DSGVO & Datenschutz

• Besucherregistrierung (Besucherdaten): Die Erfassung von Besucherdaten muss datenschutzkonform gestaltet werden. Es dürfen nur notwendige personenbezogene Angaben von Besuchern erhoben werden, z. B. Name und Vorname, gegebenenfalls Firma oder Ansprechpartner im Haus, und der Zweck bzw. Zeitpunkt des Besuchs. Alle darüber hinausgehenden Daten sind zu vermeiden, es sei denn, sie sind aus Sicherheitsgründen unabdingbar (z. B. Kfz-Kennzeichen bei Parkraumnutzung oder Ausweisnummer bei Zutritt zu Hochsicherheitsbereichen, sofern eine Rechtsgrundlage besteht). Die Erfassung sollte dem Prinzip der Datenminimierung folgen – also keine Informationen abfragen, die für den reinen Empfangsvorgang nicht relevant sind. Besucherlisten dürfen nicht offen ausliegen. Es ist unzulässig, dass sich Besucher in eine gemeinsame Liste eintragen, in der sie die Daten vorheriger Besucher einsehen können. Eine solche Praxis würde bedeuten, dass personenbezogene Daten für unbefugte Dritte (nämlich andere Besucher) einsehbar sind, was einen Datenschutzverstoß darstellt. Stattdessen ist pro Besucher ein separates Formular oder ein technisch entsprechendes Verfahren zu verwenden. In der Praxis kann dies z. B. durch einzelne Besucherformulare erfolgen, die jeder Besucher ausfüllt und die dann sofort weggeschlossen werden, oder durch digitale Eingabegeräte (Tablet/Kiosk), die immer nur die eigenen Daten anzeigen. Physische Besucherbögen sind nach dem Ausfüllen getrennt abzulegen (etwa in einem abgeschlossenen Fach). Falls ein Besucherausweis-System genutzt wird, bei dem Besucher Namen auf Ausweisen tragen, ist auf datenschutzkonforme Gestaltung zu achten (z. B. Nachname und ggf. Firma auf dem Ausweis sind in der Regel zulässig auf Basis berechtigten Interesses, jedoch sollten keine darüber hinausgehenden persönlichen Daten sichtbar sein; ein Foto auf einem Besucherausweis wäre nur mit Einwilligung des Besuchers erlaubt). Zugriffsschutz: Unbefugte (einschließlich anderer Besucher) dürfen keinen Zugang zu Besucherdaten haben. Deshalb muss auch während der Dienstzeit darauf geachtet werden, dass ausgefüllte Besuchsformulare nicht frei einsehbar am Empfang liegen und dass digitale Besucherregister durch Zugriffsrechte geschützt sind. Moderne digitale Besuchermanagement-Systeme können hier Vorteile bieten: Sie halten die Informationen für andere Besucher unsichtbar und erlauben zudem eine leichtere Suche und Löschung von Besucherdaten auf Anforderung oder nach Ablauf der Frist. Der Bieter sollte beschreiben, welches System er zur Besucherregistrierung einsetzt und wie es datenschutzgerecht ausgestaltet ist (z. B. Nutzung eines DSGVO-konformen Softwaretools, Abschirmung von Papierlisten durch Abdeckblätter etc.). Wichtig ist auch, dass Besucherdaten nur so lange aufbewahrt werden, wie es für den Zweck erforderlich ist. Eine übliche Aufbewahrungsdauer in vielen Unternehmen ist z. B. einige Wochen bis wenige Monate, um etwa im Evakuierungsfall nachweisen zu können, wer im Gebäude war, oder um Besuchsstatistiken zu führen. Nach Ablauf dieser Frist sind die Besucherdaten zu löschen oder zu anonymisieren. Die Aufbewahrungsdauer und das Löschkonzept sollten im Angebot angegeben werden.

