DSGVO und Zutrittsdatenerfassung von Mitarbeitenden

Deutsche Rahmenbedingungen

Das Bundesdatenschutzgesetz (BDSG) und die DSGVO regulieren gemeinsam die Verarbeitung von Zutrittsdaten. § 26 BDSG erlaubt die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis, sofern sie für dessen Durchführung erforderlich ist. Der Betriebsrat hat nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung technischer Kontrolleinrichtungen. Das BfDI empfiehlt eine Speicherfrist von maximal 72 Stunden bis wenigen Wochen für reguläre Zutrittsprotokolle; längere Fristen bedürfen besonderer Begründung. Das Bundesarbeitsgericht hat in mehreren Urteilen klargestellt, dass die Auswertung von Zutrittsdaten zur Leistungskontrolle unzulässig ist.

Schlüsselbegriffe

Rechtsgrundlage der Verarbeitung

Juristische Basis für die Verarbeitung personenbezogener Daten. Bei der Zutrittsdatenerfassung ist dies in der Regel § 26 BDSG i. V. m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Arbeitgebers).

Verarbeitungsverzeichnis

Verpflichtende Dokumentation nach Art. 30 DSGVO, in der alle Verarbeitungstätigkeiten inklusive Zweck, Rechtsgrundlage und Aufbewahrungsfrist aufgeführt sind.

Aufbewahrungsfrist

Maximaler Zeitraum, für den Zutritts protokolle gespeichert werden dürfen. Nach Ablauf sind die Daten zu löschen oder zu anonymisieren.

Auskunftsrecht

Recht eines Mitarbeitenden zu erfahren, welche Zutrittsdaten über ihn oder sie gespeichert sind und zu welchem Zweck.

Zweckbindung

DSGVO-Grundsatz, dass personenbezogene Daten nur für den Zweck verwendet werden dürfen, für den sie erhoben wurden – Gebäudesicherheit, nicht Leistungskontrolle.

Was das Gesetz fordert

Die Verarbeitung von Zutrittsdaten erfordert eine rechtmäßige Rechtsgrundlage. In den meisten Fällen ist dies das berechtigte Interesse des Arbeitgebers an der Sicherung von Gebäuden, Eigentum und Personen (Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 26 BDSG). Sie müssen eine Interessenabwägung dokumentieren: Das Sicherheitsinteresse der Organisation überwiegt das Datenschutzinteresse des Mitarbeitenden, sofern die Verarbeitung verhältnismäßig ist.

Dokumentieren Sie die Verarbeitung im Verarbeitungsverzeichnis. Nennen Sie den Zweck (Gebäudesicherheit), die Datenkategorien (Name/Ausweisnummer, Ort, Zeitstempel), die Empfänger (Sicherheitsdienst, IT-Abteilung), die Aufbewahrungsfrist und die Sicherheitsmaßnahmen. Legen Sie eine maximale Aufbewahrungsfrist fest – wenige Wochen bis maximal drei Monate sind bei regulären Protokolldaten üblich. Bei Sicherheitsvorfällen kann eine längere Aufbewahrung gerechtfertigt sein, sofern der Grund dokumentiert wird.

Informieren Sie Mitarbeitende aktiv über die Zutrittsdatenerfassung. Dies kann über die Datenschutzerklärung, das Personalhandbuch oder ein gesondertes Informationsblatt erfolgen. Nennen Sie, welche Daten erhoben, wofür sie verwendet, wer darauf Zugriff hat und wie lange sie gespeichert werden. Mitarbeitende haben ein Auskunftsrecht. Nutzen Sie Zutrittsdaten niemals für Zwecke außerhalb der Sicherheit – die Überwachung von Arbeitszeiten oder Leistung über Zutritts protokolle ist ohne gesonderte Rechtsgrundlage und Mitbestimmung des Betriebsrats unzulässig.