Datenschutz & Zugangsberechtigungen

Neben Video fallen im Gebäudebetrieb noch viele weitere personenbezogene Daten an – vor allem Zutrittsdaten von elektronischen Ausweissystemen und Buchungsdaten aus Raumbuchungs- oder Arbeitsplatzreservierungssystemen. Diese Informationen sind durchaus sensibel: Anhand von Türlogs lässt sich nachvollziehen, wann jemand kommt und geht oder welche Räume er betritt; Buchungssysteme können Auskunft geben, wer an welchen Besprechungen teilnimmt oder wo sich jemand hingesetzt hat. Entsprechend müssen auch diese Daten mit hohen Datenschutzstandards verwaltet werden. Als Leitlinie gilt hier insbesondere das Prinzip der „minimalen Rechte“ (Least Privilege): Nur Personen, die aus ihrer Funktion heraus unbedingt Zugriff auf diese personenbezogenen Daten brauchen, dürfen ihn erhalten.

Praktisch bedeutet das, ein rollenspezifisches Berechtigungs- und Zugriffskonzept für solche Systeme zu erstellen. Beispielsweise könnte festgelegt sein, dass die Facility-Management-Abteilung zwar anonymisierte Auswertungen zur Raumauslastung sehen darf (etwa: „Raum X war im letzten Monat zu 60 % belegt“), aber keine individuellen Nutzerdaten einsehen kann, wer wann welchen Raum gebucht hat. Die Sicherheitsabteilung wiederum dürfte bei Bedarf in die Zutrittsprotokolle schauen, jedoch nur in konkreten Anlässen (z.B. zur Untersuchung eines Diebstahls oder um im Notfall nachzuvollziehen, wer sich im Gebäude befinden könnte). Falls das Unternehmen einen externen Wachdienst oder Empfangsdienstleister beschäftigt, sollten dessen Mitarbeiter ebenfalls nur auf die Daten zugreifen können, die sie zur Erfüllung ihrer Aufgabe brauchen – etwa Einsicht in ein Besuchsregister, aber nicht in Mitarbeiter-Zutrittslogs. All diese Einschränkungen lassen sich technisch über Benutzer- und Rollenverwaltung in den jeweiligen Systemen umsetzen. Die IT richtet Benutzerkonten z.B. für „Administrator“, „Security Officer“, „Facility Analyst“ etc. ein und definiert klar, welche Datensätze jede Rolle sehen, ändern oder exportieren darf. Wichtig ist auch, diese Berechtigungen regelmäßig zu überprüfen und zu aktualisieren (z.B. wenn ein Mitarbeiter die Abteilung wechselt, müssen seine Zugriffsrechte angepasst oder entzogen werden).

Protokollierung spielt auch hier eine große Rolle. Das System sollte jeden Zugriff auf personenbezogene Daten – sei es das Öffnen einer Detailansicht oder das Herunterladen eines Berichts – im Hintergrund aufzeichnen. So entsteht ein Nachvollziehbarkeitsprotokoll, wer wann welche Daten abgerufen hat. Diese Protokolle kann der Datenschutzbeauftragte oder IT-Revision stichprobenartig auswerten, um Missbrauch aufzudecken. Zudem dienen sie als Beleg im Fall einer Datenschutzbeschwerde: Man könnte z.B. nachweisen, dass nur autorisierte Personen Zutrittsdaten abgerufen haben und das auch nur am 20. des Monats zur Monatsauswertung. Die bloße Existenz von Logging-Mechanismen wirkt in der Regel bereits abschreckend auf potenziellen Datenmissbrauch, da Mitarbeitende wissen, dass unberechtigte Neugier Spuren hinterlässt. Technisch könnte das so gelöst sein, dass beim Zutrittssystem jede Suchanfrage (etwa „Zeige alle Türöffnungen von Mitarbeiter X“) mit Username und Zeitstempel protokolliert wird.

