3A3 Datenschutz & DSGVO

• Besucher und externe Lieferanten: Personen, die das Gelände betreten, um Waren zu liefern, geschäftliche Termine wahrzunehmen, an Führungen teilzunehmen oder Dienstleistungen zu erbringen.

• Beschäftigte des Auftraggebers: Festangestellte, Auszubildende, Leiharbeitnehmer und Praktikanten, die auf dem Gelände tätig sind.

• Auftragnehmer und deren Beschäftigte: Subunternehmen, Sicherheitsdienste, Reinigungspersonal, Handwerker und deren Mitarbeitende.

• Bewerber und Gäste: Personen, die sich für einen Arbeitsplatz interessieren oder zu Informationszwecken das Gelände besuchen.

• Veranstaltungsteilnehmende: Personen, die an internen oder öffentlichen Veranstaltungen, Schulungen oder Workshops auf dem Gelände teilnehmen. Ihre Daten werden für die Organisation der Veranstaltung, für die Erstellung von Besucherlisten, Zugangsausweise und Sicherheitsplanung verwendet.

• Fahrzeugführer und Speditionspersonal: Kraftfahrzeugführer, Spediteure und Lieferanten, die das Gelände befahren. Zusätzlich zu den üblichen Personendaten werden Fahrzeugkennzeichen, Fahrerqualifikationen und Lieferaufträge erfasst, um Sicherheit auf den Ladehöfen und eine lückenlose Lieferdokumentation zu gewährleisten.

• Digitale Besucher: Personen, die virtuell über Videokonferenzen am Betrieb teilnehmen oder Dienstleistungen erbringen. Für sie gelten spezifische IT‑Sicherheitsmaßnahmen, wie die Ausgabe von temporären Zugangscodes, Verknüpfung mit sicheren Kommunikationsplattformen und Protokollierung der virtuellen Sitzungen.

• Identitätsdaten: Vor‑ und Nachname, akademischer Grad, Firmenzugehörigkeit, Funktion, Name und Kontaktdaten des internen Ansprechpartners, Unterschrift, Lichtbild.

• Legitimationsdaten: Nummer und Art des Identifikationsdokuments (Personalausweis, Reisepass, Aufenthaltsgenehmigung), Ausstellungsbehörde, Gültigkeitsdauer, Visainformationen und Fahrzeugdaten (Kfz‑Kennzeichen), Nummer der Zutrittskarte oder des Mitarbeiterausweises, individuelle PIN‑Codes oder biometrische Kennungen (z. B. Fingerabdruck, wenn ein biometrisches Zutrittssystem eingesetzt wird).

• Kontaktdaten: Telefonnummer, E‑Mail‑Adresse, postalische Anschrift des Arbeitgebers oder der Organisation, Notfallkontakte.

• Zeit‑ und Bewegungsdaten: Kommen‑ und Gehen‑Zeiten, Aufenthaltsdauer, Bewegungsprofile innerhalb des Gebäudes (Zutrittskontrollprotokolle), Uhrzeit der Registrierung, verwendete Türen, Drehkreuze oder Aufzüge.

• Video‑ und Audiodaten: Bild‑ und ggf. Tonaufnahmen aus Kamerasystemen im Eingangsbereich, vor den Schleusen, in der Wartelobby, an Ladehöfen und Parkflächen. In Ausnahmefällen können Tonaufzeichnungen von Sicherheitsdurchsagen gespeichert werden.

• Gesundheits‑ und Sicherheitsdaten: Angaben zu körperlichen Einschränkungen (nur wenn relevant für den Gebäudebetrieb, z. B. Nutzung eines Behindertenparkplatzes), Informationen zu Sicherheitsunterweisungen (Bestätigung der Sicherheitsunterweisung, Unterweisungsdatum), Nachweise über Schulungen (z. B. Unterweisung nach DGUV Vorschrift 1).

• Organisations‑ und Vertragsdaten: Einsatzpläne des Sicherheitspersonals, Dienstanweisungen, Dokumentation der Sicherheitsrundgänge, Ergebnisprotokolle aus Kontrollgängen, Informationen über externe Serviceunternehmen, Nachweise über Befähigungen wie die Sachkundeprüfung nach § 34a GewO oder Erste‑Hilfe‑Zertifikate.

• Ereignis‑ und Zwischenfallberichte: Meldungen über Sicherheitsvorfälle, Störungen, Zugangsverweigerungen, Fundmeldungen, Notrufe, Telefonnotizen im Rahmen des Notfallmanagements.

• Technische Logdaten: IP‑Adressen, MAC‑Adressen, Geräte‑IDs sowie Angaben zu verwendeten Browsern und Betriebssystemen, die bei der Nutzung des WLAN‑Gastnetzes oder bei Anmeldungen an Webportalen und Apps anfallen. Diese Daten dienen der IT‑Sicherheit, zur Abwehr von Angriffen und zur Fehlerdiagnose.

• Kommunikationsdaten: Daten aus Serviceanrufen, E‑Mails, Chat‑Protokollen oder Anfragen an den Empfang, soweit diese für die Dokumentation von Vorfällen, die Qualitätssicherung oder die Beantwortung von Anfragen erforderlich sind.

• Genehmigungs‑ und Lizenzdaten: Angaben zu Befähigungen, Zertifikaten und Berechtigungen (z. B. Schulungsnachweise, Lkw‑Ladungssicherungsnachweise), Besuchervereinbarungen, Geheimhaltungsvereinbarungen und unterzeichnete Sicherheitsunterweisungen.

• Zutrittskontrolle und Wahrung des Hausrechts: Sicherstellung, dass nur berechtigte Personen die Anlage betreten und sich in definierten Bereichen aufhalten dürfen.

• Erfüllung gesetzlicher Sicherheits‑ und Compliance‑Anforderungen: Einhaltung der gesetzlichen Vorgaben aus § 34a GewO, BewachV, Arbeitsschutzvorschriften, Brandschutzbestimmungen und Unternehmensrichtlinien.

• Schutz von Personen, Anlagen und vertraulichen Informationen: Prävention von Diebstahl, Vandalismus und Spionage, Gewährleistung der physischen Sicherheit und IT‑Sicherheit.

• Aufklärung von Sicherheitsvorfällen und Nachverfolgbarkeit: Ermittlung von Ursachen für sicherheitsrelevante Ereignisse, Unterstützung von internen Untersuchungen und Strafverfolgungsbehörden, Beweissicherung.

• Vertrags- und Einsatzplanung: Verwaltung der Einsatzzeiten des Sicherheitspersonals, Koordination von Lieferterminen, Abgleich mit Dienstleistungsverträgen und Service Level Agreements.

• Qualitätsmanagement und Compliance‑Monitoring: Dokumentation der ordnungsgemäßen Dienstleistungserbringung, Optimierung der Besucherprozesse, Nachweis der Audit‑ und Zertifizierungsvorgaben.

• Einhaltung vertraglicher Verpflichtungen: Sicherstellung, dass Dienstleistungen und Lieferungen von Auftragnehmern, Lieferanten und Subunternehmern entsprechend den vertraglichen Regelungen und Service Level Agreements erbracht werden. Die Daten werden genutzt, um Nachweise über erfüllte Leistungen, Lieferzeiten und eventuelle Abweichungen zu erbringen.

• Betriebsorganisation und Ressourceneinsatz: Optimierung der Nutzung von Räumlichkeiten, Besprechungszimmern, Parkplätzen und logistischen Einrichtungen. Die gesammelten Daten helfen, Wartezeiten zu reduzieren, Verkehrsflüsse zu steuern und Engpässe im Betrieb zu identifizieren.

