Elektronischer Zutritt erzeugt personenbezogene Daten — und damit Pflichten nach DSGVO. Mit klarem Zweck, kurzer Speicherfrist und Transparenz bleibt beides vereinbar.
Zutrittsdaten dürfen erhoben werden, wenn ein berechtigter Zweck nach Art. 6 DSGVO besteht, die Speicherdauer auf das Nötige begrenzt ist und Betroffene transparent informiert werden. Eine Nutzung zur Arbeitszeit- oder Leistungskontrolle ist unzulässig. Sicherheit und Datenschutz schließen sich nicht aus.
Sobald eine Tür elektronisch geöffnet wird, kann das System protokollieren, wer wann welche Tür betätigt hat. Diese Buchungen sind sicherheitstechnisch wertvoll — sie machen Zutritte nachvollziehbar. Gleichzeitig sind sie personenbezogen, weil sie sich einer bestimmten Person zuordnen lassen. Damit fallen sie unter Art. 4 Nr. 1 der Datenschutz-Grundverordnung (DSGVO), die personenbezogene Daten als jede Information definiert, die sich auf eine identifizierbare natürliche Person bezieht.
Genau dadurch unterliegen Zutrittsprotokolle der DSGVO. Das bedeutet nicht, dass die Erhebung verboten wäre. Es bedeutet, dass sie an Bedingungen geknüpft ist: einen klaren Zweck, eine Rechtsgrundlage nach Art. 6 DSGVO, eine begrenzte Speicherdauer und Transparenz gegenüber den Betroffenen. Verstöße können nach Art. 83 DSGVO mit Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden.
Wer auf elektronischen Zutritt umsteigt, sollte den Datenschutz deshalb von Anfang an mitdenken — nicht erst, wenn die Anlage bereits läuft. Wird die Frage früh geklärt, lässt sich das System nach dem Grundsatz Privacy by Design (Art. 25 DSGVO) so einrichten, dass es Sicherheit bietet und zugleich die rechtlichen Vorgaben erfüllt. Ob ein elektronisches System überhaupt das Richtige ist, beleuchtet der Beitrag Mechanisch oder elektronisch schließen?.
Wichtig ist die Unterscheidung zwischen reiner Zugangssteuerung und Protokollierung. Ein System, das eine Tür nur öffnet oder verschlossen hält, ohne dauerhaft aufzuzeichnen, erzeugt deutlich weniger Daten als eines, das jede Buchung speichert. Schon diese erste Weichenstellung entscheidet über den datenschutzrechtlichen Aufwand: Wer keine Protokolle braucht, sollte sie auch nicht anlegen — Datenminimierung beginnt bei der Konfiguration, nicht erst bei der Löschfrist.
Ja, unter den richtigen Voraussetzungen. Die DSGVO erlaubt die Verarbeitung personenbezogener Daten, wenn eine Rechtsgrundlage nach Art. 6 vorliegt. Für Zutrittsprotokolle ist das in der Regel das berechtigte Interesse nach Art. 6 Abs. 1 lit. f — etwa der Schutz sensibler Bereiche oder die Aufklärung von Vorfällen. Im Beschäftigtenkontext kommt zusätzlich Paragraf 26 BDSG zum Tragen.
Entscheidend ist die Verhältnismäßigkeit, verankert im Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO. Es dürfen nur die Daten erhoben werden, die für den Zweck wirklich nötig sind, und sie dürfen nicht länger gespeichert werden als erforderlich. Beim berechtigten Interesse ist zudem eine Interessenabwägung zu dokumentieren: Das Sicherheitsbedürfnis des Unternehmens muss die Interessen der Beschäftigten überwiegen.
Sicherheit und Datenschutz schließen sich also nicht aus — im Gegenteil. Ein durchdachtes Konzept erreicht beides zugleich: Es schützt sensible Bereiche und respektiert die Rechte der Mitarbeitenden. Datenschutz ist dabei kein Hindernis für ein modernes Zutrittssystem, sondern ein Qualitätsmerkmal.
Damit die Nutzung rechtssicher ist, sollten die wichtigsten Punkte schriftlich festgehalten werden. Das schafft Klarheit für alle Beteiligten und erfüllt die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO — im Zweifel ist die Dokumentation der Nachweis, dass datenschutzkonform gehandelt wurde.
Hinzu kommt der Eintrag ins Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO, das ab 250 Beschäftigten generell, bei regelmäßiger Verarbeitung aber praktisch immer Pflicht ist. Idealerweise wird das Konzept mit der Mitbestimmung abgestimmt: Nach Paragraf 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein Mitbestimmungsrecht bei technischen Einrichtungen, die das Verhalten oder die Leistung von Beschäftigten überwachen können.
Eine feste, allgemeingültige Frist gibt es nicht. Der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO lautet: so kurz wie möglich, so lang wie für den Zweck nötig. Für die reine Aufklärung von Vorfällen genügen häufig wenige Tage bis Wochen, weil ein Vorfall in dieser Zeit in der Regel bemerkt und untersucht wird. Viele Aufsichtsbehörden nennen Größenordnungen von wenigen Tagen bis zu drei Monaten als orientierenden Rahmen.
Wichtig ist, dass die Löschung automatisch und nachvollziehbar erfolgt, statt Daten unbegrenzt anzusammeln. Eine klar definierte und im System hinterlegte Speicherfrist ist deshalb ein zentraler Baustein eines datenschutzkonformen Zutrittssystems. So wird vermieden, dass aus einem Sicherheitswerkzeug ein unkontrolliertes Datenarchiv wird.
