nicht jedes Mal neu angelegt und begleitet werden. Sie erhalten nach vorheriger Überprüfung über einen längeren Zeitraum bei Bedarf Zugang zu eingeschränkten Bereichen und dürfen sich in gewissem Umfang frei bewegen. Dazu bekommen sie bei der Anmeldung in der Regel einen für die Zutrittskontrolle freigeschalteten Schlüssel oder Chipkarte, mit dem sich bestimmte Türen öffnen lassen.

Was sollte also geklärt sein?

  • Wer kommt zu Besuch?
  • Warum kommt jemand zu Besuch?
  • Wer soll besucht werden?

Was sollte wie dokumentiert werden?

Typische Besuchsdaten sind Name, Firma, Besuchsgrund, Ansprechperson im Unternehmen, Datum & Uhrzeit der Ankunft und der Abreise. Bei Dienstleistern sollte auch nach einem Legitimationsdokument (Ausweis / Auftrag) gefragt werden.
Ein wichtiger Aspekt sollte nicht vergessen werden: das Thema Sicherheit. Kommt es z. B. zu einer Evakuierung der Firma, des Bereiches, der Anlage müssen die Verantwortlichen wissen, wer sich innerhalb des Geländes aufhält. Dazu zählen neben den Beschäftigten auch Monteure und Besucher.
Die Rechtsgrundlage für die Verantwortlichen ist hier das berechtigte Interesse (Art. 6 Abs. 1 f DSGVO).
Die Ausstattung der Besuchenden mit Namensschildern ist, zumindest in größeren Organisationen und Liegenschaften, notwendig und hilfreich, damit die Beschäftigten wissen, wer der Besucher ist und Personen als Besucher eindeutig identifiziert werden.
Bei procado ist das eher überflüssig. Die Etagen sind übersichtlich und sich unbeaufsichtigt dort zu bewegen ist praktisch (fast!) unmöglich.

Datenschutzaspekte aus Sicht der Besuchenden

Die datenschutzrechtlichen Informationspflichten (Art.13 DSGVO) müssen zum Zeitpunkt der Erhebung der Besucherdaten bereitgestellt werden. Ein Infoblatt für Besucher mit der Datenschutzinformation kann hier helfen. Auch ein Hinweis in der Datenschutzinformation auf der Unternehmenswebseite ist eine gute Idee.

Begrüßungsbildschirme
So manche Unternehmen verfügen über Bildschirme im Empfangsbereich, die die Besuchenden für den Tag namentlich ankündigen und begrüßen. Die vom Unternehmen nett gemeinte Geste, die Besuchenden auf diese Weise freundlich zu empfangen, ist allerdings aus datenschutzrechtlicher Sicht nicht ganz unbedenklich. Als Rechtsgrundlage für die Nennung des Namens der Besuchenden auf den Bildschirmen könnte u.U. das berechtigte Interesse des Unternehmens herhalten. Im Regelfall wird hier aber die Einwilligung der Gäste nötig sein.

Besuchsausweis oder Namensschilder
Unternehmen haben ein berechtigtes Interesse (Art. 6 Abs. 1 f DSGVO), zumindest den Nachnamen von Besuchern auf Namensschildern oder Besuchsausweisen zu nennen.
Die Aufsichtsbehörde in Bremen bspw. hat bereits für Namensschilder von Mitarbeitern erklärt, dass die Nennung des Nachnamens auf das berechtigte Interesse des Arbeitgebers gestützt werden kann, insbesondere damit Kunden die Mitarbeiter ansprechen können. Die Ausstattung der Besuchenden mit Namensschildern ist notwendig und hilfreich, damit die Mitarbeiter wissen, wer der Besuchende ist und Personen als Besuchende eindeutig identifiziert werden können.
Die Individualisierung der Besuchsausweise mit einem Foto ist i.d.R. nur mit der Einwilligung durch den Besuchenden zulässig (Art. 6 Abs. 1 a DSGVO).

Zum Umgang mit Besuchslisten
Grundsätzlich sollte man keine Besuchsliste offen auslegen, wenn Namen und weitere Kontaktdaten der Besuchenden für alle Folgebesucher sichtbar sind. Daher ist ein einzelnes Besuchsformular pro Besuchenden empfehlenswert. Die elektronische Erfassung der Besuchenden wäre eine andere Option. Bitte denkt in jedem Fall daran, dass die Besuchslisten und -formulare oder elektronischen Datensätze in einem angemessenen Zeitraum wieder gelöscht resp. vernichtet werden müssen.