Für eine DSGVO-konforme Zutrittskontrolle müssen Unternehmen die Verarbeitung personenbezogener Daten auf einer Rechtsgrundlage basieren, angemessene technische und organisatorische Maßnahmen (TOM) implementieren, eine Datenschutz-Folgenabschätzung (DSFA) durchführen, Betroffenenrechte wahren und klare Löschkonzepte etablieren. Eine unabhängige Fachplanung ist dabei essenziell, um Herstellerabhängigkeiten zu vermeiden und eine langfristige Rechtskonformität sicherzustellen.
Umfassende Planung und Umsetzung von Zutrittskontrollsystemen im Einklang mit der Datenschutz-Grundverordnung
Moderne Zutrittskontrollsysteme sind unverzichtbar für die Sicherheit von Unternehmen, bergen jedoch auch datenschutzrechtliche Herausforderungen. Dieser Artikel beleuchtet die entscheidenden Aspekte der DSGVO im Kontext der Zutrittskontrolle und zeigt auf, wie Sie Ihr System rechtskonform gestalten.
Key Takeaways
- Eine DSGVO-konforme Zutrittskontrolle erfordert eine klare Rechtsgrundlage für die Datenverarbeitung und die konsequente Umsetzung technischer und organisatorischer Maßnahmen (TOM).
- Die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) ist bei Zutrittskontrollsystemen, insbesondere mit biometrischen Daten, oft zwingend notwendig, um Risiken frühzeitig zu identifizieren und zu minimieren.
- Unabhängige Fachplanung durch Experten wie PLANATEL® gewährleistet eine herstellerneutrale Auswahl, Kostenoptimierung und langfristige Rechtskonformität Ihrer Zutrittskontrolllösung.
Die physische Sicherheit von Unternehmensgebäuden, sensiblen Bereichen und Datenverarbeitungssystemen ist für jede Organisation von höchster Bedeutung. Zutrittskontrollsysteme spielen hierbei eine zentrale Rolle, indem sie steuern, wer wann und wo Zugang erhält. Doch mit der Erfassung von Zutrittsdaten gehen auch weitreichende Verpflichtungen im Hinblick auf den Schutz personenbezogener Daten einher. Die Datenschutz-Grundverordnung (DSGVO) stellt hier klare und strenge Anforderungen, deren Nichteinhaltung erhebliche rechtliche und finanzielle Konsequenzen nach sich ziehen kann. Unternehmen stehen daher vor der Herausforderung, leistungsfähige Zutrittskontrollsysteme zu implementieren, die gleichzeitig den datenschutzrechtlichen Vorgaben vollumfänglich entsprechen. Eine fundierte Planung ist der Schlüssel zu einer rechtskonformen und effizienten Lösung.
Grundlagen der DSGVO im Kontext der Zutrittskontrolle
Die Implementierung einer Zutrittskontrolle ist untrennbar mit der Verarbeitung personenbezogener Daten verbunden. Hierzu zählen typischerweise Namen, Mitarbeiter-IDs, Zutrittszeiten und -orte. Gemäß Artikel 4 Nr. 1 DSGVO sind dies alles Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und somit dem Schutzbereich der DSGVO unterliegen. Die zentrale Frage ist stets, auf welcher Rechtsgrundlage diese Verarbeitung erfolgen darf. Artikel 6 Absatz 1 DSGVO bietet hierfür verschiedene Möglichkeiten. Häufig relevant sind das berechtigte Interesse des Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO), beispielsweise zur Gewährleistung der Gebäudesicherheit und zum Schutz von Unternehmenswerten. Unternehmen müssen hierbei eine sorgfältige Interessenabwägung vornehmen, bei der die eigenen Schutzinteressen gegenüber den Grundrechten und Grundfreiheiten der betroffenen Personen abgewogen werden. Eine weitere Rechtsgrundlage kann eine gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) sein, etwa aus dem Arbeitsrecht oder branchenspezifischen Sicherheitsvorschriften.
