Datenschutz & Zutrittskontrolle: Rechtssichere Implementierung biometrischer Systeme

Key Takeaways

Privacy-by-Design statt Nachbesserung: Moderne Zutrittskontrollsysteme mit biometrischer Verifikation erfüllen höchste DSGVO-Standards durch technische Architektur, nicht durch nachträgliche Anpassungen

Lokale Verarbeitung schützt sensible Daten: Ausweisdokumente werden ausschließlich lokal verifiziert und sofort gelöscht – ohne Cloud-Übertragung oder Speicherung biometrischer Rohdaten

1:1 Gesichtsabgleich minimiert Datenverarbeitung: Im Gegensatz zur 1:n-Identifikation wird bei der 1:1-Verifikation nur gegen das eigene Ausweisbild abgeglichen (1:n = Gesichtserkennung | 1:1 Gesichtsabgleich)

Transparente Einwilligung ist Pflicht: Besucher müssen freiwillig zustimmen und eine manuelle Alternative erhalten – nur so ist die Verarbeitung biometrischer Daten nach Art. 9 DSGVO rechtmäßig

ISO 27001-Zertifizierung als Vertrauensanker: Besonders für kritische Infrastrukturen unverzichtbar – externe Audits nach BSI IT-Grundschutz belegen nachweislich höchste Sicherheitsstandards

Whitepaper herunterladen
Erfahren Sie im Detail, wie essentry höchste Datenschutz- und Datensicherheitsstandards umsetzt – DSGVO-konform, revisionssicher und individuell anpassbar.

Datenschutzkonzept herunterladen

Compliance & Integration: So wird Datenschutz zur Stärke

Erfahren Sie, wie der essentry Compliance Manager DSGVO-Anforderungen automatisiert umsetzt und sich nahtlos in Ihre bestehende IT-Infrastruktur integriert.

Mehr über Compliance & Integration erfahren →

Wenn physische und digitale Sicherheit aufeinandertreffen

Die Zutrittskontrolle in Unternehmen steht vor einem Paradigmenwechsel: Während physische Zutrittsbarrieren zu Gebäuden immer ausgefeilter werden, rückt zugleich der Schutz personenbezogener Daten in den Fokus. Dieser scheinbare Widerspruch – mehr Sicherheit bei gleichzeitig strengerem Datenschutz – erfordert technologische Lösungen, die beide Anforderungen gleichermaßen erfüllen.

Die Datenschutz-Grundverordnung (DSGVO) stellt klare Anforderungen an die Verarbeitung biometrischer Daten. Gerade in sicherheitskritischen Umgebungen wie Rechenzentren, Produktionsanlagen der Chemie- oder Pharmaindustrie oder anderen kritischen Infrastrukturen ist die Herausforderung groß: Wie lässt sich ein höchstsicherer, automatisierter Zutrittsprozess implementieren, ohne gegen datenschutzrechtliche Vorgaben zu verstoßen?

Dieser Artikel zeigt auf, welche rechtlichen Rahmenbedingungen gelten, welche technischen Anforderungen Zutrittskontrollsysteme erfüllen müssen und wie eine DSGVO-konforme Implementierung in der Praxis gelingt. Ein Überblick über die wichtigsten rechtlichen Gebote und technischen Maßnahmen bietet Entscheidern in Organisationen konkrete Orientierung.

Rechtlicher Rahmen: Biometrische Daten im Kontext der DSGVO

Biometrische Daten als besondere Kategorie

Nach Art. 9 Abs. 1 DSGVO gelten biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person als besondere Kategorie personenbezogener Daten. Ihre Verarbeitung ist grundsätzlich untersagt – es sei denn, eine Ausnahme nach Art. 9 Abs. 2 DSGVO greift.

Die relevanteste Ausnahme für Zutrittskontrollsysteme ist die ausdrückliche Einwilligung der betroffenen Person gemäß Art. 9 Abs. 2 lit. a i.V.m. Art. 6 Abs. 1 lit. a DSGVO. Entscheidend: Die Einwilligung muss freiwillig erfolgen. Das bedeutet in der Praxis, dass Besuchern immer eine Alternative angeboten werden muss – etwa ein manueller Check-in an einer besetzten Rezeption.

