einwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvo

Daten von Besuchern in Unternehmen | Datenschutz nach DSGVO

In Unternehmen werden regelmäßig nicht nur Daten von Beschäftigten oder Kunden, sondern beispielsweise auch von Besuchern verarbeitet. Besucherdaten werden hierbei meist auf die folgenden Weisen verarbeitet:

  • namentliche Begrüßung der Besucher auf einem sich im Eingangsbereich befindenden Bildschirm
  • Verwendung von persönlichen Namensschildern zum sichtbaren Anbringen an der Kleidung
  • Eintrag in Besucherlisten

In diesem Zusammenhang stellt sich vor allem folgende Frage: Wird für diese Verarbeitung personenbezogener Daten eine (dokumentierte) Einwilligung benötigt oder reicht dazu das sog. „berechtigte Interesse“ gemäß Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung aus?

Begrüßungsbildschirm

Zu der Frage, ob jemand als Besucher eines Unternehmens in die namentliche Begrüßung auf einem Bildschirm im Eingangsbereich einwilligen muss, oder ob für diese Verarbeitung das „berechtigte Interesse“ ausreichend wäre, hat sich das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) kürzlich in einer Antwort auf eine diesbezügliche Anfrage geäußert (S. 5).

Danach kommt das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage nur in Frage, wenn es in einer Branche als sozialüblich angesehen wird, dass der Besucher namentlich angesprochen und begrüßt wird. Dies könne gemäß dem BayLDA in Ausnahmefällen bei der direkten Ansprache von Endkunden gegeben sein. Bei Mitarbeitern von Unternehmen ist dies nach Ansicht des BayLDA dahingegen regelmäßig nicht der Fall. Die namentliche Begrüßung auf einem Begrüßungsbildschirm kann daher nicht auf Basis der Rechtsgrundlage des berechtigten Interesses erfolgen, so dass das BayLDA empfiehlt, für eine solche Verarbeitung eine Einwilligung einzuholen. Inwieweit es praktikabel ist, den Mitarbeiter eines Kunden oder Lieferanten im Vorfeld eines vor-Ort Termins um eine Einwilligung zu bitten, seinen persönlichen Namen auf einem Bildschirm zu veröffentlichen soll dahingestellt bleiben. In der Praxis wird es wohl eher darauf hinauslaufen, dass auf die Verwendung von derartigen Begrüßungen verzichtet werden wird.

An dieser Stelle eine eher persönliche Meinung: Uns wundert die Meinung des BayLDA etwas. Wenn überhaupt, dann haben wir solche Begrüßungsbildschirme in der Vergangenheit ausschließlich im Bereich der Zusammenarbeit zwischen Unternehmen erlebt, noch nie jedoch im Bereich der Zusammenarbeit mit Endkunden. Die seit Langem gelebte Praxis steht hier der Meinung des BayLDA also vollkommen entgegen.

Besucherlisten und Namensschilder

Bei Besucherlisten und Namensschildern dürfte es grundsätzlich jedoch so sein, dass das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung ausreicht, denn ein Unternehmen hat ein Interesse daran, einerseits die Besucher – allein aus Sicherheitsgründen – zu dokumentieren (Besucherlisten) und zum anderen zu wissen, wie der konkrete Besucher heißt (Namensschild), um diesen gegebenenfalls identifizieren zu können. Problematisch ist bei Besucherlisten jedoch, dass es sich hierbei um Formulare handelt, bei denen mehrere Besucher sich zeilenweise auf dem selben Formular eintragen, so dass der jeweils letzte Besucher, der sich einträgt, die vorherigen Eintragungen sehen kann. Empfehlenswert ist daher, das Besuchermanagement derart zu gestalten, dass für jeden Besucher ein einzelnes Blatt verwendet wird, das nach dem Ausfüllen gesichert abgelegt wird (z.B. ein eine Box eingeworfen wird). Denkbar sind auch elektronische Lösungen, bei denen die Daten in ein zu diesem Zweck vorhandenes Endgerät (beispielsweise PC oder Tablet) eingegeben werden.

Alternativ könnte die Liste auch von einem Mitarbeiter am Empfang geführt werden. In diesem Fall könnte eine „einfache“ Liste genutzt werden, da die betroffenen Personen keinen Einblick in die Liste erhalten. In beiden Fällen sind zwingend die Informationspflichten gem. Art. 13 DSGVO zu erfüllen.

Fazit

Wie man anhand der Beispiele erkennen kann, ist eine pauschale Aussage, wann eine Einwilligung benötigt wird und wann das berechtigte Interesse ausreichend ist, teilweise nicht einfach zu beurteilen und hängt von Details (und der Meinung der zuständigen Aufsichtsbehörde) ab. Die Entscheidung kann immer nur einzelfallbezogen erfolgen. Die Implementierung eines rechtssicheren Besuchermanagements erfordert daher in der Regel die Beratung durch einen Experten – beispielsweise Ihren Datenschutzbeauftragten.

Verarbeiten Sie in Ihrem Unternehmen Besucherdaten und möchten dabei sicherstellen, dass diese Verarbeitung rechtskonform erfolgt? Kontaktieren Sie uns, wir beraten Sie gerne!