Besondere Vorsicht ist geboten, wenn biometrische Daten wie Fingerabdrücke oder Gesichtserkennung zum Einsatz kommen. Diese fallen unter die besonderen Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 DSGVO, deren Verarbeitung grundsätzlich untersagt ist, es sei denn, eine der Ausnahmen des Artikels 9 Absatz 2 greift. Im Arbeitsverhältnis ist die Verarbeitung biometrischer Daten aufgrund des Abhängigkeitsverhältnisses zwischen Arbeitgeber und Arbeitnehmer nur unter sehr strengen Voraussetzungen zulässig, meist nur mit einer ausdrücklichen, freiwilligen und informierten Einwilligung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO) oder wenn es zur Erfüllung arbeitsrechtlicher Pflichten zwingend erforderlich ist und keine milderen Mittel zur Verfügung stehen. Die Wahl der richtigen Rechtsgrundlage ist fundamental und muss von Beginn an sorgfältig dokumentiert werden, um die Rechtskonformität des gesamten Zutrittskontrollsystems zu gewährleisten.
Technische und organisatorische Maßnahmen (TOM) für Zutrittskontrollsysteme
Die DSGVO fordert in Artikel 32 die Implementierung angemessener technischer und organisatorischer Maßnahmen (TOM), um ein dem Risiko der Verarbeitung angemessenes Schutzniveau zu gewährleisten. Für Zutrittskontrollsysteme bedeutet dies eine Vielzahl von Vorkehrungen, die sowohl die physische Sicherheit der Datenverarbeitungsanlagen als auch die logische Sicherheit der Daten selbst betreffen. Zu den technischen Maßnahmen gehören beispielsweise der Einsatz von automatischen Zutrittskontrollsystemen mit Chipkarten, Transpondern oder biometrischen Merkmalen, Sicherheitsschlösser, Alarmanlagen und die Absicherung von Servern in verschließbaren Serverschränken. Die DIN EN 60839-11-1 definiert hierbei detaillierte Anforderungen an elektronische Zutrittskontrollanlagen und deren Komponenten, einschließlich der Protokollierung und Steuerung von Informationen.
Organisatorische Maßnahmen ergänzen die technischen Vorkehrungen und umfassen unter anderem eine klare Schlüsselregelung, die Führung eines Besucherbuchs oder die Ausgabe von Besucherausweisen, die Begleitung von Besuchern durch Mitarbeiter sowie die sorgfältige Auswahl von Reinigungs- und Wachdiensten. Ein zentraler Aspekt ist die Zugangskontrolle zu den IT-Systemen, die die Zutrittsdaten verwalten. Hier sind Maßnahmen wie Benutzerkennungen mit Passwörtern, biometrische Anmeldeverfahren, Sperrungen bei Fehlversuchen und die Verschlüsselung von Datenträgern unerlässlich. Die Zugriffskontrolle wiederum regelt, welcher Nutzer innerhalb des Systems auf welche Daten zugreifen und diese verarbeiten darf, basierend auf einem differenzierten Rollen- und Berechtigungskonzept. Die Dokumentation all dieser TOM ist nicht nur eine Pflicht, sondern auch ein Nachweis der Sorgfaltspflicht gegenüber den Aufsichtsbehörden.
Die Rolle des Verzeichnisses von Verarbeitungstätigkeiten und der Datenschutz-Folgenabschätzung (DSFA)
Jedes Unternehmen, das personenbezogene Daten verarbeitet, ist gemäß Artikel 30 DSGVO verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Für Zutrittskontrollsysteme bedeutet dies, dass alle relevanten Informationen über die Erfassung, Speicherung und Nutzung von Zutrittsdaten detailliert dokumentiert werden müssen. Dies umfasst unter anderem die Zwecke der Verarbeitung, die Kategorien der betroffenen Personen und Daten, die Empfänger der Daten, die Speicherdauer und die Beschreibung der technischen und organisatorischen Maßnahmen. Dieses Verzeichnis dient nicht nur der internen Übersicht, sondern auch als Nachweis der Rechtskonformität gegenüber den Aufsichtsbehörden.