• Paket- und Lieferantenregister: Sofern der Empfang auch als Poststelle oder Wareneingang fungiert und ein Register über eingehende/ausgehende Lieferungen geführt wird, gelten ähnliche Datenschutzprinzipien. Es dürfen nur die Daten festgehalten werden, die für den Empfang und die Ausgabe von Sendungen notwendig sind. In ein Paketregister gehören z. B. Datum/Uhrzeit, Name des Empfängers (Mitarbeiter/Firma intern), Absender (Name/Firma) und ggf. Sendungsnummer oder interne Referenz sowie die Unterschrift des Empfängers bei Abholung. Persönliche Details über Absender oder Empfänger, die nicht für diesen Zweck nötig sind (etwa private Anschriften des Absenders, Inhalt der Sendung, usw.), sollen nicht erfasst werden. Insbesondere sensitive Daten über den Inhalt von Lieferungen (z. B. “Medikament XY für Mitarbeiter Z”) dürfen nicht im Register vermerkt werden, um die Vertraulichkeit zu wahren. Auch hier gilt Datenminimierung strikt. Das Register – ob in Papierform oder elektronisch – muss vor unbefugtem Zugriff geschützt sein. Ein ausliegendes Paketbuch ist ebenso wenig angebracht wie eine Besucherliste; idealerweise wird der Paketempfang digital dokumentiert oder das Buch wird unter Verschluss gehalten, sodass nur Empfangsmitarbeiter Zugriff haben. Speicherbegrenzung: Informationen über Pakete und Lieferungen sollen nur so lange aufbewahrt werden, wie es betrieblich notwendig ist. Ist der Zweck eines Eintrags erfüllt (das Paket wurde dem Empfänger übergeben und es besteht keine Notwendigkeit für weitere Nachverfolgung), soll der Eintrag nach einer definierten Frist gelöscht oder das Papierformular vernichtet werden. Oft reichen hier kurze Fristen (z. B. 1–3 Monate), um bei Nachfragen (verlustige Sendungen o. ä.) reagieren zu können. Eine dauerhafte Archivierung aller Lieferungsdaten ist nicht zulässig, da dies gegen das Prinzip der Speicherbegrenzung verstößt. Der Bieter sollte im Konzept angeben, wie lange Paketdaten vorgehalten werden und wie deren Löschung erfolgt. Zusammengefasst muss das Verfahren im Umgang mit Lieferantendaten und Paketen gewährleisten, dass nur notwendige Daten erhoben, diese Daten vor unberechtigtem Zugriff gesichert und nach Zweckerfüllung unverzüglich gelöscht bzw. vernichtet werden.

• Benennung eines DSB: Der Dienstleister muss – entsprechend den gesetzlichen Vorgaben – einen Datenschutzbeauftragten bestellen. Nach Art. 37 DSGVO und § 38 BDSG ist dies insbesondere dann Pflicht, wenn das Unternehmen umfangreich personenbezogene Daten verarbeitet oder bestimmte Schwellen (z. B. 20 mit Datenverarbeitung betraute Mitarbeiter) überschritten werden. Da im Empfangsdienst regelmäßig täglich eine Vielzahl personenbezogener Einträge vorgenommen wird und oft auch besondere Kategorien von Daten (z. B. Gesundheitsdaten bei Corona-Fragebögen, falls relevant) verarbeitet werden, ist in der Regel von einer DSB-Benennungspflicht auszugehen. Der Datenschutzbeauftragte des Bieters sollte über die erforderliche Fachkunde und Zuverlässigkeit verfügen, um die Einhaltung der DSGVO zu überwachen. Sollte ein Bieter gemäß DSGVO/BDSG formell nicht verpflichtet sein, einen DSB zu benennen (etwa bei sehr kleinem Unternehmen), wird dennoch erwartet, dass eine klar benannte verantwortliche Person für Datenschutzbelange vorhanden ist. Diese Person übernimmt dann faktisch die Rolle des Ansprechpartners für Datenschutz.

• Mitteilung der DSB-Kontaktdaten: Im Angebot sind die Kontaktdaten der/des Datenschutzbeauftragten des Bieters anzugeben. Dazu gehören mindestens Name und E-Mail-Adresse, idealerweise auch Telefon und Anschrift. Diese Informationen ermöglichen es dem Auftraggeber und ggf. den Aufsichtsbehörden, bei Datenschutzfragen unmittelbar den richtigen Ansprechpartner zu erreichen. Die Bekanntgabe der DSB-Kontaktdaten ist zudem eine Anforderung der DSGVO – beispielsweise verlangt Art. 37 Abs. 7 DSGVO, dass Unternehmen der Aufsichtsbehörde und der Öffentlichkeit die Kontaktdaten ihres DSB mitteilen. Indem der Bieter diese Daten bereits in der Ausschreibung nennt, zeigt er Transparenz und Bereitschaft zur Zusammenarbeit. Der DSB des Dienstleisters sollte während der Vertragslaufzeit jederzeit ansprechbar sein für den Auftraggeber (z. B. für Abstimmungen oder im Fall eines Sicherheitsvorfalls).

