Datenschutz und Compliance bei Digitalisierung

Sobald klar ist, welche Daten wo verarbeitet werden, besteht der nächste Schritt darin, Datenschutzmaßnahmen in die Systemarchitektur und -konfiguration von Anfang an zu integrieren. Privacy by Design bedeutet, Systeme und Prozesse so zu gestalten, dass Datenschutz und Privatsphäre standardmäßig gewährleistet sind. In einem großen Bürogebäude heißt das: Jedes digitale FM-System sollte so eingestellt sein, dass es nur nötige Daten erhebt, den Zugriff darauf beschränkt und die Daten während ihrer gesamten Lebensdauer schützt. Art. 25 DSGVO verpflichtet den Verantwortlichen, geeignete technische und organisatorische Maßnahmen umzusetzen (z.B. Pseudonymisierung, Voreinstellungen für maximale Datensparsamkeit), um die Einhaltung der DSGVO schon bei der Planung sicherzustellen.

• Datenminimierung: Erheben und speichern Sie nur die personenbezogenen Daten, die für den angegebenen Zweck tatsächlich benötigt werden. Bei der Konfiguration einer Besuchererfassungs-Software bedeutet dies z.B., dass nur Felder wie Name und Firma des Besuchers abgefragt werden, wenn diese Informationen für die Zugangskontrolle ausreichen. Zusätzliche Angaben (Adresse, Telefonnummer etc.) sollten unterbleiben, sofern sie nicht unbedingt erforderlich sind. Ähnlich kann ein Arbeitsplatzsensor die Anzahl der anwesenden Personen messen, ohne einzelne Personen identifizieren zu müssen. Ein bewährtes Prinzip im Smart Building lautet: personenbezogene Identifikatoren frühzeitig anonymisieren und Daten nur in aggregierter Form analysieren. So werden individuelle Identitäten gar nicht erst gespeichert. Standardmäßig sollten alle nicht zwingend benötigten Datenfelder deaktiviert oder leer bleiben („Privacy by Default“ – Voreinstellungen auf höchstmöglichen Datenschutz).

• Rollen- und Berechtigungskonzepte: Beschränken Sie den Datenzugriff strikt auf autorisiertes Personal nach dem “Need-to-know”-Prinzip. Jedes FM-System sollte Benutzerrollen oder Berechtigungen unterstützen, sodass Mitarbeiter nur die Daten einsehen, die sie für ihre Aufgaben benötigen. Beispielsweise dürfen Rezeptionsmitarbeiter vollständige Besucherdetails einsehen, um Gäste einzuchecken, während Reinigungspersonal, das ein Instandhaltungs-Tablet nutzt, keinerlei Zugriff auf persönliche Besucherdaten haben sollte. Grundsatz ist: Nicht jeder benötigt Zugriff auf alle Daten; Zugriffsrechte müssen klar definierten Rollen entsprechend vergeben werden. Durch die Einrichtung von Rollen (z.B. Empfang, Sicherheit, Administrator, Facility Manager) wird gewährleistet, dass personenbezogene Daten (etwa Besuchernamen, Mitarbeiterfotos) nur von denjenigen eingesehen werden können, die dafür legitimiert sind. Zudem sollten Protokolle (Logs) jede Datenabfrage und Änderung aufzeichnen – das System muss erfassen, wer wann auf welche Daten zugegriffen hat. Solche Audit-Logs ermöglichen Nachvollziehbarkeit und erleichtern es, unbefugte Zugriffe zu erkennen. Um Missbrauch zu vermeiden, müssen auch die Protokolldaten geschützt sein; idealerweise sind diese Audit-Trails nur mit Administratorberechtigungen einsehbar, sodass nur wenige befugte Personen (z.B. Systemadministratoren oder der Datenschutzbeauftragte) Zugriff auf diese sensiblen Protokolle haben. Dadurch wird verhindert, dass normale Benutzer Logdaten einsehen oder manipulieren können.

