Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DS‑GVO

Digitales Heizungssteuerungssystem – Kein Personenbezug: Automatisierte Regelung der Heizungsanlage (Temperatursteuerung, Heizbedarfsermittlung).

Zweck: Energieeffiziente Bereitstellung von Heizwärme im Gebäude, Erfüllung von Arbeitsplatzkomfort und Klimaschutzzielen.

Rechtsgrundlage: Berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO (wirtschaftlicher Betrieb und Komfort der Beschäftigten).

Kategorien betroffener Personen: (Keine direkten Betroffenen – Temperaturen und Heizzyklen sind nicht personenbezogen; allenfalls indirekt Gebäudeinsassen).

Kategorien personenbezogener Daten: (Keine – es werden lediglich Umwelt- und Gerätedaten verarbeitet; keine Identifizierung von Personen.)

Empfänger: Intern: Facility Management/Technik; keine externen Empfänger.

Drittlandübermittlung: Nein.

Speicher- und Löschfristen: Betriebsdaten (z. B. Temperaturverläufe) werden nur so lange wie technisch nötig vorgehalten und anschließend überschrieben oder anonym archiviert; kein Personenbezug.

Technische und organisatorische Maßnahmen: Zugriff nur für berechtigtes technisches Personal; Netzwerksegmentierung der Gebäudeleittechnik; regelmäßige Sicherheitsupdates.

Lüftungs- und Klimasteuerung (Raumlufttechnik) – Kein Personenbezug: Zentrale Anlage zur Steuerung von Lüftung, Klimatisierung und Luftqualität (z. B. CO₂-Sensoren, Präsenzmelder).

Zweck: Gewährleistung eines gesunden Raumklimas und Einhaltung von Arbeitsstättenrichtlinien (Luftqualität, Temperatur) bei optimaler Energieeffizienz.

Rechtsgrundlage: Berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO (Aufrechterhaltung eines angemessenen Arbeitsumfelds, energieeffizienter Betrieb).

Kategorien betroffener Personen: (Keine direkten Betroffenen – Sensoren erfassen allenfalls Anwesendheitsindikatoren ohne Identifikation einzelner Personen.)

Kategorien personenbezogener Daten: (Keine – erfasst werden Umgebungsdaten wie CO₂-Gehalt, Temperatur, Präsenz (anonym, z. B. via Bewegungsmelder) ohne Personenbezug.)

Empfänger: Intern: Facility Management; ggf. extern: Service-Dienstleister für Wartung der Klimaanlagen (erhalten aber nur technische Systemdaten).

Drittlandübermittlung: Nein.

Speicher- und Löschfristen: Klima- und Lüftungsdaten werden kurzfristig für die Regelung vorgehalten und sodann überschrieben oder aggregiert (keine personenbezogenen Langzeitprotokolle).

Technische und organisatorische Maßnahmen: Physische Zugriffskontrolle zu technischen Räumen; Netzwerksicherheit der Gebäudeautomation; Beschränkung der Fernzugriffsmöglichkeiten auf Wartungspersonal.

Energieverbrauchsmanagement (Strom) – Kein Personenbezug: System zur Messung und Analyse des Stromverbrauchs nach Bereichen/Maschinen.

Zweck: Optimierung des Energieverbrauchs, Erkennung von Lastspitzen, Unterstützung von Energiesparmaßnahmen.

Rechtsgrundlage: Berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO (wirtschaftlicher und nachhaltiger Betrieb).

Kategorien betroffener Personen: (Keine – Energiezählerdaten lassen keinen Personenbezug zu.)

Kategorien personenbezogener Daten: (Keine – erfasst werden ausschließlich technische Verbrauchsdaten pro Anlage/Abteilung.)

Empfänger: Intern: Energiemanagement, Facility Management; keine externen Empfänger außer ggf. Stromversorger in aggregierter Form (ohne Personenbezug).

Drittlandübermittlung: Nein.

Speicher- und Löschfristen: Verbrauchsdaten werden über definierte Zeiträume (z. B. monatlich, jährlich) ausgewertet und in aggregierter Form langfristig gespeichert; Rohdaten ohne Personenbezug nach Auswertung gelöscht.

Technische und organisatorische Maßnahmen: Geschützter Zugriff auf Zählerdaten; Pseudonymisierung/Aggregierung zur Vermeidung jeglichen Personenbezugs; allgemeine IT-Sicherheitsmaßnahmen zum Schutz vor Manipulation der Messdaten.

EV-Ladesystem (Elektrofahrzeug-Ladestationen): Vernetzte Ladestationen für Elektrofahrzeuge auf dem Firmengelände, angebunden an einen Cloud-Service zur Nutzerverwaltung und Abrechnungsunterstützung.

Zweck: Bereitstellung von Ladeinfrastruktur für Mitarbeiter, Besucher und Firmenfahrzeuge; Autorisierung der Ladevorgänge und ggf. Abrechnung/Buchung des Ladestroms.

Rechtsgrundlage: Je nach Ausgestaltung – berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO (bereitgestellte freiwillige Leistung, effiziente Verwaltung begrenzter Ladeplätze) oder Vertrag/vertragsähnliches Verhältnis gem. Art. 6 Abs. 1 lit. b DSGVO (sofern eine Abrechnung mit Mitarbeitern oder eine Nutzungsvereinbarung erfolgt).

Kategorien betroffener Personen: Mitarbeiter (E-Auto-Fahrer, Nutzer der Ladestationen), Besucher/Fremdfirmen (sofern Gast-Ladungen ermöglicht werden, Registrierung erforderlich), ggf. Kunden/Lieferanten mit Ladeberechtigung auf dem Gelände.