• Dokumentation und Nachweisführung gegenüber Behörden und Zertifizierungsstellen: Bereitstellung von Unterlagen für Audits, Prüfungen durch Aufsichtsbehörden (z. B. Gewerbeamt, Arbeitsschutz) und Zertifizierungsstellen (z. B. ISO‑Zertifizierungen). Diese Nachweise belegen die Einhaltung von Sicherheitsstandards und gesetzlichen Vorgaben.

• Erhebung: Die Registrierung erfolgt primär am Empfang. Besucher melden sich an einem Empfangstresen oder über ein elektronisches Self‑Service‑Terminal an, legen ein Ausweisdokument vor und erhalten einen Besucherausweis. Mitarbeiterdaten werden aus dem zentralen HR‑System importiert. Video‑ und Zutrittsdaten werden automatisiert durch technische Systeme erzeugt. Bei besonderem Sicherheitsbedarf können zusätzlich Taschenkontrollen und Fahrzeugkontrollen durchgeführt werden.

• Übermittlung: Eine Weitergabe von Daten erfolgt ausschließlich an intern zuständige Stellen (z. B. Personalabteilung, Compliance, Arbeitssicherheit) oder an Behörden wie Polizei oder Zoll, wenn eine rechtliche Verpflichtung besteht. Subunternehmer erhalten nur Daten, die für die Auftragserfüllung zwingend erforderlich sind, und sind vertraglich zur Verschwiegenheit verpflichtet.

• Verarbeitung: Die Daten werden in elektronischen Systemen verarbeitet, gespeichert und ausgewertet. Zugriff haben nur befugte Personen mit entsprechenden Rechten. Eine Auswertung von Bewegungsdaten erfolgt ausschließlich zur Sicherheitsanalyse, Kapazitätsplanung oder zur Nachverfolgung bei Vorfällen. Eine automatisierte Entscheidung mit Rechtsfolge findet nicht statt; es erfolgen lediglich manuelle oder regelbasierte Bewertungen von Auffälligkeiten.

Zusätzlich zu den beschriebenen Standardprozessen wird eine Vorregistrierung über ein webbasiertes Portal angeboten. Besucher können dort ihre persönlichen Angaben hinterlegen, die vorab durch das Empfangspersonal mit Sanktionslisten und schwarzen Listen abgeglichen werden. Bestätigte Besucher erhalten einen QR‑Code oder eine PIN per E‑Mail, die sie am Eingangsscanner vorzeigen können. Für Lieferfahrzeuge und Speditionspersonal werden separate Zufahrtslisten geführt; die Fahrzeugdaten, Liefernummern und voraussichtlichen Anlieferzeiten werden in einer Logistikdatenbank erfasst. Auch diese Informationen unterliegen der Verschlüsselung und Zugriffsbeschränkung.

Über Schnittstellen zum Facility‑Management‑System sowie zu Logistik‑ und Ressourcenplanungssoftware werden ausgewählte Daten (z. B. erwartete Besucherzahlen, Raumbelegungen, Ladehof‑Belegungen) übertragen, um die Belegung von Konferenzräumen, Parkplätzen, Besprechungsräumen und Warenannahme optimal zu steuern. Zugriffe auf diese Schnittstellen sind nur autorisierten Systemen und Benutzern erlaubt, und alle übertragenen Daten sind transportverschlüsselt.

Zur Unterschrift von Sicherheitsunterweisungen und Empfangsprotokollen werden digitale Signaturpads oder Tablet‑Computer verwendet. Die hierbei erzeugten biometrischen Daten (z. B. Schreibgeschwindigkeit, Druckpunkte) werden ausschließlich zur Authentifizierung genutzt und unterliegen strengsten Zugriffs- und Löschrichtlinien. Die Erhebung und Verarbeitung aller Daten erfolgt unter Beachtung der Prinzipien „Privacy by Design“ und „Privacy by Default“, d. h., Systeme und Prozesse sind so gestaltet, dass datenschutzfreundliche Grundeinstellungen vorliegen und nur die minimal erforderlichen Daten erhoben werden.

• Rechtsgrundlagen: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), § 26 BDSG (Datenverarbeitung im Beschäftigungskontext) sowie das Bundesdatenschutzgesetz zur Videoüberwachung öffentlich zugänglicher Räume. Diese Normen legen fest, unter welchen Voraussetzungen Daten im Empfangsbereich erhoben und verarbeitet werden dürfen.

Ein zentrales Prinzip der DSGVO ist die Speicherbegrenzung. Daten dürfen nur so lange gespeichert werden, wie sie für den jeweiligen Zweck erforderlich sind oder gesetzliche Vorgaben dies vorsehen. Danach müssen sie gelöscht oder anonymisiert werden

• Besucherlisten und Zutrittsdaten: Grundsätzlich erfolgt die Speicherung für die Dauer von maximal 90 Tagen, sofern keine gesetzlichen oder vertraglichen Aufbewahrungspflichten eine längere Aufbewahrung erfordern. Danach werden die personenbezogenen Angaben anonymisiert oder gelöscht. Für interne Audit‑Zwecke werden aggregierte Statistikdaten ohne Personenbezug länger gespeichert.

• Videoaufzeichnungen (CCTV): Die Aufzeichnungen der Videoüberwachung werden standardmäßig nach 72 Stunden automatisch überschrieben, es sei denn, ein Sicherheitsvorfall erfordert eine längere Aufbewahrung zur Beweissicherung. In Ausnahmefällen können die Aufnahmen für Ermittlungen oder Gerichtsverfahren entsprechend gesetzlicher Vorgaben länger aufbewahrt werden. Bei der Videoüberwachung von öffentlich zugänglichen Bereichen sind die gesetzlichen Voraussetzungen zur Zulässigkeit und die entsprechenden Löschpflichten zu beachten.

• Zutrittsprotokolle und elektronische Badges: Daten aus dem Zutrittskontrollsystem werden für sechs Monate gespeichert, um sicherheitsrelevante Ereignisse untersuchen zu können. Danach werden die Daten pseudonymisiert, sodass nur noch statistische Analysen möglich sind. Eine längere Aufbewahrung erfolgt nur, wenn dies zur Abwehr von Gefahren oder zur Rechtsverfolgung erforderlich ist.

• Zwischenfallberichte: Ereignis- und Zwischenfallberichte werden bis zum Abschluss der Vorfallbearbeitung und etwaiger Verfahren gespeichert; längstens jedoch bis zum Ablauf der zivil- und strafrechtlichen Verjährungsfristen. Werden personenbezogene Daten darin nicht mehr benötigt, werden sie geschwärzt oder anonymisiert.

• Unterlagen der Sicherheitsdienstmitarbeitenden: Personaldaten des Sicherheitsdienstes werden entsprechend der arbeits‑ und sozialrechtlichen Anforderungen aufbewahrt (in der Regel bis zu drei Jahre nach Beendigung des Beschäftigungsverhältnisses). Nachweise über Qualifikationen oder Schulungen werden für die Dauer der Gültigkeit und ggf. Nachweispflichten aufbewahrt.

• Kommunikationsprotokolle: Schriftliche und elektronische Kommunikation (z. B. E‑Mails, Serviceanrufe, Chat‑Nachrichten), die im Zusammenhang mit Besucherprozessen oder Notfällen angefallen ist, wird für sechs Monate gespeichert. Danach werden die Daten gelöscht, sofern kein Sicherheits- oder Compliance‑Vorfall vorliegt, der eine längere Aufbewahrung erfordert.