• Verschlüsselung und sichere Speicherung: Nutzen Sie durchgehend starke Verschlüsselung – sowohl bei der Übertragung als auch bei der Speicherung von Daten. Alle personenbezogenen Daten, die über Netzwerke übertragen werden (z.B. wenn ein Besucherkiosksystem Daten an einen Cloud-Server sendet), sollten mittels HTTPS/TLS oder vergleichbarer Protokolle verschlüsselt werden, um Abhören zu verhindern. Daten, die in Datenbanken oder auf Servern gespeichert sind, sollten im Ruhezustand verschlüsselt sein, insbesondere wenn es sich um Cloud-Dienste handelt. Moderne Besuchermanagement-Systeme verwenden z.B. verschlüsselte Datenbanken und sichere Cloud-Speicher, um unbefugten Zugriff zu verhindern. Stellen Sie sicher, dass Passwörter und API-Schlüssel zu Ihren FM-Systemen nur gehasht oder verschlüsselt gespeichert werden. Aktivieren Sie alle verfügbaren Sicherheitsfunktionen der Software (z.B. Firewall-Einstellungen, IP-Filterung, Zwei-Faktor-Authentifizierung für Admin-Zugänge). Physische Server oder Speichermedien vor Ort sollten in abschließbaren, zugangsbeschränkten Räumen aufbewahrt werden. Gemäß dem Grundsatz der Integrität und Vertraulichkeit müssen Organisationen angemessene Maßnahmen ergreifen, um die von ihnen erhobenen Daten vor unbefugtem Zugriff, Verlust oder Beschädigung zu schützen. Art. 32 DSGVO verlangt hierbei, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs und des Zwecks der Verarbeitung geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Im Gebäudekontext bedeutet das z.B., dass Netzwerksegmentierung, aktuelle Sicherheitsupdates der Systeme und regelmäßige Penetrationstests zum Sicherheitskonzept gehören sollten.

• Unterbindung unautorisierter Datenexporte: Stellen Sie die Systeme so ein, dass Datenexporte oder -downloads von personenbezogenen Daten nur gemäß festgelegter Richtlinien möglich sind. Beispielsweise erlaubt ein FM-Ticketing-System eventuell den Export einer Liste aller offenen Tickets – wenn diese Liste personenbezogene Angaben enthält, sollte ein solcher Export nur durch berechtigte Personen und auf sicheren Wegen erfolgen dürfen. Idealerweise wird die Möglichkeit, umfangreiche persönliche Daten auf externe Datenträger (USB-Sticks, unverschlüsselte Dateien) zu kopieren, technisch unterbunden. Dies verringert das Risiko von Datenlecks erheblich. Wenn die Software Export-Funktionen bereitstellt, nutzen Sie Konfigurationsoptionen oder Nutzerrollen, um diese Funktionen einzuschränken. Sollen Daten exportiert werden (z.B. das Evakuierungsregister im Notfall), müssen klare Verfahren existieren, wie dies sicher geschieht und dass jeder Exportvorgang protokolliert wird.

• Maskierung und Pseudonymisierung: Wo immer möglich, sollten personenbezogene Identifikatoren pseudonymisiert oder maskiert werden. Das bedeutet, dass nach Abschluss des Hauptzwecks die Identität von Personen im System verborgen oder durch Codes ersetzt wird. Beispielsweise könnte das Besuchersystem automatisch einen Teil der Besucherdaten unkenntlich machen, sobald der Besuch beendet ist – etwa nach 24 Stunden nur noch die Initialen anzuzeigen statt des vollen Namens. So bleiben zwar die Besuchszahlen oder ein Grundprotokoll für statistische Zwecke erhalten, aber die direkt identifizierenden Daten sind im Tagesgeschäft nicht mehr sichtbar. Einige Besuchermanagement-Lösungen bieten die Möglichkeit, einen Besuchsdatensatz im System zu behalten, dabei aber identifizierende Informationen wie Name und Firma des Besuchers zu entfernen bzw. zu anonymisieren. Durch eine solche Maskierung von Daten nach Zweckentfall wird der Grundsatz der Datenminimierung auch im zeitlichen Verlauf erfüllt. Ebenso können Arbeitsplatz-Analyseplattformen so eingerichtet werden, dass Auswertungen nur auf aggregierter Ebene (z.B. Auslastung eines Büros in %) erfolgen und keine personenbezogenen Daten gespeichert werden. Pseudonymisierung (z.B. Ersetzung von Namen durch ID-Nummern, wobei der Schlüssel sicher verwahrt wird) ist eine weitere Maßnahme, um Risiken zu reduzieren, falls doch einmal ein unbefugter Zugriff auf die Daten erfolgen sollte.