• Aufgaben und Zusammenarbeit: Der Datenschutzbeauftragte des Dienstleisters ist dafür verantwortlich, die Einhaltung des Datenschutzes beim Empfangsdienst zu überwachen und die Geschäftsführung sowie Mitarbeiter des Dienstleisters in Datenschutzfragen zu beraten. Es wird erwartet, dass der DSB regelmäßig Schulungen oder Unterweisungen der Empfangsmitarbeiter unterstützt und bei der Einführung neuer Prozesse (z. B. Wechsel des Besuchermanagement-Systems) beteiligt wird. Eine enge Zusammenarbeit mit dem Datenschutzbeauftragten des Auftraggebers ist ebenfalls erforderlich. Beide sollten sich z. B. zu Beginn der Vertragslaufzeit über die Abläufe abstimmen: Welche Datenschutzrichtlinien hat der Auftraggeber, die vom Dienstleister zu beachten sind? Wie erfolgt die Information der Besucher gemäß Art. 13 DSGVO (Datenschutzhinweise am Empfang)? Der DSB des Dienstleisters sollte zudem bei der Behandlung von Betroffenenanfragen (etwa wenn ein Besucher Auskunft über seine gespeicherten Daten verlangt) oder bei Datenschutzvorfällen eine koordinierende Rolle einnehmen und eng mit dem DSB des Auftraggebers zusammenwirken. Bieter sollten zusichern, dass ihr DSB an solchen Abstimmungen teilnehmen wird und für regelmäßige Datenschutz-Meetings sowie für Audits zur Verfügung steht. So wird sichergestellt, dass beide Seiten – Auftraggeber und Auftragnehmer – beim Thema Datenschutz an einem Strang ziehen und ein hohes Schutzniveau aufrechterhalten.

• Physische Unterlagen: Alle in Papierform anfallenden Unterlagen mit personenbezogenen Daten (wie z. B. Besucherliste, einzelne Besucherformulare, Lieferantenscheine, Empfangsjournal etc.) sind sicher aufzubewahren. “Sicher” bedeutet in diesem Kontext, dass Unbefugte keinen Zugriff darauf haben. Praktisch ist dies durch Verwahren in verschließbaren Schränken, Schubladen oder Räumen im Empfangsbereich umzusetzen. Nur berechtigte Mitarbeiter (z. B. das Empfangs- oder Sicherheitspersonal) dürfen Zugang zu diesen Unterlagen erhalten. Während der Arbeitszeit ist darauf zu achten, dass etwa ausgefüllte Formulare nicht offen auf dem Tresen liegen bleiben, sondern umgehend in eine Mappe oder Ablage gelegt werden, die für Besucher nicht erreichbar/einsehbar ist. Außerhalb der Dienstzeiten müssen sämtliche personenbezogenen Unterlagen am Empfang weggeschlossen sein. Sollte der Empfang 24/7 besetzt sein, ist dennoch sicherzustellen, dass jeweils nur das notwendige Material offen liegt. Unterlagen dürfen auch nicht unbeaufsichtigt bleiben – wenn der Empfang kurz verlassen wird, sind Dokumente sicher zu verstauen. Diese Maßnahmen fallen unter die technisch-organisatorischen Maßnahmen (TOM) der DSGVO zur Gewährleistung von Vertraulichkeit und sollten vom Bieter im Konzept erwähnt werden. Insbesondere wenn im Empfangsbereich z. B. Besucherbücher geführt werden, muss ein Verfahren (Abdeckung, Einzelblattprinzip etc.) vorhanden sein, das die Vertraulichkeit der Einträge sicherstellt. Darüber hinaus sollte geregelt sein, wer intern Zugriff auf die abgelegten Besucherdokumente hat (z. B. nur die Empfangsleitung oder der Sicherheitschef) und wie Zugriffe protokolliert werden.