Ein noch tiefergehendes Instrument ist die Datenschutz-Folgenabschätzung (DSFA) gemäß Artikel 35 DSGVO. Eine DSFA ist immer dann erforderlich, wenn eine Art der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Zutrittskontrollsysteme, insbesondere solche mit biometrischen Merkmalen oder umfangreicher Protokollierung, fallen häufig unter diese Kategorie. Die DSFA muss vor Beginn der Verarbeitung durchgeführt werden und beinhaltet eine systematische Beschreibung der geplanten Verarbeitungsvorgänge, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Risikobewertung für die Rechte und Freiheiten der betroffenen Personen sowie die geplanten Abhilfemaßnahmen zur Minderung dieser Risiken. Eine ordnungsgemäß durchgeführte DSFA ist ein entscheidender Schritt, um potenzielle Datenschutzrisiken frühzeitig zu erkennen und zu adressieren, bevor ein System in Betrieb genommen wird. PLANATEL® unterstützt Unternehmen bei der Erstellung dieser wichtigen Dokumente, um eine lückenlose Rechtskonformität zu gewährleisten.
Rechte der betroffenen Personen und deren Umsetzung
Die DSGVO stärkt die Rechte der betroffenen Personen erheblich. Unternehmen, die Zutrittskontrollsysteme betreiben, müssen sicherstellen, dass diese Rechte jederzeit gewahrt und umsetzbar sind. Zu den wichtigsten Rechten gehören das Auskunftsrecht (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschung (Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) und das Widerspruchsrecht (Art. 21 DSGVO). Für Zutrittsdaten bedeutet dies beispielsweise, dass eine Person das Recht hat zu erfahren, welche Daten über ihren Zutritt gespeichert sind, zu welchem Zweck diese verarbeitet werden und wie lange sie aufbewahrt werden.
Die praktische Umsetzung dieser Rechte erfordert entsprechende Prozesse und technische Möglichkeiten im Zutrittskontrollsystem. So muss das System in der Lage sein, auf Anfrage einer betroffenen Person Auskunft über die gespeicherten Daten zu geben oder diese bei Bedarf zu berichtigen oder zu löschen. Insbesondere das Recht auf Löschung ist hier von Bedeutung, wenn der Zweck der Datenspeicherung entfallen ist. Unternehmen müssen klare Verfahren definieren, wie sie auf Anfragen von Betroffenen reagieren und diese fristgerecht bearbeiten. Dies beinhaltet auch die Information der betroffenen Personen über ihre Rechte, beispielsweise durch transparente Datenschutzerklärungen oder Aushänge. Eine frühzeitige Einbindung der Arbeitnehmervertretung, wie im Betriebsverfassungsgesetz § 87 festgehalten, ist bei der Einführung von Zutrittssystemen, die das Verhalten oder die Leistung der Arbeitnehmer überwachen können, ebenfalls von großer Bedeutung, um Mitbestimmungsrechte zu wahren und eine Betriebsvereinbarung zu erzielen.
Speicherdauer und Löschkonzepte für Zutrittsdaten
Ein zentrales Prinzip der DSGVO ist die Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO), die besagt, dass personenbezogene Daten nicht länger gespeichert werden dürfen, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Für Zutrittsdaten bedeutet dies, dass Unternehmen klare Löschkonzepte entwickeln und implementieren müssen. Die Speicherdauer muss zweckgebunden und verhältnismäßig sein. Sobald der ursprüngliche Zweck der Datenverarbeitung entfällt, besteht grundsätzlich eine Löschpflicht, es sei denn, es greifen gesetzliche Aufbewahrungspflichten oder andere rechtliche Gründe für eine längere Speicherung.
Typische Zwecke für die Speicherung von Zutrittsdaten sind die Gewährleistung der Sicherheit, die Nachvollziehbarkeit von Vorfällen oder die Einhaltung von Arbeitszeitregelungen. Eine häufig empfohlene maximale Speicherdauer für Videoaufzeichnungen im Sicherheitsbereich liegt bei 72 Stunden, sofern keine sicherheitsrelevanten Vorfälle festgestellt wurden. Für Zutrittsereignisdaten kann die Frist je nach Risiko und Zweck variieren, sollte aber so kurz wie möglich gehalten werden. Eine längere Speicherung ist nur zulässig, wenn ein konkreter Anlass besteht, beispielsweise im Falle eines Sicherheitsvorfalls, der weitere Ermittlungen erfordert. In solchen Fällen dürfen die betreffenden Daten bis zur Aufklärung oder Übergabe an Behörden aufbewahrt werden. Unternehmen müssen für jede Kategorie personenbezogener Daten eine angemessene Speicherdauer festlegen und diese auch dokumentieren. Dies beinhaltet die Festlegung von Löschfristen, die Begründung dieser Fristen und die Dokumentation der technischen und organisatorischen Löschprozesse. Eine automatisierte Löschung nach Ablauf der Fristen ist hierbei eine Best Practice, um manuelle Fehler zu vermeiden und die Rechtskonformität sicherzustellen.
