Knowledge Hub
Datenschutz

Zutrittsdaten & Sicherheitsbereiche: Die unterschätzte DSGVO-Falle

Verfasst von
Max Hortmann
13 Nov 2025
Lesezeit:
Diesen Beitrag teilen

Zutritts- und Sicherheitsdaten: Die unterschätzte Risikokategorie unter Art. 4 Nr. 1, Art. 5, Art. 15 und Art. 32 DSGVO

I. Einleitung: Sicherheitsbezogene Daten als sensibler Bestandteil moderner Infrastruktur

Zutrittsdaten und Daten aus Sicherheitsbereichen gehören zu den am stärksten unterschätzten Kategorien personenbezogener Informationen. Sie finden sich in Flughäfen, Behörden, Unternehmenszentralen, Rechenzentren, Laboren, Industrieanlagen sowie in kritischen Infrastrukturen jeder Art. Obwohl diese Daten auf den ersten Blick lediglich technische Protokolle, Zutrittszeitpunkte oder Berechtigungsinformationen darstellen, besitzen sie eine erhebliche datenschutzrechtliche Relevanz.

Die zutrittsrelevanten Informationen können Rückschlüsse auf Anwesenheiten, Bewegungsmuster, berufliche Tätigkeiten, Verantwortlichkeiten und interne Abläufe zulassen. Die DSGVO betrachtet diese Daten daher als personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO, mit allen daraus folgenden Pflichten.

Die Rechtsprechung – unter anderem das FG Berlin-Brandenburg, das LG Wuppertal, das LG Baden-Baden sowie diverse arbeitsgerichtliche Entscheidungen – hebt hervor, dass technische Protokolldaten ebenso umfassend geschützt sind wie klassische Personal- oder Kommunikationsdaten. Gleichzeitig betonen EuGH-Entscheidungen wie C-340/21 oder C-60/22, dass bereits das Erfassen und Abgleichen solcher Daten als Verarbeitung einzustufen ist.

Die besondere Bedeutung ergibt sich aus der Kombination aus technischer Sensibilität, Sicherheitsrelevanz und fehlender Transparenz. Die meisten Betroffenen wissen nicht, welche Zutrittsdaten existieren, wie lange sie gespeichert werden oder wer darauf zugreifen kann. Dies führt zu einem besonders hohen Risiko datenschutzrechtlicher Verstöße.

II. Rechtlicher Rahmen: Art. 4 Nr. 1, Art. 5, Art. 12, Art. 15 und Art. 32 DSGVO

1. Personenbezogene Daten und Verarbeitungstatbestand

Zutritts- und Sicherheitsdaten gelten gemäß Art. 4 Nr. 1 DSGVO als personenbezogene Daten, da sie sich eindeutig auf identifizierte Personen beziehen. Die Erfassung, Speicherung und Auswertung dieser Daten stellt nach Art. 4 Nr. 2 DSGVO eine Verarbeitung dar. Das gilt für:

  • elektronische Zugangskarten,
  • Logfiles,
  • biometrische Zutrittsmechanismen,
  • Sicherheitsbereiche,
  • digitale Einlasskontrollen,
  • Zeiterfassungssysteme,
  • Videozugangssysteme, soweit personenbezogen.

Der EuGH betont, dass bereits die Erhebung und der Abruf solcher Daten Verarbeitungen darstellen.

2. Grundsätze des Art. 5 DSGVO

Zutrittsdaten unterliegen denselben Grundsätzen wie andere Kategorien:

  • Zweckbindung: Daten dürfen nur für eindeutig definierte Zwecke verarbeitet werden.
  • Datenminimierung: Speicherung und Erfassung müssen auf das Notwendige begrenzt sein.
  • Transparenz: Betroffene müssen verstehen können, welche Systeme welche Daten erfassen.
  • Speicherbegrenzung: Unendliche Speicherung ist unzulässig.
  • Rechenschaftspflicht: Unternehmen müssen die Umsetzung dokumentieren.

Das FG Berlin-Brandenburg unterstreicht, dass fehlende Transparenz oder Dokumentation bereits eine Verletzung des Art. 5 DSGVO darstellt.

3. Art. 12 und 15 DSGVO: Informationspflichten und Auskunftsrechte

Zutrittsdaten müssen im Rahmen des Auskunftsverfahrens offengelegt werden.
Art. 15 DSGVO verpflichtet den Verantwortlichen insbesondere zur Auskunft über:

  • die Kategorien der Daten,
  • die Empfänger oder Empfängerkategorien,
  • die Zwecke,
  • die Speicherdauer,
  • die Herkunft der Daten,
  • eine Kopie der verarbeiteten Daten (Art. 15 Abs. 3 DSGVO).