• Physische Unterlagen: Alle in Papierform anfallenden Unterlagen mit personenbezogenen Daten (wie z. B. Besucherliste, einzelne Besucherformulare, Lieferantenscheine, Empfangsjournal etc.) sind sicher aufzubewahren. “Sicher” bedeutet in diesem Kontext, dass Unbefugte keinen Zugriff darauf haben. Praktisch ist dies durch Verwahren in verschließbaren Schränken, Schubladen oder Räumen im Empfangsbereich umzusetzen. Nur berechtigte Mitarbeiter (z. B. das Empfangs- oder Sicherheitspersonal) dürfen Zugang zu diesen Unterlagen erhalten. Während der Arbeitszeit ist darauf zu achten, dass etwa ausgefüllte Formulare nicht offen auf dem Tresen liegen bleiben, sondern umgehend in eine Mappe oder Ablage gelegt werden, die für Besucher nicht erreichbar/einsehbar ist. Außerhalb der Dienstzeiten müssen sämtliche personenbezogenen Unterlagen am Empfang weggeschlossen sein. Sollte der Empfang 24/7 besetzt sein, ist dennoch sicherzustellen, dass jeweils nur das notwendige Material offen liegt. Unterlagen dürfen auch nicht unbeaufsichtigt bleiben – wenn der Empfang kurz verlassen wird, sind Dokumente sicher zu verstauen. Diese Maßnahmen fallen unter die technisch-organisatorischen Maßnahmen (TOM) der DSGVO zur Gewährleistung von Vertraulichkeit und sollten vom Bieter im Konzept erwähnt werden. Insbesondere wenn im Empfangsbereich z. B. Besucherbücher geführt werden, muss ein Verfahren (Abdeckung, Einzelblattprinzip etc.) vorhanden sein, das die Vertraulichkeit der Einträge sicherstellt. Darüber hinaus sollte geregelt sein, wer intern Zugriff auf die abgelegten Besucherdokumente hat (z. B. nur die Empfangsleitung oder der Sicherheitschef) und wie Zugriffe protokolliert werden.

• Datenlöschung und -vernichtung: Es ist ein verbindliches Verfahren zur Datenvernichtung festzulegen, um personenbezogene Daten nach Zweckerfüllung oder Ablauf der zulässigen Speicherfrist sicher zu löschen. Für Papierdokumente bedeutet dies, dass diese nach Ablauf der Aufbewahrungsdauer geschreddert oder vernichtet werden müssen, und zwar so, dass eine Rekonstruktion ausgeschlossen ist. Idealerweise wird hierfür ein Aktenvernichter mit hoher Schutzklasse (Partikelschnitt) verwendet oder ein professioneller Dienstleister beauftragt, der eine datenschutzgerechte Vernichtung (nach DIN 66399 oder vergleichbar) durchführt. Bis zur Vernichtung sind die Papierdokumente sicher zu lagern (verschlossen). Für digitale Daten gilt: Diese sind nach Ablauf der Frist aus den Systemen zu entfernen. Eine einfache Löschung (Verschieben in den Papierkorb des PCs) reicht nicht aus, da Daten wiederherstellbar sein können. Erforderlich ist eine überschreibende Löschung oder physische Zerstörung der Datenträger. Der Bieter sollte ein Löschkonzept vorlegen: Welche Daten werden wann gelöscht und wie wird dies technisch umgesetzt? Beispielsweise kann festgelegt sein, dass Besucherdatenbank-Einträge automatisiert nach 90 Tagen gelöscht werden. Wichtig: Backup-Daten und eventuelle Log-Dateien dürfen hierbei nicht vergessen werden. Alle Löschvorgänge sollten protokolliert werden, um im Audit nachweisen zu können, dass Daten fristgerecht entfernt wurden. Dieser Prozess stellt sicher, dass keine unnötige Datensammlung entsteht und reduziert Risiken sowie Compliance-Aufwand. Hinweis: Die DSGVO fordert nicht nur die Löschung nach Zweckwegfall, sondern auch, dass Daten bei Fehlern etc. berichtigt oder gelöscht werden („Recht auf Vergessenwerden“). Der Empfangsdienst sollte daher auch in der Lage sein, auf Verlangen eines Betroffenen dessen Daten vorzeitig zu löschen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Insgesamt muss der Bieter zeigen, dass er über den gesamten Lebenszyklus der Daten – von der Erhebung bis zur Vernichtung – wirksame Datenschutzmaßnahmen etabliert hat.

• Datenschutzkonzept / -richtlinie: Der Bieter soll eine firmeneigene Datenschutzrichtlinie oder ein Datenschutzkonzept vorlegen, das die Umsetzung der DSGVO-Grundsätze im Unternehmen beschreibt. Dieses Dokument dient als Beleg dafür, dass der Bieter intern klare Regeln und Prozesse zum Datenschutz etabliert hat. Typische Inhalte wären z. B.: Verantwortlichkeiten im Datenschutz, Verfahrensverzeichnisse, Regelungen zur Datensicherheit, Löschfristen, Vorgehen bei Datenschutzvorfällen, Schulungskonzepte und Rechte der Betroffenen. Wichtig ist, dass daraus hervorgeht, dass der Bieter die in dieser Richtlinie geforderten Maßnahmen (Grundsatzkonformität, TOM, Mitarbeiterverpflichtungen etc.) bereits lebt oder verbindlich einführen wird. Ggf. kann der Bieter Auszüge speziell zum Empfangsdienst ergänzen, um zu zeigen, wie allgemeine Richtlinien (z. B. zum Auskunftsrecht) in der täglichen Empfangspraxis umgesetzt werden. Ein solches Dokument ermöglicht es dem Auftraggeber, die generelle Datenschutzaufstellung des Bieters zu bewerten.