Kategorien personenbezogener Daten: Nutzeridentifikationsdaten (Name, Mitarbeiterausweis- oder Ladechip-ID), Fahrzeugkennung (z. B. Kfz-Kennzeichen oder Fahrzeug-ID, falls zur Authentifizierung genutzt), Ladevorgangsdaten (Start-/Endzeit, geladene Energiemenge, Ladestation-ID), Abrechnungs- und Zahlungsinformationen (bei kostenpflichtiger Nutzung, z. B. Zuordnung zu Kostenstelle oder Rechnungsstellung).

Empfänger: Intern: Facility Management/Fuhrparkmanagement (Betrieb der Stationen, Auswertung der Nutzung), Buchhaltung (bei Verrechnungen von Kosten), Energiemanagement (für Laststeuerung). Extern: Betreiber des Ladebackend-Cloud-Dienstes (siehe Auftragsverarbeiter-Verzeichnis), ggf. Zahlungsdienstleister oder eMobility-Abrechnungsdienst (bei externem Billing).

Drittlandübermittlung: Ja/Nein (abhängig vom Anbieter) – Die primäre Speicherung erfolgt i. d. R. in der EU (wenn europäischer Backend-Anbieter). Sofern der Cloud-Dienstleister außerhalb der EU sitzt oder Konzernmutter in Drittland (z. B. USA), erfolgt Datenübermittlung nur bei Vorliegen geeigneter Garantien (z. B. EU-Standardvertragsklauseln im AV-Vertrag).

Speicher- und Löschfristen: Ladelogs und Zuordnungen werden für den zur Zweckerreichung nötigen Zeitraum gespeichert. Abrechnungsrelevante Daten werden gem. handels- und steuerrechtlicher Vorgaben bis zu 6–10 Jahre aufbewahrt (bei interner Verrechnung ggf. 6 Jahre, bei eigentlicher Rechnungsstellung 10 Jahre). Nicht abrechnungsrelevante Detaildaten (z. B. Live-Ladezustand) werden nach kurzer Zeit automatisiert gelöscht oder anonymisiert. Benutzerkonten werden bei Ausscheiden des Nutzers oder Entzug der Berechtigung deaktiviert und nach geltenden Aufbewahrungsfristen gelöscht.

Technische und organisatorische Maßnahmen: Zugang zu Nutzerdaten im Ladesystem nur für Administratoren (Rollenkonzept); Lade-App oder RFID-Karten mit eindeutiger ID zur Authentifizierung; sichere verschlüsselte Kommunikation zwischen Station und Cloud; Abschluss eines DSGVO-konformen Auftragsverarbeitungsvertrags mit dem Backend-Anbieter; regelmäßige Kontrolle von Zugriffsprotokollen.

Zutrittskontrollsystem (Elektronische Schließanlage): Elektronisches System zur Zugangskontrolle (mit Mitarbeiterausweisen/Transpondern oder biometrischen Scannern) für Gebäude und sensible Bereiche. Erfasst und steuert, wer wann welche Türen passieren darf.

Zweck: Sicherung des Firmengeländes und der Gebäude vor unbefugtem Zutritt; Schutz von Mitarbeitern, Know-how und Sachwerten; Nachvollziehbarkeit von Anwesenheiten im Notfall (Evakuierung) und bei sicherheitsrelevanten Vorfällen.

Rechtsgrundlage: Berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO (Wahrung des Hausrechts und Schutz von Betriebsgeheimnissen und -einrichtungen). (Zusätzlich bei Beschäftigten: § 26 Abs. 1 BDSG, da Zutrittskontrolle zur Durchführung des Arbeitsverhältnisses erforderlich sein kann.)

Kategorien betroffener Personen: Beschäftigte (alle Mitarbeiter mit Zutrittsberechtigung), externe Dienstleister auf dem Gelände, Besucher mit temporärem Ausweis.

Kategorien personenbezogener Daten: Identifikationsdaten (Name, Vorname, ggf. Foto für Ausweis, Personalnummer, Abteilung), Zutrittsmedium-ID (Badge-/Kartennummer oder biometrisches Template; bei biometrischer Lösung jedoch nur verschlüsselte Templates, keine rohen biometrischen Merkmale), Zutrittsberechtigungen (welche Türen/ Bereiche, zu welchen Zeiten), Zutrittsprotokolle (Zeitpunkt und Ort jedes Zutrittsversuchs sowie Erfolg/Misserfolg).

Empfänger: Intern: Werkschutz/Security-Team (Live-Überwachung und Auswertung bei Vorfällen), Facility Management (Verwaltung der Schließanlage), Personalabteilung (bei arbeitsrechtlichen Auswertungen, z. B. Arbeitszeit oder Fehlzeiten, sofern zulässig), Vorgesetzte (in Ausnahmefällen z. B. zur Nachforschung bei sicherheitsrelevanten Ereignissen). Extern: Hersteller/Cloud-Dienstleister des Zutrittssystems (siehe Auftragsverarbeiter-Verzeichnis; typischerweise nur zu Wartungs-/Hostingzwecken), ggf. externer Wachdienst mit Zugriff auf das System (z. B. für Alarmaufschaltung außerhalb der Dienstzeiten). Keine routinemäßige Weitergabe an staatliche Stellen, außer auf Anfrage bei Ermittlungen.