Die Rechtsprechung (FG Berlin-Brandenburg, Thüringer FG, FG Schleswig-Holstein) betont, dass die Auskunft umfassend und präzise sein muss. Unvollständige Auskünfte sind rechtswidrig.

4. Art. 32 DSGVO: Sicherheit der Verarbeitung

Zutritts- und Sicherheitsdaten betreffen häufig sicherheitskritische Bereiche.
Daher gelten besonders hohe Anforderungen:

  • Zugriff nur für einen eng begrenzten Personenkreis,
  • Protokollierung jeder Einsichtnahme,
  • technische Absicherung,
  • Schutz vor unbefugtem Zugriff,
  • klare Rollen- und Berechtigungsmodelle.

Das LG Wuppertal und das LG Baden-Baden betonen, dass technische Fehlkonfigurationen regelmäßig Verstöße gegen Art. 32 DSGVO darstellen.

III. Typische Fehlstrukturen in der Praxis

1. Intransparente Zutrittsprotokolle

Viele Organisationen wissen selbst nicht, welche Zutrittsdaten existieren und wie lange sie gespeichert werden. Häufig existieren:

  • parallele Systeme,
  • überlange Speicherfristen,
  • fehlende Löschkonzepte,
  • unklare Verantwortlichkeiten.

2. Technische Fehlkonfigurationen

Zutrittsdaten werden oft automatisch erhoben, ohne dass dies dokumentiert ist. Beispiele:

  • Protokolle werden in Systemen abgelegt, die nicht im Verzeichnis nach Art. 30 DSGVO stehen,
  • Logs sind dauerhaft aktiviert, ohne Speicherbegrenzung,
  • Berechtigungen sind zu weit gefasst.

3. Schatten-IT und lokale Zugangssysteme

In größeren Organisationen existieren oft:

  • regionale Zugangsprotokolle,
  • lokale Server,
  • eigene Systeme einzelner Abteilungen,
  • nicht integrierte Fremdanlagen.

Diese Systeme sind häufig nicht dokumentiert.

4. Unklare Empfängerkreise

Zutrittsdaten werden oft an:

  • Sicherheitsteams,
  • Compliance-Einheiten,
  • externe Dienstleister,
  • interne IT-Abteilungen weitergegeben.

Ohne genaue Dokumentation liegt ein Verstoß gegen Art. 5 und Art. 15 DSGVO vor.

5. Fehler im Auskunftsverfahren

Zutrittsdaten werden in Auskünften häufig nicht erwähnt. Gründe:

  • Daten sind schwer zugänglich,
  • Verantwortliche wissen nicht, wo sie gespeichert sind,
  • Systemarchitektur ist fragmentiert.

Diese Fehler betreffen unmittelbar Art. 15 DSGVO.

IV. Dogmatische Bewertung: Zutrittsdaten als hochregulierte Datenkategorie

1. Zutrittsdaten ermöglichen detaillierte Rückschlüsse

Auch wenn Zutrittsdaten technisch erscheinen, ermöglichen sie präzise Rekonstruktionen:

  • Aufenthaltsorte,
  • Bewegungsmuster,
  • Aufgabenbereiche,
  • Schichtzeiten,
  • Anwesenheiten in sensiblen Bereichen.

Daher stuft die DSGVO sie eindeutig als personenbezogene Daten ein.

2. Hohe Anforderungen an Zweckbindung und Datenminimierung

Zutrittssysteme dürfen nicht mehr Daten erfassen als notwendig.
Dies wird in der Praxis häufig verletzt, weil Systeme mit Standardkonfigurationen arbeiten.

3. Notwendigkeit eines strukturierten Berechtigungskonzepts

Art. 32 DSGVO verlangt klare Rollen.
Fehlt ein strukturiertes Berechtigungskonzept, liegt regelmäßig ein Verstoß vor.

4. Pflicht zur technischen Nachvollziehbarkeit

Der EuGH betont die Notwendigkeit der Nachweisbarkeit aller Verarbeitungsvorgänge. Zutrittsdaten müssen daher technisch nachvollziehbar protokolliert und kontrolliert werden.

V. Folgen für Betroffene

Betroffene erleben bei Zutrittsdaten typischerweise:

  • fehlende Transparenz über Datenbestände,
  • unvollständige Auskünfte,
  • unklare Löschfristen,
  • nicht dokumentierte Zugriffe,
  • eingeschränkte Kontrollmöglichkeiten.

