Zutrittskontrolle, Teil 3: Was moderne Zutrittskontrolle aufzeichnen darf

Die klassische Zutrittskontrolle hat ihre Tücken: Verliert ein Mitarbeiter seinen Schlüssel, bleibt oft nichts anderes, als die Schlösser für teures Geld auszutauschen. Moderne Verfahren umgehen dieses Verlustrisiko und sind genauer zu justieren – dafür treten aber neue Datenschutzrisiken auf den Plan.

Schlüsselbund mit Zeitschaltuhr

Von Oliver Schonschek

Es ist schon einmal löblich, wenn alle Bereiche, in denen personenbezogene Daten verarbeitet werden, abschließbare Türen haben und die Schlüssel zu diesem Zweck auch tatsächlich genutzt werden. Klassische Schließanlagen lassen Personen ohne passende Schlüssel einfach nicht in den zutrittsgeschützten Bereich – jedenfalls bieten sie meist lange genug Widerstand, sodass die meisten Einbrecher, die stets unter Zeitdruck handeln, aufgeben.

Was mit einfachen Schlüsseln jedoch nicht möglich ist, ist eine flexible Kontrolle der Zutritte. „Flexibel“ bedeutet in diesem Fall, dass der Zutritt z.B. nur zu bestimmten Zeiten gewährt wird. Oft ist es so, dass bestimmte Mitarbeiter nach Feierabend nicht mehr in den geschützten Bereich eintreten dürfen. Ein klassischer Schlüssel passt aber auch um Mitternacht.

Zutrittsberechtigung auf Entzug

Eine moderne Zutrittskontrolle sollte aber nicht nur den Zeitpunkt des Zutritts berücksichtigen. Es sollte vor allem auch möglich sein, die Zutrittsberechtigung wieder ungültig werden zu lassen, wenn z.B. ein Zutrittsmedium verloren geht oder ein ausscheidender Mitarbeiter seine Karte nicht rechtzeitig abgibt.

Bei Chipkartensystemen ist es ohne Weiteres möglich, den Zutritt zeitabhängig zu gewähren und die Keycard bei Verlust oder beim Weggang des Mitarbeiters ungültig zu machen. Bei biometrischen Zutrittskontrollsystemen, die u.a. den Fingerabdruck oder die Augeniris auswerten, besteht zudem der Vorteil, dass das Zutrittsmedium – hier also Finger oder Auge – nicht so einfach verloren gehen (sollten), wie dies bei einem Schlüssel oder bei einer Chipkarte der Fall sein kann.

Zusatzfunktionen bringen Zusatzrisiken

Eine zeitabhängige Zutrittsgewährung und das Sperren von Berechtigungen sind aber bei den modernen Verfahren nur möglich, weil eine Auswertungssoftware genutzt wird, die Zutrittsanfragen in den Rechnerraum mit den erlaubten Zeitfenstern abgleicht und ebenso mit der Liste der entzogenen Berechtigungen. Solche Analyseeinheiten bieten umfangreiche Protokollfunktionen, die theoretisch auch missbräuchlich genutzt werden könnten, z.B. zur heimlichen Verhaltens- und Leistungskontrolle, sprich: zu einer Auswertung, welche Mitarbeiter besonders häufig ihren (zutrittsgeschützten) Arbeitsplatz verlassen und vermutlich den Waschraum oder die Teeküche aufsuchen.

Bei biometrischen Zutrittskontrollen müssen zudem die strengen Datenschutzvorgaben bei der Speicherung biometrischer Daten berücksichtigt werden, damit diese sensiblen Daten nicht in falsche Hände gelangen.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.
Serie: Zutrittskontrolle
Teil 1 sieht Passwörter allüberall und Datenbanken mit ausgefeilten Zugriffsregeln. Unterdessen hängt der Schlüssel zum Serverraum am Nagelbrett. So darf es nicht sein. Teil 2 verpflichtet auch den Chef, sein Büro über Mittag abzuschließen. Denn Datendiebe kommen allzu oft von innen. Teil 3 sagt, wie ein modernes Zutrittskontrollsystem funktioniert und worauf Datenschützer besonderes Augenmerk legen.

Fazit: Transparenz und Mitbestimmung

Moderne Verfahren der Zutrittskontrolle bieten ein hohes Maß an Komfort und deutliche Sicherheitsvorteile. Dennoch sollten Unternehmen die Einführung nicht ohne Datenschutzbeauftragten und Mitarbeitervertretung angehen, wie z.B. das Betriebsverfassungsgesetz es verlangt.

Zudem sollte zum Zutrittskontrollverfahren eine Betriebsvereinbarung vorgesehen werden, wenn dabei personenbezogene Daten erhoben, genutzt oder verarbeitet werden. Die betroffenen Beschäftigten müssen wissen, welche Daten über sie zu welchem Zweck verarbeitet werden, wenn sie den Rechnerraum oder einen anderen zutrittsgeschützten Bereich betreten. Das ist auch nur vernünftig. Schließlich geht es um die Kontrolle der Zutritte und nicht um die Kontrolle der Mitarbeiterinnen und Mitarbeiter.

News Analyst Oliver Schonschek.JPG

Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.


Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de

Nützliche Links