Ist die Schlüsselliste vollständig und aktuell?

Eberhard Häcker • 30. Oktober 2023

Der kleine feine Datentipp

Lesezeit: ca. 6 Minuten

Schlüsselbund


In vielen Betrieben liegt das Schlüsselmanagement beim Facility Management. Dennoch haben Datenschutzbeauftragte hier eine Überwachungsaufgabe laut Datenschutz-Grundverordnung. Wie Sie in acht Schritten sicherstellen, dass es wegen Schlüsseln nicht zu Datenpannen kommt.


Schlüsselliste und Schlüsselmanagement


Wer hat die Schlüsselliste?


In vielen Betrieben ist das Facility Management (oder altmodisch: Hausmeisterin oder Hausmeister) für die Vergabe der Schlüssel zuständig. Je größer das Unternehmen, desto mehr Schlüssel fallen in diesen Verantwortungsbereich. Wer da den Überblick behalten möchte, braucht ein strukturiertes Vorgehen.


Wie viele Schlüssel vorhanden sein müssten


Die erste Frage könnte lauten: Wie viele unterschiedliche Schlösser gibt es überhaupt? Für jedes dieser Schlösser sind mutmaßlich mehrere Schlüssel vorhanden, klar. Viele Beschäftigte, sofern nicht gerade im Home-Office, müssen im Unternehmen in die Räume kommen können, wo sie tätig sind. Zumindest ein Teil der Räume ist in aller Regel mit einem elektronischen Schließsystem gesichert. Noch immer gibt es aber meistens Räume, die mit einem herkömmlichen Schlüssel auf- und zugeschlossen werden. Darum ist in der Regel eine bestimmte Anzahl von Schlüsseln in Umlauf. Aber sind die alle einsatzfähig? Auch Schlüssel werden gelegentlich beschädigt oder sogar zerstört. Was passiert dann? Wird das gemeldet? Wird es dokumentiert?


quote

"Je länger ein Schließsystem besteht, desto größer die Wahrscheinlichkeit, dass Schlüssel verlorengegangen oder Personen ausgeschieden sind, ohne ihren Schlüssel zurückzugeben. Umso wichtiger ist es, dass die Schlüsselliste, das Verzeichnis aller ausgegebenen Schlüssel, aktuell und vollständig ist."

Das betriebliche Schließsystem


Zu einem Schließsystem gehören mehrere Türen in einem Geschäftsbereich, die sich mit ein- und demselben Schlüssel auf- und zuschließen lassen. Das sind die sogenannten Gruppen- oder Hauptschlüssel. Daneben gibt es aber auch für jeden einzelnen Raum eigene Schlüssel, also Einzelschlüssel. Und dann gibt es noch die Generäle. Wer einen Generalschlüssel hat, trägt die volle Verantwortung, kann grundsätzlich jeden Raum öffnen und schließen. Normalerweise ist das neben der schon erwähnten Hausmeisterin die Geschäftsführung.



Strukturierte Vergabe der Schließberechtigungen


Wer Schlüssel ausgibt, tut das in der Regel in einem strukturierten Prozess. Vorgesetzte entscheiden, wer wo hineinkommen soll – für wen also für welche Räume ein Zutrittsrecht gilt. Diese Anforderung gleicht man mit dem Schließplan ab und entscheidet, welche Schlüssel an wen ausgegeben werden. Das beginnt oft genug mit der Tiefgarage, geht über Haupt- oder Nebeneingang, Gebäudeteile wie etwa die eigene Abteilung und schließlich das Büro, wo sich der Arbeitsplatz befindet. Dazu kommen Nebenräume wie Kopierer oder Toiletten. Und das alles sollte idealerweise mit einem einzigen Schlüssel erreichbar sein.


Verlustmeldung


Aber ob nun einer oder mehrere – was, wenn Schlüssel verlorengehen? Normalerweise sind Schlüsselinhaber verpflichtet, den Verlust eines Schlüssels unverzüglich zu melden. Schließlich muss der Betrieb schnell reagieren, damit nicht unbefugte Schlüsselfinder (oder Schlüsseldiebe) einfach in die Geschäftsräume einmarschieren. Je umfassender die Schließberechtigungen, desto größer der mögliche Schaden. Geht ein General verloren, müssen unter Umständen sehr viele Schlösser ausgetauscht werden.


