Lesezeit:

(3/3) Zwischen Notwendigkeit und unrealistischen Sicherheitsvorstellungen – wie viel Kontrolle ist angemessen. Ein Interview mit Experte Werner Störmer.

(Hier geht es zu Teil 2 des Interviews)

 

Personen- und Datenschutz sind elementare Dinge im Bereich der Öffentlichkeit und somit auch für Unternehmen, aber die Masse an Systemen, Tools, Apps und generell Konzepten zur Sicherheitsgewährleistung kann auch überfordernd sein. Was ist aus Ihrer Sicht hier zu beachten?

Werner Störmer: Zutrittsprojekte stellen Unternehmen vor große Herausforderungen. Hier muss sich das Projektteam nicht nur mit technischen Fragen (Ausweise, Zeit-/Zutrittsterminals, Vernetzung, Hard- und Software) und organisatorischen Regelungen (Betriebsvereinbarung, Berechtigungskonzepte), sondern auch mit rechtlichen Fragen auseinandersetzen. Um den gewünschten Nutzen, Mitarbeiterakzeptanz und eine hohe Verfügbarkeit zu erreichen, ist eine sorgfältige Planung, Auswahl, Einführung und Systembetreuung sicherzustellen. Gute Beratung, vom Projektstart bis zum Echtbetrieb, hilft für ein gutes Gelingen der Zielvorstellungen. Hier bietet der BHE entsprechende Seminare an. Empfehlenswert ist hier insbesondere das Seminar: „Zutrittssteuerung und Identifikationsmanagement“.

Typische Fehler bei der Festlegung der Anforderungen oder des Pflichtenheftes zur Bieterauswahl  sind zu enge Vorgaben. Dadurch  werden  die Vorschläge oft viel zu früh in eine Bahn gelenkt, welche zwar den gut gemeinten Vorstellungen entsprechen, aber nicht die beste Lösung darstellen. Denn ein qualifizierter Bieter – und nur einem solchen sollte man ein derartiges Projekt anvertrauen – verfügt in der Regel über mehr Erfahrung als der beste Sachbearbeiter, welcher die Systemanforderungen beschreiben soll. Nicht der Bieter ist der Beste, welcher alle Vorgaben zusagt (aber manchmal auch nicht einhält), sondern der, welcher die bestmögliche Lösung vorschlägt, die Sicherheitsanforderungen erfüllt und das dazu passende Zutrittssystem liefert.

Da Zutrittssysteme personenbezogene Daten erfassen und verarbeiten, muss ihr Einsatz konform mit dem geltenden Datenschutzrecht sein. Für die Anwendbarkeit des Datenschutzrechts kommt es immer darauf an, ob die Daten, die mit dem System verarbeitet werden sollen, personenbezogen oder personenbeziehbar sind. Außerdem ist zu beachten, dass ihr Einsatz mitbestimmungspflichtig ist. Gemäß § 3 Abs. 1 des BDSG sind dies Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Zu den Daten bei denen ein Personenbezug anzunehmen ist, gehören beispielsweise gespeicherte Angaben zur Person, Ausweisdaten, das Passbild sowie biometrische Merkmale des Betroffenen.

Deshalb sind Auswertungen und Analysen von Daten aus der Zutrittssteuerung – aber natürlich auch aus der Zeiterfassung – sehr sensibel. Dem entsprechend muss hier beachtet werden, welche Daten überhaupt ausgewertet und analysiert werden dürfen. Die Betriebsräte (ggfs. auch ein Datenschutzbeauftragter) müssen bei solchen Vorhaben sehr früh eingebunden werden, wenn solche Projekte gelingen sollen.

sicherheit-systemverwaltung© Pixabay / Freie Nutzung gewährt

Datenschutz bedeutet ein grundsätzliches Verbot der Erhebung, Verarbeitung und Nutzung personenbezogener Daten mit zwei Ausnahmen:

  1. Der Betroffene gibt seine ausdrückliche Zustimmung oder
  2. Es existiert eine Vorschrift (Gesetz, Tarifvertrag, Betriebsvereinbarung), die die Verarbeitung regelt.

Das BDSG fordert in § 3a, dass nur die Daten erfasst werden, die für die Zweckerfüllung der Zeit- und Zutrittslösung erforderlich sind. Dieser datenschutzrechtliche Grundsatz fordert, dass alle Verfahren, technischen und organisatorischen Maßnahmen immer in einem angemessenen Verhältnis zum Schutzzweck stehen müssen. Beispielsweise kann der Zweck von Zutrittssteuerungssystemen in der Nachverfolgbarkeit von Diebstählen, Einbrüchen oder Vandalismus liegen. Wichtig sind in diesem Zusammenhang auch die Fragen der Zugriffsberechtigung, der Speicherungsdauer, und das Ob und Wie der Protokollauswertung sorgfältig zu beantworten.