Anforderungen an eine rechtswirksame Einwilligung

Damit eine Einwilligung rechtlich Bestand hat, müssen folgende Voraussetzungen erfüllt sein:

Freiwilligkeit: Der Besucher darf durch die Verweigerung der Einwilligung keine Nachteile erleiden. Eine alternative Zutrittsmöglichkeit ist zwingend erforderlich.

Informiertheit: Der Betroffene muss über Art, Umfang und Zweck der Datenverarbeitung aufgeklärt werden – in verständlicher, transparenter Form. Datenschutzexperten empfehlen, diese Informationen an mehreren Touchpoints bereitzustellen.

Eindeutigkeit: Die Einwilligung muss durch eine eindeutige bestätigende Handlung erfolgen, etwa durch Anklicken eines Kontrollkästchens im digitalen Anmeldeprozess.

Widerrufbarkeit: Der Betroffene muss seine Einwilligung jederzeit widerrufen können. Die IT-Systeme müssen technisch darauf ausgelegt sein, Daten umgehend zu löschen.

Diese Anforderungen werden durch die Leitlinien der Europäischen Datenschutzkonferenz zur Gesichtserkennung sowie die Positionspapiere der Datenschutzkonferenz der Länder (DSK) zur biometrischen Analyse konkretisiert.

Technische Anforderungen: Privacy-by-Design in der Praxis

Verarbeitungssicherheit als Fundament

Die technische Implementierung eines biometrischen Zutrittskontrollsystems muss von Grund auf datenschutzfreundlich gestaltet sein. Dieser Ansatz – bekannt als Privacy-by-Design – ist in Art. 25 DSGVO verankert und fordert datenschutzfreundliche Voreinstellungen bereits in der Entwicklungsphase. Die Sicherheitsstellung sensibler Daten ist ein zentraler Bestandteil jeder Datenschutzstrategie.

Konkret bedeutet das für Zutrittskontrollsysteme:

Verschlüsselung auf allen Ebenen: Alle gespeicherten Daten müssen nach AES-256-Standard verschlüsselt sein. Die Datenübertragung erfolgt über TLS-verschlüsselte Verbindungen. Laut Qualys SSL Labs sollte eine A+-Bewertung angestrebt werden, um den höchsten Sicherheitsstandard zu gewährleisten. Die Vertraulichkeit der Daten ist somit auf jeder Ebene geschützt.

Hosting in Deutschland: Für Unternehmen im EU-Raum empfiehlt sich das Hosting in zertifizierten deutschen Rechenzentren. Die Server sollten in SOC 2 Typ II und ISO 27001-zertifizierten Einrichtungen betrieben werden – idealerweise in der Region Frankfurt, um kurze Latenzzeiten bei höchster Datensicherheit zu garantieren.

Entwicklerzugriff nur über sichere Kanäle: Der Zugang zu Produktionssystemen muss über verschlüsselte Verbindungen (SSH, SSL/TLS) erfolgen. Eine Zwei-Faktor-Authentifizierung für alle administrativen Zugriffe ist Standard und verhindert unbefugte Zugriffe auf sensible IT-Systeme.

Regelmäßige Penetrationstests: Unabhängige Sicherheitsexperten sollten mindestens jährlich umfassende Penetrationstests durchführen. Diese Tests decken potenzielle Schwachstellen auf, bevor sie ausgenutzt werden können.

ISO 27001-Zertifizierung nach BSI IT-Grundschutz

Besonders für kritische Infrastrukturen ist eine ISO 27001-Zertifizierung auf Basis des BSI IT-Grundschutzes unverzichtbar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert kritische Infrastrukturen in § 10 Abs. 1 BSIG als Einrichtungen in den Bereichen Energie, IT und Telekommunikation, Transport, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Entsorgung.

Die Zertifizierung belegt nachweislich:

• Implementierung eines funktionierenden Informationssicherheitsmanagementsystems (ISMS) – ein zentraler Bestandteil des Datenschutzmanagements
• Regelmäßige Überprüfung durch BSI-zertifizierte Auditoren
• Dokumentierte Sicherheitsprozesse auf Enterprise-Niveau
• Kontinuierliche Verbesserung der Sicherheitsarchitektur

Für Verantwortliche in kritischen Infrastrukturen schafft diese Zertifizierung nicht nur rechtliche Sicherheit, sondern auch Vertrauen bei Kunden und Geschäftspartnern. Ein Datenschutzbeauftragter sollte in die Zertifizierungsprozesse eingebunden werden, um die Einhaltung aller datenschutzrechtlichen Gebote zu gewährleisten.