Drittlandübermittlung: Nein – Das System (Server/Datenbank) wird im Rechenzentrum des Unternehmens oder beim beauftragten Cloud-Anbieter in der EU betrieben. Keine Drittlandübermittlung der Zutrittsdaten ohne weitere Maßnahmen. (Sofern der Cloud-Anbieter ein Nicht-EU-Unternehmen ist, wird vertraglich sichergestellt, dass Speicherung in EU-Rechenzentren erfolgt; etwaige Wartungszugriffe aus Drittland nur nach Art. 44 ff. DSGVO geregelt.)

Speicher- und Löschfristen: Zutrittsprotokolle werden nur so lange aufbewahrt, wie es für Sicherheitszwecke erforderlich ist und keine schutzwürdigen Interessen der Betroffenen entgegenstehen. Üblich ist eine Speicherung von Zutrittslogs für 90 Tage bis 6 Monate, um im Nachhinein sicherheitsrelevante Vorfälle untersuchen zu können. Längere Aufbewahrung erfolgt nur bei konkretem Anlass (z. B. ein sicherheitsrelevanter Zwischenfall) oder wenn gesetzliche Aufbewahrungsfristen greifen. Personaldaten (Ausweisinhaberdaten) werden für die Dauer der Zugehörigkeit gespeichert und bei Austritt/Entzug der Zutrittsberechtigung unverzüglich im System deaktiviert und nach spätestens 2 Jahren gelöscht. Besucherdaten (Besucherausweise) werden kurzzeitig – typischerweise 400 Tage oder kürzer – aufbewahrt, um im Falle später bekannt werdender Vorfälle nachvollziehen zu können, wer an einem bestimmten Tag vor Ort war.

Technische und organisatorische Maßnahmen: Strenge Zugangskontrolle zum Schließsystem selbst (administrativer Zugriff nur für befugte Personen, z. B. Werkschutzleitung); Rollen- und Berechtigungskonzept zur Verwaltung der Zutrittsrechte; Transponder/Schlüsselanhänger sind personalisiert und gegen unbefugte Nutzung geschützt (z. B. Meldepflicht bei Verlust, Sperrfunktion); regelmäßige Protokollauswertung auf Auffälligkeiten (z. B. unautorisierte Zutrittsversuche); Verschlüsselung der Kommunikation zwischen Ausweislesern und System; im Falle biometrischer Systeme: Speicherung der Merkmale nur als gehashte Templates, zusätzliche Aufklärung und Einwilligung der Mitarbeiter falls notwendig.

Videoüberwachung (CCTV): Kamerasysteme zur offenen Videoüberwachung des Werksgeländes und sensibler Bereiche in Gebäuden (Zugänge, Produktionsbereiche, Lager, Außenareale, ggf. Parkplätze). Hinweisbeschilderung ist an allen überwachten Bereichen angebracht.

Zweck: Wahrung des Hausrechts, Schutz von Mitarbeitern und Besuchern sowie des Unternehmensvermögens (Eigentum) vor Diebstahl, Vandalismus oder unbefugtem Zutritt; Aufklärung von Straftaten im Fall von Zwischenfällen. Die Videoüberwachung dient damit der Prävention und nachträglichen Beweissicherung bei sicherheitsrelevanten Vorfällen.

Rechtsgrundlage: Berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO – das Unternehmen hat ein überwiegendes Interesse daran, Straftaten zu verhindern/aufzuklären und seine Einrichtungen zu schützen. Dabei werden die schutzwürdigen Interessen der Betroffenen (Privatsphäre) gegen die Sicherheitsinteressen abgewogen. (Für Beschäftigte zudem § 26 BDSG zu beachten – keine ständige Verhaltenskontrolle; Überwachung nur bei berechtigtem Anlass oder generell, aber nicht in privaten Räumen wie Umkleiden, Toiletten etc. zulässig.)

Kategorien betroffener Personen: Alle Personen, die sich im überwachten Bereich aufhalten: Mitarbeiter, Besucher, Fremdfirmen, Lieferanten, ggf. Passanten im Randbereich (sofern Kameras teils öffentlichen Raum erfassen – in diesem Fall sind diese Bereiche entsprechend ausgeblendet oder verpixelt, um Unbeteiligte zu schützen).

Kategorien personenbezogener Daten: Bild- und Videoaufnahmen der betroffenen Personen; dabei Datum/Uhrzeit, Ort (Kamerastandort) der Aufzeichnung. Gegebenenfalls Tonaufnahmen nicht aktiviert (Audio wird gem. Datenschutzgrundsätzen nicht aufgezeichnet). Im Falle eines Vorfalls können die Aufnahmen einzelne Personen und ihr Verhalten erkennen lassen, was besondere Kategorisierungen (z. B. ethnische Herkunft, Gesundheit) tangieren kann, ohne dass diese gezielt verarbeitet würden.

Empfänger: Intern: Werkschutz/Sicherheitsverantwortliche (Einsicht in Live-Bilder oder Aufzeichnungen bei konkretem Anlass), Geschäftsleitung (im Eskalationsfall, z. B. bei Straftaten). Extern: Beauftragter Wachdienst (falls Überwachung extern unterstützt wird, z. B. Alarmzentrale – siehe Auftragsverarbeiterverzeichnis), Strafverfolgungsbehörden bei begründetem Anlass (Herausgabe einzelner Aufnahmen an Polizei im Zuge von Ermittlungen). Eine regelmäßige Weitergabe an Dritte erfolgt nicht.