• Transparenz und Einwilligung an den Eingabepunkten: Stellen Sie sicher, dass immer dann, wenn personenbezogene Daten erhoben werden – etwa wenn sich ein Besucher auf einem Tablet registriert – die gesetzlich vorgeschriebenen Datenschutzinformationen bereitgestellt und erforderliche Einwilligungen eingeholt werden. Die DSGVO verlangt klare Informationen darüber, wie die Daten verwendet werden. Praktisch sollte die Besucher-Check-in-App also einen Hinweis zur Datenschutzerklärung anzeigen (ggf. mehrsprachig) und den Besucher auffordern zu bestätigen, dass er diese Kenntnis genommen hat, bevor er fortfährt. Ebenso sollte angegeben werden, wie lange die Daten aufbewahrt werden (z.B. “Ihre Besucherdaten werden nach 14 Tagen gelöscht”). Für mitarbeiterbezogene Systeme (etwa Zugangskontrolle oder Zeiterfassung) sollten die Beschäftigten über die Datennutzung informiert sein, z.B. durch leicht auffindbare Datenschutzrichtlinien im Intranet. Zwar ist dies eher eine organisatorische Maßnahme als eine technische Konfiguration, aber viele digitale Systeme erlauben es, eigene Texte für Einwilligungs- oder Hinweisdialoge einzufügen. Nutzen Sie diese Möglichkeit, um Transparenz und ggf. Zustimmung nahtlos in den Prozess zu integrieren.

Moderne Leitstände im Gebäudemanagement arbeiten mit digitalen Dashboards und Kontrollräumen. Diese sollten von vornherein mit Datenschutz und Sicherheit im Blick eingerichtet werden – d.h. Zugriff nur für befugte Bediener und technische Schutzmaßnahmen entsprechend den DSGVO-Anforderungen an IT-Sicherheit.

Durch die Implementierung solcher Privacy-by-Design-Maßnahmen kann der Facility Manager sicherstellen, dass die DSGVO-Compliance vom System selbst durchgesetzt wird und nicht dem Zufall oder allein der Aufmerksamkeit von Mitarbeitern überlassen bleibt. Zum Beispiel reduzieren klare Beschränkungen – etwa wenn nur das Empfangspersonal vollständige Besucherdaten einsehen kann und FM-Mitarbeiter ohne Admin-Rechte keine personenbezogenen Daten exportieren können – das Risiko einer versehentlichen Offenlegung drastisch.

• Nur autorisiertes Personal (z.B. Empfang oder Sicherheit) kann vollständige personenbezogene Datensätze einsehen; andere sehen nur das Nötigste.

• Facility-Mitarbeiter ohne besondere Berechtigung können keine Massendatenexporte durchführen; das Kopieren personenbezogener Daten auf unsichere Medien ist unterbunden.

• Alle Zugriffe auf Daten werden protokolliert; Protokolldaten (Audit-Trails) sind nur für Administratoren zugänglich, um Nachvollziehbarkeit zu gewährleisten und Manipulation zu verhindern.

• Personenbezogene Daten werden nach Zweckentfall automatisiert maskiert oder anonymisiert (z.B. werden 24 Stunden nach dem Auschecken eines Besuchers nur noch Initialen statt vollständiger Namen angezeigt).

Diese Maßnahmen setzen die DSGVO-Prinzipien Datenminimierung, Zweckbindung und Sicherheit konkret um. Sie folgen zudem dem Konzept der „geringsten Privilegien“, bei dem jeder Nutzer nur so viele Rechte und Datenzugriff erhält, wie er benötigt. Für den Fall eines Audits oder Datenschutzvorfalls kann das Unternehmen darlegen, dass es umfangreiche Vorkehrungen getroffen hat (was im Rahmen der DSGVO-Rechenschaftspflicht von großer Bedeutung ist). Ergänzend sollte mit allen externen Dienstleistern (Cloud-Anbieter, Software-Dienstleister), die im FM-Bereich personenbezogene Daten verarbeiten, ein Auftragsverarbeitungsvertrag geschlossen werden, um sicherzustellen, dass auch diese Dienstleister DSGVO-Vorgaben einhalten. Schließlich ist Privacy by Design kein einmaliger Akt, sondern ein fortlaufender Prozess: Die Systemeinstellungen und -maßnahmen sind regelmäßig zu überprüfen und bei Bedarf zu aktualisieren, um neuen Risiken oder Änderungen (z.B. Software-Updates, neue Features) Rechnung zu tragen.

Nach dem Prinzip der Speicherbegrenzung der DSGVO dürfen personenbezogene Daten nicht länger aufbewahrt werden als nötig. Für digitale Systeme im Bürogebäude heißt das: Es müssen klare Aufbewahrungsfristen für alle Datenkategorien (Besucherdaten, Zutrittsprotokolle, Logfiles, etc.) definiert und Mechanismen zur automatischen Löschung oder Anonymisierung nach Ablauf dieser Fristen eingerichtet werden. Ein DSGVO-konformes FM-System sollte idealerweise Funktionen haben, um Daten nach einer bestimmten Zeit automatisiert zu löschen, sodass keine überalterten Personendaten unbemerkt im System verbleiben. Diese Fristen und Löschprozesse sollten dokumentiert und den Betroffenen transparent gemacht werden (z.B. im Datenschutzhinweis könnte stehen: “Besucherdaten werden nach 14 Tagen gelöscht”).