Auswahl und Planung rechtskonformer Zutrittskontrollsysteme
Die Auswahl und Planung eines Zutrittskontrollsystems ist eine strategische Entscheidung, die weitreichende Auswirkungen auf die Sicherheit und die Rechtskonformität eines Unternehmens hat. PLANATEL® legt hierbei größten Wert auf eine herstellerneutrale und finanziell unabhängige Beratung, um die optimale Lösung für die individuellen Anforderungen des Kunden zu finden. Dies beginnt mit einer detaillierten Ist-Aufnahme und Bedarfsanalyse, in der nicht nur die Sicherheitsbedürfnisse, sondern auch die datenschutzrechtlichen Anforderungen präzise erfasst werden. Es wird berücksichtigt, welche Personengruppen die Anlage bedienen sollen, welche räumlichen Zonen zu sichern sind und wie die Sicherheitsanforderungen mit den Fluchtwegen korrespondieren.
Bei der Systemarchitektur ist es entscheidend, Lösungen zu wählen, die Datenminimierung und Datensicherheit von Grund auf berücksichtigen. Dies kann die Entscheidung zwischen verschiedenen Identmedien wie RFID-Karten, Transpondern, PIN-Codes oder biometrischen Verfahren umfassen. Während biometrische Systeme ein hohes Maß an Sicherheit bieten können, erfordern sie aufgrund der Sensibilität der Daten besondere datenschutzrechtliche Prüfungen und Einwilligungen. Die Integration des Zutrittskontrollsystems in bestehende IT-Infrastrukturen und Gefahrenmanagementsysteme muss ebenfalls sorgfältig geplant werden, um Schnittstellenprobleme und Sicherheitslücken zu vermeiden. Normen wie die DIN EN 60839-11-1 bieten hier wichtige Leitlinien für die Anforderungen an Anlagen und Geräte. PLANATEL® unterstützt bei der Erstellung von Sollkonzepten, Detailplanungen und Ausschreibungsunterlagen, um sicherzustellen, dass das gewählte System nicht nur technisch leistungsfähig, sondern auch langfristig rechtskonform und wirtschaftlich ist.
Häufige Fehler und Best Practices bei der Implementierung
Bei der Implementierung von Zutrittskontrollsystemen treten häufig Fehler auf, die die Rechtskonformität gefährden und zu unnötigen Risiken führen können. Einer der häufigsten Fehler ist die unzureichende Dokumentation der Verarbeitungstätigkeiten und der getroffenen technischen und organisatorischen Maßnahmen. Ohne eine lückenlose Dokumentation ist es schwierig, die Einhaltung der DSGVO nachzuweisen und auf Anfragen von Aufsichtsbehörden oder betroffenen Personen zu reagieren. Ein weiterer Fehler ist die Überdimensionierung des Systems, bei der mehr Daten erhoben oder länger gespeichert werden, als für den eigentlichen Zweck erforderlich ist. Dies verstößt gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung.
Best Practices umfassen hingegen eine proaktive und präzise Planung, die von Anfang an datenschutzrechtliche Aspekte integriert. Dazu gehört die Durchführung einer umfassenden Risikoanalyse und gegebenenfalls einer Datenschutz-Folgenabschätzung vor der Implementierung. Regelmäßige Schulungen der Mitarbeiter, die mit dem System arbeiten, sind unerlässlich, um ein Bewusstsein für Datenschutzanforderungen zu schaffen und Bedienungsfehler zu vermeiden. Die Implementierung eines rollenbasierten Zugriffskonzepts, das sicherstellt, dass Mitarbeiter nur auf die Daten zugreifen können, die sie für ihre Aufgaben benötigen, ist ebenfalls eine wichtige Best Practice. Zudem sollten regelmäßige Überprüfungen und Audits des Systems erfolgen, um dessen Funktionsfähigkeit, Sicherheit und Rechtskonformität kontinuierlich zu gewährleisten. Die Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten, ist dabei essenziell, um die Nachvollziehbarkeit zu sichern und Manipulationen zu verhindern.