Neben der Zugriffskontrolle ist Transparenz gegenüber den Mitarbeitern auch in diesem Bereich wichtig. Idealerweise werden bereits beim Onboarding alle Beschäftigten darüber informiert, welche Daten im Gebäude erfasst werden und zu welchen Zwecken. Beispielsweise kann eine interne Datenschutzrichtlinie oder ein Merkblatt erklären: „Ihr elektronischer Mitarbeiterausweis speichert jeden Zutritt zeitlich und räumlich. Diese Daten nutzen wir ausschließlich zur Sicherstellung von Sicherheit (z.B. bei Notfällen zu wissen, wer im Gebäude ist) und zur Verbesserung der Raumnutzung. Es erfolgt keine Verhaltenskontrolle. Auf die Rohdaten können nur autorisierte Personen (Sicherheitsbeauftragter, HR bei Bedarf) zugreifen, und auch das nur anlassbezogen. Auswertungen werden nach X Tagen gelöscht.“ Solche Klarstellungen nehmen Ängste und Gerüchte, was die Firma mit den Daten anstellt. Gemäß Art. 13 DSGVO besteht ohnehin eine Informationspflicht – intern kann diese durch eine Betriebsvereinbarung oder durch das Mitarbeiterhandbuch erfüllt werden. Wichtig ist, dass Zweck und Umfang der Datennutzung klar kommuniziert werden, damit keine Überwachung „im Verborgenen“ stattfindet. In Deutschland ist es verbreitet, solche Themen in Betriebsvereinbarungen zwischen Arbeitgeber und Betriebsrat festzulegen – darin werden z.B. Details geregelt wie „Zutrittsdaten dürfen nicht zur Leistungsüberwachung verwendet werden“ oder „Zugriff auf die Daten erhält nur die Sicherheitszentrale, das Personalbüro nur nach schriftlicher Genehmigung der Geschäftsführung im Einzelfall“.

Die tatsächlich erlaubten Nutzungszwecke der gesammelten Daten sollten strikt eingehalten werden (Stichwort Zweckbindung). Wenn Zutrittslogs z.B. primär für die Notfallplanung und generelle Sicherheitsüberwachung erhoben werden, dann darf man sie nicht plötzlich zweckentfremden, um das Arbeitszeitverhalten einzelner Mitarbeiter zu kontrollieren – zumindest nicht ohne entsprechende rechtliche Grundlage und Kommunikation. Derartige „Funktionserweiterungen“ wären in vielen Fällen unzulässig oder zumindest mitbestimmungspflichtig. Daher sollte das Facility Management darauf achten, dass etwaige Druck von anderer Seite („Können wir nicht sehen, wer immer zu spät kommt anhand der Türdaten?“) datenschutzkonform abgefangen wird. Ggf. ist hier der Datenschutzbeauftragte einzuschalten, um die Einhaltung der Regeln zu verteidigen. In der Praxis bewährt es sich, wenn das Unternehmen intern eine klare Linie vorgibt: Gebäudedaten dienen dem Schutz und der Effizienz, nicht der Überwachung von Mitarbeitern. Diese Kultur verhindert Misstrauen und schafft ein besseres Arbeitsklima.

Zusammengefasst müssen Zutritts- und Buchungsdaten mit ähnlicher Sorgfalt behandelt werden wie klassische Personaldaten. Durch rollenbasierten Zugriff mit dem Prinzip der geringstmöglichen Rechte und lückenlose Protokollierung wird sichergestellt, dass sensible Informationen nur dort eingesehen werden, wo es absolut nötig ist. Die Transparenz gegenüber den Beschäftigten schafft Verständnis und Vertrauen, da jeder weiß, was erfasst wird und was nicht. Im Falle von digitalen Buchungssystemen kann man zusätzlich auf Datenminimierung setzen, indem man z.B. nach gewisser Zeit nur noch anonymisierte Nutzungsstatistiken speichert (wer welchen Raum wann gebucht hat, wird nach 3 Monaten anonymisiert). Auf diese Weise gelingt der Spagat: Das Unternehmen kann die Infrastruktur effizient verwalten, ohne die Persönlichkeitsrechte der Mitarbeiter zu verletzen.

