Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 13.04.2017

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

Datenschutz bei elektronischen Schließanlagen

Um sich vor Verstößen gegen das Hausrecht von außen effektiv zu schützen, aber auch um die internen Zutrittsberechtigungen differenziert zu verwalten, führen nach meiner Beobachtung bayerische öffentliche - vor allem staatliche und kommunale - Stellen in den letzten Jahren zunehmend zentrale, softwaretechnisch gesteuerte elektronische Schließanlagen ein.

In diesem Zusammenhang wird jede(r) einzelne Beschäftigte durch Zuweisung eines mit einer eindeutigen Identifizierungsnummer gekennzeichneten elektronischen Schlüssels - oft in Gestalt eines Transponders - zur Öffnung von bestimmten Türschlössern berechtigt. Im elektronischen Schließplan wird dementsprechend festgelegt, welche Türen von welchen Schlüsseln geöffnet werden können. Darüber hinaus wird hier elektronisch gespeichert, welcher Schlüssel welcher/m Beschäftigten ausgehändigt wurde. Auf diese Weise kann insbesondere sichergestellt werden, dass Räume, in denen sensible Daten aufbewahrt werden, nur von den jeweils zuständigen Beschäftigten betreten werden können. Eine elektronische Schließanlage ermöglicht es auch, die Zutrittsberechtigungen - etwa nach dem Ausscheiden von Beschäftigten - nachträglich zu ändern. Gehen Schlüssel verloren, können sie umgehend gesperrt werden; ferner können die betroffenen Türzylinder entsprechend umprogrammiert werden, so dass sich ein etwaiger Finder nicht unberechtigt Zutritt zu den Diensträumen verschaffen kann.

Im Ergebnis gewährleistet der Einsatz einer elektronischen Schließanlange somit nicht nur eine effektive, detaillierte Zutrittskontrolle, sondern macht - aufgrund der softwaretechnischen Programmierung der Schlüssel und der Türzylinder - auch die gewohnte, vergleichsweise aufwändige Verwaltung und Vergabe von herkömmlichen Schlüsseln entbehrlich.

Vor diesem Hintergrund haben sich bei mir vermehrt sowohl öffentliche Stellen als auch Bedienstete und Personalvertretungen nach den datenschutzrechtlichen Anforderungen an den Einsatz von elektronischen Schließanlagen erkundigt.

Hierzu nehme ich wie folgt Stellung:

Erhebung und Verwendung von Beschäftigtendaten

Mittels einer elektronischen Schließanlage werden typischerweise personenbezogene Beschäftigtendaten im Sinne von Art. 4 Abs. 1 BayDSG erhoben und verwendet.

Zumindest wird im zentralen Schließplan gespeichert, welche(r) Beschäftigte(r) welchen elektronischen Schlüssel mit welchen Zutrittsberechtigungen erhalten hat. Möglich ist aber grundsätzlich auch, dass zentral oder in den Speichereinheiten der Schlüssel und Türzylinder erfasst wird, mit welchem Schlüssel welche Tür zu welchem Zeitpunkt geöffnet wurde. Durch eine Verknüpfung der eindeutigen Schlüssel-Identifizierungsnummer mit den zugehörigen Personendaten aus dem elektronischen Schließplan kann sodann die/der einzelne Beschäftigte unschwer identifiziert werden; zudem kann ihr/sein "Zutrittsverhalten" nachvollzogen werden - und damit letztlich auch ein Bewegungsprofil erstellt werden.

Die Erhebung wie auch die Verarbeitung und die Nutzung solcher personenbezogenen Beschäftigtendaten stellen Eingriffe in das grundrechtlich geschützte Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1 in Verbindung mit Art. 2 Abs. 1 Grundgesetz für die Bundesrepublik Deutschland dar. Diese Eingriffe sind gemäß Art. 15 Abs. 1 BayDSG nur datenschutzrechtlich zulässig, wenn das Bayerische Datenschutzgesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet (Nr. 1) oder der Betroffene eingewilligt hat (Nr. 2).

Einwilligung im Abhängigkeitsverhältnis

Damit eine Einwilligung eine tragfähige Rechtsgrundlage im Sinne des Art. 15 Abs. 1 Nr. 2 BayDSG darstellen kann, muss sie in erster Linie den gesetzlichen Anforderungen von Art. 15 Abs. 2 bis 4 und 7 BayDSG genügen.