Die Bedeutung unabhängiger Fachplanung für Ihre Zutrittskontrolle
Die Komplexität der DSGVO-Anforderungen in Verbindung mit der technischen Vielfalt moderner Zutrittskontrollsysteme macht eine unabhängige Fachplanung unerlässlich. PLANATEL® bietet seit 1992 herstellerneutrale und finanziell unabhängige Beratungsleistungen an, die sicherstellen, dass die Interessen des Kunden stets im Vordergrund stehen. Ohne die Bindung an bestimmte Hersteller können wir objektiv die besten Systeme und Technologien auswählen, die exakt auf Ihre Bedürfnisse zugeschnitten sind und gleichzeitig höchste Standards an Rechtskonformität und Sicherheit erfüllen.
Unsere Expertise umfasst die gesamte Projektkette: von der initialen Bedarfsanalyse und der Erstellung eines maßgeschneiderten Sicherheitskonzepts über die Detailplanung und die Erstellung von Ausschreibungsunterlagen bis hin zur Begleitung der Umsetzung und der Abnahme des Systems. Wir helfen Ihnen, potenzielle Risiken zu minimieren, Kosten zu optimieren und eine langfristige Rechtskonformität Ihrer Zutrittskontrolllösung zu gewährleisten. Die unabhängige Planung durch PLANATEL® schützt Sie vor unnötigen Investitionen, Herstellerabhängigkeit und den potenziellen Fallstricken einer unzureichenden Datenschutzumsetzung. Mit über 34 Jahren Erfahrung in der Planung und Optimierung von Sicherheitssystemen sind wir Ihr verlässlicher Partner, um Ihre Zutrittskontrolle nicht nur sicher, sondern auch zukunftssicher und datenschutzkonform zu gestalten.
Nächster Schritt
Kontaktieren Sie uns für ein unverbindliches Erstgespräch.
PLANATEL® — Unabhängige Planung und Beratung seit 1992
Tel: 040 / 23 73 02-30
E-Mail: info@planatel.de
Häufig gestellte Fragen
Welche Rechtsgrundlagen sind für die Verarbeitung von Zutrittsdaten relevant?
Die Verarbeitung von Zutrittsdaten muss auf einer gültigen Rechtsgrundlage gemäß Artikel 6 DSGVO basieren. Häufig kommen das berechtigte Interesse des Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO) zur Gewährleistung der Gebäudesicherheit oder eine gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) in Betracht. Bei der Nutzung biometrischer Daten ist in der Regel eine ausdrückliche Einwilligung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO) oder eine andere spezifische Ausnahme nach Artikel 9 DSGVO erforderlich. Die Wahl der Rechtsgrundlage muss sorgfältig geprüft und dokumentiert werden, um die Rechtskonformität sicherzustellen.
Was ist der Unterschied zwischen Zutritts-, Zugangs- und Zugriffskontrolle?
Die Begriffe Zutritts-, Zugangs- und Zugriffskontrolle werden oft verwechselt, haben aber unterschiedliche Bedeutungen im Kontext des Datenschutzes. Zutrittskontrolle bezieht sich auf die physische Kontrolle des Zugangs zu Gebäuden, Räumen oder Geländen, in denen Datenverarbeitung stattfindet. Zugangskontrolle verhindert, dass Unbefugte IT-Systeme nutzen können, z.B. durch Passwörter oder biometrische Logins. Zugriffskontrolle regelt, welcher berechtigte Nutzer innerhalb eines IT-Systems auf welche spezifischen Daten zugreifen und diese verarbeiten darf, basierend auf einem Berechtigungskonzept.
Welche Rolle spielt die DIN EN 60839-11-1 bei der DSGVO-konformen Zutrittskontrolle?