Die Festlegung angemessener Aufbewahrungsdauern erfordert es, betriebliche Bedürfnisse gegen die Privatsphäre abzuwägen. Man stellt sich die Frage: “Wie lange werden diese Daten für ihren Zweck wirklich benötigt?” Ein Besuchereintrag wird z.B. nur so lange gebraucht, wie der Besucher im Gebäude ist und kurze Zeit danach – vielleicht einige Tage oder Wochen, falls Nachverfolgung nötig ist. Ein Mitarbeiter-Zutrittslog kann für Sicherheitsüberprüfungen oder Compliance einige Zeit länger nützlich sein, wahrscheinlich aber auch nicht länger als ein paar Monate. Grundsätzlich gilt: Wenn es keinen klaren Grund mehr gibt, Daten vorzuhalten, sollten sie gelöscht werden. Ein deutscher Datenschutztipp für klassische Besucherlisten besagt etwa, dass diese unmittelbar zu vernichten sind, sobald der Zweck erfüllt ist. Praktisch heißt das: Ein Besucherformular in Papierform wird nach Ende des Besuchstages oder sobald es nicht mehr gebraucht wird, vernichtet (geschreddert). In einem digitalen System sollte analog die Löschung oder Anonymisierung eines Besucherdatensatzes nach kurzer Zeit erfolgen.

Wichtig ist auch die Berücksichtigung etwaiger gesetzlicher Aufbewahrungspflichten oder anderer Vorgaben. Die DSGVO selbst setzt keine konkreten Fristen (außer z.B. in Spezialfällen wie Bewerberdaten in manchen Ländern), erlaubt aber die weitere Speicherung, wenn andere Gesetze dies erfordern oder berechtigte Interessen vorliegen. Beispielsweise könnten Anforderungen der Arbeitssicherheit oder Versicherungsgründe es rechtfertigen, Zutrittsdaten für eine gewisse Zeit vorzuhalten. In solchen Fällen bilden diese Anforderungen einen neuen Zweck, der die Speicherung für die Dauer der Pflicht legitimiert. Sind diese Fristen jedoch abgelaufen, müssen die Daten endgültig gelöscht oder datenschutzgerecht vernichtet werden. Als Faustregel: Sobald die Rechtsgrundlage oder der ursprüngliche Zweck wegfällt, sind die Daten zu löschen.

Beispielhaftes Aufbewahrungskonzept. Personenbezogene Daten werden nach Ablauf der Frist gelöscht oder anonymisiert, es sei denn, es bestehen darüber hinausgehende rechtliche Pflichten. Kurzfristig benötigte Daten werden automatisch bereinigt, während bei langfristig aufzubewahrenden Daten manuell geprüft wird.

Im obigen Beispiel werden Besucherdaten (Name, Kontakt, besuchte Firma usw.), die beim Einlass erfasst wurden, nach 14 Tagen automatisch gelöscht. Zwei Wochen gelten hier als eine praxisnahe Frist – sie erlaubt z.B., eventuelle Sicherheitsvorfälle im Nachgang zu klären oder im Fall einer meldepflichtigen Krankheit (COVID-19 o.Ä.) innerhalb von 14 Tagen nachvollziehen zu können, wer im Gebäude war. Einige Unternehmen setzen möglicherweise eine etwas längere Frist (z.B. 4 Wochen) an, aber aus Datenschutzsicht ist eine möglichst kurze Aufbewahrung empfehlenswert. Tatsächlich hat ein Unternehmen seine Besucherformulare nach Rücksprache mit der Versicherung auf drei Monate festgelegt; dies zeigt, dass die optimale Frist je nach Risikobewertung variieren kann. In der Regel gilt jedoch: so kurz wie möglich, so lang wie nötig. Die Richtlinie kann auch Ausnahmen vorsehen: “Falls eine längere Aufbewahrung aus Sicherheitsgründen oder gesetzlich erforderlich ist, wird individuell verlängert und dokumentiert.” Wenn zum Beispiel ein sicherheitsrelevanter Vorfall passiert, sollten die betreffenden Besucherdaten separat gesichert und bis zur Aufklärung aufbewahrt werden – aber eben isoliert vom normalen Datenbestand und mit Protokollierung.