Große Bürogebäude setzen vermehrt auf Smart-Building-Technologien – vom Internet der Dinge (IoT) bis zu KI-Analysen –, um den Gebäudebetrieb zu optimieren und ein modernes Arbeitsumfeld zu bieten. Beispiele sind: Präsenzmelder, die Licht und Klima steuern; Sensoren an Schreibtischen oder in Meetingräumen, die Belegungsdaten liefern; Smartphone-Apps für Mitarbeiter, mit denen sie etwa Schreibtische buchen, Kollegen im Gebäude finden oder Feedback zur Raumtemperatur geben können; Kameras mit anonymisierter Personenzählung zur Steuerung von Besucherströmen; digitale Assistenten in Besprechungsräumen, etc. All diese Technologien bergen potenziell Datenschutzrisiken, wenn sie Personenbezug herstellen – sei es direkt (Benutzernamen, Standortdaten einzelner Personen) oder indirekt (ein Sensor, der zwar anonym zählt, aber z.B. erkennen lässt, wann eine einzelne Person immer als erster kommt). Deshalb ist hier das Konzept des „Privacy by Design“ und „Privacy by Default“ besonders wichtig. Das bedeutet: Schon bei der Auswahl und Einrichtung solcher Systeme wird Datenschutz eingebaut und die Voreinstellungen sind datenschutzfreundlich. Konkret sollte ein Smart-Building-System standardmäßig nur diejenigen Daten sammeln, die für seinen Zweck erforderlich sind, und möglichst ohne Identifizierung einzelner Personen arbeiten.

Nehmen wir das Beispiel Personenzählung zur Flächenoptimierung: Statt eine Kamera mit Gesichtserkennung einzusetzen, kann man auf einen anonymisierenden Zähler setzen (etwa auf Wärmebild- oder Infrarotbasis), der lediglich die Anzahl der Personen in einem Bereich erfasst, ohne Gesichter oder Identitäten aufzunehmen. Solche Lösungen sind DSGVO-konform, weil keine personenbezogenen Daten im engeren Sinne verarbeitet werden – es wird niemand identifiziert, nur „1, 2, 3…“ gezählt. Die Datenschützer begrüßen solche Ansätze, da hier das Risiko für Betroffene minimiert ist, während der Nutzen (z.B. zu wissen, wie stark ein Gebäude ausgelastet ist) erhalten bleibt. Viele Anbieter werben mittlerweile damit, dass ihre Sensoren „GDPR-compliant by design“ sind, eben weil sie keine Einzelpersonen tracken. Facility Manager sollten bei Neuanschaffungen gezielt nach solchen Lösungen suchen. Oft lässt sich auch durch Konfiguration viel erreichen: Beispielsweise kann eine Raum-App so eingestellt werden, dass sie nur anzeigt „Raum belegt/frei“ und nicht den Namen der buchenden Person für alle sichtbar. Oder die App fordert keine permanenten Standortfreigaben vom Handy der Nutzer, sondern nur situativ, wenn wirklich gebraucht.

Falls ein System doch personenbezogene Daten benötigt (manche Anwendungen lassen sich nur mit Benutzerprofil betreiben, z.B. eine App, die man sich mit Firmenlogin personalisiert, um Schreibtische zu reservieren), dann müssen technische und organisatorische Maßnahmen getroffen werden, um diese Daten zu schützen. Dazu gehört Datenminimierung: Die App sollte z.B. nur den Namen und die Abteilung eines Mitarbeiters erfassen, nicht gleich die ganze Personalakte. Auch könnten Standortdaten nach Nutzung nicht gespeichert, sondern sofort gelöscht werden. Ein IoT-System, das Arbeitsplätze misst, könnte z.B. lokal am Sensor auswerten, ob ein Platz belegt ist, ohne diese Info mit einem Nutzerkonto zu verknüpfen – das Ergebnis („belegt“ oder „frei“) reicht für die Anzeige am Grundriss aus, ohne dass man weiß, wer dort sitzt. Pseudonymisierung kann ebenfalls sinnvoll sein: Falls eindeutige IDs gebraucht werden (z.B. ein Sensor an einem Spind erkennt via Bluetooth, welcher Mitarbeiterausweis in der Nähe ist, um automatisch Schließfächer zuzuweisen), dann sollte diese ID in den Datenbanken nur in verschlüsselter/gehashter Form gespeichert sein, sodass nicht jeder Administrator sofort den Personenbezug erkennen kann. Und natürlich ist Zugriffsschutz wesentlich: Nur befugte Administratoren oder Support-Mitarbeiter dürfen an die Rohdaten solcher Smart-Systeme heran. Für Cloud-basierte Lösungen muss zudem darauf geachtet werden, wo die Daten verarbeitet werden – idealerweise in der EU oder mit gültigen Übertragungsmechanismen (Stichwort Auftragsverarbeitung und Drittlandtransfer). Ein sauber ausgehandelter Vertrag (AVV) mit dem Anbieter, der DSGVO-Standards garantiert, ist hier Pflicht.