Schlüsselliste vollständig und aktuell


Je länger ein Schließsystem besteht, desto größer die Wahrscheinlichkeit, dass Schlüssel verlorengegangen oder Personen ausgeschieden sind, ohne ihren Schlüssel zurückzugeben. Umso wichtiger, dass die Schlüsselliste, das Verzeichnis aller ausgegebenen Schlüssel, aktuell und vollständig ist. Ist das nicht der Fall, wächst die Unsicherheit. Je größer die Lücken sind, desto schwieriger wird die Aufklärung, wenn etwas schiefgeht.


Das sind also die wesentlichen Voraussetzungen für ein erfolgreiches Schlüsselmanagement: Der Überblick über alle Schlüssel ist vollständig und jederzeit auf dem neuesten Stand. Und es ist sichergestellt, dass tatsächlich alle Schlüssel noch da sind.



Risiken eines mangelhaften Schlüsselmanagements


Unbefugte in geschützten Räumen


Sind Schlüssel im Umlauf, die sich niemandem zuordnen lassen, steigt die Gefahr, dass sich jemand Zutritt zu Räumen verschafft, der dort nichts zu suchen hat. Das muss nicht immer einen kriminellen Hintergrund haben. Unachtsamkeit kann genauso zu Schäden führen wie der bewusste Versuch, Schaden anzurichten. Wenn Kollegen untereinander Schlüssel ausleihen und vergessen, sie zurückzufordern, kann etwa ein Archiv oder ein anderer wichtiger Raum plötzlich von Unbefugten betreten werden. Der Supergau, dass ein solcher Schlüssel dann auch noch verloren geht, kann den Austausch von Schlössern nötig machen.



Nichts Genaues weiß man nicht


Wenn man nicht mehr sauber zuordnen kann, wer welchen Raum betreten darf, lässt sich bei Schlüsselmissbrauch schwer ermitteln, wer den Missbrauch verursacht hat. Ein verloren gegangener oder gestohlener Schlüssel kann schließlich dazu führen, dass unbefugte Personen ohne Erlaubnis wichtige Räume betreten und unbefugten Zugriff auf personenbezogene Daten oder Geschäftsgeheimnisse erlangen.


Zahlt das die Versicherung?


Kommt es durch kriminelle Handlungen zu Schäden, wird normalerweise die entsprechende Versicherung in Anspruch genommen. Die will natürlich wissen, ob Fahrlässigkeit ausgeschlossen werden kann. Führt das Unternehmen keinen Nachweis über alle Schlüssel, mit denen der betreffende Raum oder Geschäftsbereich geöffnet werden konnte, kann das eine Obliegenheitsverletzung darstellen. Diese hätte wiederum zur Folge, dass der Versicherungsschutz möglicherweise nicht mehr greift.


Besser den Überblick behalten


Es gibt also wichtige Gründe, warum ein unvollständiger Überblick über Schlüssel zu Gefährdungen führt. Je unvollständiger die Schlüsselliste, desto größer das Risiko.



Die Schlüsselliste und der Datenschutz


Zutrittskontrolle


Räume, wo personenbezogene Daten verarbeitet werden, sind gemäß Datenschutz-Grundverordnung (DSGVO) angemessen vor unbefugten Zutritten zu schützen. Das geht natürlich nur, wenn die Schließberechtigungen eindeutig und strukturiert verwaltet werden. Sind Schlüssel verlorengegangen und nicht mehr auffindbar, kann davon keine Rede sein.


Vertrauen ist gut, Kontrolle ist ratsam


Es lohnt sich, ab und zu einmal beim Hausmeister, Facility Manager oder Caretaker vorbeizugehen und zu prüfen, ob die ausgegebenen Schlüssel zum einen ordentlich dokumentiert sind und es zum anderen Hinweise gibt, dass möglicherweise einzelne Schlüssel verloren gegangen sind – und wie im zweiten Fall damit umgegangen wurde.