Für Zutrittskontroll-Logs (Protokolle von Türzutritten mittels Mitarbeiterausweisen etc.) ist im Beispiel eine Aufbewahrung von 90 Tage vorgesehen, danach erfolgt eine Anonymisierung. Konkret könnte das bedeuten, dass nach 90 Tagen die personalisierten Einträge (wer genau hat wann geöffnet) durch entpersonalisierte Daten ersetzt werden – etwa dass nur noch ersichtlich ist, dass ein Zutritt stattfand, aber nicht mehr die Identität der Person. 90 Tage (circa 3 Monate) sind ein üblicher Zeitraum, der in vielen Unternehmen für Zugriffsdaten als ausreichend betrachtet wird, um z.B. Unregelmäßigkeiten zu untersuchen. Darüber hinaus sinkt der Mehrwert der Daten, während die Risiken (unbefugte Nutzung oder Hacking der alten Daten) steigen. Durch eine automatisierte Anonymisierung können grundlegende Nutzungsstatistiken (z.B. Anzahl der Zutritte pro Tag) erhalten bleiben, ohne die Privatsphäre Einzelner länger als nötig zu beeinträchtigen.

Backups und Archivspeicher verdienen besondere Aufmerksamkeit: Es wäre ein Datenschutzrisiko, wenn personenbezogene Daten zwar in der aktiven Datenbank gelöscht, jedoch jahrelang in Sicherungskopien unkontrolliert aufgehoben werden. Daher sollten Backup-Zyklen so gestaltet sein, dass auch dort keine Daten über die vorgesehenen Fristen hinaus verfügbar sind. Viele IT-Abteilungen handhaben es so, dass Backups nach einer bestimmten Zeit überschrieben oder gelöscht werden. Dieses Zeitfenster sollte mit den Aufbewahrungsfristen abgestimmt sein. Wenn z.B. Besucherdaten nach 14 Tagen gelöscht werden, sollte es keine Backups geben, die Daten wesentlich länger enthalten, oder es muss sichergestellt sein, dass auf solchen Backups nicht ohne weiteres zugegriffen wird und sie ebenfalls nach kurzer Zeit vernichtet werden. Bei Cloud-Diensten lohnt es sich, Einstellungen zur Datenaufbewahrung bzw. zum Backup zu überprüfen oder den Anbieter zu konsultieren, um sicherzugehen, dass die Löschfristen auch in allen Systemkopien umgesetzt werden.

Für bestimmte Datentypen wie Schulungsnachweise des Personals (z.B. Belege, wann Mitarbeiter eine Datenschutzschulung absolviert haben) sind längere Aufbewahrungen oft gerechtfertigt, hier im Beispiel 3 Jahre. Arbeitgeber müssen ggf. nachweisen, dass Mitarbeiter regelmäßig geschult wurden, insbesondere im Datenschutz – daher behält man diese Nachweise zumindest einige Jahre. Nach Ablauf von 3 Jahren sollte geprüft werden, ob die Daten noch benötigt werden. So ein Vorgang kann manuell erfolgen: Der Datenschutzbeauftragte (DSB) oder eine verantwortliche Person sichtet einmal jährlich ältere Schulungsnachweise und entscheidet, ob sie gelöscht oder archiviert werden. Im Beispiel wird Archivierung mit DSB-Genehmigung angegeben, was bedeutet, dass die Datensätze nicht sofort gelöscht, sondern in ein Archiv überführt werden, zu dem nur noch sehr eingeschränkter Zugriff besteht, und dass der DSB darüber befindet. Diese Vorgehensweise stellt sicher, dass die Daten nicht unnötig live weitergespeichert werden, aber das Unternehmen im Zweifelsfall noch Nachweise hat. Wichtig ist, dass auch solche Archivierungen den Datenschutz beachten – z.B. dass die archivierten Daten sicher verwahrt und nach Ablauf der gesetzlich relevanten Fristen endgültig gelöscht werden.

Die Automatisierung der Löschung ist ein Kernpunkt: Man sollte nicht darauf vertrauen, dass jemand manuell daran denkt, alte Datensätze zu entfernen. Viele Systeme erlauben es, Aufbewahrungsrichtlinien zu konfigurieren. So kann man in einem Besuchermanagement-Tool definieren, dass Besucherinformationen nach X Tagen automatisch entfernt oder anonymisiert werden. Wenn diese Funktion aktiviert ist, “säubert” sich die Datenbank gewissermaßen selbst – z.B. jeden Tag um Mitternacht werden alle Besucherdatensätze gelöscht, die älter als 14 Tage sind. Das entlastet Mitarbeiter und minimiert Fehler. Falls eine Software keine eingebaute Löschroutine hat, sollte die IT Abhilfe schaffen, etwa durch regelmäßige Skripte oder Abfragen, die veraltete Datensätze entfernen. Wichtig ist, diese automatischen Vorgänge auch zu protokollieren, damit man nachweisen kann, dass die Löschung tatsächlich stattgefunden hat (und um im Fehlerfall reagieren zu können, falls z.B. ein Skript nicht lief).