Regelmäßige Audits der Smart-Building-Anwendungen sind dringend zu empfehlen. Gerade bei IoT-Geräten kommt es vor, dass nachträglich neue Funktionen hinzukommen oder Einstellungen verloren gehen (z.B. nach einem Firmware-Update). Ein internes Audit könnte z.B. prüfen: Sind alle Sensoren und Kameras noch so ausgerichtet, dass keine unerwünschten Bereiche erfasst werden? Werden die Daten wirklich nach der vorgesehenen Zeit gelöscht? Sind Logfiles der Sensorplattform datenschutzkonform konfiguriert? Gibt es Protokollierungen, wer auf die Daten zugreift? Solche Prüfungen sollte man periodisch (etwa jährlich) und anlassbezogen (bei größeren Änderungen) durchführen und dokumentieren. Wenn Mängel festgestellt werden, sind Sofortmaßnahmen einzuleiten und der Datenschutzbeauftragte einzubeziehen. Angenommen, ein Audit stellt fest, dass die Raumbelegungs-App seit einem Update nun doch detaillierte Nutzungsprotokolle speichert – dann müsste man entweder diese Funktion deaktivieren oder mindestens die Mitarbeiter neu darüber informieren und ggf. eine DSFA durchführen, falls das Risiko sich erhöht hat. Flexibilität und Aktualität sind hier entscheidend: Die DSGVO verlangt, dass der Schutz ein kontinuierlicher Prozess ist, kein einmaliger Zustand.

Ein Beispiel aus der Praxis: Immer mehr Unternehmen setzen auf energieeffiziente Gebäude mit Sensoren, die auch das Verhalten steuern (Licht aus, wenn keiner im Raum ist, etc.). Das ist positiv für die Umwelt, aber wenn die Sensorik so genau ist, dass man daraus individuelle Arbeitszeiten ableiten könnte, muss man datenschutzrechtlich genau hinsehen. Die Lösung kann sein, solche Sensoren bewußt unpersönlich zu halten – z.B. keine personalisierten Bewegungsmelder an Schreibtischen, sondern eine generelle Raumpräsenzmessung. Außerdem sollte man in diesem Fall Mitarbeitern transparent mitteilen, dass Bewegungsmelder da sind, aber nur zur Lichtsteuerung dienen und keine dauerhafte Aufzeichnung erfolgt. Solche Kommunikation nimmt Befürchtungen (oft gibt es diffuse Ängste bei „Überall sind Sensoren, beobachtet mich da jemand?“). Hier zeigt sich: Datenschutz im Smart Building heißt oft auch, Ängste ernst nehmen und durch Gestaltung und Erläuterung zu zerstreuen.

Fazit: Smart-Building-Technologien können datenschutzgerecht eingesetzt werden, wenn man früh die richtigen Weichen stellt. Die Standards „Privacy by Design/Default“ sollten von Anfang an in Lastenhefte für neue Systeme aufgenommen werden. Konkrete Maßnahmen sind z.B.: anonyme Sensoren bevorzugen, Nutzerprofile auf das Nötigste beschränken, Möglichkeit zur Nutzung ohne dauernde Identifikation bieten (Opt-out oder Gast-Modus für Apps), Verschlüsselung und Zugriffskontrolle in der IoT-Infrastruktur, regelmäßige Sicherheitsupdates aller Geräte (um Hacks vorzubeugen), und strenge Lieferantenauswahl inkl. AVVs. Wenn diese Punkte berücksichtigt werden, lassen sich die Vorteile von Smart Buildings – effiziente Raumnutzung, gesteigerter Komfort, Einsparungen – genießen, ohne die Privatsphäre der Gebäudenutzer zu gefährden.