1:1-Verifikation statt 1:n-Identifikation

Ein weiterer zentraler Aspekt: Moderne Zutrittskontrollsysteme sollten ausschließlich 1:1-Gesichtsabgleiche durchführen, keine 1:n-Identifikation.

Der Unterschied ist entscheidend:

1:1-Verifikation: Der Besucher gibt seine Identität vorab bekannt (z.B. durch Scannen eines QR-Codes). Das System vergleicht das Live-Bild der Person nur mit dem Foto auf dem zuvor verifizierten Ausweisdokument. Es handelt sich um einen einzelnen, zielgerichteten Abgleich.

1:n-Identifikation (datenschutzrechtlich problematisch): Das Live-Bild wird mit allen im System gespeicherten Referenzbildern verglichen. Dies erfordert eine umfangreiche Datenbank biometrischer Merkmale und stellt einen massiven Eingriff in die Persönlichkeitsrechte dar.

Die 1:1-Verifikation ist datenschutzrechtlich der Goldstandard, da sie die Menge der verarbeiteten Daten auf ein Minimum reduziert und keine permanente Speicherung biometrischer Templates erfordert.

Pflichten des Verantwortlichen: Was Unternehmen beachten müssen

Datenschutz-Folgenabschätzung (DSFA)

Art. 35 DSGVO verpflichtet Unternehmen zur Durchführung einer Datenschutz-Folgenabschätzung, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Nutzung biometrischer Zutrittskontrollsysteme fällt explizit unter diese Pflicht – sie steht auf der sogenannten "Muss-Liste" der Aufsichtsbehörden.

Die DSFA muss folgende Elemente enthalten:

Systematische Beschreibung der Verarbeitungsvorgänge: Welche Daten werden erfasst? Wie werden sie verarbeitet? Wo werden sie gespeichert? Ein Datenschutzbeauftragter sollte diese Prozesse prüfen und dokumentieren.

Bewertung der Erforderlichkeit und Verhältnismäßigkeit: Ist die biometrische Verifikation für den angestrebten Zweck notwendig? Gibt es mildere Mittel?

Risikoanalyse: Welche konkreten Risiken bestehen für die Betroffenen? Wie wahrscheinlich ist ihr Eintritt? Welche Risiken ergeben sich aus der Anwendung der Technik?

Abhilfemaßnahmen: Welche technischen und organisatorischen Maßnahmen reduzieren die identifizierten Risiken?

Professionelle Anbieter unterstützen ihre Kunden mit Vorlagen und Musterdokumenten, um die DSFA effizient und rechtssicher durchzuführen.

Vergleich: Manuelle vs. digitale Zutrittskontrolle

Die Einführung digitaler Zutrittskontrollsysteme mit biometrischer Verifikation führt in den meisten Fällen nicht nur zu höherer Sicherheit, sondern auch zu besserem Datenschutz im Vergleich zu manuellen Prozessen.

Manuelle Prozesse und ihre Schwachstellen

Unzureichende Dokumentenprüfung: Empfangspersonal ist in der Regel nicht geschult, Sicherheitsmerkmale ausländischer Ausweisdokumente zu erkennen. Fälschungen bleiben oft unentdeckt. Ein dokumentierter Fall aus Brüssel zeigt: Ein Angreifer gab sich als Techniker eines bekannten Internetanbieters aus, erhielt ohne gründliche Identitätsprüfung Zutritt und installierte Schadsoftware im Serverraum. Der Vorfall blieb tagelang unbemerkt.

Fehleranfälliger Gesichtsabgleich: Studien belegen, dass Menschen bei der visuellen Gesichtserkennung deutlich fehleranfälliger sind als algorithmenbasierte Systeme. Die Erkennungsrate liegt je nach Studienlage bei manuellen Abgleichen zwischen 60-80%, während moderne Algorithmen Genauigkeitsraten von über 99% erreichen.