Drittlandübermittlung: Nein. Die Videoanlagen und Speicher befinden sich lokal auf dem Firmengelände. Eine Übertragung ins Ausland findet nicht statt. (Sofern in Ausnahmefällen ein Cloud-Service für Videoanalytik o. Ä. genutzt würde, erfolgt dies nur nach Prüfung und mit DS-konformer Auftragsverarbeitung – ist hier nicht der Fall.)

Speicher- und Löschfristen: Die Aufzeichnungen werden kurzfristig gespeichert und automatisch überschrieben, sofern kein Vorfall festgestellt wird. Üblicher Richtwert sind 72 Stunden Speicherfrist (3 Tage); eine längere Speicherung (z. B. bis zu 7 Tage) ist in einzelnen Ausnahmefällen eingerichtet, wenn dies aufgrund besonderer Umstände erforderlich und datenschutzrechtlich begründet ist. Nach Ablauf der zulässigen Frist werden die Videoaufnahmen automatisiert gelöscht bzw. überschrieben. Falls ein sicherheitsrelevanter Vorfall erkannt wird (z. B. Einbruch, Diebstahl), können die betreffenden Aufnahmen aus dem Ringspeicher herausgesichert und solange aufbewahrt werden, wie es zur Beweissicherung und Rechtsverfolgung notwendig ist. Diese Ausschnitte werden nach Abschluss des Vorgangs bzw. der Ermittlungen unverzüglich gelöscht.

Technische und organisatorische Maßnahmen: Kameras sind so positioniert und konfiguriert, dass sie nur die notwendigen Bereiche erfassen (keine Dauerüberwachung von Pausenräumen, keine Erfassung öffentlicher Bereiche ohne Anlass). Deutliche Hinweisschilder gemäß Art. 13 DSGVO informieren vor Betreten des überwachten Bereichs über die Videoüberwachung. Zugriff auf Livebilder und Aufzeichnungen ist streng auf berechtigte Personen beschränkt (Kennwortschutz, Protokollierung von Zugriffen); Videodaten werden auf einem geschützten Server/NVR gespeichert, der in einem abschließbaren Raum untergebracht ist. Die Übertragung der Kameradaten erfolgt verschlüsselt. Regelmäßige Überprüfung der Kamerasichtfelder stellt sicher, dass keine unzulässigen Bereiche erfasst werden. Es existiert ein Löschkonzept zur fristgerechten Löschung der Aufnahmen gemäß den Datenschutz-Grundsätzen.

Besuchermanagement-System: Digitales System (ggf. Tablet/Kiosk am Empfang) zur Erfassung und Verwaltung betriebsfremder Besucher und Fremdfirmen auf dem Gelände. Besucher melden sich am Empfang an und erhalten einen temporären Ausweis. Ihre Daten werden im System erfasst.

Zweck: Kontrolle und Dokumentation des Zutritts betriebsfremder Personen; Gewährleistung von Sicherheit und Ordnung (Wahrnehmung des Hausrechts); Information der besuchten Mitarbeiter über ankommende Gäste; im Notfall (Evakuierung) Kenntnis, welche Besucher sich im Gebäude befinden.

Rechtsgrundlage: Berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO – Sicherheit am Standort und Schutz vor unbefugtem Zugang. (Besucher betreten freiwillig das Gelände und haben die berechtigte Erwartung, dass aus Sicherheitsgründen eine Registrierung erfolgt.)

Kategorien betroffener Personen: Externe Besucher (Geschäftspartner, Bewerber, Handwerker, Lieferanten etc.), Fremdfirmen-Mitarbeiter, die vor Ort Arbeiten durchführen. (Hinweis: Mitarbeiter selbst werden über das Zutrittssystem erfasst, siehe dort.)

Kategorien personenbezogener Daten: Besucherstammdaten (Name, Vorname, Firma/Organisation, ggf. Ausweisnummer oder Ausweis-ID), Kontaktperson/Ansprechpartner im Werk, Besuchsdatum und -zeit (Ankunft/Abmeldung), Fahrzeugkennzeichen (falls Zufahrt mit PKW und Parkplatzregistrierung), ggf. Zweck des Besuchs/Besuchernotiz. Zudem Protokollierung der Ausweisübergabe und -rückgabe. Bei Fremdfirmen ggf. zusätzliche Daten wie Schulungsnachweise (z. B. Arbeitssicherheitsunterweisung via E-Learning).

Empfänger: Intern: Empfang/Empfangsdienst (Erfassung und Kontrolle am Eingang), Fachabteilung/Ansprechpartner (erhält Info über Ankunft des Besuchers), Sicherheitsdienst/Werkschutz (zur Kenntnisnahme wer auf dem Gelände ist, insbesondere bei Notfällen oder Sicherheitsvorfällen). Extern: Betreiber der Besuchermanagement-Software (Cloud-Dienst, siehe Auftragsverarbeiter-Verzeichnis), ggf. Aufsichtsbehörden oder Polizei im Ereignisfall (z. B. Herausgabe der Besucherliste nach einem Zwischenfall).

Drittlandübermittlung: Nein (Server in EU). Falls die eingesetzte Software einen Cloud-Dienst eines internationalen Anbieters nutzt, wird auf EU-Hosting bestanden; keine Übermittlung in Drittstaaten ohne DSGVO-konforme Garantien.