Technische Maßnahmen allein reichen nicht – der „Faktor Mensch“ ist im Datenschutz besonders bedeutsam. Mitarbeiter müssen für Datenschutz und IT-Sicherheit sensibilisiert werden, damit sie im Alltag richtig mit vertraulichen Daten umgehen und potentielle Gefahren erkennen. Dies betrifft alle im Gebäude tätigen Personen: vom Empfangsmitarbeiter über die Bürokraft bis zum Facility-Manager selbst. Viele Unternehmen führen verpflichtende Datenschutz-Schulungen für alle Beschäftigten durch, oftmals einmal jährlich oder bei Einstellung. Dort werden die Grundprinzipien der DSGVO erläutert, betriebliche Regelungen vorgestellt und praktische Tipps gegeben. Ein zentrales Thema solcher Schulungen ist meist die IT-Sicherheit und „Cyber-Hygiene“, wozu insbesondere die Abwehr von Phishing-Angriffen zählt. Phishing-Mails sind eine der häufigsten Ursachen für Datenpannen – ein unvorsichtiger Klick kann Schadsoftware einschleusen, die anschließend personenbezogene Daten aus Facility-Systemen (z.B. Mitarbeiterlisten, Zugangscodes) abzieht. Schulungen sollten daher anhand von Beispielen zeigen, wie raffinierte Phishing-Versuche aussehen können und wie man sie erkennt (ungewöhnlicher Absender, drängender Ton, verlockender Anhang etc.). Ebenso sollte geübt werden, verdächtige Vorfälle sofort zu melden. Nach Art. 33 DSGVO hat ein Unternehmen im Fall eines Datenschutzvorfalls nur 72 Stunden Zeit, die Aufsichtsbehörde zu informieren – diese Frist kann man nur halten, wenn die Mitarbeiter wissen, an wen sie sich sofort wenden müssen (typischerweise den Informationssicherheitsbeauftragten oder DSB), sobald ihnen etwas auffällt.

Alltägliche Verhaltensregeln spielen im Büroumfeld eine große Rolle. Eine bewährte Richtlinie ist die Clean-Desk-Policy – also die Vorgabe, dass Arbeitsplätze beim Verlassen und am Feierabend aufgeräumt sein müssen. Jeder Mitarbeiter räumt dann alle Unterlagen mit personenbezogenen oder vertraulichen Informationen weg (in abschließbare Schränke oder Schubladen) und verlässt keinen Bildschirm ungesperrt. Warum ist das wichtig? In einem Großraumbüro oder einem geteilter Schreibtisch (Desk Sharing) könnte sonst jemand unbefugt Einblick in Unterlagen erhalten, die nicht für ihn bestimmt sind. Das kann auch ein Besucher bei einer Führung sein oder das Reinigungspersonal. Ein sauberer Schreibtisch sorgt dafür, dass keine sensiblen Informationen offen liegen. Gleiches gilt für Whiteboards oder Flipcharts in Meetingräumen – was dort an personenbezogenen Daten notiert wurde (z.B. Namen, Kundendaten), sollte nach der Besprechung entfernt werden. Eine gute Clean-Desk-Policy umfasst übrigens auch digitale Aspekte: „Clear Screen“ – sprich, Computer sperren (Passwort oder Karte ziehen), wenn man den Platz verlässt. Manche Unternehmen konfigurieren die Rechner, dass sie sich nach 5 Minuten Inaktivität automatisch sperren; das kann helfen, ist aber kein Ersatz für die Disziplin der Nutzer. Passwörter sollten niemals auf Zetteln notiert offen herumliegen. Wenn solche Dinge in der Schulung angesprochen und per Richtlinie vorgegeben sind, fällt es Mitarbeitern leichter, dies als normalen Teil der Arbeit zu betrachten.

Hilfsmittel zum Umsetzen der Clean-Desk-Policy sollten bereitgestellt werden: Jeder Mitarbeiter braucht ausreichenden abschließbaren Stauraum, um Unterlagen verstauen zu können. Wenn es dafür nicht genug Schränke gibt, ist die Policy nicht praktikabel. Ebenso sollten ausreichend Schredder oder verschlossene Datenschutz-Tonnen für Papiermüll vorhanden sein. Kein Mitarbeiter sollte versucht sein, doch mal was in den Papierkorb zu werfen, „weil der Schredder immer voll ist“. Für digitale Daten bedeutet Clean-Desk-Policy auch, dass portable Speichermedien (USB-Sticks, externe Festplatten) vermieden oder streng kontrolliert werden, und dass sensible Dateien nur auf sicheren Netzlaufwerken liegen und nicht auf dem lokalen Desktop herumgeistern. Hier kommen zwar eher IT-Richtlinien zum Tragen (z.B. Nutzung von OneDrive/Sharepoint anstelle von USB-Sticks), aber es überschneidet sich mit dem physischen Verhalten der Nutzer.