Wenn Daten gelöscht werden, muss dies sicher und vollständig geschehen. Die DSGVO verlangt, dass personenbezogene oder sensible Daten so vernichtet werden, dass keine andere Person sie rekonstruieren kann. Elektronische Daten sollten so gelöscht oder überschrieben werden, dass sie nicht wiederhergestellt werden können. Papierunterlagen sind zu schreddern oder einem zertifizierten Vernichtungsdienst zu übergeben. Hier bietet z.B. die DIN 66399 Orientierung, welche Sicherheitsstufen für Datenträgervernichtung einzuhalten sind. Zudem sollte dokumentiert werden, wann und wie die Löschung durchgeführt wurde – dies kann Teil des internen Löschkonzepts sein. Ein strukturiertes Löschkonzept hilft den Überblick zu behalten: Es definiert, welche Daten wann zu löschen sind, wer verantwortlich ist und wie die Nachweise geführt werden.

Es sollten Verantwortliche für jede Datenart klare Aufbewahrungsfristen festlegen und diese konsequent umsetzen. Der Grundsatz lautet immer: “Speichern nur solange ein Zweck besteht”. Dies verringert das Datenschutzrisiko erheblich: Selbst wenn es zu einem unbefugten Zugriff kommt, ist nur ein begrenzter Datenbestand betroffen. Außerdem wird der Verwaltungsaufwand reduziert – man hat weniger Alt-Daten, die z.B. bei Auskunftsersuchen durchsucht oder bei Datenpannen analysiert werden müssen. Die Einhaltung von Löschfristen ist somit ein zentrales Element der DSGVO-Compliance im Facility Management, da sie den Datenschutz in tägliche Abläufe übersetzt: Verarbeitet man personenbezogene Daten im Gebäude, gehört das regelmäßige Löschen so selbstverständlich dazu wie z.B. die tägliche Schließrunde am Abend. Mit technischen Automatismen und klaren Richtlinien zeigt der Gebäudebetreiber, dass er die Privatsphäre der Personen respektiert (niemand möchte, dass seine Besucherdaten monatelang unnötig gespeichert bleiben) und dass er die aus der Speicherung resultierenden Risiken aktiv begrenzt.

Selbst die besten Richtlinien und technischen Maßnahmen nützen wenig, wenn die Mitarbeiter nicht geschult sind und Datenschutzbewusstsein mitbringen. Der menschliche Faktor ist entscheidend: Viele Datenschutzverletzungen passieren durch Fehler oder Unwissenheit von Beschäftigten. Im Facility Management könnten das z.B. Fälle sein wie ein Empfangsmitarbeiter, der die Besucherliste offen liegen lässt, oder ein Administrator, der ein einfaches Passwort für das Zugangssystem verwendet. Daher muss eine umfassende DSGVO-Umsetzung in einem großen Bürogebäude immer auch laufende Schulungs- und Sensibilisierungsmaßnahmen für das Personal umfassen. Die DSGVO erwähnt Schulungen indirekt als Teil der angemessenen Sicherheitsmaßnahmen und Pflichten der Verantwortlichen (Art. 39 DSGVO für Datenschutzbeauftragte und generell als organisatorische Maßnahme). Regulatoren erwarten, dass Organisationen ihre Mitarbeiter, die mit personenbezogenen Daten umgehen, regelmäßig über Datenschutz aufklären. Durch wiederkehrende Trainings stellen Facility Manager sicher, dass die Personen, die FM-Systeme bedienen, die Bedeutung des Datenschutzes verstehen und wissen, wie die Systeme sicher und vorschriftsgemäß zu verwenden sind.

• Pflichtschulungen zur DSGVO: Alle Mitarbeitenden im Facility Management oder solche, die im Rahmen ihrer Tätigkeit mit personenbezogenen Gebäudedaten zu tun haben, sollten mindestens einmal jährlich eine DSGVO-Grundlagenschulung erhalten. Darin werden die Prinzipien des Datenschutzes, die Unternehmensrichtlinien und die Verantwortlichkeiten jedes Einzelnen behandelt. Zudem können in so einem Training die möglichen Konsequenzen bei Verstößen (Bußgelder, Imageschäden) erläutert werden, um die Dringlichkeit zu unterstreichen. Diese Schulung kann über eine E-Learning-Plattform erfolgen oder in Präsenz (z.B. Workshop im Konferenzraum). Wichtig ist, die Teilnahme zu dokumentieren. Regelmäßige Auffrischungen halten das Wissen aktuell und signalisieren, dass die Unternehmensleitung dem Thema Priorität einräumt.