Die DIN EN 60839-11-1 ist eine wichtige Norm für elektronische Zutrittskontrollanlagen. Sie definiert System- und Komponentenanforderungen für physische Zutrittskontrollsysteme in und um Gebäude und geschützte Bereiche. Obwohl sie keine direkten Datenschutzvorschriften enthält, liefert sie wesentliche technische Anforderungen an Funktionalität, Leistung und Prüfmethoden, die für die Implementierung angemessener technischer und organisatorischer Maßnahmen (TOM) gemäß Artikel 32 DSGVO relevant sind. Die Einhaltung dieser Norm trägt somit indirekt zur Datensicherheit und damit zur Rechtskonformität bei.
Muss der Betriebsrat bei der Einführung einer Zutrittskontrolle beteiligt werden?
Ja, die Einführung und Verwaltung einer Zutrittskontrolle, insbesondere wenn sie technische Anlagen zur Überwachung des Verhaltens oder der Leistung der Arbeitnehmer beinhaltet, unterliegt der Mitbestimmung des Betriebsrats gemäß § 87 Absatz 1 Nr. 6 des Betriebsverfassungsgesetzes (BetrVG). Eine frühzeitige Einbindung der Arbeitnehmervertretung ist daher unerlässlich, um eine Betriebsvereinbarung zu erzielen und rechtliche Konflikte zu vermeiden. Dies gewährleistet, dass die Interessen der Mitarbeiter angemessen berücksichtigt werden.
Wie kann PLANATEL® bei der DSGVO-konformen Planung von Zutrittskontrollsystemen unterstützen?
PLANATEL® bietet als unabhängiges Planungs- und Beratungsunternehmen umfassende Unterstützung bei der DSGVO-konformen Gestaltung Ihrer Zutrittskontrollsysteme. Wir führen Bedarfsanalysen durch, entwickeln maßgeschneiderte Sicherheitskonzepte, erstellen detaillierte Planungen und Ausschreibungsunterlagen und begleiten die Umsetzung bis zur Abnahme. Unsere herstellerneutrale Expertise stellt sicher, dass Sie eine technisch optimale, wirtschaftliche und langfristig rechtskonforme Lösung erhalten, die speziell auf Ihre Unternehmensbedürfnisse zugeschnitten ist und Herstellerabhängigkeiten vermeidet. Mit über 34 Jahren Erfahrung minimieren wir Ihre Risiken und optimieren Ihre Investitionen.
Welche Daten werden bei einer Zutrittskontrolle erfasst?
Bei einer Zutrittskontrolle werden typischerweise personenbezogene Daten wie Name, Mitarbeiter-ID, Zutrittszeitpunkt, Zutrittsort und gegebenenfalls biometrische Merkmale erfasst. Diese Daten dienen der Identifizierung und Authentifizierung von Personen sowie der Protokollierung von Zutrittsereignissen.
Wann ist eine Datenschutz-Folgenabschätzung für Zutrittskontrolle notwendig?
Eine Datenschutz-Folgenabschätzung (DSFA) ist für Zutrittskontrollsysteme erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Dies ist insbesondere bei der umfangreichen Verarbeitung sensibler Daten (z.B. Biometrie) oder der systematischen Überwachung von Bereichen der Fall.
Wie lange dürfen Zutrittsdaten gespeichert werden?
Zutrittsdaten dürfen gemäß DSGVO nur so lange gespeichert werden, wie es für den jeweiligen Verarbeitungszweck erforderlich ist (Speicherbegrenzung). Dies erfordert klare Löschkonzepte. Eine häufig empfohlene maximale Speicherdauer für Videoaufzeichnungen liegt bei 72 Stunden, sofern kein konkreter Sicherheitsvorfall vorliegt.
Was sind technische und organisatorische Maßnahmen (TOM) bei der Zutrittskontrolle?
Technische und organisatorische Maßnahmen (TOM) bei der Zutrittskontrolle umfassen physische Sicherheitsvorkehrungen wie automatische Schließsysteme und Alarmanlagen sowie logische Maßnahmen wie Benutzerauthentifizierung, Verschlüsselung und rollenbasierte Zugriffskonzepte. Sie dienen dem Schutz personenbezogener Daten vor unbefugtem Zugriff und Missbrauch.