Anderthalb Jahre nach Einführung der Datenschutzgrundverordnung (DSGVO) besteht in vielen Betrieben noch immer Unsicherheit, was deren Umsetzung betrifft. Dies gilt auch für die elektronische Zutrittskontrolle und digitale Schließtechnik. Andreas Grauvogl, für das Thema DSGVO zuständiger Produktmanager bei SimonsVoss, beantwortet die wichtigsten Fragen zum Datenschutz im Zusammenhang mit dem System 3060 und der ­Software Locking-System-Management (LSM) von ­SimonsVoss.

GIT SICHERHEIT: Herr Grauvogel, welche personenbezogenen Daten werden in der LSM-Software gespeichert?

Andreas Grauvogl: Speicherbar sind Vorname, Nachname, Titel, Adresse, Telefon, E-Mail, Personalnummer, Benutzername, Abteilung, Ort/Gebäude, Eingestellt von/bis, Geburtsdatum, Kostenstelle und ein Foto. Prinzipiell sind nur Nachname und Personalnummer sogenannte Pflichtfelder und bei der Verwendung der LSM erforderlich. Welche der weiteren Felder der Kunde nutzen möchte, muss der Kunde u. a. nach betrieblichen Anforderungen entscheiden. Besonders sensible Kategorien personenbezogener Daten nach Art. 9 DSGVO werden nicht gespeichert.

Zu welchem Zweck erfolgt die Speicherung der personenbezogenen Daten?

Andreas Grauvogl: Um die Funktionen eines elektronischen digitalen Schließsystems vollumfänglich nutzen zu können, ist es grundsätzlich notwendig, die verwendeten Identifikationsmedien (z. B. Transponder) einem bestimmten Nutzer (z. B. Mitarbeiter) zuordnen zu können. Schlussendlich erfolgt die Speicherung zur Sicherstellung und Durchführung von Zutrittsberechtigungen.

Wie lange bleiben personenbezogene Daten in der Software gespeichert?

Andreas Grauvogl: Die Daten werden mindestens über die Dauer der Inbesitznahme eines Identifikationsmediums innerhalb der Schließanlage gespeichert (z. B. Firmenzugehörigkeit), da der Betrieb mindestens für diesen Zeitraum diese Daten benötigt. Die Dauer der Speicherung von Daten z. B. in Protokollen kann vom Schließanlagenverwalter verändert und an die betrieblichen Erfordernisse angepasst werden.

Sind personenbezogene Daten in der Software vor dem Zugriff Dritter geschützt?

Andreas Grauvogl: Grundsätzlich ist der Nutzer (Endkunde) der Schließanlage und der Software für die Verwaltung und Sicherstellung der Zugriffsrechte verantwortlich. Und daher ist ein Öffnen der grafischen Benutzeroberfläche, um auf die Daten zugreifen zu können, ohne Passwort und entsprechende Benutzerrechte nicht möglich. Im SimonsVoss-Schließsystem 3060 selbst werden alle Daten über ein mehrstufiges Verschlüsselungsverfahren gesichert. Eine automatische Übermittlung an Dritte, eine Nutzung oder Verarbeitung durch SimonsVoss findet im Rahmen des Geschäftsbetriebes nicht statt.

Können die gespeicherten Daten auf Verlangen als Kopie zur Verfügung gestellt werden?

Andreas Grauvogl: Alle gesammelten Daten zu einer betroffenen Person können (ab Version 3.4), entsprechende Benutzerrechte vorausgesetzt, per Exportfunktion als Kopie durch den Kunden (z. B. im Rahmen eines Audits) zur Verfügung gestellt werden. Dies ermöglicht dem Kunden die Erfüllung des Auskunftsrechts nach Art. 15 DSGVO Absatz 3.

Können personenbezogene Daten aus der Software gelöscht werden?

Andreas Grauvogl: Personenbezogene Daten können wiederum durch den Kunden auf Verlangen einer betroffenen Person nach Art. 17 DSGVO aus der Software (ab Version 3.4) und der dazugehörigen Datenbank gelöscht werden. Hierzu haben wir im Software-Handbuch detaillierte Ausführungsschritte beschrieben. Zusätzlich geplant ist bei SimonsVoss in nächster Zeit ein eigener Lehrgangs-Baustein zum Thema Umsetzung der Anforderungen der DSGVO in den Schulungsunterlagen für das digitale Schließ- und Zutrittskontrollsystem 3060 sowie für die LSM-Software.

Unternehmen in der Pflicht

Sie gilt seit dem 25. Mai 2018 und betrifft alle Unternehmen in der EU, die personenbezogene Daten verarbeiten: die Europäische Datenschutz-Grundverordnung (DSGVO).

Für Verunsicherung und negative Stimmung hat unter anderem das Thema Haftung gesorgt und damit verbunden die vielfach genannten Bußgeldsummen von bis zu 20 Millionen Euro oder 4 % des Vorjahresumsatzes. Bestehende Interpretationsspielräume der EU-Vorgaben zum Datenschutz bedürfen erst noch der weiteren Klärung durch Behörden und Gerichte, bevor Rechtsklarheit für die Betroffenen hergestellt werden kann. Die Verordnung wirkt sich vielfältig auf die verschiedenen Unternehmensprozesse aus. Knackpunkte sind dabei häufig die technische Umsetzung des Datenschutzes, die physische Datensicherung, Speicherorte, Passwortschutz etc.

„Wir sind mit unseren Kunden im Dialog zum Thema Datenschutz in digitaler Schließtechnik“, sagt Andreas Grauvogl, der bei ­SimonsVoss für das Thema DSGVO zuständige Produktmanager, „und stellen fest, dass sich viele Unternehmen hier auf die Software-Hersteller verlassen. Tatsächlich sind die Kunden aber selbst in der Pflicht, die von den Herstellern offerierten Möglichkeiten zu nutzen, um DSGVO-konform zu arbeiten.