Danach muss eine datenschutzgerechte Einwilligung insbesondere freiwillig, informiert und grundsätzlich schriftlich erteilt werden; auch müssen die Betroffenen darauf hingewiesen werden, dass sie die Einwilligung ohne Angabe von Gründen und ohne nachteilige Folgen verweigern sowie jederzeit widerrufen können.

Unabhängig vom Vorliegen der übrigen Rechtmäßigkeitsvoraussetzungen ist es in Anbetracht der (strukturellen) Abhängigkeit, in der die Beschäftigten zu ihrem Dienstherrn stehen, im Dienstverhältnis stets fraglich, ob eine Einwilligung tatsächlich freiwillig, also ohne - zumindest gefühlten - (Gruppen-)Druck, erteilt wird. Hier bestehen im Regelfall erhebliche Bedenken.

Der Einsatz von elektronischen Schließanlagen ist daher auf der Grundlage einer Einwilligung der Beschäftigten - wenn überhaupt - nur in sehr engen Grenzen möglich.

Gesetzliche Anforderungen

  • Als gesetzliche Rechtsgrundlage im Sinne des Art. 15 Abs. 1 Nr. 1 BayDSG für die Erhebung von personenbezogenen Beschäftigtendaten mittels elektronischer Schließanlagen kommt bei bayerischen Beamtinnen und Beamten allein die Vorschrift des Art. 102 Bayerisches Beamtengesetz (BayBG) in Betracht. Diese Bestimmung ist als allgemein gültiges Schutzprinzip für alle öffentlichen Bediensteten nach meiner seit jeher vertretenen Auffassung auch auf die nicht-verbeamteten Beschäftigten des bayerischen öffentlichen Dienstes entsprechend anzuwenden.

    Nach Art. 102 Satz 1 BayBG darf der Dienstherr personenbezogene Daten über Beamte und Beamtinnen nur erheben, soweit dies (unter anderem) zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift dies erlaubt.

    Art. 102 BayBG Erhebung personenbezogener Daten

    1Der Dienstherr darf personenbezogene Daten über Bewerber, Bewerberinnen, Beamte und Beamtinnen sowie ehemalige Beamte und Beamtinnen nur erheben, soweit dies zur Begründung, Durchführung, Beendigung oder Abwicklung des Dienstverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift dies erlaubt. 2Fragebogen, mit denen solche personenbezogenen Daten erhoben werden, bedürfen der Genehmigung durch die oberste Dienstbehörde.

  • Bei den Daten im elektronischen Schließplan, die eine Zuordnung der elektronischen Schlüssel zu den jeweiligen Beschäftigten erlauben, handelt es sich zwar ebenso wie bei den möglicherweise gespeicherten "Zutrittsdaten" nicht um die Beamtin oder den Beamten betreffende Unterlagen, die mit dem Dienstverhältnis in einem unmittelbaren inneren Zusammenhang stehen. Diese Daten stellen somit keine Personalaktendaten im Sinne des § 50 Satz 2 Beamtenstatusgesetz, wohl aber personenbezogene Sachaktendaten dar.

    Die strengen Zugangsbeschränkungen des Art. 103 BayBG für Personalakten greifen daher nicht ein. Vielmehr richtet sich die Zulässigkeit der Verarbeitung und Nutzung von Beschäftigtendaten mittels elektronischer Schließanlagen nach den allgemeinen Vorschriften des Bayerischen Datenschutzgesetzes; insbesondere ist hier Art. 17 Abs. 1 BayDSG zu beachten.

    Art. 17 BayDSG Verarbeitung und Nutzung

    (1) Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn

    1. es zur Erfüllung der in der Zuständigkeit der speichernden Stelle liegenden Aufgaben erforderlich ist und
    2. es für die Zwecke erfolgt, für die die Daten erhoben worden sind; ist keine Erhebung vorausgegangen, dürfen die Daten nur für die Zwecke geändert oder genutzt werden, für die sie gespeichert worden sind.
  • Nach diesen beamten- und datenschutzrechtlichen Vorschriften kommt es für die Beurteilung der datenschutzrechtlichen Zulässigkeit entscheidend darauf an, ob und inwieweit die mit dem Einsatz von elektronischen Schließanlagen verbundenen Erhebungen, Nutzungen und Verarbeitungen personenbezogener Beschäftigtendaten zur ordnungsgemäßen Aufgabenerfüllung der öffentlichen Stelle - im Wesentlichen also zur sachgerechten Organisation des Betriebsablaufs und zur effektiven Wahrnehmung des Hausrechts - erforderlich sind.