Speicher- und Löschfristen: Besucherdaten werden nicht länger als nötig aufbewahrt. Registrierungen werden spätestens nach 12–13 Monaten (400 Tagen) automatisch gelöscht, so dass ein etwaiger jahresübergreifender Abgleich (für Wiederholungsbesuche oder Audit-Trails) möglich ist, aber älter als ein Jahr zurückliegende Besuche regelmäßig entfernt werden. In vielen Fällen wird bereits nach 90 oder 180 Tagen gelöscht, sofern keine Vorfälle eine längere Aufbewahrung rechtfertigen. Die Ausweisdokumentation (wer hat wann welchen Besucherausweis erhalten) wird analog behandelt. Fremdfirmen-Schulungsnachweise werden bis zum Ablauf ihrer Gültigkeit bzw. Beendigung des Einsatzes vorgehalten (typisch 1–2 Jahre).

Technische und organisatorische Maßnahmen: Besucher erhalten beim Betreten einen Datenschutzhinweis (z. B. auf dem Anmeldeformular oder digital auf dem Tablet). Zugriff auf Besucherdaten ist nur berechtigten Personen (Empfang, Security) erlaubt, Passwortschutz und ggf. 2-Faktor-Authentisierung für das System; Ausdrucke (Besucherausweiserteilung) werden vermieden oder sicher verwahrt. Regelmäßige Löschung läuft automatisiert gemäß Löschkonzept. Eine Liste der aktuell anwesenden Besucher ist im Notfall für Einsatzkräfte verfügbar, wird aber fortlaufend aktualisiert und nach Verlassen der Besucher verworfen.

Einbruchmelde- und Alarmsystem: Elektronische Alarmanlage mit Bewegungs- und Türsensoren in Gebäuden sowie eventueller Aufschaltung zu einem externen Wachdienst. Bedienung erfolgt via Code-Tastaturen oder Scharfschalt-Chip durch berechtigte Mitarbeiter (z. B. Werkschutz oder Schichtleiter beim Verlassen/Schließen).

Zweck: Schutz vor Einbruchdiebstahl und unbefugtem Zutritt außerhalb der Betriebszeiten; Alarmierung des Sicherheitsdienstes/der Polizei im Ereignisfall; Protokollierung von sicherheitsrelevanten Alarmvorgängen.

Rechtsgrundlage: Berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO (Sicherungsinteresse des Unternehmens, Schutz von Eigentum und Mitarbeiterbelangen).

Kategorien betroffener Personen: Berechtigte Alarmanlagen-Bediener (z. B. Sicherungspersonal, ausgewählte Mitarbeiter mit Schließberechtigung), potenzielle Eindringlinge (sofern Alarm ausgelöst wird – jedoch sind diese in der Regel unbekannt/unidentifiziert). In Alarmprotokollen tauchen primär Mitarbeiter als Bediener auf.

Kategorien personenbezogener Daten: Bedienercode oder -kennung (z. B. persönliche PIN oder Mitarbeiterausweis-ID, oft pseudonym als „Benutzer 1“ etc. konfiguriert, aber intern einem Namen zuordenbar), Vorgangsdaten (Zeitpunkt des Scharf-/Unscharfschaltens, ausgelöste Alarmzonen und -zeiten, ggf. Name der alarmierenden Zone – indirekt kann daraus geschlossen werden, welcher Mitarbeiter zuletzt dort war, falls personalisiert). Außerdem die hinterlegten Notfall-Kontaktdaten für Alarmmeldungen (typischerweise Namen und Telefonnummern der zu benachrichtigenden Verantwortlichen/Wachleute).

Empfänger: Intern: Werkschutz/Sicherheitsverantwortliche (Empfang der Alarmmeldungen, Einsicht in Alarmprotokolle), ggf. Geschäftsleitung (im Schadensfall). Extern: Sicherheitsdienst/Alarm-Empfangszentrale (Auftragsverarbeiter, erhält im Alarmfall Meldungen inkl. Kontakt zu Schlüsselträgern), Polizei (im Einbruchfall automatisierte Benachrichtigung oder manuelle Alarmierung durch Wachdienst).

Drittlandübermittlung: Nein. (Alarmdaten verbleiben lokal bzw. beim beauftragten Sicherheitsdienst innerhalb des Landes.)

Speicher- und Löschfristen: Alarm-Protokolldaten (Scharf/Unscharf Schaltungen, Alarmereignisse) werden für ca. 3 Monate gespeichert, sofern kein sicherheitsrelevanter Vorfall eine längere Aufbewahrung erfordert. Nach 90 Tagen Routinebetrieb werden die Protokolle automatisiert gelöscht oder überschrieben. Im Falle eines Einbruchs o. ä. werden die betreffenden Protokolle separat gesichert und bis zur Aufklärung des Vorfalls bzw. Abschluss von Versicherungs- und Ermittlungsverfahren aufbewahrt. Notfall-Kontaktlisten werden laufend aktualisiert; historische Kontaktlisten werden nicht aufbewahrt, außer in Protokolleinträgen (die wie erwähnt kurz gehalten werden).

Technische und organisatorische Maßnahmen: Persönliche Codes/Transponder für Alarmbediener, regelmäßige Änderung der PINs; Alarmzentrale ist gegen unbefugten Zugriff gesichert; Protokollierung jedes Schaltvorgangs; Zugriff auf Alarmprotokolle nur für Administratoren; vertragliche Verpflichtung des externen Sicherheitsdienstes zur Geheimhaltung und DSGVO-Compliance.

IT-Netzwerk und Systemsicherheit (Logging & Monitoring): Überwachung und Protokollierung der IT-Infrastruktur am Standort (z. B. Firewall-Logs, VPN-Zugriffe, WLAN-Login, Server- und Anwendungslogs) zur Sicherstellung der Informationssicherheit und zur Fehlerbehebung. Dies umfasst auch Zugriffskontroll- und Berechtigungssysteme in IT (z. B. Verzeichnisdienste wie AD) sowie ggf. Video/Audio-Konferenzsysteme im Werk. (Dieser Punkt betrifft IT-gestützte Prozesse, die parallel zu den OT-Systemen laufen.)