Alltagsdatenschutz umfasst auch Dinge wie: Beim Telefonieren aufpassen, dass Unbefugte nicht mithören (Vertraulichkeit von Gesprächsinhalten wahren). In Besprechungsräumen nach dem Meeting sicherstellen, dass keine Teilnehmerliste oder Agenda mit Namen liegen bleibt. Zugangskarten niemals an Kollegen oder Fremde weitergeben – jeder sollte nur mit eigener Berechtigung ins Gebäude. Besucher müssen angeleitet werden, sich an die Hausregeln zu halten (z.B. Begleitpflicht), um auch deren Daten zu schützen (etwa sollte die Besucherliste am Empfang nicht offen einsehbar für andere Besucher sein – im Zweifel muss der Empfang lernen, das Logbuch zuzudecken). All das mag nach viel Detail klingen, aber es trägt zum großen Ganzen bei: Datenschutz ist letztlich die Summe vieler kleiner Handlungen im Alltag.

Ein weiterer Punkt ist die Verpflichtung auf das Datengeheimnis bzw. auf Vertraulichkeit nach Art. 32 DSGVO. Mitarbeiter, die mit besonderen Kategorien personenbezogener Daten zu tun haben (etwa das Sicherheitspersonal, das die Videoaufnahmen auswertet, oder die IT-Administratoren des Zutrittssystems), sollten schriftlich auf die Wahrung des Datenschutzes verpflichtet werden. Dies wird oft im Arbeitsvertrag oder in separaten Vereinbarungen erledigt. Es schafft ein Bewusstsein dafür, dass unsachgemäßer Umgang (z.B. Neugierde, „mal schauen, wann der Chef gekommen ist“) arbeitsrechtliche Konsequenzen haben kann. Überhaupt sollte Führungskräften eine Vorbildfunktion zukommen: Wenn Chefs selbst den Datenschutz ernst nehmen (z.B. keine Passwortliste auf dem Schreibtisch liegen haben, Reinigungspersonal auf Datenschutz hinweisen, etc.), zieht das Kreise.

Viele Organisationen kombinieren Schulungen mit kleinen Kampagnen oder Erinnerungen übers Jahr verteilt. Beispielsweise wird der European Data Protection Day (28. Januar) genutzt, um per Rundmail ein paar Tipps zu versenden oder ein Quiz zu veranstalten. Oder man hängt Poster auf, die auf spielerische Weise an den Datenschutz erinnern. Für Phishing-Schulungen sind Simulations-E-Mails gängig: Mitarbeiter bekommen testweise Phishing-Mails geschickt und wer darauf hereinfällt, erhält danach individuelle Aufklärung (ohne Bloßstellung). Diese Methode erhöht nachweislich die Aufmerksamkeit und gehört mittlerweile fast zum Standard in Security-Awareness-Programmen.

Zusammengefasst gilt: Gut informierte und sensibilisierte Mitarbeiter sind ein wesentliches „Sicherheitsnetz“ für den Datenschutz im Gebäude. Sie verhindern durch umsichtiges Verhalten viele Probleme und ergänzen die technischen Schutzmaßnahmen. Im Kontext von Facility Management bedeutet das, dass alle im Gebäude Tätigen sich ihrer Verantwortung bewusst sind – vom letzten, der abends die Tür schließt (und darauf achtet, dass keine sensiblen Akten offen herumliegen), bis zum Administrator, der im Serverraum die Logs prüft (und einen unüblichen Zugriff sofort meldet). Durch Schulung, klare Policies wie Clean Desk, und eine Unternehmenskultur, die Datenschutz nicht als Bürokratie, sondern als Gemeinschaftsaufgabe betrachtet, wird der Datenschutz lebendig im Alltag verankert.