Gerichte wie LG Leipzig, LG Bonn oder OLG Frankfurt erkennen an, dass fehlende Transparenz zu einem immateriellen Schaden führen kann.

VI. Folgen für Verantwortliche: Bußgelder, Haftung und Compliance-Risiken

1. Bußgelder

Aufsichtsbehörden reagieren besonders sensibel auf Verstöße mit Zutrittsdaten, da sie sicherheitsrelevant sind.

2. Schadensersatz nach Art. 82 DSGVO

Wenn die Verarbeitung intransparent oder unzureichend dokumentiert ist, können Betroffene Schadensersatz verlangen.

3. Organisationsverschulden

Fehlende Strukturierung oder Dokumentation führt zu Verstößen gegen Art. 24 DSGVO.

4. Pflichtverletzungen in Betroffenenverfahren

Unvollständige Auskünfte oder fehlende Datenkopien sind eigenständige Verstöße.

VII. Anforderungen an ein rechtmäßiges Zutrittssystem

Ein DSGVO-konformes Zutrittssystem muss:

  1. dokumentiert sein (Art. 30 DSGVO),
  2. zweckgebunden arbeiten (Art. 5 Abs. 1 lit. b DSGVO),
  3. minimierend konfigurieren (Art. 5 Abs. 1 lit. c DSGVO),
  4. klare Berechtigungen abbilden (Art. 32 DSGVO),
  5. Protokolle automatisiert löschen,
  6. Zugriffe nachvollziehbar dokumentieren,
  7. Abteilungen koordinieren,
  8. Auskunftsfähigkeit nach Art. 15 DSGVO gewährleisten.

Gerichte wie das LG Wuppertal und das FG Berlin-Brandenburg bestätigen diese Anforderungen.

VIII. Handlungsempfehlungen für Betroffene

Betroffene sollten:

  • eine Auskunft nach Art. 15 DSGVO einfordern,
  • insbesondere die Herkunft und Kategorien der Zutrittsdaten abfragen,
  • auf konkrete Empfänger bestehen,
  • bei fehlenden oder widersprüchlichen Angaben nachfragen,
  • eine Beschwerde bei der Aufsichtsbehörde erwägen.
„Futuristische Darstellung von Datenschutz, Datenfluss und IT-Sicherheitsarchitektur im Kontext der DSGVO und moderner Compliance-Prozesse.“
„Abstrakte digitale Grafik zur DSGVO-Compliance, die moderne Datenverarbeitung, IT-Sicherheit und Datenschutzstrukturen in Unternehmen visualisiert.“

IX. Schlussbetrachtung

Zutritts- und Sicherheitsdaten sind eine komplexe, aber klar regulierte Datenkategorie. Aufgrund ihrer technischen Sensibilität und organisatorischen Fragmentierung stellen sie ein hohes Risiko dar. Die DSGVO verlangt vollständige Transparenz, klare Dokumentation und umfassende Sicherheitsmaßnahmen. Die Rechtsprechung macht deutlich, dass Verstöße strukturelle Defizite offenlegen und gravierende Folgen haben können.

CTA

Wenn Sie prüfen möchten, ob Zutritts- oder Sicherheitsdaten rechtmäßig verarbeitet wurden oder ob ein Verantwortlicher seine Offenlegungs- und Dokumentationspflichten erfüllt hat, stehe ich Ihnen für eine vertrauliche und fundierte Beratung zur Verfügung.
Telefon: 0160 9955 5525
Kontakt: https://www.hortmannlaw.com/contact

Wenn Sie weitere Hintergrundanalysen zum Datenschutz suchen, finden Sie hier die wichtigsten vertiefenden Beiträge:

  1. DSGVO-Auskunft im Spamfilter
    https://www.hortmannlaw.com/articles/dsgvo-auskunft-spamfilter
  2. Unvollständige Auskünfte nach Art. 15 DSGVO
    https://www.hortmannlaw.com/articles/art15-dsgvo-unvollstaendige-auskunft
  3. Rückfragen als Datenfalle
    https://www.hortmannlaw.com/articles/rueckfrage-datenfalle-dsgvo
  4. Social-Media-Überwachung durch Unternehmen
    https://www.hortmannlaw.com/articles/social-media-ueberwachung-dsgvo
  5. Organisationsfehler nach Art. 24 DSGVO
    https://www.hortmannlaw.com/articles/art24-dsgvo-organisationsfehler
  6. Privacy by Design – warum es in der Praxis scheitert
    https://www.hortmannlaw.com/articles/privacy-by-design-scheitert
  7. DSGVO-Probleme in Großunternehmen
    https://www.hortmannlaw.com/articles/dsgvo-grossunternehmen-probleme
  8. E-Mail-Systeme als Schwachstelle der DSGVO-Compliance
    https://www.hortmannlaw.com/articles/email-systeme-dsgvo-risiko
  9. Einwilligung unter Druck – unzulässige Kopplungen
    https://www.hortmannlaw.com/articles/dsgvo-einwilligung-druck
  10. Schadensersatz bei Kontrollverlust nach Art. 82 DSGVO
    https://www.hortmannlaw.com/articles/art82-dsgvo-kontrollverlust
  11. Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO
    https://www.hortmannlaw.com/articles/rechenschaftspflicht-dsgvo
  12. Kameraüberwachung im Garten – Datenschutz unter Nachbarn
    https://www.hortmannlaw.com/articles/kamerauberwachung-im-garten---datenschutz-unter-nachbarn
  13. Privatsphäre-Schutz für Hochvermögende
    https://www.hortmannlaw.com/articles/privatsphaere-schutz-hochvermoegende
  14. Art. 9 DSGVO & digitale Intimsphäre
    https://www.hortmannlaw.com/articles/datenschutz-intimsphaere-art9-dsgvo-digitale-sexarbeit
  15. DeFi, Krypto-Betrug & Datenschutz
    https://www.hortmannlaw.com/articles/defi-compliance-datenschutz-krypto-betrug-anwalt
  16. Crypto.com & DSGVO-Pflichten
    https://www.hortmannlaw.com/articles/dsgvo-crypto-com-pflichten-krypto-betrug
  17. Datenlecks im Krypto-Betrug
    https://www.hortmannlaw.com/articles/datenlecks-krypto-betrug
  18. Verfahrens- & Systemdaten im Netz
    https://www.hortmannlaw.com/articles/gesundheits-verfahrensdaten-im-netz
  19. Love Scam & Datenmissbrauch
    https://www.hortmannlaw.com/articles/love-scam-datenmissbrauch-opfer-anwalt
  20. Datenschutzpflichten von Krypto-Plattformen
    https://www.hortmannlaw.com/articles/die-rolle-von-krypto-plattformen-im-zusammenhang-mit-der-DSGVO
  21. KI, Datenschutz & Strafrecht – Verantwortungsmatrix
    https://www.hortmannlaw.com/articles/ki-haftung-datenschutz-und-strafrecht-die-neue-verantwortungsmatrix
  22. Was eine Datenschutzverletzung wirklich kostet
    https://www.hortmannlaw.com/articles/was-kostet-eigentlich-eine-datenschutzverletzung

Max Hortmann
Rechtsanwalt
,
Hortmann Law

Suchen Sie dringend diskrete, juristische Unterstüzung?

Wir helfen Ihnen gerne persönlich weiter – schildern Sie uns Ihr Anliegen und wir finden gemeinsam eine Lösung.

Kontakt aufnehmen
Verwandte Artikel

Das könnte Sie auch interessieren

Entdecken Sie weitere Beiträge zu aktuellen Themen rund um Digitalrecht, Cybercrime, Datenschutz, KI und Steuerrecht. Unsere verwandten Artikel geben Ihnen zusätzliche Einblicke und vertiefende Analysen.

Datenschutz
11/13/2025
November 13, 2025

Wenn Unternehmen Betroffene verantwortlich machen: Rechenschaftspflicht erklärt

Viele Verantwortliche schieben Betroffenen ihre eigenen Fehler zu – ein klarer Verstoß gegen Art. 5 Abs. 2 DSGVO.

Artikel lesen
Datenschutz

Schadensersatz nach Art. 82 DSGVO: Kontrollverlust als immaterieller Schaden

Moderne Rechtsprechung: Wann Kontrollverlust genügt, warum keine „Bagatelle“ nötig ist, und wie Betroffene Ansprüche sichern.

Artikel lesen
Datenschutz
11/13/2025
November 13, 2025

DSGVO-Einwilligung unter Druck: Unzulässige Kopplungen erkennen

Unternehmen setzen Betroffene oft unter faktischen Druck. Dieser Beitrag zeigt, wann eine Einwilligung nicht freiwillig ist.

Artikel lesen
Mehr anzeigen