• Nachweis der IT-Sicherheit: Das Angebot soll darlegen, welche technischen und organisatorischen Sicherheitsvorkehrungen der Bieter für die Verarbeitung personenbezogener Daten am Empfang implementiert hat. Hierzu können Sicherheitskonzepte, Zertifikate oder Prüfberichte eingereicht werden. Beispielsweise: Wenn der Bieter ein IT-Sicherheitszertifikat (wie ISO 27001) besitzt, sollte eine Kopie bzw. Referenz darauf im Angebot enthalten sein. Falls externe Audits oder Penetrationstests durchgeführt wurden, können deren Ergebnisse (sofern aussagekräftig) beigefügt oder beschrieben werden. Ebenso kann der Bieter technische Unterlagen bereitstellen, etwa Datenflussdiagramme, aus denen hervorgeht, wo Daten gespeichert werden (On-Premise-Server, Cloud, verschlüsselte Datenbank etc.) und wie Zugriffe kontrolliert sind. Verlangt wird auch ein Nachweis, dass alle IT-Systeme, die im Auftrag genutzt würden, den DSGVO-Anforderungen genügen – z. B. dass mit etwaigen Unterauftragsverarbeitern (etwa einem Cloud-Anbieter) gültige Auftragsverarbeitungsverträge bestehen, oder dass Rechenzentren innerhalb des EWR liegen. Der Bieter kann ferner belegen, dass er Standardvertragsklauseln oder andere Transfergarantien verwendet, falls im Rahmen des Empfangsdienstes personenbezogene Daten in Drittstaaten verarbeitet werden (z. B. durch einen Software-Cloud-Dienst). Summarisch geht es darum, dass der Bieter dem Auftraggeber ausreichende Garantie im Sinne von Art. 28 DSGVO bietet, dass die Verarbeitung durch ihn sicher und rechtskonform erfolgen wird. Die Vorlage von IT-Sicherheitsrichtlinien oder -policies (z. B. Passwort-Richtlinie, Clean-Desk-Policy am Empfang etc.) kann ebenfalls sinnvoll sein, um das Bewusstsein für Datenschutz im Betriebsablauf zu demonstrieren.

• Mitarbeiter-Verpflichtungserklärungen: Der Bieter muss belegen, dass alle Mitarbeiter, die im Empfangsdienst eingesetzt werden (sollen), auf das Datengeheimnis und die Vertraulichkeit personenbezogener Daten verpflichtet wurden. In Deutschland war dies früher als Verpflichtung auf § 5 BDSG (alt) bekannt; nach DSGVO ergibt es sich implizit aus Art. 28 Abs. 3 Satz 2 b), wonach der Auftragsverarbeiter sicherstellt, dass die zur Datenverarbeitung befugten Personen einer angemessenen Vertraulichkeitsverpflichtung unterliegen. Praktisch wird dies meist durch eine schriftliche Verpflichtungserklärung nach DSGVO umgesetzt, die jeder Mitarbeiter unterzeichnet. Darin wird ihnen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder weiterzugeben – und diese Pflicht gilt auch nach Ausscheiden fort. Der Bieter sollte im Angebot erklären, dass eine solche Verpflichtung für alle relevanten Beschäftigten besteht, und idealerweise ein anonymisiertes Muster dieser Erklärung beilegen oder einen Passus aus dem Arbeitsvertrag zitieren, der die Verschwiegenheitspflicht enthält. Auch der Nachweis, dass Mitarbeiter regelmäßig auf Datenschutz und Geheimhaltung hingewiesen werden, ist hilfreich. Diese Unterlagen dienen dem Auftraggeber als Sicherheit, dass die Menschen, die letztlich an der Pforte sitzen, sich ihrer Verantwortung bewusst sind und rechtlich gebunden wurden, das Datengeheimnis zu wahren. (Anmerkung: Gemäß § 53 BDSG gibt es Muster für diese Mitarbeiterverpflichtung, was der Bieter ggf. erwähnen kann.) Letztlich werden so Risiken durch „Insider“ – also dass Mitarbeiter Daten unbefugt weitergeben – vermindert.