Definieren Sie die Frist im Löschkonzept und prüfen Sie sie regelmäßig. Längere Aufbewahrung lässt sich nur rechtfertigen, wenn ein konkreter Anlass besteht — etwa ein laufendes Verfahren. Generell gilt: Je sensibler der geschützte Bereich, desto sorgfältiger muss die Abwägung zwischen Sicherheitsinteresse und kurzer Speicherdauer dokumentiert sein.
Nein. Zutrittsprotokolle dienen der Sicherheit und der Nachvollziehbarkeit von Zugängen — nicht der Überwachung von Mitarbeitenden. Sie zur Leistungs- oder Verhaltenskontrolle zu verwenden, etwa als verdeckte Arbeitszeiterfassung, verstößt gegen die Zweckbindung aus Art. 5 Abs. 1 lit. b DSGVO und ist unzulässig. Eine Zweckänderung wäre nur unter engen Voraussetzungen und mit eigener Rechtsgrundlage denkbar.
Ein Zutrittssystem schützt Türen — es überwacht keine Menschen. Diese Trennung ist Pflicht und Vertrauensgrundlage zugleich.
Diese klare Trennung ist auch eine Frage des Vertrauens. Wenn von vornherein transparent ist, dass die Daten ausschließlich der Sicherheit dienen, sinkt die Sorge vor Überwachung. Deshalb gehört die Zweckbindung nicht nur ins Konzept, sondern sollte auch offen kommuniziert und mit dem Betriebsrat abgestimmt werden.
Technisch lässt sich die Zweckbindung zusätzlich absichern, indem der Zugriff auf die Protokolle eng begrenzt wird — ein Beispiel für Privacy by Default nach Art. 25 DSGVO. Nur wenige, klar benannte Personen sollten die Daten einsehen können, und jeder Zugriff sollte nachvollziehbar protokolliert sein. So wird verhindert, dass Protokolle beiläufig für andere Zwecke herangezogen werden — die beste Grundlage für ein System, das alle akzeptieren.
Mitarbeitende sind Betroffene im Sinne der DSGVO und haben damit konkrete, einklagbare Rechte an ihren Zutrittsdaten. Das wichtigste ist das Auskunftsrecht nach Art. 15 DSGVO: Auf Anfrage müssen Sie offenlegen, welche Daten zu einer Person gespeichert sind, zu welchem Zweck und wie lange. Eine Auskunft ist in der Regel binnen eines Monats und grundsätzlich kostenfrei zu erteilen.
Hinzu kommen weitere Betroffenenrechte, die im Zutrittskontext praktisch relevant werden:
Wer diese Rechte von Anfang an einplant, vermeidet Konflikte und erfüllt zugleich die Rechenschaftspflicht. Ein gut konfiguriertes System macht Auskunft und Löschung zu Routinevorgängen statt zu Sonderaktionen — das ist gelebte Datenminimierung und schafft Vertrauen in der Belegschaft.
Datenschutzkonformität entsteht nicht zufällig, sondern durch ein strukturiertes Vorgehen — am besten schon vor dem Einbau. Klären Sie zuerst, ob protokolliert werden muss; oft reicht reine Zugangssteuerung ohne dauerhafte Aufzeichnung. Wo protokolliert wird, sollten die folgenden Schritte stehen.
Wer Schließtechnik und Datenschutz zusammen plant, vermeidet teure Nachbesserungen und gewinnt das Vertrauen der Belegschaft. Wie ein Verlust eines Mediums in diesem Rahmen sauber gehandhabt wird, zeigt der Beitrag Schlüssel verloren — was kostet das wirklich?. Gern begleiten wir Sie von der Konzeption bis zum laufenden Betrieb — sprechen Sie uns für eine unverbindliche Erstberatung an.
Geschäftsführer bei implec. Schreibt hier über Themen aus dem IT-Alltag des Mittelstands — praxisnah und ohne Buzzword-Bingo.
Alle Beiträge dieses Autors →FAQ
Kurz und konkret beantwortet.
Ja. Transparenz ist eine zentrale Pflicht der DSGVO, konkret die Informationspflicht nach Art. 13. Die Betroffenen müssen wissen, dass und zu welchem Zweck ihre Zutritte erfasst werden, wie lange die Daten gespeichert bleiben und wer darauf zugreift.
Das hängt vom Umfang und Risiko ab. Bei umfangreicher oder besonders sensibler Verarbeitung kann eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich sein. Im Zweifel klärt das die oder der Datenschutzbeauftragte.
Nur im Rahmen des festgelegten Zwecks und der rechtlichen Vorgaben, etwa auf behördliche Anforderung. Eine darüber hinausgehende Weitergabe ist nicht zulässig. Bei Dienstleistern, die das System betreuen, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO nötig.
So kurz wie möglich, so lang wie für den Zweck nötig (Art. 5 Abs. 1 lit. e DSGVO). Für die Aufklärung von Vorfällen genügen meist wenige Tage bis Wochen, häufig nicht mehr als drei Monate. Die Löschung sollte automatisch und nachvollziehbar erfolgen.
Nein. Das verstößt gegen die Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO. Zutrittsdaten dienen der Sicherheit, nicht der Leistungs- oder Verhaltenskontrolle. Eine Nutzung als verdeckte Arbeitszeiterfassung ist unzulässig und mitbestimmungspflichtig.
Fragen zu Ihrem Projekt?
Ob Zutritt & Gebäude oder ein anderes Thema — wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist.
Kontakt aufnehmenKostenlose Erstberatung
Unverbindlich und ohne Fachchinesisch. Wählen Sie den Weg, der Ihnen am liebsten ist.
4,7 ★ GoogleAntwort in unter 4 Stundenpersönlich seit 2002
Rückruf anfordern
Innerhalb von 4 Stunden — kostenlos und unverbindlich.
Wir melden uns innerhalb von 4 Stunden bei Ihnen.