• Technische Logdaten: Systemlogfiles aus Firewalls, Netzwerkgeräten, Zugangskontrollservern oder Applikationen werden standardmäßig 30 Tage gespeichert. Diese Daten dienen zur Identifikation von Angriffen, zur Fehleranalyse und zur Sicherstellung der Systemintegrität. Nach Ablauf der Frist werden sie automatisiert gelöscht oder, falls statistische Analysen gewünscht sind, anonymisiert.

• Automatisierte Löschung: Bei CCTV‑Systemen, Zutrittskontrollsystemen und Besuchermanagementsystemen werden Löschfristen technisch hinterlegt. Die Systeme überschreiben Daten nach Ablauf der Frist automatisch.

• Manuelle Löschung: Bei Dokumenten oder Dateien, für die keine automatisierte Löschung vorgesehen ist, wird ein Löschplan geführt. Administratoren kontrollieren diese Pläne und entfernen die Daten in regelmäßigen Abständen.

• Anonymisierung und Pseudonymisierung: Daten werden pseudonymisiert, indem persönliche Identifikatoren durch Schlüssel ersetzt werden, die getrennt und verschlüsselt gespeichert werden. Diese Schlüssel sind nur befugten Personen zugänglich. Anonymisierte Datensätze lassen keinen Personenbezug mehr zu und können für statistische Auswertungen dauerhaft verwendet werden.

• Vernichtung von Papierunterlagen: Physische Unterlagen werden über Aktenvernichter der Sicherheitsstufe P‑4 oder höher vernichtet. Es wird ein Vernichtungsprotokoll geführt, das Datum, Art der Unterlagen und verantwortliche Personen dokumentiert.

• Dokumentation der Löschung: Alle Löschvorgänge, einschließlich Anonymisierung und Pseudonymisierung, werden dokumentiert und regelmäßig vom Datenschutzbeauftragten überprüft. Damit wird die Nachweispflicht gegenüber Aufsichtsbehörden erfüllt.

• Überprüfung der Löschprozesse: Der Datenschutzbeauftragte kontrolliert regelmäßig, ob automatisierte und manuelle Löschprozesse ordnungsgemäß ablaufen und ob die hinterlegten Fristen eingehalten werden. Stichprobenartige Kontrollen und Systemtests dienen der Qualitätssicherung.

• Sperrvermerke bei laufenden Verfahren: Wenn Daten aufgrund laufender rechtlicher oder behördlicher Verfahren nicht gelöscht werden dürfen, werden im System Sperrvermerke gesetzt. Die Daten bleiben gesperrt, bis der Zweck entfällt; anschließend greift das reguläre Löschverfahren.

Die Sicherheit der Daten wird durch eine Kombination physischer, technischer und organisatorischer Maßnahmen gewährleistet. Diese Maßnahmen werden regelmäßig auf ihre Wirksamkeit überprüft und an den Stand der Technik angepasst.

• Physische Zutrittskontrollen: Der Zugang zu Gebäuden und sensiblen Bereichen erfolgt über elektronische Schließsysteme, Drehkreuze und Türleser. Besucher erhalten nach Identitätsprüfung einen zeitlich begrenzten Besucherausweis mit Zeitzonenfunktion, der automatisch ungültig wird. In sensiblen Bereichen (z. B. Serverräume) ist zusätzlich eine Zwei-Faktor-Authentifizierung (Karte + PIN/Biometrie) erforderlich.

• Need‑to‑Know‑Prinzip: Einlassberechtigungen werden nur für die Bereiche erteilt, die zur Erfüllung der jeweiligen Aufgabe erforderlich sind. Berechtigungen werden regelmäßig (mindestens vierteljährlich) überprüft und bei Änderung der Aufgaben oder Ausscheiden von Mitarbeitenden angepasst.

• Sicherheitspersonal: Das Sicherheitspersonal verfügt über eine gültige Sachkundeprüfung nach § 34a GewO und ist im Bewacherregister gemeldet. Es wird regelmäßig auf Zuverlässigkeit geprüft, und vor Dienstantritt wird ein behördliches Führungszeugnis sowie eine Bestätigung über die Teilnahme an Schulungen (z. B. Deeskalation, Erste Hilfe, Brandschutz) verlangt. Zusätzlich verpflichten sich alle Sicherheitsmitarbeitenden zur Einhaltung der im Konzept definierten Datenschutz‑ und Sicherheitsstandards und absolvieren wiederkehrende Qualifizierungen.

• Begleitpflicht für Besucher: Besucher dürfen sich nur in Begleitung einer autorisierten Person in Sicherheitsbereichen aufhalten. Begleitpersonen werden geschult, um sicherzustellen, dass Besucher nicht unbeaufsichtigt bleiben und sensible Bereiche geschützt sind.

• Berechtigungsverwaltung: Die Verwaltung der Zutrittsrechte erfolgt zentral. Anträge auf neue Berechtigungen oder Änderungen müssen von Vorgesetzten genehmigt werden und werden dokumentiert. Entzogene Berechtigungen werden sofort in allen Systemen wirksam.

• Verfahren bei Verlust von Ausweisen: Geht ein Besucherausweis oder Mitarbeiterausweis verloren, ist dies umgehend der Leitstelle zu melden. Die betroffene Karte wird sofort im System gesperrt, um Missbrauch zu verhindern. Ein Ersatzmedium wird erst nach Identitätsprüfung ausgegeben; der Verlust sowie die Sperrung werden dokumentiert und archiviert.

• Periodische Überprüfung der Zutrittsrechte: Mindestens einmal pro Jahr wird ein Abgleich der vergebenen Berechtigungen mit den aktuellen Organisationsstrukturen durchgeführt. Dabei werden veraltete oder überzählige Berechtigungen entfernt. HR‑Daten, projektbezogene Einsatzzeiten und das Ausscheiden von Mitarbeitenden werden berücksichtigt, um sicherzustellen, dass nur berechtigte Personen Zugang haben.

• Biometrische Zugangssysteme: Der Einsatz von biometrischen Zutrittsverfahren (z. B. Fingerabdruck‑ oder Handvenenscanner) erfolgt nur nach einer ausführlichen Datenschutzfolgenabschätzung. Biometrische Daten werden ausschließlich auf besonders gesicherten Servern gespeichert und sind per se pseudonymisiert. Mitarbeitende und Besucher werden umfassend informiert und können bei Bedarf alternative Authentifizierungsmethoden (Ausweis + PIN) wählen.

• Verschlüsselung: Sämtliche Daten werden während der Übertragung (TLS/SSL) und, sofern möglich, im Ruhezustand (Festplattenverschlüsselung, verschlüsselte Datenbanken) verschlüsselt. Mobile Endgeräte und Laptops werden mit vollumfänglicher Festplattenverschlüsselung (z. B. AES‑256) gesichert.

• Firewalls und Netzwerkschutz: Mehrstufige Firewall‑Systeme, Intrusion Detection/Prevention Systeme (IDS/IPS) und Segmentierung der Netzwerke verhindern unbefugten Zugriff. Gäste‑ und Verwaltungsnetzwerke sind voneinander getrennt.

• Endpoint‑Security: Zentral verwaltete Endpunktschutzlösungen bieten Virenschutz, Malware‑Erkennung, Host‑Intrusion‑Detection und Sandboxing. Sicherheitsrichtlinien erzwingen starke Passwörter und automatische Sperren bei Inaktivität.

• Vulnerability‑ und Patch‑Management: Schwachstellen werden durch regelmäßige Scans identifiziert und dokumentiert. Sicherheits‑Updates für Betriebssysteme, Anwendungen und Firmware werden zeitnah eingespielt, kritische Patches spätestens innerhalb von 48 Stunden.

• Sicherheitsüberprüfungen: Penetrationstests und Red‑Team‑Übungen werden mindestens jährlich durchgeführt. Festgestellte Schwachstellen werden nach Risikobewertung priorisiert und innerhalb festgelegter Fristen behoben.