Intransparente Datenspeicherung: Besucherdaten landen häufig in Papier-Logbüchern oder Excel-Listen, die auf lokalen Rechnern oder in E-Mail-Postfächern gespeichert werden. Der Zugriff ist meist nicht dokumentiert, Löschfristen werden nicht eingehalten, und eine zentrale Kontrolle fehlt. Datenschutzrichtlinien werden oft nicht eingehalten, und Verstöße gegen die DSGVO bleiben unentdeckt.

Fehlende Nachvollziehbarkeit: Wer hat wann auf welche Daten zugegriffen? Diese Frage lässt sich bei manuellen Prozessen kaum beantworten – ein erhebliches Compliance-Risiko. Ein funktionierendes Berechtigungskonzept fehlt oft vollständig.

Digitale Systeme mit Privacy-by-Design

Automatisierte Dokumentenprüfung: Moderne Systeme fotografieren Ausweisdokumente unter drei verschiedenen Lichtquellen (Tageslicht, UV, Infrarot) und prüfen automatisch alle Sicherheitsmerkmale. Die Bilder werden unmittelbar nach erfolgreicher Prüfung gelöscht – auch Daten vom Ausweischip werden nicht dauerhaft gespeichert.

Präziser 1:1-Gesichtsabgleich: Algorithmen vergleichen das Live-Bild mit dem Ausweisfoto und erreichen Erkennungsraten von über 99%. False-Accept-Raten (FAR) liegen bei modernen Systemen bei unter 0,01%.

Zentrale Datenverwaltung mit granularen Berechtigungen: Alle Daten werden in einer zentralen, verschlüsselten Datenbank gespeichert. Zugriffsrechte sind rollenbasiert konfigurierbar – ein klares Berechtigungskonzept sorgt dafür, dass jeder Benutzer nur auf die für ihn relevanten Informationen zugreifen kann. Jeder Zugriff wird protokolliert und ist revisionssicher nachvollziehbar.

Automatisierte Löschfristen: Für jede Datenkategorie lassen sich individuelle Aufbewahrungsfristen definieren. Nach Ablauf werden Daten automatisch gelöscht – ohne manuellen Eingriff, ohne Erinnerung, ohne Fehlerquelle.

Transparente Einwilligungsprozesse: Datenschutzerklärungen sind an mehreren Stellen im Prozess verlinkt. Einwilligungen werden digital erfasst und zentral gespeichert – jederzeit abrufbar für Audits oder Betroffenenanfragen.

Praxisrelevante Herausforderungen und Lösungsansätze

Integration in bestehende Zutrittskontrollsysteme

Eine der häufigsten Fragen in Projekten: Wie lässt sich ein biometrisches Zutrittskontrollsystem in die vorhandene IT-Infrastruktur integrieren?

Die Antwort: Über Cloud-to-Cloud-Integrationen oder Cloud-Connectoren, in der Regel über standardisierte API-Schnittstellen. Anders als häufig angenommen, erfolgt die Integration nicht über Protokolle wie Wiegand oder OSDP – diese regeln nur die Kommunikation zwischen Chipkartenlesern und der Zutrittskontrollanlage. Die Anbindung von Cloud-basierten Systemen erfolgt auf höherer Ebene, meist über RESTful APIs oder in Ausnahmefällen datenbankbasiert.

Moderne Systeme bieten vorkonfigurierte Integrationen zu führenden Zutrittskontrollsystemen wie SALTO, Siemens, Honeywell oder Bosch. Die Einrichtung ist in der Regel innerhalb weniger Tage abgeschlossen.

Umgang mit fehlgeschlagenen Verifikationen

Ein wichtiger Aspekt, der oft übersehen wird: Was passiert, wenn die Verifikation fehlschlägt?

Häufige Ursachen für fehlgeschlagene Ausweisüberprüfungen:

• Zerkratzte oder verschmutzte Sicherheitsmerkmale
• Beschädigte optische Strukturen (Hologramme, Guillochen)
• Veraltete oder gefälschte Dokumente

Häufige Ursachen für fehlgeschlagene Gesichtsabgleiche:

• Unzureichende Lichtverhältnisse (zu hell, zu dunkel)
• Verdeckung des Gesichts (Kappe, Sonnenbrille, Maske)

In solchen Fällen lösen moderne IT-Systeme automatisch Benachrichtigungen an das Sicherheitspersonal aus. Wichtig: Es handelt sich dabei nicht um eine Meldung "auffälliger Besucherdaten", sondern um technische Hinweise auf den gescheiterten Verifizierungsprozess.