Zusammengefasst verlangt der Ausschreibungsprozess von jedem Bieter substanziellen Nachweis seiner Datenschutz-Compliance. Bieter, die diese Nachweise nicht erbringen, können vom weiteren Vergabeverfahren ausgeschlossen werden. Die geforderten Unterlagen ermöglichen dem Auftraggeber, die Angebote im Hinblick auf Datenschutz vergleichbar und prüfbar zu machen.

• Muss-Kriterium Datenschutz: Die Erfüllung der Datenschutzanforderungen wird als Mindestkriterium (K.-o.-Kriterium) festgesetzt. Das heißt, ein Angebot, das wesentliche Vorgaben dieser Datenschutz-Richtlinie nicht erfüllt, scheidet unabhängig von anderen Bewertungskriterien aus. Beispielsweise würde ein Bieter, der keinen Datenschutzbeauftragten vorweisen kann (obwohl gesetzlich erforderlich), oder der kein überzeugendes Löschkonzept darlegen kann, aus dem Verfahren ausgeschlossen. Dieses strikte Vorgehen ist notwendig, da schon eine einzelne gravierende Lücke in der Datenschutz-Compliance das ganze Auftragsverhältnis gefährden könnte (etwa durch drohende Bußgelder oder Sicherheitsrisiken). Die Vergabestelle wird daher zunächst prüfen, ob alle im Abschnitt 6 geforderten Nachweise vorliegen und ob die beschriebenen Konzepte plausibel und DSGVO-konform sind. Nur Angebote, die diese „Grundlagen“ nachweislich erfüllen, gelangen in die nächste Bewertungsstufe. Bieter sollten sich dessen bewusst sein und lieber kein Angebot abgeben, das an dieser Hürde scheitert, da fehlende Datenschutz-Compliance nicht durch andere Vorteile (wie niedriger Preis) ausgeglichen werden kann.

• Zusatzpunkte für Zertifizierungen und Best Practices: Datenschutz und Datensicherheit werden auch qualitativ bewertet. Bieter, die über einschlägige Zertifizierungen oder Qualitätssiegel verfügen, erhalten dafür im Bewertungsschema extra Punkte. Insbesondere eine Zertifizierung nach ISO/IEC 27001 (Informationssicherheits-Managementsystem) wird positiv angerechnet, da sie einen extern geprüften Sicherheitsstandard nachweist. Auch ISO/IEC 27701 (Datenschutz-Erweiterung zu 27001) oder ein TÜV/EuroPriSe-Datenschutzaudit, BSI-Grundschutz-Zertifikat oder gar ein vorhandenes DSGVO-Gütesiegel (sofern verfügbar) würden ähnlich honoriert. Solche Nachweise zeigen dem Auftraggeber, dass unabhängige Stellen die Prozesse des Bieters geprüft haben und bestätigen, dass angemessene technische und organisatorische Maßnahmen existieren – dies schafft deutlich mehr Vertrauen als rein interne Beteuerungen. Darüber hinaus könnten auch Aspekte wie Mitgliedschaften in Datenschutzverbänden, regelmäßige freiwillige Audits oder die Beschäftigung zertifizierter Datenschützer im Team positiv in die Bewertung einfließen. Die genauen Scoring-Regeln sollten dem Bieter bekannt sein (z. B. „Vorhandenes ISO 27001-Zertifikat: +5 Punkte“ etc.). Bieter, die solche Stärken haben, sollten sie klar im Angebot hervorheben und belegen.

• Bewertung der Datenschutz-Qualität: Abseits formaler Zertifikate wird auch die Qualität und Detailtiefe der datenschutzbezogenen Aussagen im Angebot bewertet. Ein Anbieter, der ein durchdachtes, auf die Ausschreibung zugeschnittenes Datenschutzkonzept präsentiert, wird besser bewertet als jemand, der nur allgemeine Floskeln schreibt. Zum Beispiel wird positiv bewertet, wenn ein Bieter proaktiv Maßnahmen vorschlägt, um den Datenschutz am Empfang zu erhöhen (z. B. Einsatz einer datenschutzfreundlichen Besucher-Software, Privacy-Screens auf Monitoren, Ausfertigung von Informationsblättern für Besucher nach Art. 13 DSGVO etc.). Auch ein ausgefeilter Incident-Response-Plan für Datenschutzvorfälle (inkl. Meldewegen innerhalb 72 Stunden) und eine klare organisatorische Verankerung des Datenschutzes (z. B. Benennung eines Ansprechpartners vor Ort neben dem DSB) werden honoriert. Im Gegensatz dazu würde eine lapidare oder unvollständige Beschreibung („wir halten uns selbstverständlich an die DSGVO“) Punktabzug bedeuten, da sie mangelndes Engagement vermuten lässt. Gegebenenfalls wird die Ausschreibung ein Bewertungsraster haben, in dem bestimmte Unterkriterien – wie „Schutz der Vertraulichkeit vor Ort“, „Konzept Aufbewahrung/Löschung“, „Notfallmanagement“ – jeweils benotet werden. Bieter sollten also jeden dieser Punkte sorgfältig bearbeiten. Vergangene Vorfälle: Sollte dem Auftraggeber bekannt sein (z. B. aus Presse oder Referenzen), dass ein Bieter in der Vergangenheit gegen Datenschutzauflagen verstoßen hat oder Sicherheitsprobleme hatte, kann dies die Bewertung beeinflussen. Ein Bieter mit nachweislich weißer Weste und guter Reputation wird bevorzugt. Es ist daher im Interesse jedes Bieters, eine Kultur der Compliance nachweisen zu können und etwaige frühere Zwischenfälle offen anzusprechen und zu erklären, welche Verbesserungen daraus gezogen wurden.