    Dieses Erforderlichkeitsprinzip liegt im Übrigen auch den vereinzelt bestehenden, vorrangigen datenschutzrechtlichen Spezialvorschriften (etwa im Schulbereich Art. 85 Abs. 1 Satz 1 BayEUG in Verbindung mit Art. 14 Abs. 1 Satz 2 Bayerisches Schulfinanzierungsgesetz in Verbindung mit § 19 Satz 1 Lehrerdienstordnung) zugrunde.

    Die Erforderlichkeit ist zu bejahen, wenn die mit dem Einsatz einer elektronischen Schließanlage einhergehenden Datenerhebungen und -verwendungen nicht nur die Aufgabenerfüllung des Dienstherrn objektiv unterstützen und fördern, sondern auch zu den schutzwürdigen Interessen der Beschäftigten in einem angemessenen Verhältnis stehen. Insbesondere dürfen die (berechtigten) Interessen des Dienstherrn nicht auf andere, weniger in das Persönlichkeitsrecht der Beschäftigten eingreifende Weise gewahrt werden können.

  • Die Führung eines elektronischen Schließplans, aus dem sich nicht nur ergibt, welcher elektronische Schlüssel welcher/m Beschäftigten ausgehändigt wurde, sondern auch, zu welchen Räumen jeweils der Zutritt gestattet wurde, kann in der Regel als zur Aufgabenerfüllung des Dienstherrn erforderlich angesehen werden. Hier bestehen zwischen einer in Papierform geführten "Schlüsselliste" und einem elektronischen Schließplan keine maßgeblichen Unterschiede.

  • Problematischer ist es hingegen, wenn mittels der elektronischen Schließanlage - sei es zentral, sei es im Schlüssel, sei es im Türzylinder - auch die "Zutrittsdaten" gespeichert werden, also protokolliert wird, mit welchem Schlüssel (und damit mittelbar auch von welcher/m Beschäftigten) wann welches Türschloss geöffnet oder geschlossen wurde. Ob und inwieweit eine solche Speicherung zulässig ist, lässt sich nicht für alle Bereiche aller öffentlichen Stellen einheitlich und im Vorhinein beurteilen. Diese Bewertung hängt maßgeblich von den Umständen des Einzelfalles ab und kann daher letztlich nur vor Ort abschließend erfolgen.

    Aus Datenschutzsicht ist hierbei jedoch ein strenger Maßstab anzulegen. Grundsätzlich gilt, dass eine Speicherung der Zutritte zur behördlichen Aufgabenerfüllung nicht erforderlich ist. Zweck einer Schließanlage ist es, eine aufgabengerechte Zutrittsverwaltung zu betreiben und eine sachgerechte Ausübung des Hausrechts zu ermöglichen. Hierzu bedarf es einer Protokollierung der Zutritte beim Einsatz einer elektronischen Schließanlage ebenso wenig wie beim Gebrauch einer herkömmlichen, mechanischen Schließanlage.

    Entsprechend dieser Maßgabe hat die öffentliche Stelle die Software der elektronischen Schließanlage zu gestalten. Allein die Tatsache, dass auf dem Markt befindliche Anlagen Speicherungen von "Zutrittsdaten" ermöglichen oder sogar vorsehen, macht ihren Einsatz nicht erforderlich. Zutreffend hat das Bundesverfassungsgericht im Zusammenhang mit informations- und kommunikationstechnisch gestützter Datenverarbeitung allgemeingültig klargestellt: "Die Anforderungen an die technische Datenverarbeitung haben insoweit den Anforderungen des Grundrechts auf informationelle Selbstbestimmung zu genügen und nicht umgekehrt." (Bundesverfassungsgericht, Beschluss vom 13. Mai 2015 - 1 BvR 99/11).

