Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Daten von Besuchern in Unternehmen

10. Januar 2019

In Unternehmen werden regelmäßig nicht nur Daten von Beschäftigten oder Kunden, sondern beispielsweise auch von Besuchern verarbeitet. Besucherdaten werden hierbei meist auf die folgenden Weisen verarbeitet:

  • namentliche Begrüßung der Besucher auf einem sich im Eingangsbereich befindenden Bildschirm
  • Verwendung von persönlichen Namensschildern zum sichtbaren Anbringen an der Kleidung
  • Eintrag in Besucherlisten

In diesem Zusammenhang stellt sich vor allem folgende Frage: Wird für diese Verarbeitung personenbezogener Daten eine (dokumentierte) Einwilligung benötigt oder reicht dazu das sog. „berechtigte Interesse“ gemäß Art. 6 Abs. 1 lit. f DS-GVO als Rechtsgrundlage für die Verarbeitung aus?

Begrüßungsbildschirm

Zu der Frage, ob jemand als Besucher eines Unternehmens in die namentliche Begrüßung auf einem Bildschirm im Eingangsbereich einwilligen muss, oder ob für diese Verarbeitung das „berechtigte Interesse“ ausreichend wäre, hat sich das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) kürzlich in einer Antwort auf eine diesbezügliche Anfrage geäußert (S. 5).

Danach kommt das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DS-GVO als Rechtsgrundlage nur in Frage, wenn es in einer Branche als sozialüblich angesehen wird, dass der Besucher namentlich angesprochen und begrüßt wird. Dies könne gemäß dem BayLDA in Ausnahmefällen bei der direkten Ansprache von Endkunden gegeben sein. Bei Mitarbeitern von Unternehmen ist dies nach Ansicht des BayLDA dahingegen regelmäßig nicht der Fall. Die namentliche Begrüßung auf einem Begrüßungsbildschirm kann daher nicht auf Basis der Rechtsgrundlage des berechtigten Interesses erfolgen, so dass das BayLDA empfiehlt, für eine solche Verarbeitung eine Einwilligung einzuholen. Inwieweit es praktikabel ist, den Mitarbeiter eines Kunden oder Lieferanten im Vorfeld eines vor-Ort Termins um eine Einwilligung zu bitten, seinen persönlichen Namen auf einem Bildschirm zu veröffentlichen soll dahingestellt bleiben. In der Praxis wird es wohl eher darauf hinauslaufen, dass auf die Verwendung von derartigen Begrüßungen verzichtet werden wird.

Besucherlisten und Namensschilder

Bei Besucherlisten und Namensschildern dürfte es grundsätzlich jedoch so sein, dass das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DS-GVO als Rechtsgrundlage für die Verarbeitung ausreicht, denn ein Unternehmen hat ein Interesse daran, einerseits die Besucher – allein aus Sicherheitsgründen – zu dokumentieren (Besucherlisten) und zum anderen zu wissen, wie der konkrete Besucher heißt (Namensschild), um diesen gegebenenfalls identifizieren zu können. Problematisch ist bei Besucherlisten jedoch, dass es sich hierbei um Formulare handelt, bei denen mehrere Besucher sich zeilenweise auf dem selben Formular eintragen, so dass der jeweils letzte Besucher, der sich einträgt, die vorherigen Eintragungen sehen kann. Empfehlenswert ist daher, das Besuchermanagement derart zu gestalten, dass für jeden Besucher ein einzelnes Blatt verwendet wird, das nach dem Ausfüllen gesichert abgelegt wird (z.B. ein eine Box eingeworfen wird). Denkbar sind auch elektronische Lösungen, bei denen die Daten in ein zu diesem Zweck vorhandenes Endgerät (beispielswiese PC oder Tablet) eingegeben werden.

An dieser Stelle eine eher persönliche Meinung: Uns wundert die Meinung des BayLDA etwas. Wenn überhaupt, dann haben wir solche Begrüßungsbildschirme in der Vergangenheit ausschließlich im Bereich der Zusammenarbeit zwischen Unternehmen erlebt, noch nie jedoch im Bereich der Zusammenarbeit mit Endkunden. Die seit Langem gelebte Praxis steht hier der Meinung des BayLDA unseres Erachtens vollkommen entgegen.

Fazit

Wie man anhand der Beispiele erkennen kann, ist eine pauschale Aussage, wann eine Einwilligung benötigt wird und wann das berechtigte Interesse ausreichend ist, teilweise nicht einfach zu beurteilen und hängt von Details (und der Auffassung der zuständigen Aufsichtsbehörde) ab. Die Entscheidung kann immer nur einzelfallbezogen erfolgen. Die Implementierung eines rechtssicheren Besuchermanagements erfordert daher in der Regel die Beratung durch einen Experten – beispielsweise Ihren Datenschutzbeauftragten.

Verarbeiten Sie in Ihrem Unternehmen Besucherdaten und möchten dabei sicherstellen, dass diese Verarbeitung rechtskonform erfolgt? Kontaktieren Sie uns, wir beraten Sie gerne!