• Rollenspezifische Unterweisungen: Unterschiedliche Rollen benötigen maßgeschneiderte Inhalte. Beispielsweise brauchen Empfangsmitarbeiter und Verwaltungsangestellte Schulungen zum sicheren Umgang mit den von ihnen genutzten Systemen. Sie sollten genau wissen, wie das Besuchermanagement-Tool funktioniert, welche Daten eingegeben werden müssen und welche nicht, wie Besucher datenschutzkonform anzumelden sind (etwa: darauf achten, dass kein Unbefugter am Bildschirm mitliest) und wie zu verfahren ist, wenn ein Besucher Fragen zum Datenschutz stellt. Diese Mitarbeiter sollten auch darüber instruiert werden, welche Informationen sie nie herausgeben dürfen – z.B. keine Besucherdaten am Telefon an Fremde. IT-Administratoren und Sicherheitsbeauftragte benötigen vertiefte Schulungen, z.B. zum Berechtigungsmanagement (wie lege ich neue Nutzer in den Systemen an, welche Rechte darf ich vergeben?), zu Protokollierung und Überwachung (wie erkenne ich mögliche Datenschutzvorfälle im Log?) und zu den Löschprozessen (wie stelle ich sicher, dass regelmäßige Löschläufe in der Software erfolgen oder manuell durchgeführt werden). Durch diese rollenspezifische Schulung wird sichergestellt, dass jeder Mitarbeiter die Datenschutz-Aspekte seiner konkreten Tätigkeit kennt.

• Sicherheitsbewusstsein (Vermeidung von Datenschutzvorfällen): In das Programm sollte allgemeine IT-Sicherheitsschulung einfließen, da Datenschutz und Datensicherheit Hand in Hand gehen. Dazu gehört Schulung im Erkennen von Phishing-E-Mails, im Umgang mit Passwörtern (starke, einzigartige Passwörter, ggf. Passwortmanager) und in der Vorsicht bei unbekannten E-Mails oder Anrufen. Gerade im Gebäudeumfeld gibt es die Gefahr des Social Engineering: Mitarbeiter könnten Ziel von Trickbetrügern werden, die sich beispielsweise als Techniker ausgeben, um sich Zugang zu Räumen oder Daten zu verschaffen. Die Belegschaft sollte hinsichtlich solcher Methoden sensibilisiert sein. Die Polizei NRW rät Unternehmen etwa, Mitarbeiter über diese Phänomene zu schulen, aufmerksam zu sein, welche Informationen über das Unternehmen öffentlich sind, und ungewöhnliche Anfragen (z.B. plötzlich soll per Telefon Zugang zu sicherheitsrelevanten Bereichen gewährt werden) streng zu prüfen. Konkret kann man in Schulungen Rollenspiele oder Beispiele durchgehen: Was tun, wenn jemand am Telefon behauptet, er sei vom IT-Support und brauche Zugriff auf das Zugangssystem? Richtiges Verhalten wäre, keine sensiblen Informationen preiszugeben und den Vorgang dem Vorgesetzten oder DSB zu melden. Indem Mitarbeiter lernen, potenzielle Angriffsversuche zu erkennen, werden viele Probleme schon im Keim erstickt.

• Datenschutzgerechtes Verhalten im Alltag: Schulungen sollten auch die praktischen Maßnahmen im täglichen Arbeitsumfeld abdecken, die dem Datenschutz dienen. Dazu zählt z.B. das bereits erwähnte Clean-Desk-Policy – Mitarbeiter müssen verstehen, dass Unterlagen mit personenbezogenen Daten (z.B. ausgedruckte Listen von Besuchern oder Zugangskarten mit Namen) nicht offen herumliegen dürfen, sondern eingeschlossen werden müssen. Ebenso sollte der Grundsatz erläutert werden, stets den Bildschirm zu sperren, wenn man den Arbeitsplatz verlässt, besonders an Empfangs- oder öffentlichen Bereichen, wo sonst unberechtigte Personen Daten einsehen könnten. Weitere Punkte sind: Keine Post-its mit Passwörtern an den Monitor kleben; E-Mails mit personenbezogenen Daten nur verschlüsselt oder gar nicht versenden; Vorsicht beim Ausfüllen von Formularen, dass niemand über die Schulter schaut. Der richtige Umgang mit Besucherdaten und ausgedruckten Listen gehört explizit dazu: Mitarbeiter sollten geschult sein, was mit Papierlisten nach der Nutzung geschieht (sofort zum Reißwolf bzw. in die abschließbare Datenschutztone) und dass niemand außer Berechtigten Einsicht erhalten darf. Durch solche Verhaltensregeln und deren Schulung wird ein Großteil potenzieller Datenschutzverstöße im Alltag verhindert.