    Ist eine Speicherung von "Zutrittsdaten" im Ausnahmefall - etwa beim Einsatz einer elektronischen Schließanlage in besonders sicherheitsrelevanten Bereichen - einmal zulässig, so hat die öffentliche Stelle sicherzustellen, dass die Speicherung möglichst kurz erfolgt und ein Zugriff auf die gespeicherten Daten unmöglich ist oder zumindest auf einen vorher festgelegten Personenkreis eng begrenzt wird. Besonders wichtig ist es auch, die gespeicherten personenbezogenen Beschäftigtendaten durch technische und organisatorische Maßnahmen vor unbefugtem Zugriff zu schützen.

Datenschutzrechtliche Freigabe

Der erstmalige Einsatz einer elektronischen Schließanlage bedarf gemäß Art. 26 Abs. 1 Satz 1 BayDSG der vorherigen schriftlichen datenschutzrechtlichen Freigabe. Nach Art. 26 Abs. 1 Satz 3 BayDSG gilt dies auch entsprechend für spätere, wesentliche Änderungen.

Die Freigabe ist nach Art. 26 Abs. 3 Satz 2 BayDSG von dem oder der behördlichen Datenschutzbeauftragten zu erteilen und gemäß Art. 27 BayDSG in das Verfahrensverzeichnis aufzunehmen.

Mitbestimmung des Personalrats

Darf im Ausnahmefall einmal eine Speicherung der beschäftigtenbezogenen "Zutrittsdaten" erfolgen, so ist der Personalrat bei Einführung, Anwendung und erheblicher Änderung der elektronischen Schließanlage zu beteiligen. Es ist ein Fall der zwingenden Mitbestimmung gemäß Art. 75a Abs. 1 Nr. 1 Bayerisches Personalvertretungsgesetz (BayPVG) gegeben, da die elektronische Schließanlage dann - was nach der Rechtsprechung bereits ausreichend ist - zur Überwachung des Verhaltens oder der Leistung der Beschäftigten an sich geeignet ist, auch wenn sie im konkreten Fall hierzu nicht eingesetzt werden soll.

Nicht zuletzt aus Transparenzgründen empfehle ich in diesem Zusammenhang stets, eine Dienstvereinbarung im Sinne des Art. 73 BayPVG zwischen Dienststelle und Personalrat abzuschließen.

In dieser Dienstvereinbarung sollte insbesondere geregelt werden,

  • zu welchen Zwecken genau welche - gegebenenfalls in einer Anlage zur Dienstvereinbarung konkret zu benennenden - Daten mittels der elektronischen Schließanlage in welchem Umfang erhoben, verarbeitet oder genutzt werden; dabei ist die Dauer der Speicherung auf das für den jeweiligen Zweck unbedingt erforderliche Maß zu begrenzen,
  • welche Personen innerhalb der öffentlichen Stelle Zugriff auf die gespeicherten Daten haben, wobei - wenn möglich - eine Protokollierung der Zugriffe erfolgen sollte,
  • wann genau die Daten zu löschen sind; dabei sind generell kurzfristige Löschvorgaben zu machen,
  • dass die Verwendung der Daten zur permanenten und allgemeinen Verhaltens- oder Leistungskontrolle ausgeschlossen ist.

    Zulässig sind allenfalls Anlasskontrollen im Falle eines durch konkrete Tatsachen begründeten Verdachts auf einen dienst-, arbeits-, straf- oder ordnungswidrigkeitenrechtlichen Verstoß sowie anlasslose Stichproben. In diesen Fällen darf die Auswertung des Datenmaterials allerdings nur unter Beteiligung der Personalvertretung und des oder der behördlichen Datenschutzbeauftragten vorgenommen werden,

  • dass die Beschäftigten über den Inhalt der Dienstvereinbarung unterrichtet werden.

Weiterführende Hinweise

Ergänzend möchte ich noch auf die Ausarbeitung "Einsatz von Zutrittskontrollsystemen" des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit aufmerksam machen. Diese befasst sich unter anderem mit der Funktionsweise und den datenschutzrechtlichen Anforderungen an Zutrittskontrollsysteme. Die Ausarbeitung ist unter https://www.tlfdi.de (externer Link) abrufbar.

Mit datenschutzrechtlichen Aspekten bei der Einbruchsbekämpfung mit einer zentralen Schließanlage hat sich das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein in seinem 27. Tätigkeitsbericht 2005 unter Nr. 4.1.3 beschäftigt. Dieser Beitrag ist unter https://www.datenschutzzentrum.de (externer Link) zu finden.