Besonders kritisch ist der Einsatz biometrischer Identifikationssysteme. Will ein Unternehmen biometrische Verfahren für die Zugangs- oder Zutrittssteuerung einsetzen, muss es zuerst die datenschutzrechtlichen Voraussetzungen klären. Außerdem kommt das Unternehmen um die Bestellung eines Datenschutzbeauftragten (der auch ein externer Dienstleister sein kann) in der Regel nicht herum. Grundsätzlich regelt die DSGVO, dass die Verarbeitung biometrischen Daten untersagt ist, wenn nicht bestimmte Voraussetzungen gegeben sind, wie sie Art. 9 DSGVO aufführt. Die Erforderlichkeit zur Verarbeitung biometrischer Daten ergibt sich insbesondere immer dann, wenn alternative Zutrittssysteme (z.B.: mit Ausweis und PIN) nicht die erforderliche Sicherheit hinsichtlich der Verhinderung eines unbefugten Zutritts erzielen. Beispielsweise wäre dies die Zutrittssteuerung zu einem Rechenzentrum mit besonders sensiblen (personenbezogenen) Daten.

Bevor wir zu Ende dieses Interviews kommen, lassen Sie uns nochmals ganz subjektiv werden: Welche sicherheitstechnische Innovation der letzten Jahrzehnte hat Sie am meisten überrascht und welche sehen Sie als die Wichtigste an?

Werner Störmer: Es gibt viele technologische Innovationen im Zeitraum von ca. 30 Jahren, die sich auf die Sicherheitstechnik auswirken oder auswirken werden. Aus meiner Sicht ist hier zu nennen:

  1. Das Smartphone als Taschen-PC, internetfähiges Endgerät, universelles mobiles Terminal und Identifikationssystem. Seit solche Geräte, über eine NFC- und Bluetooth-Fähigkeit verfügen, haben sich Bezahl- und Identifikationsvorgänge erheblich verändert. Bisher waren Plastikkarten als elektronische Datenträger, Zahlungsmittel oder als Ausweise zur Zutritts-, Zufahrts- oder Zugangssteuerung sowie für sonstige kartengesteuerte, betriebliche Anwendungen (z.B. zur Zeit-, Kantinen oder Betriebsdatenerfassung) ein fester Bestandteil im Alltag. Mittlerweile werden zunehmend im privaten und beruflichen Bereichen Smartphones als Zahlungsmittel oder als Identifikationsmedium (z.B. statt RFID-Mitarbeiterausweis oder Transponder) genutzt.
  2. Sicherheit im Privatbereich wird durch „Smart Home Security“, bei dem das Smartphone als Steuerungsmodul dient, erhebliche positive aber auch kritische Veränderungen bekommen.
  3. Die Biometrie, die durch die Verbreitung und Nutzung beim Smartphone eine enorme Entwicklung nimmt. Hier ist insbesondere die kontaktlose Handvenen- und 3D-Gesichtserkennung zu nennen. Die Identifikation aufgrund einmaliger, physiologischer Eigenschaften von Personen, wie dem Fingerabdruck, der Venen- oder Gesichtserkennung bietet entscheidende Vorteile: Im Gegensatz zu wissens- und besitzbasierenden Identifikationsverfahren, bieten biometrische Systeme ein Mehr an Sicherheit.
  4. Cloud Computing zur Bereitstellung von IT-Ressourcen (z.B. Server, Datenbanken, Speicher, Netzwerkkomponenten, Software, Analysetools und sonstige intelligente Funktionen) über das Internet.

bhe-podiumsdiskussion© BHE Bundesverband Sicherheitstechnik e.V.

Herr Störmer, vielen herzlichen Dank für Ihre Zeit und das spannende Gespräch. Wie wünschen Ihnen und dem BHE alles Gute und hoffen, dass wir in naher Zukunft zu einem weiteren Thema sprechen können.

Lassen Sie sich professionell beraten

Ein System zur Zutritts- und Zugriffkontrolle muss nicht künstliche aufgebläht sein, denn viel effektiver ist eine anforderungsgerechte Lösung, die auf die jeweiligen Besonderheiten angepasst ist. Lassen Sie sich individuell und anforderungsgerecht beraten – die IT-Experten der GFOS stehen Ihnen gerne und jederzeit zur Verfügung.

 

GFOS Security

Schlagwörter
Cloud KI Künstliche Intelligenz Sicherheitssyteme IT-Infrastruktur Software Hosting Big Data IT-Security BHE

Wollen Sie eine kostenfreie und unverbindliche Beratung?

Die IT-Experten der GFOS stehen Ihnen gerne jederzeit zur Verfügung.

nehmen-sie-kontakt-auf