• Schlüssel‑ und Zertifikatsmanagement: Schlüssel werden in Hardware‑Security‑Modulen (HSM) gespeichert und regelmäßig erneuert. Es existieren Prozesse für die Zertifikatserstellung, -verteilung und -widerruf.

• Mobile‑Device‑Management: Sämtliche mobilen Endgeräte (Smartphones, Tablets) sind in ein Mobile‑Device‑Management‑System eingebunden. Dieses ermöglicht die zentrale Verwaltung, das Aufspielen von Sicherheitsrichtlinien, die Verschlüsselung von Speicherbereichen, Fernlöschungen bei Verlust sowie die Verwaltung von App‑Berechtigungen und Konfigurationen.

• Security‑Information‑and‑Event‑Management (SIEM): Ein zentrales SIEM analysiert und korreliert Logdaten aus verschiedenen Quellen (Firewalls, Server, Anwendungen), um Bedrohungen in Echtzeit zu erkennen. Ein Security‑Operations‑Center überwacht die Systeme rund um die Uhr und koordiniert die Reaktion auf sicherheitsrelevante Ereignisse.

• Regelmäßige Überprüfung von Firewall‑Regeln: Firewall‑Konfigurationen werden in festen Intervallen überprüft, dokumentiert und unterliegen einem strengen Change‑Management‑Prozess. Nicht benötigte Ports und Dienste werden deaktiviert, um die Angriffsfläche zu minimieren.

• System‑Hardening: Server und Arbeitsplatzrechner werden nach Best‑Practice‑Vorgaben gehärtet. Dies umfasst das Deaktivieren überflüssiger Dienste, das Verwenden sicherer Konfigurationen, die konsequente Anwendung von Sicherheitsrichtlinien und das kontinuierliche Monitoring von Abweichungen.

• Rollenbasierte Zugriffskontrolle: Berechtigungen werden nach dem Prinzip der minimalen Rechte vergeben. Mitarbeiter haben nur Zugriff auf Daten, die sie für ihre Arbeit benötigen.

• Vertraulichkeitsvereinbarungen: Alle Mitarbeitenden und Subunternehmer unterzeichnen Vertraulichkeits- und Datenschutzverpflichtungen. Diese werden regelmäßig erneuert und enthalten klare Sanktionen bei Verstößen.

• Clean‑Desk‑ und Clear‑Screen‑Policy: Es ist sicherzustellen, dass Dokumente mit personenbezogenen Daten nicht unbeaufsichtigt auf Arbeitsplätzen liegen. Bildschirme müssen gesperrt werden, wenn Arbeitsplätze verlassen werden.

• Sensibilisierung gegenüber Social‑Engineering: Regelmäßige Schulungen und interne Kampagnen warnen vor Phishing‑Mails, Pretexting und unberechtigten Anrufen. Verdächtige Aktivitäten werden gemeldet.

• Hintergrundprüfungen: Soweit rechtlich zulässig, werden vor der Einstellung von Mitarbeitenden, insbesondere im Sicherheitsbereich, Zuverlässigkeitsprüfungen durchgeführt. Dazu gehören die Überprüfung von Referenzen, polizeiliche Führungszeugnisse sowie Abfragen des Bewacherregisters.

• Vertraulichkeitsvereinbarungen und NDAs: Neben den allgemeinen Datenschutzvereinbarungen werden bei Bedarf projektbezogene Geheimhaltungsvereinbarungen abgeschlossen, insbesondere wenn Mitarbeitende Zugang zu vertraulichen oder geheimhaltungsbedürftigen Informationen erhalten. Verstöße gegen diese Vereinbarungen können arbeitsrechtliche Maßnahmen und Schadensersatzforderungen nach sich ziehen.

• Technische Maßnahmen zur Verhinderung von Datenabfluss: Data‑Loss‑Prevention‑Systeme überwachen Datenströme und verhindern unbefugte Kopien oder Übermittlungen sensibler Daten. Dokumente und Datensätze werden nach Vertraulichkeitsklassen gekennzeichnet und dürfen nicht über unverschlüsselte Kanäle oder private E‑Mail‑Konten versendet werden.

• Backups: Es werden vollständige und inkrementelle Backups aller kritischen Systeme durchgeführt. Backups werden georedundant gespeichert und verschlüsselt. Wiederherstellungsübungen finden mindestens zweimal pro Jahr statt, um die Funktionsfähigkeit der Notfallpläne zu überprüfen.

• Disaster Recovery und Business Continuity: Notfall‑ und Wiederherstellungspläne regeln das Vorgehen bei Systemausfällen, Naturkatastrophen, Cyberangriffen und anderen Notfällen. Unterbrechungsfreie Stromversorgungen (USV) und Notstromaggregate sichern kritische Infrastruktur. Notfallteams und Kommunikationsketten sind definiert.

• Redundanz: Kritische Infrastrukturkomponenten (Server, Netzwerktechnik) werden redundant ausgelegt. Regelmäßige Wartungen und Health‑Checks gewährleisten eine hohe Verfügbarkeit.

• Überwachung der Umgebungsbedingungen: Serverräume und technische Bereiche sind mit Sensorik für Temperatur, Luftfeuchtigkeit, Rauch und Wasser ausgestattet. Abweichungen von definierten Schwellenwerten werden unmittelbar an die Leitstelle gemeldet und lösen festgelegte Maßnahmen aus.

• Notfallübungen und Krisensimulationen: Regelmäßige Übungen wie Brand‑ und Evakuierungsübungen, IT‑Notfalltests und Krisensimulationen stellen sicher, dass Mitarbeitende und Notfallteams die Abläufe im Ernstfall beherrschen. Erkenntnisse aus diesen Übungen fließen in die kontinuierliche Verbesserung der Notfall- und Wiederherstellungspläne ein.

• Service‑Level‑Agreements (SLA): Für kritische Systeme und Dienstleistungen werden SLAs definiert, die maximale Wiederanlaufzeiten (RTO) und Verfügbarkeitsziele (RPO) festlegen. Dienstleister und interne Abteilungen sind verpflichtet, diese Werte einzuhalten und Störungen schnellstmöglich zu beheben.

• Zentralisiertes Log‑Management: Sämtliche sicherheitsrelevanten Ereignisse (Zutrittsversuche, Alarmmeldungen, Systemzugriffe) werden in einem Log‑Management‑System gesammelt. Logs sind manipulationssicher gespeichert und werden nach definierten Fristen aufbewahrt und dann gelöscht oder anonymisiert.

• Analyse und Alarmierung: Automatisierte Auswertungen identifizieren ungewöhnliche Zugriffsmuster, wiederholte Fehlversuche oder Manipulationsversuche. Das Sicherheitspersonal wird bei Auffälligkeiten über ein Ticketsystem oder per E‑Mail/SMS benachrichtigt.

• Regelmäßige Log‑Reviews: Geschultes Personal prüft Logs regelmäßig und dokumentiert festgestellte Abweichungen. Zugriffe auf Logdaten selbst werden ebenfalls protokolliert.

• Speicherfristen für Logdaten: Je nach Schutzbedarf werden Logdaten zwischen 30 Tagen und zwei Jahren aufbewahrt. Logdaten, die zur Erfüllung gesetzlicher Nachweispflichten dienen, werden entsprechend länger gespeichert und anschließend anonymisiert oder gelöscht.

• Integration von Bedrohungsinformationen: Das Monitoring‑System nutzt externe Bedrohungsdatenbanken und Feeds (Threat Intelligence), um bekannte Angriffsmuster zu erkennen und automatisch Gegenmaßnahmen einzuleiten. Regelmäßige Updates sorgen für Aktualität.

