Datenschutz im Sicherheitsdienst: Einsatz von Wächterkontrollsystemen

DSGVO und Wächterkontrollsystem: Zulässigkeit prüfen

Wie bereits in anderen Artikeln des krisensicher-Blogs aufgezeigt, hat sich mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG) im Bereich des Datenschutzes viel geändert. Die Hauptaussage der DSGVO lautet: Personenbezogene Daten sind schützenswert. Eine Verarbeitung personenbezogener Daten darf nur erfolgen, wenn diese explizit, wie in Artikel 5 der DSGVO festgelegt, zulässig ist.


WKS sind insbesondere wegen der verwendeten Standortdaten und ihrem Bezug zum Arbeitsverhältnis ausführlich zu betrachten. Standortdaten sind gemäß Art. 4 DSGVO personenbezogene Daten, deren Verarbeitung eine rechtliche Grundlage voraussetzt. Für den Umgang mit den Standortdaten von Mitarbeitern gelten die Regelungen des § 26 BDSG. Demnach ist eine Verarbeitung nach freiwilliger, schriftlicher Einwilligung des Mitarbeiters oder auf Grundlage einer vorhandenen Kollektivvereinbarung (gemeint sind Dienst- oder Betriebsvereinbarungen) möglich. Die Rechte des Mitarbeiters (als betroffene Person) bleiben unberührt. Der Arbeitgeber muss dementsprechend z. B. seiner Informationspflicht nachkommen (vgl. Kapitel III. DSGVO, Art. 12 – 23).


Sicherheitsdienstleister müssen bei der Einführung von WKS prüfen, auf welcher Grundlage sie die darin verarbeiteten Daten nutzen wollen und dürfen. Je nach konkretem Anwendungsfall, können sich hier durchaus unterschiedliche Grundlagen ergeben (z. B. Schutz des Mitarbeiters als Alleinarbeiter vs. Nachweispflichten gegenüber dem Auftraggeber). Die Verarbeitung der Daten ist nur für die Zwecke zulässig, zu denen eine Rechtsgrundlage im Sinne des Art. 5 DSGVO besteht.

WKS und Datenschutz-Folgenabschätzung

Die DSGVO ist weit gefasst und soll für alle Unternehmen in der Europäischen Union wirksame Regeln vorgeben. Dieses Ziel verfolgt die Verordnung mit einem risikobasierten Ansatz. Für den Einsatz von neuen Technologien oder wenn ein hohes Risiko für die Rechte der betroffenen Personen besteht, ist die Durchführung einer Datenschutz-Folgenabschätzung notwendig. Bereits in einem anderen Artikel wurde auf die Muss-Liste der Datenschutzbehörden verwiesen.


Die Datenschutzbehörden stellen klar, dass aus ihrer Sicht eine Datenschutz-Folgenabschätzung notwendig ist, wenn Bewegungsprofile anhand der Position von Mitarbeitern erstellt werden (vgl. Nr. 8 der Muss-Liste). WKS sind ein solches System. Sie werden in der Muss-Liste explizit hervorgehoben. Es besteht nach Ansicht der Datenschutzbehörden das Risiko, dass sich aus der Nutzung solcher Technologien „Rechtsfolgen für die Betroffenen ergeben“ oder die Beschäftigten „in anderer Weise erheblich beeinträchtigt werden“. Diese Argumentation ist nachvollziehbar, denn die GPS-Daten können für andere Zwecke genutzt werden (z. B. Überprüfung der Einhaltung von Pausenzeiten oder Ermittlung von Leistungsindikatoren je Mitarbeiter für Rundgänge). Diese Zwecke der Verarbeitung sind jedoch unzulässig!


Da die Muss-Liste innerhalb der EU abgestimmt werden muss, sind die Kriterien noch nicht verbindlich. Allerdings ist die Durchführung einer Datenschutz-Folgenabschätzung für Sicherheitsdienste dennoch sinnvoll, um die notwendigen technischen und organisatorischen Maßnahmen abzuleiten. Entscheidet ein Unternehmen für sich, dass die Kriterien für eine Datenschutz-Folgenabschätzung nicht erfüllt sind, sollte es zumindest die Entscheidung und die Gründe dafür dokumentieren. Die Muss-Liste kann als Entscheidungshilfe hier heruntergeladen werden: https://www.lda.brandenburg.de…te_Allgemein_17102018.pdf

