Die Zutrittskontrolle ist eine wichtige technisch-organisatorische Maßnahme, die ein Unternehmen treffen muss, um den Schutz ihrer personenbezogenen Daten zu gewährleisten. Wie dies im Detail umgesetzt werden kann, haben wir im ersten Teil unserer Reihe „TOM und der Datenschutz“ ausführlich dargestellt.

Insbesondere zur Türverriegelung bieten sich verschiedene Maßnahmen an:

  • (Sicherheits-)Schlüssel
  • (RFID)-Token
  • PIN oder Passwort
  • Biometrische Systeme, z.B. per Fingerprint

Vor allem der Einsatz biometrischer Systeme gewinnt an zunehmender Beliebtheit, bieten diese doch den großen Vorteil gegenüber anderen Modellen, dass der Betroffene seinen Zutrittsschlüssel nicht vergessen oder verlieren kann.

Biometrie für Alle?

Auf der anderen Seite birgt der Einsatz biometrischer Systeme auch immer die Gefahr erheblicher Eingriffe in die Persönlichkeitsrechte der Betroffenen. Dieser Eingriff wiegt umso schwerer, wenn tatsächlich biometrische Merkmale permanent gespeichert werden und nicht nur ein mathematischer Wert, der sich aus dem biometrischen Merkmal errechnet (sog. biometrisches Template).

Nein!

Nach Auffassung der Landesdatenschutzbeauftragten Niedersachsen ist auf ein biometrisches System nur zurückzugreifen und dann auch die Diskussion zur Speicherung von Template oder „echten“ biometrischen Daten zu führen, wenn die Zutrittskontrolle nicht ebenso effektiv mit milderen Mitteln erreicht werden kann. Ein wesentliches Kriterium ist hierbei der Bereich, der durch die Zutrittskontrollmaßnahme vor unberechtigtem Betreten geschützt werden soll (22. TB, Seite 90).

Serverraum, Hochsicherheitsabteilung, Entwicklungslabor

Entscheidend ist, ob der Bereich ein Risiko für Leib und Leben birgt oder in diesem besondere Unternehmenswerte oder –güter aufbewahrt werden. In diesen Fällen kann sich der Einsatz der biometrischen Zutrittsregelung grundsätzlich rechtfertigen. In diesen Fällen sollte nur mit biometrischen Templates gearbeitet werden, die im Unternehmen gespeichert werden. Der Zutritt wäre zudem auf einen kleinen Kreis an Mitarbeitern zu beschränken.

Sonstige Bereiche

Für die sonstigen Bereiche dürften regelmäßig die traditionellen Maßnahmen (Sicherheitsschloss, (RFID)-Token, PIN oder Passwort) genügen. Selbst wenn ein Mitarbeiter seinen Schlüssel oder Token vergessen könnte, rechtfertigt dies keine andere Beurteilung: Diesem könnte für den aktuellen Tag ein entsprechender Besuchertoken oder ein Ersatzschlüssel zur Verfügung gestellt werden.