• Qualitätskontrolle der Logs: Interne Audits überprüfen regelmäßig die Vollständigkeit, Integrität und Aktualität der Logdaten. Fehlende oder fehlerhafte Protokolle werden unverzüglich nacherfasst, und die Ursachen werden analysiert.

• Anmeldung: Jeder Besucher meldet sich beim Empfang an und weist sich mit einem gültigen Lichtbildausweis aus. Die Identität wird vom Empfangspersonal überprüft, und die Daten werden im Besuchermanagementsystem erfasst. Bei elektronischer Selbstregistrierung wird ein Mitarbeiter des Empfangs für die Validierung der Angaben hinzugezogen.

• Ausstellung von Besuchsausweisen: Nach erfolgreicher Registrierung erhält der Besucher einen personalisierten Besucherausweis mit Zeitbegrenzung, der nur Zugang zu den freigegebenen Bereichen erlaubt. Der Ausweis muss sichtbar getragen werden. Am Ende des Besuchs ist der Ausweis zurückzugeben; er wird im System als abgegeben vermerkt.

• Datenschutzhinweise: Am Empfangsbereich und in den Anmeldeformularen wird über die Datenerhebung, Zwecke der Verarbeitung, Rechtsgrundlagen, Speicherdauer und Rechte der Betroffenen informiert. Besucher bestätigen den Erhalt der Hinweise durch Unterschrift oder elektronischen Klick.

• Begleitung: Je nach Sicherheitsstufe müssen Besucher von einem Mitarbeiter begleitet werden. Die Begleitpersonen sind für das Verhalten der Besucher verantwortlich und müssen sicherstellen, dass Sicherheitszonen nicht betreten werden.

• Manuelle Ersatzerfassung: Bei technischen Störungen werden Besucher in einer Papierliste erfasst. Diese Liste wird nachträglich digitalisiert und anschließend gemäss Löschplan vernichtet.

• Zweck und Rechtsgrundlagen: Die Videoüberwachung dient der Wahrung des Hausrechts, der Prävention und Aufklärung von Straftaten sowie dem Schutz von Mitarbeitern und Sachwerten. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit den einschlägigen Bestimmungen des Bundesdatenschutzgesetzes.

• Kameraaufstellung und Datenminimierung: Kameras sind ausschließlich auf sicherheitsrelevante Bereiche (Zugangskontrollpunkte, Einfahrten, Laderampen, öffentliche Parkflächen) gerichtet. Soziale Einrichtungen wie Pausenräume, Umkleiden und Sanitärbereiche werden nicht überwacht. Die Anzahl und Position der Kameras wird regelmäßig auf ihre Erforderlichkeit überprüft.

• Speicherdauer: Aufnahmen werden maximal 72 Stunden gespeichert und anschließend automatisch überschrieben. Bei Vorfällen werden relevante Sequenzen exportiert und separat gespeichert, bis der Vorfall aufgeklärt ist.

• Zugriffsrechte: Nur autorisierte Personen (Sicherheitsdienstleitung, Facility Manager, Datenschutzbeauftragter) dürfen Videoaufnahmen einsehen. Jede Einsichtnahme wird dokumentiert. Eine Weitergabe erfolgt nur auf Grundlage gesetzlicher Verpflichtungen oder gerichtlicher Anordnungen. Anträge auf Herausgabe von Aufnahmen werden sorgfältig geprüft.

• Hinweisschilder: Überall dort, wo Kameras eingesetzt werden, weisen deutlich sichtbare Schilder auf die Videoüberwachung hin. Die Schilder enthalten Angaben zum Verantwortlichen, Zweck der Überwachung, Rechtsgrundlagen und zur Speicherdauer.

• Technische Sicherung: Die Videoanlage wird regelmäßig gewartet und auf Funktionsfähigkeit geprüft. Aufnahmen werden verschlüsselt gespeichert, und die Systeme sind passwortgeschützt. Software‑Updates und Sicherheits‑Patches werden zeitnah eingespielt.

• Auskunft gegenüber Betroffenen: Betroffene Personen können Auskunft über gespeicherte Videoaufnahmen verlangen. Eine Herausgabe erfolgt nur, wenn keine Rechte Dritter verletzt werden und die Person eindeutig identifiziert werden kann. Die Herausgabe wird protokolliert, und es wird eine Kopie der relevanten Aufnahmen ausgehändigt oder bereitgestellt.

• Zusammenarbeit mit Behörden: Auf Anfrage von Strafverfolgungsbehörden oder bei rechtlicher Verpflichtung werden Videoaufnahmen, Zutrittsdaten oder Besucherinformationen übermittelt. Die Übermittlung erfolgt nur nach Prüfung der Rechtsgrundlage, und die Daten werden sicher übertragen. Die Anfrage und die übermittelten Daten werden dokumentiert.

• Transparenz durch Aushänge und Infomaterial: Bereits am Werkstor und im Wartebereich informieren Hinweisschilder und Flyer über die Datenverarbeitung beim Zutritt, die Videoüberwachung sowie die geltenden Hausregeln. In den Anmeldeformularen sind detaillierte Datenschutzhinweise hinterlegt; bei elektronischer Anmeldung wird ein digitaler Einwilligungsprozess mit Checkboxen eingesetzt.

• Mehrsprachigkeit und Barrierefreiheit: Informationsmaterial ist in mehreren Sprachen erhältlich und in leicht verständlicher Form abgefasst. Auf Wunsch stehen barrierefreie Formate (z. B. große Schrift, Hörversionen) zur Verfügung.

• Widerruf und Einschränkung: Besucher können der Verarbeitung ihrer Daten jederzeit widersprechen oder ihre Einwilligung widerrufen, sofern diese auf freiwilliger Basis erfolgt (z. B. optionale Besucherregistrierungssysteme). Der Widerruf wird dokumentiert, und alternative Verfahren, wie die manuelle Zutrittsliste, werden angeboten.

• Zugriffsverfahren: Der Zugriff auf Videoaufnahmen ist streng reglementiert. Nur speziell autorisierte Personen dürfen Aufnahmen ansehen. Zugriffsgesuche müssen schriftlich begründet werden und werden vom Datenschutzbeauftragten geprüft. Jede Einsichtnahme wird in einem Protokoll mit Datum, Uhrzeit, betroffener Kamera und Zweck dokumentiert.

• Herausgabe an Dritte: Eine Weitergabe von Aufnahmen an Dritte (z. B. Strafverfolgungsbehörden, Versicherungen) erfolgt nur auf der Grundlage gesetzlicher Verpflichtungen oder gerichtlicher Anordnungen. Vor der Herausgabe wird geprüft, ob die Rechte anderer Personen, die auf den Aufnahmen sichtbar sind, zu wahren sind; gegebenenfalls werden Bereiche verpixelt oder geblurrt.

• Speicherung und Export: Videoaufnahmen, die im Rahmen eines Vorfalls relevant sind, werden auf gesicherten Datenträgern exportiert und in einem Beweisarchiv verwahrt. Das Exportprotokoll enthält Angaben zu Zeitpunkt, Inhalt, Speicherort und verantwortlicher Person. Nach Abschluss der Untersuchung und Ablauf aller rechtlichen Fristen werden die Daten entsprechend dem Löschkonzept vernichtet.

• Technische Schutzmaßnahmen: Bei der Übertragung und Speicherung von Videoaufnahmen werden starke Verschlüsselung und detaillierte Zugriffskontrollen eingesetzt. Kamerasysteme und Aufzeichnungsgeräte werden regelmäßig auf Sicherheitslücken überprüft und erfüllen die Anforderungen an Datenschutz durch Technikgestaltung.

