Praxistipp: Besucherlisten und Datenschutz Teil 1

Braucht ein Unternehmen Besucherlisten? Oder, um im Sinne des Datenschutzes zu fragen: Braucht es eine Besucherdokumentation? Wie so oft gilt: Es kommt darauf an. Wer keine Besucherkontrolle hat, sollte prüfen, ob sie sich lohnen könnte. Wer sie hat, sollte sie regelmäßig prüfen: ob sie sich bewährt hat, ob Änderungen wünschenswert sind, ob sie vielleicht sogar entbehrlich ist. Der Praxistipp zeigt Gründe für und wider die Besucherdokumentation und erklärt, wie sie umgesetzt werden kann. Und warum nicht die Chance nutzen, das Besuchermanagement mit der Gefährdungsbelehrung zu verknüpfen?

Praxisfall

Im Unternehmen werden die Türschlösser gegen elektronische Schlösser ausgetauscht. Zu diesem Zweck ist ein Techniker des Dienstleisters vor Ort. Er erhält einen Raumplan mit allen Raumbezeichnungen und den Türen, wo Schlösser auszutauschen sind. Nach einiger Zeit könne er allein bleiben, so der Hausmeister, schließlich kenne er sich aus. Als der letzte Mitarbeiter das Betriebsgebäude verlässt, schaltet er wie immer die Alarmanlage ein. Kurz darauf: Einbruchsalarm. Der Techniker wurde „vergessen“. Mit einer Besucherdokumentation wäre das wohl nicht passiert – ein Blick hätte genügt, um festzustellen, dass ein Besucher im Haus ist.

Gängige Praxis

Wer als Besucher in ein Unternehmen kommt, wird nicht selten mit der Besucherdokumentation empfangen. Man wird gebeten, seine Daten in Besucherlisten oder ein Formular einzutragen. In der Regel handelt es sich um Angaben zur Person (Name, Vorname, Funktion), zum Herkunftsunternehmen und die Information, wer im Unternehmen besucht wird. Bei der Ankunft wird die Uhrzeit eingetragen, beim Abschied ebenso. Mit der Unterschrift bestätigt man, von etwaigen Sicherheitsbelehrungen oder Vertraulichkeitsvereinbarungen Kenntnis genommen haben.

Zunehmend auch elektronisch

Immer öfter werden Besuche elektronisch dokumentiert. Teilweise erfolgt der Eintrag der personenbezogenen Daten im Voraus, sei es durch die Besuchten oder auch durch die Besucher selbst, zunehmend auch über das Internet. Hier sind dann weitere Prüfungen und Dokumentationen erforderlich.

Nur wenn erforderlich

Wer keine Besucherkontrolle hat, sollte prüfen: Ist sie nötig? Wenn nein, ist sie wünschenswert? Sollte sie sich nicht als nötig erweisen, müssen andere Regelungen getroffen werden, um die Anforderungen an den Datenschutz bei Besuchern zu erfüllen – etwa jene, die die Datenschutz-Grundverordnung (DSGVO) an die Sicherheit der Verarbeitung stellt. Dies gilt natürlich ebenso für andere Anforderungen wie Brandschutz, Sicherheit, Vertraulichkeit und Geheimniswahrung.

Oft abhängig von der Größe

Im Grunde gibt es zwei Kategorien von Unternehmen: die, die eine Besucherkontrolle umsetzen – und alle anderen. Die Tendenz ist eindeutig: Je größer ein Unternehmen und je weniger überschaubar ist, wer sich insgesamt zu einem bestimmten Zeitpunkt in den Gebäuden aufhält, desto eher existiert eine strukturierte Besucherkontrolle. Je größer ein Unternehmen oder eine Organisation ist, desto wichtiger wird es, den Überblick über die Personen zu behalten, die sich im Unternehmen befinden.

Gründe für das Fehlen

Vor allem in kleineren Unternehmen kann es durchaus Gründe geben, warum keine Besucherdokumentation eingeführt wurde. Ist die Besuchsfrequenz gering und jederzeit der Überblick über alle Anwesenden gegeben, kann darauf verzichtet werden. Wenn jeder jeden kennt und alle Mitarbeiter dahingehend geschult sind, Unbekannte in den Geschäftsräumen anzusprechen, besteht auch ohne Besucherkontrolle keine besondere Gefahr. Manche Institutionen führen aufgrund ihrer gesamten Organisation und des Organisationsablaufs keine Besucherdokumentation – etwa Arztpraxen oder Verkaufsstellen.

Besucherlisten oder Besucherformulare?