Zweck: Gewährleistung der IT-Sicherheit (Erkennen von unbefugten Zugriffen, Malware, Anomalien) und der Verfügbarkeit der IT-Systeme; Unterstützung von Fehleranalysen und Support (Nachvollziehung von Systemfehlern); Nachweisbarkeit von Benutzeraktionen in kritischen Systemen (Revisions- und Auditfähigkeit).

Rechtsgrundlage: Berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO – als Verantwortlicher hat das Unternehmen ein legitimes Interesse, seine IT-Systeme vor Angriffen zu schützen und den ordnungsgemäßen Betrieb sicherzustellen. Zusätzlich können rechtliche Pflichten aus Art. 32 DSGVO (Sicherheit der Verarbeitung) die Protokollierung erforderlich machen. Für Mitarbeiterdaten in Logs gilt auch § 26 BDSG (Datenverarbeitung im Beschäftigungskontext zulässig, soweit zur Systemsicherheit erforderlich).

Kategorien betroffener Personen: Mitarbeiter mit IT-Zugang (ergo praktisch alle PC-Nutzer, Maschinenbediener mit IT-System-Zugang etc. – ihre Aktivitäten auf den Systemen können in Logfiles auftauchen); externe Nutzer, die das Firmennetz nutzen (z. B. Gast-WLAN-User, Fernwartungsdienstleister – deren Zugriffe werden ebenfalls protokolliert); ggf. Kunden/Lieferanten, wenn sie auf Portale/Systeme zugreifen.

Kategorien personenbezogener Daten: Technische Nutzungsdaten mit Personenbezug: Benutzerkennungen, Login-Konten, Zugriffszeiten, verwendete IP-Adressen (werden teils als personenbezogen angesehen, da ihnen ein Nutzer zugeordnet werden kann), Gerätedaten (Hostname, MAC-Adresse, soweit einem Nutzer zuordenbar), Protokolleinträge über Aktionen (z. B. Öffnen einer Anwendung, Änderung an einer Datei mit Benutzer-ID, Ort/Terminal der Anmeldung). Inhalte der Kommunikation (E-Mails, Chats, Telefonie) werden nicht inhaltlich überwacht, es sei denn, es handelt sich um automatisierte Sicherheitsfilter (z. B. Virenscanner, die Anhänge prüfen – diese arbeiten aber ohne manuellen Einblick, es sei denn bei Alarm). In einem Security Incident könnten zusätzliche Daten anfallen (z. B. Speicherabbild mit Benutzerdaten, falls ein kompromittierter Rechner analysiert wird – solche Fälle unterliegen strenger Zweckbindung).

Empfänger: Intern: IT-Abteilung/Systemadministratoren (Überwachung der Logs, Incident Response), IT-Sicherheitsbeauftragter/CISO, ggf. Datenschutzbeauftragter (bei Prüfung von Auffälligkeiten, z. B. unzulässige Zugriffe). Extern: IT-Dienstleister mit Administrationsauftrag (Auftragsverarbeiter, z. B. externes Security Operations Center – erhält im Rahmen der Vereinbarung Logdaten zur Analyse), ggf. Ermittlungsbehörden im Fall von Cybervorfällen (z. B. Strafanzeige bei Hackerangriff, dann Übergabe relevanter Logs).

Drittlandübermittlung: Nein, die Logdaten verbleiben auf internen Systemen. Sofern ein externer Security-Anbieter eingesetzt wird, ist vertraglich EU-Datenhaltung vereinbart oder es bestehen Schutzmechanismen (z. B. Pseudonymisierung, SCC) vor einer Übertragung.

Speicher- und Löschfristen: Logdaten werden nach dem Prinzip der Speicherbegrenzung nur so lange aufbewahrt, wie es der Zweck erfordert. Standardmäßig werden sicherheitsrelevante Logs für 6 Monate gespeichert. Administrative System-Logs ohne sicherheitskritische Inhalte können kürzer aufbewahrt werden (z. B. 30–90 Tage), während bestimmte sicherheitsrelevante Ereignislogs (z. B. Zutriffe auf kritische Systeme, Firewall-Logs) aus Compliance-Gründen bis zu 1 Jahr vorgehalten werden dürfen. Nach Ablauf werden Logfiles automatisiert gelöscht oder archiviert (bei Archive nur in aggregierter/anonymisierter Form). Besondere Vorfalls-Logs können für Nachweispflichten länger gespeichert werden, beispielsweise bis zur abschließenden Klärung eines Security Incidents oder gemäß gesetzlicher Aufbewahrung (in Einzelfällen bis zu 6 Jahre, wenn sie Teil eines revisionsrelevanten Protokolls sind, z. B. Administratorzugriffe in finanzrelevanten Systemen).

Technische und organisatorische Maßnahmen: Zugriffsbeschränkung auf Logs – nur Administratoren und IT-Sicherheitspersonal können vollständige Logdaten einsehen; Einsatz von SIEM-Systemen (Security Information and Event Management) zur automatisierten Auswertung, wobei personenbezogene Logdaten pseudonymisiert ausgewertet werden, soweit möglich (z. B. Anzeige von Benutzer-IDs statt Klarnamen); Löschkonzept für Logdaten vorhanden und implementiert (entsprechend Art. 5 Abs. 1 lit. e DSGVO – Datenminimierung und Speicherbegrenzung); Protokollierung selbst erfolgt manipulationssicher (fälschungssichere Speicher, damit Logeinträge nicht unbefugt geändert werden können); Mitarbeiter werden über das Bestehen von IT-Logging in allgemeiner Form informiert (z. B. in IT-Richtlinien), jedoch ohne permanente Verhaltensüberwachung (kein Monitoring der individuellen Leistung, nur sicherheits-/betriebsbezogene Auswertung).