Technische Sicherheit muss betrachtet werden

Die Prüfung der Zulässigkeit und die Betrachtung der Risiken für die betroffenen Personen allein sind nicht ausreichend. Bei der Einführung eines WKS spielt zudem die Sicherheit der Verarbeitung gem. Art. 32 DSGVO eine Rolle. Wer beispielsweise in das WKS die Smartphones der Mitarbeiter eingebunden hat, d.h. „Stechstellen“ (z. B. QR-Codes) mit den privaten Mobilgeräten scannen lässt, muss die Sicherheit dieser privaten Endgeräte gewährleisten.[1]


Die Sicherheit der Endgeräte und des Gesamtsystems muss dabei auf technisch und organisatorischen Maßnahmen basieren, die sich am Stand der Technik orientieren (Art. 32 DSGVO). IT-Sicherheit ist somit ein wichtiger Aspekt im Datenschutz. Was Stand der Technik ist, hat der Bundesverband IT-Sicherheit e.V. (TeleTrusT) definiert als am Markt verfügbare Systeme, Komponenten und Prozesse, die einen effektiven Schutz von personenbezogenen Daten gewährleisten.[2] Gemeint ist nichts anderes, als der Einsatz von marktüblichen und als sicher geltenden Systemen und Methoden. Konkret heißt das beispielsweise, dass Systeme, die nicht mehr gepflegt werden (z. B. Windows XP oder Windows 7 ab Januar 2020) nicht eingesetzt werden sollen (sofern Alternativen verfügbar sind). Um den Stand der Technik zu ermitteln, können sich Sicherheitsdienstleister am BSI orientieren, das einen Baustein für Mobile Device Management veröffentlicht hat. Darin wird darauf hingewiesen, dass „mobile Endgeräte (Mobile Devices) besonderen Gefahren ausgesetzt sind“[3].


Beim Einsatz privater Endgeräte wird durch die Vielfalt der Gerätetypen, die die Mitarbeiter für das WKS nutzen, die zentrale Verwaltung der Sicherheitsstandards, die für die Umsetzung des Standes der Technik notwendig sind, erschwert. Laut BSI sind eine konsequente Umsetzung von Sicherheitsregeln auf den privaten Geräten und die Möglichkeit Notfallaktionen auslösen zu können (z. B. Löschen von Daten aus der Ferne bei Diebstahl) zwingend notwendig.

Selbst bereitstellen oder in die Cloud?

Aus datenschutzrechtlicher Sicht macht es einen Unterschied, ob Sicherheitsdienstleister das WKS bei sich selbst bereitstellen oder auf eine Software-as-a-Service-Lösung zurückgreifen. Wird das System in der eigenen Infrastruktur bereitgestellt, muss das Unternehmen die organisatorischen und technischen Maßnahmen allein umsetzen. In diesem Szenario hat das Unternehmen jedoch auch einen großen Einfluss auf die Art und Weise, wie mit den Daten umgegangen wird.


Bei Software-as-a-Service-Lösungen (Cloud-Lösungen) wird der Sicherheitsdienstleister, der das WKS nutzt, nicht von der Pflicht entbunden ein sicheres System (im Sinne des Standes der Technik) zu betreiben (Art. 28 Abs. 1 DSGVO). In einem solchen Fall ist die Rede von Auftragsverarbeitung. Die Nutzung des WKS in der Cloud ist nur zulässig, wenn ein entsprechender Vertrag geschlossen wurde. Die Gestaltung des Vertrages muss gewährleisten, dass die Rechte der betroffenen Personen gewahrt sind. Dem Sicherheitsunternehmen müssen die relevanten Unterlagen als Nachweis zur Verfügung gestellt werden. Es muss auch Überprüfungen und Audits zur Einhaltung des Vertrages durchführen dürfen. Da die Verantwortung für die Auswahl eines geeigneten Vertragspartners (Auftragsverarbeiters) beim Sicherheitsunternehmen liegt, sollte es diese Audits auch durchführen (oder auf Zertifizierungen achten, siehe unten). Aus Sicht des Datenschutzes ist die Nutzung der Cloud nicht weniger komplex, wenngleich die Betriebskosten oft geringer sind.

Organisation und Prozesse sind notwendig

TeleTrusT bezieht sich in seinem Papier zum Stand der Technik (siehe oben) explizit auch auf organisatorische Maßnahmen. Die Einführung eines WKS setzt also Prozesse und organisatorische Regelungen voraus. Zum einen müssen die Risiken, die mit der Verarbeitung der Daten einhergehen, identifiziert werden (vgl. Datenschutz-Folgenabschätzung). Maßnahmen, die zur Minimierung der Risiken notwendig sind, müssen geplant, umgesetzt und überwacht werden. Die Risiken müssen in einen Entscheidungsprozess überführt werden, der eine regelmäßige Überprüfung der Risikosituation gewährleistet.