Gesetzliche Pflicht


Wer ist hier zuständig? Klare Antwort: Datenschutzbeauftragte. Diese Aufgabe zählt zu ihren Überwachungsaufgaben, das macht die Datenschutz-Grundverordnung (DSGVO) in Artikel 39 deutlich. Leider wird sie in der Praxis zu selten wahrgenommen. Umso wichtiger, darauf hinzuweisen: Es gehört zu den Aufgaben des Datenschutzes, sicherzustellen, dass Schlüssel rechtmäßig vergeben werden – und eben auch wirklich vorhanden sind.




In acht Schritten zu einem guten Schlüsselmanagement


Tipp Nr. 1

Stellen Sie sicher, dass es eine vollständige Schlüsselliste mit allen ausgegebenen Schlüsseln gibt.

Tipp Nr. 2

Halten Sie die Schlüsselliste vollständig und aktuell.

Tipp Nr. 3

Prüfen Sie, bei welchen Schlüsseln eine Kontrolle sinnvoll ist, ob sie noch da sind. Dazu wird etwa der Schlüsselinhaber aufgefordert, den Schlüssel zu einem bestimmten Zeitpunkt an einer bestimmten Stelle vorzuzeigen. Jede erfolgte Vorlage wird dokumentiert. 

Tipp Nr. 4

Machen Sie den richtigen Umgang mit Schlüsseln zum Gegenstand regelmäßiger Schulungen. 

Tipp Nr. 5

Wer einen Schlüssel erhält, sollte verpflichtet werden, vorschriftsmäßig damit umzugehen und den Verlust eines Schlüssels sofort zu melden.

Tipp Nr. 6

Sollte auffallen, dass jemand beim Ausscheiden aus dem Betrieb Schlüssel mitgenommen hat, muss entweder das betroffene Schloss ausgetauscht werden oder Sie versuchen, den Schlüssel zurückzuerhalten. 

Tipp Nr. 7

Datenschutzbeauftragte sollten regelmäßig die Dokumentation über ausgegebene Schlüssel überprüfen.

Tipp Nr. 8

Für Datenschutz­beauftragte empfiehlt sich, die Dokumentation des Schlüssel­managements in den Datenschutz-Jahresbericht aufzunehmen. 


Das ist die Kernfrage für gutes Schlüsselmanagement: Ist eine Schlüsselliste vorhanden und ist sie vollständig und aktuell?


Wir wünschen viel Erfolg beim strukturierten Schlüsselmanagement!

Bei Datenschutz-Fragen Team Datenschutz fragen.


Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

24. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 23. Dezember 2025
Dieses emotionale Adventstürchen erzählt, wie ein einzelner Weihnachtsgruß eine Kette aus Herzensfreude auslöst – von der Straße über das Büro bis an die Supermarktkasse.

23. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 22. Dezember 2025
Dieses Adventstürchen zeigt, dass Datenschutz nicht nur aus Verboten besteht, sondern auch aus sinnvollen Empfehlungen.

22. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 21. Dezember 2025
Das 22. Adventstürchen erklärt praxisnah, worauf es bei der Informationspflicht zur Videoüberwachung ankommt – und warum Muster nur der Anfang sind.

21. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 20. Dezember 2025
Warum mobile Datenträger besondere Vorsicht erfordern und wie schnell aus Bequemlichkeit ein Datenschutzproblem entsteht.

20. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 19. Dezember 2025
Warum Datenschutz kein Showprogramm für Begehungen ist, sondern gelebter Alltag sein muss – für Sicherheit, Vertraulichkeit und Gesundheit.

19. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 18. Dezember 2025
Wie ein Mitarbeiter einen Sicherheitsvorfall verhindert und damit zum Weihnachtshelden wird.

18. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 17. Dezember 2025
Diese Adventsgeschichte zeigt, wie in einem Krankenhaus durch einfache Maßnahmen Patientendaten geschützt werden konnten und warum Datenschutzbeauftragte manchmal auch Werkzeug brauchen.

17. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 16. Dezember 2025
Dieses DATSIPrUse-Türchen erklärt, warum zu viele Berechtigungen ein Risiko sind, warum Gruppenrichtlinien wichtig sind und wie gemeinsame Ordnung digitale Sicherheit schafft.

16. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 15. Dezember 2025
Dieses Adventstürchen zeigt auf warmherzige Weise, wie inkrementelle Backups arbeiten und warum Verfügbarkeit ein zentraler Datenschutzgrundsatz ist.
Mehr anzeigen