Arbeitszeiterfassungssystem: Elektronisches Zeiterfassungssystem für Mitarbeiter, z. B. mittels Terminal am Werkseingang (Stechuhr mit Badge oder biometrisch) oder via Mitarbeiter-Login am PC/Smartphone. Erfasst Kommt-/Geht-Zeiten, Pausen, Überstunden und ggf. Schichtzuordnungen.

Zweck: Erfüllung der gesetzlichen Pflicht zur Aufzeichnung der Arbeitszeit (ArbZG-konform), Transparenz über Arbeits- und Pausenzeiten, Entgeltabrechnung (korrekte Berechnung von Löhnen/Gehältern, Zuschlägen, Überstundenvergütung), sowie Planungszwecke (Schichtplanung, Abwesenheitsverwaltung).

Rechtsgrundlage: Rechtliche Verpflichtung gem. Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 16 Abs. 2 ArbZG (gemäß geltender Arbeitszeitvorschriften müssen Überstunden erfasst und für 2 Jahre aufbewahrt werden). Zudem Vertrag gem. Art. 6 Abs. 1 lit. b DSGVO, da die Erfassung notwendig ist, um den Arbeitsvertrag bzgl. Vergütung zu erfüllen (Arbeitszeitnachweis für Lohn). Alternativ kann auch berechtigtes Interesse (Art. 6 Abs. 1 lit. f) angeführt werden, da sowohl Arbeitgeber als auch Arbeitnehmer an einer zuverlässigen und transparenten Zeiterfassung interessiert sind. (Im Beschäftigungskontext stützt § 26 Abs. 1 BDSG diese Verarbeitung zusätzlich.)

Kategorien betroffener Personen: Alle beschäftigten Arbeitnehmer (inkl. Praktikanten, Aushilfen etc.), soweit sie arbeitszeitpflichtig sind; ggf. Leiharbeitnehmer und externe Kräfte, deren Arbeitszeit im System erfasst wird.

Kategorien personenbezogener Daten: Mitarbeiterstammdaten im System (Name, Personalnummer, Abteilung, Vertragsart z. B. Vollzeit/Teilzeit), Arbeitszeit-Buchungsdaten: Kommt-/Geht-Stempelzeiten pro Tag, automatisch berechnete Arbeitsstunden, Überstundenkonten, Pausenzeiten, Abwesenheitszeiten (Urlaub, Krankmeldungen – zumindest als Markierung), Schichtpläne/Soll-Arbeitszeit je Tag, ggf. Salden (Resturlaub, Gleitzeitkonten). Bei biometrischen Terminals: biometrische Templates (z. B. Fingerabdruck-Hash) zur Authentifizierung.

Empfänger: Intern: Personalabteilung/Lohnbuchhaltung (wertet Arbeitszeitsummen für Lohnabrechnung aus), Vorgesetzte (haben i. d. R. Einsicht in Zeiterfassungsdaten ihrer Teammitglieder, zumindest in Abweichungen oder Salden, zwecks Genehmigung von Überstunden/Urlaub), ggf. Betriebsrat (aggregierte Auswertungen zur Kontrolle der Arbeitszeitgesetze). Extern: Lohnabrechnungsdienstleister (wenn ausgelagert – erhält Arbeitszeitdaten zur Gehaltsabrechnung, als Auftragsverarbeiter oder in Funktion des Steuerberaters eigenverantwortlich), ggf. Aufsichtsbehörde (bei Prüfung Arbeitszeitverstöße, auf Anfrage) oder Auditoren (im Rahmen von Zertifizierungen, eingeschränkter Zugriff auf Systemnachweise).

Drittlandübermittlung: Nein – Das System wird intern oder in einer Cloud mit Datenhaltung in EU betrieben. Keine Übermittlung in Drittstaaten.

Speicher- und Löschfristen: Arbeitszeitdaten werden während des Beschäftigungsverhältnisses fortlaufend gespeichert. Gesetzliche Mindestaufbewahrung: Nach ArbZG § 16 Abs. 2 müssen Aufzeichnungen über die über die werktägliche Arbeitszeit hinausgehende Arbeitszeit 2 Jahre aufbewahrt werden. Darüber hinaus gelten steuer- und handelsrechtliche Aufbewahrungsfristen, da Arbeitszeitnachweise Teil der Entgeltabrechnung sein können (z. B. Lohnunterlagen sind 6 Jahre aufzubewahren nach § 147 AO). Praktisch bedeutet dies: Detailzeitdaten (Zeitstempel) werden mind. 2 Jahre vorgehalten. Verdichtete Entgeltabrechnungsdaten (Monatsarbeitsstunden, Lohnabrechnungen) werden 6 Jahre gespeichert. Nach Ausscheiden eines Mitarbeiters werden dessen Zeiterfassungsdaten nach Ablauf der gesetzlichen Fristen gelöscht; in der Regel bleiben Kern-Daten für 3 Jahre (Verjährungsfrist für arbeitsrechtliche Ansprüche) verfügbar und werden dann entfernt, sofern keine längere steuerliche Aufbewahrung greift. Biometrische Templates werden bei Austritt oder bei Wechsel der Authentifizierungsmethode sofort gelöscht.