Eine zentrale Säule des Datenschutzes ist das Prinzip der begrenzten Speicherdauer: Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie es für den Erhebungszweck erforderlich ist (Art. 5 Abs. 1 lit. e DSGVO). Daher muss das Facility Management in Absprache mit dem Datenschutzbeauftragten klare Löschfristen für alle Systeme definieren und umsetzen. Das betrifft Zutrittskontrollsysteme, Videoarchive, Besucherdatenbanken, Buchungssysteme etc. – kurz: alle personenbezogenen Daten, die im Rahmen des Gebäudebetriebs anfallen. Für viele dieser Daten gibt es keine gesetzlich festgeschriebenen Fristen, daher ist eine individuelle Bewertung nötig, orientiert an der Frage: „Wie lange brauchen wir diese Information, um den legitimen Zweck zu erreichen?“ Alles, was darüber hinaus geht, ist unzulässig. Beispiele für praxistaugliche Fristen (die natürlich begründet sein müssen): Zutrittsdaten – etwa 30 Tage. In einem Monat würden sicher alle relevanten sicherheitsrelevanten Ereignisse auffallen; älter als ein Monat sind die Türlogs für gewöhnliche Zwecke kaum nötig. Videoaufnahmen – wie zuvor erörtert, 48 bis 72 Stunden im Regelfall. Besucherdaten (Name, Firma, Uhrzeit des Besuchs) – eventuell 3 bis 6 Monate, falls man wiederkehrende Besucher erkennen möchte oder bei Zwischenfällen nachvollziehen will, wer im Gebäude war. Raumbuchungsdaten – vielleicht 90 Tage, um quartalsweise Nutzungsanalysen zu machen, anschließend können detaillierte Daten gelöscht oder anonymisiert werden. Wichtig ist: Diese Fristen müssen intern festgelegt und gegenüber den Mitarbeitern (und ggf. Besuchern, z.B. in einer Datenschutzerklärung am Empfang) mitgeteilt werden. Zudem sollten sie auf Plausibilität geprüft sein – im Zweifelsfall orientiert man sich an Empfehlungen der Aufsichtsbehörden oder Branchenstandards, sofern verfügbar.

Die Umsetzung erfolgt idealerweise technisch durch automatisierte Löschroutinen in den jeweiligen Systemen. Moderne Software bietet meist Funktionen, um Daten nach X Tagen zu löschen oder zu anonymisieren. Sollte ein System das nicht mitbringen, kann oft durch Skripte oder regelmäßig geplante Tasks ein automatisches Löschen ermöglicht werden. Automatisierung ist deshalb wichtig, weil man sich nicht auf manuelle Löschung durch Mitarbeitende verlassen sollte – die Erfahrung zeigt, dass ohne Automation Daten leicht „liegen bleiben“. Gerade wenn Daten in verschiedenen Systemen oder Backup-Dateien verteilt sind, braucht es ein klares Konzept. Beispiel: Zutrittskontrolldaten werden in einer zentralen SQL-Datenbank gespeichert. Man könnte hier z.B. einen Job einrichten, der täglich alle Datensätze löscht, die älter als 30 Tage sind. Zusätzlich sollten Backups so gemanagt werden, dass nicht über die Backups faktisch doch länger Daten vorhanden sind als erlaubt – ggf. müssen ältere Backups als Gesamtheit gelöscht oder bei Restore sofort bereinigt werden.

Eine zusätzliche Herausforderung ist die Dokumentation und Rechtfertigung der gewählten Aufbewahrungsfristen. Sollte es etwa zu einer Prüfung durch die Datenschutzbehörde kommen, erwartet diese, dass das Unternehmen begründen kann, warum z.B. Zutrittsdaten 30 Tage gebraucht werden. Hier sollte die Begründung vorab schriftlich fixiert werden (etwa im Verarbeitungsverzeichnis oder in einer internen Richtlinie): „Benötigt für nachträgliche Untersuchung von sicherheitsrelevanten Vorfällen; typische Meldedauer von Unregelmäßigkeiten beträgt wenige Tage, daher 30 Tage als Puffer“. Die DSGVO verlangt zwar keine explizite Zustimmung der Behörde zu solchen Fristen, aber die Rechenschaftspflicht gebietet, dass man eine durchdachte, dokumentierte Policy hat.

Eine gut gepflegte Löschmatrix (Liste aller Datenarten mit jeweiligen Fristen und Löschmethoden) ist zudem hilfreich, um Mitarbeitende zu schulen und Verantwortlichkeiten festzulegen. Beispielsweise könnte darin stehen: Verantwortlich für die Löschung der CCTV-Daten ist die IT-Security-Abteilung, für die Löschung der Besucherdaten der Empfangschef usw. Oft lässt sich das aber direkt in den Prozessen abbilden (z.B. IT richtet Automation ein, Facility Manager kontrolliert stichprobenhaft, dass keine veralteten Daten im System sind).

Bei der Festlegung von Löschfristen sind auch gesetzliche Aufbewahrungspflichten zu beachten, wobei im Facility Management wenige direkt relevante Vorschriften existieren. Manche Unternehmen argumentieren z.B., sie müssten bestimmte Zugangsdaten für eventuelle Haftungsfragen (Unfall im Gebäude) länger aufheben. Das muss jedoch sehr sorgfältig abgewogen werden. Anders als z.B. im Finanzbereich (10 Jahre Buchhaltung) gibt es für Zutrittsdaten keine klare gesetzliche Vorhaltepflicht. Wenn aber externe Regulierungen ins Spiel kommen (etwa in hochsensiblen Bereichen: ein Rechenzentrumsbetreiber könnte vertraglich verpflichtet sein, Zutrittslogs 1 Jahr aufzubewahren für Audit-Zwecke), muss das natürlich berücksichtigt werden. In solchen Fällen sollte jedoch unbedingt der DSB konsultiert werden, damit eine rechtmäßige Grundlage (z.B. Vertragserfüllung oder rechtliche Verpflichtung) sauber dokumentiert ist.

Neben dem Löschen an sich ist die Option der Anonymisierung zu erwähnen. Manchmal möchte das Unternehmen bestimmte Auswertungen über längere Zeit behalten – z.B. Besucherzahlen pro Monat im Jahresvergleich. Hier kann man überlegen, nach einer gewissen Zeit die Daten zu anonymisieren statt komplett zu löschen. Bei einer Anonymisierung werden alle personenbezogenen Identifikatoren entfernt oder irreversibel verschlüsselt, sodass kein Bezug mehr zu Einzelpersonen hergestellt werden kann. Beispiel: Aus „Max Mustermann besuchte am 12.03.2025 von 9-10 Uhr Herrn X“ könnte man nach 3 Monaten nur noch „Besuch am 12.03.2025 von 9-10 Uhr, Abteilung: Vertrieb“ speichern. Wichtig: Anonymisierung muss tatsächlich unumkehrbar sein, sonst gilt es rechtlich weiter als Speicherung personenbezogener Daten. Das kann technisch anspruchsvoll sein, daher wird in vielen Fällen schlicht gelöscht.

Die Synchronisation mit internen Policen und externen Vorgaben ist ebenfalls relevant. Die IT-Sicherheitsrichtlinie des Unternehmens sollte mit den Datenschutzvorgaben im Einklang stehen (z.B. dass auch in Logfiles oder System-Monitoring keine personenbezogenen Daten unbegrenzt aufbewahrt werden). Und wenn eine Datenschutzaufsichtsbehörde oder die Datenschutzkonferenz (DSK) neue Hinweise publizieren (z.B. Kurzpapiere, wonach gewisse Fristen empfohlen oder gewisse Speicherpraktiken kritisch gesehen werden), sollte man die eigene Praxis überprüfen. Ein Beispiel: Falls künftig eine Empfehlung käme, Zutrittsdaten noch kürzer zu speichern, wäre es sinnvoll, das intern zu diskutieren und ggf. umzusetzen.

Letztendlich hat die Einhaltung konsequenter Löschfristen mehrere Vorteile: Sie reduziert das Risiko im Falle von Datenpannen (weniger Daten = weniger Schaden), sie zeigt Mitarbeitern und Kunden, dass man Daten nicht auf Vorrat hortet, und sie erfüllt die gesetzlichen Vorgaben, wodurch man Bußgelder vorbeugt. Aus der Sicht des Facility Managements bedeutet das anfangs etwas Aufwand in der Koordination mit der IT, zahlt sich aber langfristig in Rechtssicherheit und Vertrauen aus.