24/7-Betrieb und Service Level Agreements

Für kritische Infrastrukturen ist eine hohe Verfügbarkeit unverzichtbar. Professionelle Anbieter bieten:

• 24/7-Service-Center für technische Anfragen
• Vor-Ort-Service innerhalb von 4 Stunden bei Hardware-Ausfällen (24x7x4 SLA)
• Redundante Systemarchitekturen zur Vermeidung von Single Points of Failure
• Incident-Response-Prozesse mit klaren Eskalationsstufen

Diese Service Levels sollten vertraglich fixiert werden und Teil des Auftragsverarbeitungsvertrags sein.

Branchenspezifische Anforderungen

Rechenzentren

Rechenzentren gehören zu den sensibelsten Infrastrukturen überhaupt. Hier gelten besondere Anforderungen:

• Mehrstufige Zutrittskontrolle mit verschiedenen Sicherheitszonen – ein durchdachtes Zutrittskonzept ist unerlässlich
• Dokumentation aller Zutrittsversuche für Compliance-Audits (ISO 27001, SOC 2)
• Integration mit Videoüberwachung und Alarm-Management-Systemen
• Schnelle Identifikation autorisierter Mitarbeiter bei Notfällen

Chemie- und Pharmaindustrie

In der Chemie- und Pharmaindustrie kommen regulatorische Anforderungen hinzu:

• GMP-konforme Dokumentation (Good Manufacturing Practice)
• Lückenlose Nachvollziehbarkeit für Behördenaudits
• Hygieneanforderungen an Hardware (kontaktlose Terminals)
• Integration mit Arbeitsschutz- und Sicherheitssystemen

Öffentliche Verwaltung und Behörden

Behörden müssen zusätzlich beachten:

• Einhaltung des Bundesdatenschutzgesetzes (BDSG) neben der DSGVO, insbesondere § 64 Absatz 3 BDSG für Videoüberwachung
• Besondere Schutzbedürfnisse bei der Verarbeitung von Daten besonderer Personengruppen
• Barrierefreiheit der Systeme gemäß Behindertengleichstellungsgesetz (BGG)
• Archivierungspflichten nach Aktenordnungen

Die zuständige Behörde sollte in Hinblick auf die Datenschutz-Grundverordnung immer frühzeitig konsultiert werden. Beispiele für bewährte Vorgehensweisen können von anderen Behörden angefordert werden.

‍

Fazit: Datenschutz und Sicherheit im Einklang

Die Einführung eines biometrischen Zutrittskontrollsystems ist vollständig DSGVO-konform möglich – vorausgesetzt, die beschriebenen Anforderungen werden konsequent umgesetzt. Die DSGVO bietet klare Leitplanken, und die Stellungnahmen der Datenschutzbehörden liefern praxisnahe Hinweise für die Implementierung.

Entscheidend ist der ganzheitliche Ansatz: Privacy-by-Design beginnt bereits in der Systemarchitektur, nicht erst bei der Konfiguration. Lokale Verarbeitung, 1:1-Verifikation, verschlüsselte Speicherung und transparente Einwilligungsprozesse sind keine nachträglichen Add-ons, sondern integrale Bestandteile moderner IT-Systeme.

Für Verantwortliche in kritischen Infrastrukturen bedeutet dies: Die scheinbare Paradoxie zwischen erhöhter physischer Sicherheit und strengem Datenschutz löst sich auf, wenn Technologie und Compliance von Anfang an zusammengedacht werden. Das Ergebnis ist ein vollautomatisierter, hochsicherer Zutrittsprozess zu sensiblen Gebäuden und Bereichen, der gleichzeitig höchste datenschutzrechtliche Standards erfüllt – und in vielen Fällen sogar besser schützt als manuelle Alternativen.

Ein professionelles Datenschutzmanagement, das Passwortrichtlinien, Berechtigungskonzepte und ein umfassendes Zutrittskonzept umfasst, ist der Schlüssel zu einer erfolgreichen Implementierung. Organisationen, die diese Prinzipien befolgen, schaffen nicht nur rechtliche Sicherheit, sondern auch nachhaltigen Wettbewerbsvorteil.