• Umgang mit Anfragen und Vorfällen: Das Personal sollte wissen, wie es zu reagieren hat, wenn Betroffenenrechte geltend gemacht werden oder wenn ein Datenschutzvorfall passiert. Beispielsweise: Ein Besucher könnte am Empfang fragen, “Bitte löschen Sie meine Daten von gestern”. Mitarbeiter müssen dann den Prozess kennen – vermutlich dürfen sie das nicht eigenmächtig tun, sondern leiten es an den Datenschutzbeauftragten weiter oder vermerken es, damit die Löschung gemäß Prozedur erfolgt. Genauso sollten sie über das Melden von Datenschutzvorfällen Bescheid wissen. Jeder Mitarbeiter muss das Bewusstsein haben: Wenn z.B. ein Laptop mit FM-Daten abhandenkommt oder man feststellt, dass Unbefugte auf ein System zugreifen konnten, ist das ein Vorfall, der unverzüglich intern gemeldet werden muss (typischerweise an den DSB oder ein IT-Sicherheits-Team), damit innerhalb von 72 Stunden ggf. die Aufsichtsbehörde benachrichtigt werden kann. Schulungen können hier einen Meldeweg aufzeigen (z.B. “informieren Sie sofort Person X und füllen Sie Formular Y aus”). Regelmäßige Erinnerungen durch z.B. vierteljährliche E-Mails (“So melden Sie einen Datenschutzvorfall”) halten dieses Wissen frisch.

Ein effektives Sensibilisierungsprogramm ist kontinuierlich angelegt, nicht einmalig. Neue Mitarbeiter erhalten idealerweise direkt bei Arbeitsbeginn eine Einführung in die Datenschutzrichtlinien des Unternehmens. Für alle Mitarbeiter gibt es – je nach Risiko – jährlich oder auch halbjährlich verpflichtende Auffrischungen. Zusätzlich bieten manche Organisationen kleine Häppchen zwischendurch an, z.B. vierteljährliche Kurse oder Newsletter mit aktuellen Tipps (z.B. “Vorsicht vor neuer Phishing-Welle” oder “Datenschutz-Tipp des Monats”).

Tabelle 3: Beispielhafter Schulungs- und Sensibilisierungsplan für das Personal im Facility Management eines großen Bürogebäudes. Unterschiedliche Themen sind auf die jeweiligen Mitarbeitergruppen zugeschnitten und werden in regelmäßigen Abständen vermittelt.

Ein solches Programm stellt sicher, dass alle – vom Empfang über die Haustechnik bis zur IT-Administration – ihre Rolle beim Datenschutz verstehen. Es schafft zudem eine Kultur, in der Datenschutz gelebt wird. Geschulte Mitarbeiter erkennen und melden möglicherweise kleine Probleme, bevor daraus große werden (z.B. fällt einem Mitarbeiter auf, dass ein Monitor im Eingangsbereich personenbezogene Daten anzeigt – nach der Schulung weiß er, dass er dies melden oder abschalten sollte). Darüber hinaus betrachten Aufsichtsbehörden kontinuierliche Mitarbeiterschulung als wichtigen Teil der organisatorischen Maßnahmen im Rahmen der DSGVO-Rechenschaftspflicht. Ein Unternehmen, das nachweisen kann, dass es sein Personal regelmäßig schult, demonstriert Verantwortungsbewusstsein.

Wichtig ist auch die Unterstützung durch das Management: Die Führungskräfte sollten kommunizieren, dass Compliance (insbesondere Datenschutz) Priorität hat und kein lästiges Übel ist. Datenschutzbeauftragte oder externe Experten können in Schulungen eingebunden werden, um die Bedeutung zu unterstreichen. Die Mitarbeiter sollten das Gefühl haben, Datenschutz geht jeden etwas an und ist Teil ihrer normalen Arbeitsqualität. Mit dem richtigen Wissen und Bewusstsein ausgestattet, werden die Mitarbeiter zur ersten Verteidigungslinie beim Schutz personenbezogener Daten in Gebäudesystemen.