• Datenspeicherung: Besucherdaten werden in einem gesicherten Besuchermanagementsystem gespeichert. Das System verfügt über rollenbasierte Berechtigungen, Verschlüsselung und regelmäßige Sicherheitsupdates. Datenbanken sind so konfiguriert, dass sie die Löschfristen einhalten.

• Datensicherheit: Zugriff auf das System ist passwort- und rollenbasiert. Backups werden regelmäßig angefertigt, und das System wird kontinuierlich überwacht. Papierbasierte Listen dienen als Ausfalllösung und werden nach der Übertragung in das System vernichtet.

Die DSGVO gewährt betroffenen Personen umfangreiche Rechte im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten. Diese Rechte werden vom Auftraggeber und Dienstleister gewährleistet und sind integraler Bestandteil des vorliegenden Konzepts. Betroffene Personen können ihre Rechte schriftlich, elektronisch oder persönlich geltend machen.

• Auskunftsrecht (Art. 15 DSGVO): Betroffene können Auskunft darüber verlangen, ob und welche personenbezogenen Daten über sie verarbeitet werden, zu welchen Zwecken diese Daten verwendet werden, wer Empfänger der Daten ist und wie lange die Daten gespeichert werden. Der Verantwortliche stellt die Informationen in verständlicher Form innerhalb eines Monats bereit.

• Recht auf Berichtigung (Art. 16 DSGVO): Unrichtige oder unvollständige personenbezogene Daten müssen auf Antrag unverzüglich korrigiert werden.

• Recht auf Löschung (Art. 17 DSGVO): Betroffene können die Löschung ihrer Daten verlangen, wenn diese für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt werden, die Verarbeitung unrechtmäßig ist oder sie ihre Einwilligung widerrufen haben. Ausnahmen gelten, wenn gesetzliche Aufbewahrungspflichten bestehen oder die Daten zur Geltendmachung rechtlicher Ansprüche benötigt werden.

• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen (z. B. wenn die Richtigkeit der Daten bestritten wird) kann die Verarbeitung eingeschränkt werden, sodass die Daten zwar gespeichert, aber nicht weiter genutzt werden dürfen.

• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Betroffene dürfen verlangen, dass sie ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und diese an einen anderen Verantwortlichen übertragen lassen können.

• Widerspruchsrecht (Art. 21 DSGVO): Personen können aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihrer Daten Widerspruch einlegen. Der Verantwortliche darf die Daten dann nicht mehr verarbeiten, es sei denn, es liegen zwingende schutzwürdige Gründe vor oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

• Widerruf der Einwilligung: Wenn die Verarbeitung auf einer Einwilligung beruht, kann diese jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft widerrufen werden.

Anträge werden vom Datenschutzbeauftragten entgegengenommen und bearbeitet. Der Auftraggeber stellt dafür Formulare bereit (online, papierbasiert oder über Self‑Service‑Terminals). Eine Identitätsprüfung stellt sicher, dass nur berechtigte Personen Anfragen stellen. Der Datenschutzbeauftragte prüft den Antrag, leitet die erforderlichen Schritte ein und informiert den Antragsteller über das Ergebnis. In komplexen Fällen kann die Bearbeitungsfrist um zwei Monate verlängert werden; dies wird dem Antragsteller rechtzeitig mitgeteilt.

Vor der Bearbeitung eines Antrags wird die Identität des Antragstellers durch Vorlage eines gültigen Ausweises oder durch persönliche Vorsprache überprüft. Die Kontaktdaten des Datenschutzbeauftragten (Telefonnummer, E‑Mail‑Adresse und Postanschrift) sind auf der Unternehmenswebseite und im Empfangsbereich öffentlich ausgehängt. Betroffene haben ferner das Recht, sich an die zuständige Datenschutzaufsichtsbehörde zu wenden, wenn sie der Ansicht sind, dass ihre Rechte verletzt wurden oder die Verarbeitung nicht rechtskonform erfolgt. Der Datenschutzbeauftragte unterstützt bei der Wahrnehmung der Rechte, dokumentiert alle eingehenden Anträge, die getroffenen Maßnahmen und die erteilten Antworten im Datenschutzmanagementsystem und stellt sicher, dass Anfragen fristgerecht erledigt werden. Anträge von Beschäftigten werden in Abstimmung mit der Personalabteilung und, soweit vorhanden, dem Betriebsrat bearbeitet, um arbeitsrechtliche und betriebliche Belange zu berücksichtigen.

Ein wirksames Vorfallmanagement ist entscheidend, um Sicherheits- und Datenschutzvorfälle frühzeitig zu erkennen, einzudämmen und zu beheben.

• Meldung von Vorfällen: Alle Mitarbeitenden und Subunternehmer sind verpflichtet, Unregelmäßigkeiten, Sicherheitsvorfälle (z. B. unbefugte Zutritte, technische Störungen, verlorene Ausweise, auffällige Beobachtungen) oder Verdacht auf Datenschutzverletzungen unverzüglich an die Leitstelle, den Dienstvorgesetzten oder den Datenschutzbeauftragten zu melden. Hierfür steht eine 24/7‑Notfallnummer sowie ein webbasiertes Meldetool zur Verfügung. Die Meldung muss Angaben zu Zeitpunkt, beteiligten Personen, Systemen und einer kurzen Beschreibung enthalten.

• Erstbewertung und Klassifizierung: Nach Eingang einer Meldung erfolgt eine Erstbewertung durch den Informationssicherheitsbeauftragten oder den Datenschutzbeauftragten. Es wird entschieden, ob es sich um ein geringfügiges Ereignis, einen Sicherheitsvorfall oder eine Datenschutzverletzung handelt. Die Bewertung berücksichtigt Art und Umfang des Vorfalls, potenzielle Auswirkungen und betroffene Datenkategorien.

• Eskalation: Abhängig von der Schwere des Vorfalls wird ein Notfallteam aktiviert. Dieses Team besteht aus Vertretern der Geschäftsleitung, IT‑Abteilung, Facility Management, Sicherheitsdienstleitung, Personalabteilung, Datenschutzbeauftragtem und ggf. Rechtsabteilung. Es werden Eskalationsstufen definiert (z. B. kritische Sicherheitsverletzung, Ausfall einer wichtigen Infrastruktur, meldepflichtiger Datenschutzvorfall) mit zugehörigen Maßnahmen und Verantwortlichkeiten.

• Maßnahmen zur Eindämmung: Unmittelbar nach Feststellung eines Vorfalls werden Maßnahmen ergriffen, um weitere Schäden zu verhindern. Dazu gehören das Sperren von Zugängen, Abschalten betroffener Systeme, Aktivierung von Ersatzsystemen und Sicherung von Beweismaterialien.

• Kommunikation: Bei meldepflichtigen Datenschutzverletzungen wird die zuständige Aufsichtsbehörde unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, informiert. Die Meldung umfasst Art des Vorfalls, betroffene Daten, Anzahl der betroffenen Personen, mögliche Folgen und geplante Abhilfemaßnahmen. Betroffene Personen werden informiert, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht. Interne Kommunikation erfolgt nach einem festgelegten Kommunikationsplan, um Gerüchten vorzubeugen.

• Dokumentation: Jeder Vorfall wird in einem Vorfallsregister dokumentiert. Dieses enthält sämtliche relevanten Informationen, Entscheidungen und Maßnahmen. Die Dokumentation ist revisionssicher und dient als Nachweis gegenüber Aufsichtsbehörden und Gerichten.