Die Erhaltung der technischen Sicherheit des WKS bedingt ebenfalls das Vorhandensein von Prozessen. Die Sicherheit eines Systems muss regelmäßig überprüft und technische Maßnahmen angepasst werden. Ein Unternehmen muss sicherstellen, dass technische Schwachstellen in der WKS-Infrastruktur erkannt und behandelt werden. Systeme müssen auf dem aktuellen Stand bleiben, also ist ein Management von Updates notwendig. In diesem Zusammenhang ist z. B. zu gewährleisten, dass Updates die Stabilität des Systems nicht gefährden. Werden die Daten bei einem externen Dienstleister gespeichert (z. B. in der Cloud) muss dieser Dienstleister, wie bereits erörtert, in die Betrachtung einbezogen und entsprechende vertragliche Regelungen vereinbart werden.

Datenschutzmanagementsystem hilft bei der Umsetzung

Die unterschiedlichen Anforderungen der DSGVO lassen sich mithilfe eines Managementsystems steuern. Ähnlich eines Qualitätsmanagementsystems (QMS), bei dem es um die Erfüllung von Kundenanforderungen geht, stellt ein Datenschutz-Managementsystem (DSMS) die Umsetzung der rechtlichen Anforderungen sicher. Der Aufbau eines Managementsystems sollte sich an einschlägigen Normen und Standards (= Stand der Technik) orientieren. Hierfür eignen sich im Bereich des Datenschutzes die ISO 27001 in Verbindung mit datenschutzspezifischen Ergänzungen der ISO 27701 oder die VdS-Richtlinie 10000 mit entsprechenden Erweiterungen.

Experten frühzeitig einbinden

Der Einsatz „neuer“ (bzw. moderner) technischer Systeme im Sicherheitsdienst bedarf einer umfassenden Betrachtung. Der Datenschutzbeauftragte sollte hier die erste Anlaufstelle sein. Unternehmen, die nicht über entsprechende Ressourcen verfügen, sollten frühzeitig – und zwar vor der Entscheidung für ein System – einen externen Datenschutzexperten einbeziehen. Der Experte muss über Fachwissen im Datenschutzrecht, in der Sicherheit von Informationen und IT sowie Managementsystemen verfügen. Die Aufgabe ist anspruchsvoll und sollte nicht an einen Mitarbeiter delegiert werden, der zu spät „nein“ gesagt hat. Er wird das notwendige Wissen auch nicht in einem fünftägigen Seminar oder einem E-Learning Kurs nebenbei erlangen können. Für Datenschutzverstöße drohen sensible Strafen von bis zu 4 % des Jahresumsatzes eines Unternehmens. Wer an der Expertise seines Experten spart, spart an der falschen Stelle.


Link zum Originalartikel auf krisensicher-werden.de


Quellen und Hinweise:

[1] Der Einsatz von privaten Endgeräten wirft übrigens auch in anderen rechtlichen Bereichen, wie im Arbeits- oder Urheberrecht, Fragen auf. Eine Übersicht finden Sie hier: https://www.haufe.de/complianc…achten_230130_437814.html

[2] Bundesverband IT-Sicherheit e.V. (2019). IT-Sicherheitsgesetz und Datenschutz-Grundverordnung: Handreichung zum „Stand der Technik“ technischer und organisatorischer Maßnahmen [online] verfügbar unter: https://www.teletrust.de/filea…der_IT-Sicherheit_DEU.pdf (aufgerufen am 24.10.2019), S. 11f.

[3] Bundesamt für Sicherheit in der Informationstechnik (2019). SYS.3.2.2 Mobile Device Management (MDM) [online] https://www.bsi.bund.de/DE/The…ice_Management_(MDM).html (aufgerufen am 24.10.2019)

Über den Autor

Ich berate Firmen und Organisationen im Sicherheits- und Risikomanagement sowie in Qualitätsfragen.

Nach meinem Studium der Gefahrenabwehr in Hamburg war ich viele Jahre in der Sicherheitsabteilung der Bundesdruckerei GmbH tätig. Hier durfte ich meine Expertise als Verantwortlicher für diverse Sicherheitsthemen erweitern. Dazu zählte z. B. der Aufbau eines Travel Risk Management mit vielen internationalen Partner oder die Umsetzung von Sicherheitsanforderungen der Europäischen Zentralbank. Neben meiner beruflichen Tätigkeit habe ich zudem ein Masterstudium (MBA) absolviert.

Ich bin als Lehrbeauftragter für „International Risk and Security Management“ an der Hochschule für Wirtschaft und Recht in Berlin sowie an der NBS Hamburg tätig.

KrisensicherWerden   Foren-Moderator

Kommentare 3

  • sehr interessant :)gruß aus münchen

  • toller Beitrag