Ein Beispiel, wie die strukturierte Einführung der Besucherkontrolle ablaufen könnte: Durch einen konkreten Anlass wird die Entscheidung ausgelöst, künftig eine Besucherdokumentation zu führen. Diese soll am Empfang erfolgen. Die Frage, ob gesammelte Besucherlisten oder Einzelformulare zum Einsatz kommen sollen, lässt sich im Sinne des Datenschutzes eindeutig beantworten. Besucherlisten geben jedem Besucher Einblick in die personenbezogenen Daten anderer Besucher – diese Form der Offenlegung gilt es zu vermeiden. Die Wahl fällt also entgegen der Besucherlisten zugunsten eines Einzelformulars pro Besucher.

Weiteres Vorgehen

Es wird festgelegt, welche Daten diese Dokumentation enthalten soll. Dies sollen mindestens sein: Name und Herkunftsunternehmen (Firma und Anschrift) der besuchenden Person, das Kfz-Kennzeichen (falls erforderlich), die besuchte Person, Beginn und Ende sowie Zweck des Besuchs. Es wird eine entsprechende Prozess- bzw. Arbeitsanweisung erstellt. Die auszufüllenden Dokumente werden bereitgestellt, nach Rücksprache mit der Versicherung (Betriebshaftpflicht) wird die Aufbewahrungsfrist auf drei Monate festgesetzt.

Schritt für Schritt

Die Umsetzung einer strukturierten Besucherkontrolle ist mit Aufwand verbunden, aber er lohnt sich. Das ist zu tun:

• den Prozess der Besucherkontrolle definieren und einführen
• den Empfang entsprechend ausstatten
• die am Empfang Beschäftigten einweisen
• eine Beschreibung der Verarbeitungstätigkeit anfertigen. Daraus ergeben sich möglicherweise weitere Anforderungen wie eine Arbeits- oder Prozessanweisung zur Besucherkontrolle.
• Ziele und Zwecke des Besucherbuchs definieren, die Aufbewahrungsfristen entsprechend festlegen
• bestimmen, wer zum Zugriff auf die Daten der Besucher berechtigt ist
• falls Auswertungen erstellt werden sollen, entsprechenden Prozess definieren und umsetzen

Chance Gefährdungsbelehrung

Die Erfassung der Besuchenden bietet weitere Chancen und lässt sich mit anderen Anforderungen des Besuchermanagements verknüpfen. Bei Vorliegen bestimmter Gefährdungen ist es sinnvoll, alle Externen mit den wichtigsten Vorsichtsmaßnahmen im Unternehmen vertraut zu machen. Dann kann die Besucherkontrolle mit einer mündlichen Belehrung mit schriftlicher Ergänzung verbunden werden. Für Gäste ohne ausreichende Sprachkenntnisse bieten sich Bilder oder Piktogramme an, um Gefährdungen anschaulich zu vermitteln.

Auflagen der Feuerwehr

In Unternehmen mit erhöhter Brandgefahr können Auflagen der Feuerwehr existieren, dass zu jeder Zeit, mindestens im Brandfall, feststellbar sein muss, in welchem Bereich sich wie viele und welche Personen aufhalten. Hier ist eine Besucherkontrolle ein mögliches Instrument, diese Auflagen zu erfüllen.

Besucherkontrolle im Rahmen der Auftragsverarbeitung

Werden im Rahmen der Auftragsverarbeitung besonders schützenswerte Daten oder besondere Arten von Daten wie Gesundheitsdaten verarbeitet, wird in den Vereinbarungen zur Auftragsverarbeitung oft festgelegt, dass eine Besucherkontrolle durch den Auftragsverarbeiter erfolgt. In diesem Fall dient das Führen der Besucherdokumentation der Auftragskontrolle. Sie wird dann bei Überprüfungen durch die Verantwortlichen mit geprüft.

Überprüfungen bei Datenschutzvorfällen

Kommt es im Unternehmen zu einem Datenschutzvorfall, beispielsweise einem Hackerangriff, der auf eine vorherige Anwesenheit des Täters hindeutet, kann die Besucherdokumentation zur Aufklärung beitragen. Ist sie vorhanden, werden die Ermittlungsbehörden Wert darauf legen, sie zur Aufklärung heranzuziehen.

Zutrittskontrolle für Sicherheitsbereiche

Für Serverräume und andere Sicherheitsbereiche, beispielsweise für Archive, in denen besondere Arten von Daten aufbewahrt werden, sollten ebenfalls Dokumentationen der Zutritte erstellt werden. Dies gilt für die Zutritte Interner ebenso wie Externer. Im Falle der Auftragsverarbeitung sollten Zutrittskontrollen dem Auftragsverarbeiter vertraglich vorgeschrieben sein.

Fortsetzung folgt

Ob Besucherlisten oder in Einzelform, wer Besuche dokumentiert, verarbeitet personenbezogene Daten. Was ist in Sachen Datenschutz zu beachten? Das erklärt Teil 2 des Praxistipps anschaulich und praxisnah – gleich weiterlesen!

Hier gibts den Praxistipp Teil 1 als kostenlosen PDF-Download: