Wie verarbeitet man Besucherdaten am Empfang DSGVO-konform?
Am Empfang fallen regelmäßig personenbezogene Daten an: Namen von Besuchern, Firma, Ansprechpartner, Ankunfts- und Abreisezeit, teils Ausweis- oder Kfz-Daten. DSGVO-konform ist die Verarbeitung, wenn eine passende Rechtsgrundlage besteht, nur die wirklich nötigen Daten erhoben werden (Datenminimierung), Besucher informiert werden, Löschfristen definiert sind und mit externen Dienstleistern ein Auftragsverarbeitungsvertrag geschlossen wird.
Welche Daten fallen am Empfang an?
Typisch sind Besucherregistrierung (Name, Unternehmen, besuchte Person, Zeit), Zutrittsausweise, gelegentlich Kennzeichen für Parkplätze und – bei sicherheitsrelevanten Standorten – ein Ausweisabgleich. Jede dieser Datenarten ist personenbezogen und fällt damit unter die DSGVO.
Die richtige Rechtsgrundlage
In den meisten Fällen stützt sich die Besucherregistrierung auf das berechtigte Interesse des Unternehmens (Art. 6 Abs. 1 lit. f DSGVO) an Sicherheit und Nachvollziehbarkeit, oder auf die Vertragsanbahnung bzw. -durchführung. Eine ausdrückliche Einwilligung ist meist nicht der praktikabelste Weg, kann aber bei besonders sensiblen Verarbeitungen nötig sein. Welche Grundlage trägt, sollte im Einzelfall mit dem Datenschutzbeauftragten geklärt werden.
Datenminimierung und Löschfristen
Es gilt: so wenig wie möglich. Ein offenes Papier-Besucherbuch, in dem jeder die Einträge der Vorbesucher lesen kann, ist datenschutzrechtlich problematisch – besser sind Einzelformulare oder ein digitales System. Besucherdaten sollten nur so lange gespeichert werden, wie sie gebraucht werden; übliche Löschfristen liegen je nach Zweck im Bereich weniger Wochen bis Monate. Die konkrete Frist gehört ins Löschkonzept.
Externe Empfangskräfte und der AV-Vertrag
Wird der Empfang von einem Dienstleister besetzt, der dabei Besucherdaten im Auftrag verarbeitet, ist in der Regel ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. Darin werden Zweck, Umfang, technisch-organisatorische Maßnahmen und Weisungsbindung geregelt. Seriöse Anbieter stellen einen solchen AVV standardmäßig bereit und schulen ihre Mitarbeitenden im Datenschutz.
Häufige Folgefragen
Brauche ich die Einwilligung jedes Besuchers?
Meist nicht – häufig trägt das berechtigte Interesse oder die Vertragsdurchführung. Besucher müssen aber transparent informiert werden, etwa durch einen kurzen Datenschutzhinweis am Empfang.
Wie lange dürfen Besucherdaten gespeichert werden?
Nur so lange wie nötig. Eine pauschale Frist gibt es nicht; je nach Zweck sind wenige Wochen bis Monate üblich. Maßgeblich ist ein dokumentiertes Löschkonzept.
Ist ein klassisches Papier-Besucherbuch noch erlaubt?
Problematisch ist vor allem die Einsehbarkeit fremder Einträge. Einzelblätter oder ein digitales Besuchersystem mit Zugriffsschutz sind die datenschutzfreundlichere Lösung. Eine abschließende Bewertung sollte der Datenschutzbeauftragte vornehmen.