• Analyse und Lessons Learned: Nach Behebung des Vorfalls findet eine Analyse der Ursachen und des Ablaufes statt. Daraus werden Verbesserungsmaßnahmen abgeleitet. Die Erkenntnisse fließen in die Überarbeitung von Sicherheitsmaßnahmen und Schulungen ein.

• Kategorisierung der Vorfälle: Vorfälle werden nach Schweregrad eingestuft. Beispielsweise beschreibt Stufe 1 geringfügige Ereignisse ohne Auswirkungen auf den Betrieb, Stufe 2 sicherheitsrelevante Vorfälle mit begrenzter Auswirkung und Stufe 3 schwerwiegende Datenschutzverletzungen oder anhaltende Betriebsunterbrechungen. Für jede Stufe sind klare Eskalationswege, Verantwortlichkeiten und Reaktionszeiten definiert.

• Ursachenanalyse und Wiederherstellung: Nach der Eindämmung eines Vorfalls werden die zugrunde liegenden Ursachen (technisch, organisatorisch, menschlich) systematisch analysiert. Anschließend wird der Normalbetrieb schrittweise wiederhergestellt und überwacht, um sicherzustellen, dass die Schwachstelle behoben wurde und keine weiteren Risiken bestehen.

• Berichterstattung und Benachrichtigung: Bei schweren Sicherheits‑ oder Datenschutzvorfällen wird die Geschäftsführung informiert, und je nach Vertragspflichten werden Kunden, Lieferanten oder Partner benachrichtigt. Berichte enthalten eine Zusammenfassung des Vorfalls, die getroffenen Maßnahmen, Auswirkungen und Empfehlungen zur Prävention. Kommunikationswege und Sprecher sind im Voraus definiert, um Spekulationen und Fehlinformationen zu vermeiden.

• Schulungen und Übungen: Incident‑Response‑Teams, Sicherheitsmitarbeitende und relevante Fachbereiche nehmen regelmäßig an Notfallübungen und Planspielen teil. Dabei werden typische Szenarien (z. B. Cyberangriff, Brand im Serverraum, Stromausfall) durchgespielt, um die Reaktionsfähigkeit zu trainieren. Ergebnisse und Verbesserungspotenziale werden dokumentiert.

• Dokumentationspflicht: Sämtliche Vorfallsprotokolle, Kommunikationsmeldungen, technischen Analyseberichte und behördlichen Meldungen werden im Incident‑Management‑System archiviert. Diese Dokumentation dient als Nachweis gegenüber Aufsichtsbehörden und wird für interne Audits und Zertifizierungen benötigt.

Viele Dienstleistungen im Facility‑Management werden von Drittanbietern erbracht (z. B. Sicherheitsdienste, Empfangsdienste, IT‑Anbieter, Wartungsfirmen).

• Vertragliche Regelungen (Auftragsverarbeitung): Vor Einsatz eines Subunternehmers wird ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen. Der Vertrag legt den Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der Daten und die Kategorien der betroffenen Personen sowie die Pflichten und Rechte des Auftraggebers und Auftragnehmers fest. Er regelt insbesondere Vertraulichkeit, technische und organisatorische Maßnahmen, Unterstützung bei Betroffenenanfragen, Meldepflichten bei Datenschutzverletzungen, Kontrollrechte und Löschpflichten nach Vertragsende.

• Auswahl und Due‑Diligence: Vor der Vergabe von Aufträgen werden potentielle Dienstleister hinsichtlich ihrer Datenschutz‑ und IT‑Sicherheitskompetenz geprüft. Kriterien sind u. a. Vorhandensein von Zertifizierungen (ISO 27001, DIN 77200), Referenzen, Bonitätsprüfung und die Absicherung durch Haftpflichtversicherungen. Der Auftraggeber kann Audits beim Dienstleister durchführen oder Auditberichte anfordern.

• Audit‑ und Kontrollrechte: Der Auftraggeber behält sich vor, die Einhaltung der vertraglichen und gesetzlichen Anforderungen durch Vor-Ort‑Audits, stichprobenartige Prüfungen oder die Einsicht in Dokumentationen zu überprüfen. Mängel müssen unverzüglich behoben werden.

• Schulungen und Unterweisung: Subunternehmer müssen ihre Beschäftigten regelmäßig zu Datenschutz, Geheimhaltung, IT‑Sicherheit und relevanten Gesetzen (DSGVO, BDSG, BewachV, § 34a GewO) schulen. Der Nachweis über die Schulungen ist auf Verlangen vorzulegen.

• Meldepflichten: Sicherheitsvorfälle, Datenschutzverletzungen oder sonstige Unregelmäßigkeiten sind dem Auftraggeber unverzüglich mitzuteilen. Subunternehmer unterstützen bei der Aufklärung und Behebung des Vorfalls. Vertragsstrafen können bei Pflichtverletzungen vereinbart werden.

• Vertragsende: Nach Beendigung der Zusammenarbeit müssen sämtliche personenbezogenen Daten, die der Subunternehmer im Auftrag verarbeitet hat, gelöscht oder dem Auftraggeber zurückgegeben werden. Eine Bestätigung der Löschung ist vorzulegen. Die Vertraulichkeitspflichten gelten über das Vertragsende hinaus.

• Risikobasierte Einstufung: Dienstleister werden nach dem potenziellen Risiko für den Schutz personenbezogener Daten klassifiziert (z. B. hoch, mittel, gering). Je nach Risikostufe müssen sie zusätzliche Kontrollen, Zertifikate oder Sicherheitsnachweise vorlegen. Bei Dienstleistern mit hoher Risikostufe wird ein detaillierter Sicherheitsfragebogen ausgefüllt und durch den Datenschutzbeauftragten bewertet.

• Grenzüberschreitende Datenverarbeitung: Wenn Subunternehmer Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten, stellt der Auftraggeber sicher, dass ein angemessenes Datenschutzniveau besteht, z. B. durch den Abschluss von EU‑Standardvertragsklauseln, Binding Corporate Rules oder einen Angemessenheitsbeschluss der EU‑Kommission. Die Übermittlung wird dokumentiert und regelmäßig überprüft.

• Einbindung von Unterauftragnehmern (Subprozessoren): Möchte ein Dienstleister weitere Unterauftragnehmer einsetzen, ist hierfür die vorherige schriftliche Zustimmung des Auftraggebers erforderlich. Subunternehmer unterliegen denselben vertraglichen Datenschutzpflichten; sie müssen insbesondere die vereinbarten technischen und organisatorischen Maßnahmen einhalten. Änderungen in der Subunternehmerkette sind unverzüglich mitzuteilen.

• Vertragsbeendigung und Rückgabe von Daten: Bei Beendigung der Zusammenarbeit sind alle vom Dienstleister verarbeiteten personenbezogenen Daten, einschließlich Datensicherungen, Logdateien und Protokolle, an den Auftraggeber zurückzugeben oder sicher zu vernichten. Der Dienstleister legt eine schriftliche Bestätigung der Löschung oder Rückgabe vor. Gesetzliche Aufbewahrungspflichten bleiben unberührt, müssen jedoch nachgewiesen werden.

Ein umfassendes Schulungs‑ und Sensibilisierungsprogramm ist erforderlich, um die Einhaltung des Datenschutzes und der IT‑Sicherheit durch alle Beteiligten sicherzustellen.

• Grundlagenschulung: Alle neuen Mitarbeitenden und Subunternehmer absolvieren vor Dienstbeginn eine Grundlagenschulung zu Datenschutz, IT‑Sicherheit, Notfallprozeduren, Verhalten bei Sicherheitsvorfällen sowie rechtlichen Grundlagen wie DSGVO, BDSG, § 34a GewO und BewachV. Die Schulungsinhalte werden regelmäßig überprüft und aktualisiert. Die Teilnahme wird dokumentiert.