Letztendlich fließt Datenschutz als bedeutender Faktor in die Entscheidungsfindung ein – nicht nur als eigenständiges Kriterium, sondern auch indirekt, da ein gut gemanagter Empfangsdienst eng mit der Sicherheit und Professionalität des Gesamtbetriebs verbunden ist. Der Zuschlag wird nur an einen Bieter erteilt, der nachweislich sowohl wirtschaftlich als auch datenschutzrechtlich den hohen Anforderungen genügt.

• Regelmäßige Audits und Kontrollen: Der Auftraggeber wird im Vertrag festschreiben, dass er berechtigt ist, jährliche Datenschutz-Audits beim Auftragnehmer durchzuführen oder durch Dritte durchführen zu lassen. Dabei wird geprüft, ob die in Angebot und Vertrag zugesicherten Datenschutzmaßnahmen tatsächlich eingehalten werde. Ein solches Audit kann verschiedene Formen annehmen: Zum einen Vor-Ort-Kontrollen im Empfangsbereich (z. B. Begehung, bei der kontrolliert wird, ob keine offen ausliegenden Listen vorhanden sind, ob Besucher korrekt informiert werden, ob Zugänge ordnungsgemäß geschützt sind). Zum anderen die Einsichtnahme in Dokumentationen: Der Dienstleister muss ggf. Nachweise vorlegen, wie er die Schulungen durchführt, ob Löschprotokolle geführt werden, ob Zugriffsberechtigungen regelmäßig überprüft werden usw. Auch technische Prüfungen können erfolgen (z. B. Penetrationstest auf das Besuchersystem, sofern vereinbart). Gemäß Art. 28 DSGVO ist der Auftraggeber berechtigt, sich von der Einhaltung der vereinbarten Schutzmaßnahmen zu überzeugen, und der Auftragnehmer verpflichtet, diese Überprüfungen zu ermöglichen. Entsprechend wird erwartet, dass der Dienstleister dem Auftraggeber und ggf. der Datenschutzaufsicht Auskünfte erteilt und Zugang zu relevanten Informationen gewährt. Die Ergebnisse solcher Audits werden typischerweise in einem Bericht festgehalten. Zusätzlich zu jährlichen Audits kann der Vertrag auch kürzere Intervalle oder spezifische Trigger definieren: z. B. anlassbezogene Überprüfungen nach einem Datenschutzvorfall. Weiterhin kann vereinbart werden, dass der Dienstleister dem Auftraggeber regelmäßig (z. B. quartalsweise) über Datenschutz-Kennzahlen berichtet – etwa Anzahl der erfassten Besucher, erfolgte Löschungen, aufgetretene Zwischenfälle. So bleibt der Datenschutz für beide Seiten ein kontinuierlicher Prozess.

