Der Besucherprozess in Ihrem Unternehmen – wie waren Sie die datenschutzrechtlichen Anforderungen auch in Zeiten von Corona?

Bedingt durch die derzeitige Pandemie, sind persönliche Besuche in Ihrem Unternehmen vielleicht seltener geworden und viele Meetings finden digital statt. Nichtsdestotrotz wird es nicht ausbleiben, dass Sie Besucher (Lieferanten, Kunden, Bewerber etc.) in Ihren Räumen begrüßen. Ein sorgfältiger Umgang mit Besucherdaten ist daher unerlässlich. Zugegeben es wird nicht jeder Besucher sofort auf die datenschutzrechtlichen Vorkehrungen im Zusammenhang mit dem Besucherprozess achten. Für aufmerksame Datenschützer unter den Besuchern sorgt dies jedoch für den ersten positiven Eindruck.

Wir empfehlen, vom Einsatz einer offen ausgelegten Besucherliste dringend abzusehen. Auf diesen Listen sind die Namen und ggf. weitere personenbezogene Daten der vorherigen Besucher für alle folgenden Personen einsehbar, was sich gerade in Bezug auf Bewerber als äußerst heikel herausstellen kann. Empfehlenswert ist der Einsatz von einzelnen Besucherformularen pro Besucher. Diese werden nach dem Ausfüllen separat abgelegt. Diese Besucherformulare können auf alle in Ihrem Unternehmen geltenden Erfordernisse angepasst werden (z.B. Störfallverordnung, Brandschutzeinweisung, Infektionsschutzgesetz etc.). Die Aufbewahrungsfrist der Besucherformulare richtet sich nach den für Sie relevanten Rechtsgrundlagen.

Eine nett gemeinte Idee – den Besucher auf einem Bildschirm im Eingangsbereich anzukündigen und zu begrüßen – ist aus datenschutzrechtlicher Sicht nicht unbedenklich. Die Nennung des Namens eines oder mehrerer Besucher auf einem Bildschirm stellt eine Datenverarbeitung dar. Deshalb müssen Sie diese auf eine Rechtsgrundlage stützen.

Das BayLDA hatte sich in der Vergangenheit hierzu geäußert und erklärt, dass die einschlägige Rechtsgrundlage, wie leider so oft, vom Einzelfall abhänge. In einzelnen Branchen und Bereichen, in denen die Ansprache des Kunden mit dem Namen sozialüblich sei, könne es auf berechtigtes Interesse gestützt werden. Im Regelfall sei aber die Einwilligung der Gäste nötig. Dies stimmt auch mit den im Tätigkeitsbericht (https://www.saechsdsb.de/images/stories/sdb_inhalt/oeb/taetigkeitsberichte/Ttigkeitsbericht_2017_2018.pdf) der sächsischen Aufsichtsbehörde aufgezeigten Sachverhalte überein.

Wird der Nachname von Besuchern auf Namensschildern oder Besucherausweisen genannt, so kann sich das Unternehmen auf ein berechtigtes Interesse (Art. 6 Abs. 1 f DSGVO) stützen. Die Ausstattung von Besuchern mit Besucherausweisen oder Namensschildern ist notwendig und hilfreich, damit Mitarbeiter des Unternehmens Personen eindeutig als Besucher identifizieren können.

Besuchermanagement-Systeme versprechen einen unkomplizierten Umgang mit Besucherdaten und locken mit einer effizienten und einfachen Verwaltung dieser. Wir empfehlen vor dem Einsatz solcher Systeme, diese einer gründlichen Prüfung zu unterziehen, inwieweit die angebotenen Funktionen datenschutzkonform sind. Teilweise gehen diese soweit, dass die Möglichkeit besteht, die Aufenthaltszeit und den Aufenthaltsort der Besucher zu erfassen.

Aus Sicherheitsgründen ist es relevant zu wissen, welche Besucher sich insgesamt wie lange im Unternehmen befinden. Die Aufenthaltszeit darf jedoch nicht an die verschiedenen Aufenthaltsorte geknüpft gemessen werden. In der Regel gibt es keine Rechtfertigung für die Erfassung der Aufenthaltsorte. Darüber hinaus ist es notwendig, mit den Dienstleistern der Besuchermanagement-Software eine Vereinbarung zur Auftragsverarbeitung abzuschließen.

Eindringlinge stellen für Unternehmen ein akutes Sicherheitsrisiko dar. Die DSGVO sieht vor, dass jedes Unternehmen die Sicherheit der Verarbeitung von personenbezogenen Daten zu gewährleisten hat. Unternehmen sind verpflichtet, hierfür technische und organisatorische Maßnahmen zu ergreifen, unter anderem zählen hierzu Zutrittskontrollen für Besucher. Wichtig ist zu beachten, dass das Erfassen von Besucherdaten im Einklang mit der Datenschutzgrundverordnung geschieht.

Derzeit führen die Berufsgenossenschaften vermehrt Kontrollen bezüglich der Einhaltung der Hygienemaßnahmen zum Infektionsschutz durch. Hierbei wird u.a. auch überprüft, ob es Aufzeichnungen über Besucher gibt, die bei einem Infektionsgeschehen zur Nachverfolgung einer Infektionskette herangezogen werden können.

Seien Sie vorbereitet, indem Sie Ihren bereits vorhandenen Besucherprozess konsequent ausführen.

Sollten Sie noch keinen Besucherprozess in Ihrem Unternehmen etabliert haben, sprechen Sie uns an! Wir unterstützen Sie jederzeit gerne. Kontaktieren Sie uns einfach.