• Auffrischungsschulungen: Mindestens einmal pro Jahr finden verpflichtende Auffrischungsseminare statt, um Wissen zu festigen und Neuerungen zu vermitteln. Zusätzlich werden Kurzschulungen zu aktuellen Themen (z. B. neue Cyberbedrohungen, Social Engineering, Änderungen der Rechtslage) angeboten.

• Fachspezifische Trainings: Bediener der Videoüberwachung, Zutrittskontrollsysteme und Alarmanlagen erhalten vertiefte Schulungen. IT‑Administratoren besuchen Fortbildungen zu Netzwerksicherheit, Penetrationstests und Hardening. Sicherheitskräfte werden in Deeskalationstechniken, Erster Hilfe, Brandschutz und Umgang mit Gefahrstoffen ausgebildet.

• Sensibilisierungskampagnen: Regelmäßige Kampagnen (Flyer, Newsletter, Poster, E‑Learning‑Module, kurze Videoclips) sensibilisieren für Bedrohungen wie Phishing, Ransomware, Tailgating und Social Engineering. Simulierte Phishing‑E‑Mails werden eingesetzt, um das Bewusstsein zu testen und zu stärken. Bestehende Verhaltensregeln werden in Erinnerung gerufen.

• Unterweisung von Besuchern: Vor dem Zutritt zu Bereichen mit erhöhtem Risiko werden Besucher in die Sicherheitsbestimmungen eingewiesen. Sie bestätigen die Unterweisung schriftlich oder elektronisch.

• Dokumentation: Teilnahme an Schulungen und Ergebniskontrollen werden dokumentiert. Die Dokumentation dient als Nachweis gegenüber Aufsichtsbehörden und wird in regelmäßigen Abständen ausgewertet, um Schulungsbedarf zu ermitteln.

• Rollenspezifische Schulungen: Führungskräfte, technische Mitarbeitende, Empfangspersonal, Sicherheitskräfte und Reinigungspersonal erhalten auf ihre jeweiligen Aufgaben zugeschnittene Schulungen. Administratoren lernen beispielsweise sichere Netzwerkkonfigurationen und Datenschutz‑Compliance, während Empfangsmitarbeitende im Umgang mit sensiblen Besucherdaten und Deeskalationsstrategien geschult werden.

• Zertifizierungsprogramme und externe Fortbildungen: Mitarbeitende können an externen Kursen und Zertifizierungen (z. B. IHK‑Zertifikate, TÜV‑Schulungen) teilnehmen, um ihre Fachkompetenz zu erweitern. Die Kosten und Organisation werden vom Auftraggeber in Absprache mit dem Dienstleister übernommen.

• Prüfungen und Wirksamkeitskontrollen: Nach Abschluss von Schulungen werden Verständnistests durchgeführt, um den Lernerfolg zu überprüfen. Die Ergebnisse fließen in die Weiterentwicklung der Schulungskonzepte ein. Bei Bedarf werden Wiederholungs- oder Zusatzschulungen angesetzt.

• Sensibilisierung der Führungsebene: Mitglieder der Geschäftsführung und leitende Angestellte erhalten regelmäßige Briefings und Workshops zu Datenschutz und IT‑Sicherheit. Ziel ist, die Bedeutung dieser Themen in der Unternehmenskultur zu verankern und die Ressourcen für Sicherheitsmaßnahmen sicherzustellen.

Die Anforderungen an Datenschutz und IT‑Sicherheit ändern sich kontinuierlich durch neue Risiken, Gesetze, Technologien und betriebliche Prozesse. Daher wird das Konzept laufend überprüft und weiterentwickelt.

• Regelmäßige Überprüfungen: Mindestens jährlich findet eine Gesamtüberprüfung des Datenschutz‑ und IT‑Sicherheitskonzepts statt. Dabei werden gesetzliche Änderungen, technische Entwicklungen, Erkenntnisse aus Audits, Vorfällen und Mitarbeiterfeedback berücksichtigt. Anpassungen werden dokumentiert und in Kraft gesetzt.

• Interne Audits: In festgelegten Zyklen (z. B. halbjährlich) werden interne Audits durchgeführt. Diese prüfen die Einhaltung der technischen und organisatorischen Maßnahmen, der Löschfristen, der Schulungsanforderungen und der vertraglichen Verpflichtungen. Abweichungen werden mit konkreten Maßnahmen abgestellt.

• Management‑Review: Die Geschäftsführung wird regelmäßig über den Status des Datenschutz‑ und Sicherheitsprogramms informiert. Ein jährlicher Bericht fasst Vorfälle, Auditergebnisse, Schulungen und Verbesserungen zusammen und bildet die Grundlage für strategische Entscheidungen und Ressourceneinsatz.

• Externe Audits: Auf Anforderung des Auftraggebers, der Kunden oder der Aufsichtsbehörden werden externe Audits oder Zertifizierungen (z. B. ISO 27001, DIN 77200) durchgeführt. Der Dienstleister stellt die erforderlichen Nachweise bereit und wirkt an der Umsetzung der Empfehlungen mit.

• Fehler‑ und Verbesserungsmanagement: Alle Erkenntnisse aus Vorfällen, Audits, Schulungen und Feedback werden systematisch erfasst und ausgewertet. Daraus abgeleitete Verbesserungsmaßnahmen werden priorisiert, mit Verantwortlichkeiten versehen und bis zur Umsetzung nachverfolgt. Ein Ticket‑ oder Projektmanagementsystem unterstützt den Prozess.

• Monitoring der Rechtslage: Der Datenschutzbeauftragte beobachtet kontinuierlich Änderungen der Gesetzgebung und Rechtsprechung (z. B. EU‑Regelungen, nationale Datenschutzgesetze, Gerichtsentscheidungen). Relevante Änderungen werden analysiert und in das Konzept und die Prozesse integriert.

• Risikoanalysen und Risikoregister: Regelmäßige Risikoanalysen identifizieren potenzielle Schwachstellen und Bedrohungen für Datenschutz und IT‑Sicherheit. Die Ergebnisse werden in einem Risikoregister dokumentiert, und Maßnahmen zur Risikominimierung werden priorisiert und umgesetzt.

• Kennzahlen und Leistungsindikatoren: Zur Messung der Wirksamkeit des Datenschutz‑ und Sicherheitsprogramms werden Key Performance Indicators (KPIs) definiert, beispielsweise die Anzahl der gemeldeten Vorfälle pro Jahr, die durchschnittliche Reaktionszeit, die Schulungsquote der Mitarbeitenden und die Erfolgsraten technischer Schutzmaßnahmen. Diese Kennzahlen werden regelmäßig analysiert und der Geschäftsführung vorgestellt.

• Plan‑Do‑Check‑Act (PDCA): Die kontinuierliche Verbesserung orientiert sich am PDCA‑Zyklus: Maßnahmen werden geplant, implementiert, hinsichtlich ihrer Wirksamkeit geprüft und auf Basis der Ergebnisse optimiert. Dieser iterative Prozess gewährleistet eine fortlaufende Anpassung an neue Anforderungen.

• Einbindung der Belegschaft: Mitarbeitende werden aktiv aufgefordert, Verbesserungsvorschläge zu unterbreiten. Vorschläge werden gesammelt, bewertet und bei Eignung umgesetzt. Eine Kultur der offenen Kommunikation und des Lernens trägt zur kontinuierlichen Verbesserung bei.

Dienstleister: _______________________________________

Vertretungsberechtigte Person: _______________________________

Funktion/Titel: __________________________________________

Datum: ____________________

Firmenstempel/Siegel: _________________________________