• Meldepflicht bei Datenschutzvorfällen: Die Vertragspartner werden klare Kommunikationswege im Falle eines Datenschutzvorfalls definieren. Sollte dem Dienstleister eine Verletzung des Schutzes personenbezogener Daten auffallen (z. B. Verlust einer Besucherliste, Hacking des Empfangs-PCs, unbefugter Zugriff auf Daten), muss er unverzüglich den Auftraggeber informieren. Zeit ist hier entscheidend: Die DSGVO schreibt vor, dass ein meldepflichtiger Vorfall innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden muss. Da der Empfangsdienstleister in der Regel als Auftragsverarbeiter für den Verantwortlichen (Auftraggeber) agiert, muss er den Verantwortlichen ohne Verzögerung benachrichtigen, damit dieser seiner Meldpflicht nachkommen kann. In der Praxis sollte eine interne Meldekette etabliert sein, die folgendes sicherstellt: Sobald das Personal am Empfang einen möglichen Vorfall bemerkt (z. B. es stellt fest, dass ein Ordner mit Besucherdaten fehlt oder ein verdächtiger Systemfehler auftrat), informiert es umgehend den eigenen Datenschutzbeauftragten und die definierte Kontaktperson beim Auftraggeber (z. B. dessen DSB oder Sicherheitsbeauftragten). Diese Information sollte innerhalb von Stunden, nicht erst Tagen, erfolgen – idealerweise sofort telefonisch und zusätzlich schriftlich. Der Dienstleister verpflichtet sich, dabei vollständige Transparenz zu wahren und alle bekannten Details zu liefern (Was ist passiert? Welche Daten sind betroffen? Welche Personen könnten betroffen sein? Welche Gegenmaßnahmen wurden eingeleitet?). Er wird auch die Verpflichtung haben, Vorfälle intern zu dokumentieren und später dem Auftraggeber einen Bericht zur Verfügung zu stellen (dies hilft dem Auftraggeber bei der Prüfung, ob der Vorfall meldepflichtig war und bei der Erfüllung der Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO). Sollte der Auftraggeber entscheiden, betroffene Personen zu informieren (Art. 34 DSGVO), muss der Dienstleister dabei unterstützen. Insgesamt signalisiert eine klare Incident-Response-Vereinbarung, dass beide Seiten auf Krisen vorbereitet sind und Schaden für die Betroffenen minimieren wollen.

• Nachbesserungen und Korrekturmaßnahmen: Kein System ist perfekt – daher wird Teil der laufenden Betreuung sein, entdeckte Schwachstellen zeitnah zu beheben. Der Auftragnehmer verpflichtet sich, aufgrund von Audit-Feststellungen oder veränderten Anforderungen seine Maßnahmen anzupassen. Beispielsweise: Stellt ein Audit fest, dass Mitarbeiter nicht ausreichend über neue Phishing-Gefahren Bescheid wissen, könnte zusätzliche Schulung angeordnet werden. Oder falls bemerkt wird, dass Löschfristen nicht exakt eingehalten wurden, muss der Dienstleister seine Prozesse nachjustieren (z. B. automatisierte Erinnerungen einführen oder Software konfigurieren). Solche Korrekturmaßnahmen sind vom Dienstleister unverzüglich umzusetzen und dem Auftraggeber zu berichten. Man wird im Vertrag in der Regel festhalten, dass der Dienstleister innerhalb einer bestimmten Frist einen Maßnahmenplan vorlegen muss, wie er etwaige Mängel abstellt. Der Auftraggeber behält sich vor, Folgeprüfungen durchzuführen, um die Umsetzung zu verifizieren. Kontinuierliche Verbesserung: Datenschutz entwickelt sich ständig weiter – sei es durch neue gesetzliche Auslegungen, sich wandelnde Bedrohungslagen oder organisatorische Änderungen. Der Dienstleister sollte daher einen kontinuierlichen Verbesserungsprozess (KVP) etablieren, der z. B. jährliche Überprüfungen der Sicherheitsmaßnahmen vorsieht (wie von Art. 32 DSGVO gefordert). Der Auftraggeber erwartet, dass der Dienstleister proaktiv bleibt: Kommen neue Empfehlungen der Datenschutzaufsicht heraus (z. B. zur Führung von Besucherlisten in Pandemiefällen), so implementiert der Dienstleister diese und informiert den Auftraggeber. Beide Seiten sollten einen konstruktiven Dialog pflegen, um das Datenschutzniveau stets hochzuhalten. Sollte es trotz aller Bemühungen zu schwerwiegenden oder wiederholten Verstößen kommen, behält sich der Auftraggeber vor, Sanktionen gemäß Vertrag zu ergreifen – im Extremfall bis hin zur Kündigung aus wichtigem Grund. Das Ziel ist jedoch, durch engmaschiges Monitoring und Zusammenarbeit solche Situationen gar nicht erst entstehen zu lassen. Zusammengefasst stellt das kontinuierliche Monitoring sicher, dass „Privacy Compliance“ nicht einmalig abgeprüft und dann vergessen, sondern dauerhaft gelebt wird – zum Schutz der Persönlichkeitsrechte aller Beteiligten und zur Absicherung des Auftraggebers vor Risiken.