Technische und organisatorische Maßnahmen: Mitarbeiter erhalten beim Start Informationen zur Nutzung der Zeiterfassung (Transparenz). Zugriffsschutz: Zeiterfassungsterminals sind manipulationssicher angebracht; die Software ist passwortgeschützt, Einsicht in Rohdaten nur für HR und Admin. Es besteht ein Berechtigungskonzept: Mitarbeiter sehen i. d. R. nur ihre eigenen Zeiten, Vorgesetzte nur ihres Teams, etc. Änderungen an Buchungen (z. B. Korrekturen) werden protokolliert. Biometrie: Wenn eingesetzt, nur mit Einwilligung und datenschutzkonformer Software (z. B. Fingerabdruck wird nicht im Klartext gespeichert, sondern verschlüsselt, Vergleich erfolgt lokal am Terminal; alternative Anmeldung für Verweigerer). Verschlüsselung der gespeicherten Datenbank oder regelmäßige Backups; Entfernung oder Anonymisierung von Personaldaten in Archivdatensätzen, sobald gesetzlich zulässig. Löschroutinen im System sind eingerichtet, Überprüfung erfolgt durch HR/IT.

Flurförderzeug-Telematik (Gabelstapler- und Fahrzeug-Tracking): Eingesetzt bei firmeneigenen Staplern/Flurförderzeugen, um Nutzung und Fahrwege auf dem Gelände zu überwachen. Oft kombiniert mit einer Zugangskontrolle für Fahrzeuge (nur geschulte Fahrer können Stapler aktivieren, z. B. via RFID-Schlüssel).

Zweck: Erhöhung der Arbeitssicherheit (Verhinderung unbefugter Fahrzeugnutzung, automatische Geschwindigkeitsbeschränkung in bestimmten Zonen), Unfallaufklärung, effizientere Wartung (Aufzeichnung von Betriebsstunden) und Auslastungsanalyse des Fuhrparks.

Rechtsgrundlage: Berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO – Sicherheit der Mitarbeiter und effektiver Einsatz der Fahrzeuge. (Für Mitarbeiter als Fahrer ist dies zudem von § 26 BDSG gedeckt, da die Maßnahme dem Arbeitsschutz dient und die Leistungskontrolle nicht überwiegt – es erfolgt keine minutengenaue Verhaltenskontrolle, sondern nur sicherheitsrelevante Überwachung).

Kategorien betroffener Personen: Staplerfahrer (interne Mitarbeiter, ggf. auch externe, die firmeneigene Fahrzeuge bedienen), andere Personen können indirekt betroffen sein, falls z. B. ein Unfall mit Personenbeteiligung dokumentiert wird – primär geht es aber um die Fahrer.

Kategorien personenbezogener Daten: Fahrer-ID (Zuordnung Fahrer zu Fahrzeug, meist durch Personalnummer oder RFID-Karte, in Logdatei gespeichert), Nutzungszeiten pro Fahrer/Fahrzeug (Start/Ende einer Nutzung, Dauer), Fahrbewegungsdaten (Positionsdaten auf dem Werksgelände, z. B. wenn GPS oder Zonenlokalisierung genutzt wird; oder zumindest Bereiche/Zonen wo Fahrzeug im Einsatz), Ereignisdaten (z. B. starke Bremsungen, Kollisionserkennungssensor ausgelöst, Geschwindigkeitsüberschreitung, wenn solche Sensoren vorhanden), fahrzeugtechnische Daten mit Personenbezug (z. B. Überlastalarm, der auf unsachgemäße Bedienung durch den identifizierten Fahrer schließen lässt).

Empfänger: Intern: Arbeitssicherheitsabteilung (Auswertung bei Beinahe-Unfällen oder Regelverstößen), Fuhrparkleitung/Logistikmanagement (Analyse von Nutzungsmustern, Planung Schulungen falls unsachgemäße Nutzung auffällt), Vorgesetzte des Fahrers (z. B. bei schweren Verstößen zur arbeitsrechtlichen Beurteilung). Extern: Anbieter des Telematik-Systems (als Auftragsverarbeiter, siehe Verzeichnis Auftragsverarbeiter), ggf. Versicherung oder Behörden im Unfallfall (Auslesen der Blackbox-Daten nach Unfall).

Drittlandübermittlung: Nein, Daten bleiben auf lokalem Server oder beim Cloud-Dienstleister in der EU. (Falls Hersteller außerhalb EU, dann nur mit entsprechender vertraglicher Regelung und EU-Hosting).

Speicher- und Löschfristen: Routinemäßige Nutzungs- und Bewegungsdaten werden für ca. 6–12 Monate gespeichert, um Trends zu analysieren und auf etwaige zurückliegende sicherheitsrelevante Ereignisse reagieren zu können. Sofern innerhalb dieses Zeitraums keine Auffälligkeiten gemeldet wurden, werden die Daten gelöscht oder aggregiert (z. B. nur Gesamtbetriebsstunden ohne Personenbezug aufbewahrt). Ereignisdaten zu kritischen Vorfällen (Unfällen, schweren Regelverstößen) werden getrennt archiviert und bis zur Klärung bzw. für etwaige Rechtsansprüche (Verjährungsfrist üblicherweise 3 Jahre) aufbewahrt. Danach Löschung bzw. vollständige Anonymisierung (keine Personenbeziehbarkeit).

Technische und organisatorische Maßnahmen: Fahrberechtigungssystem: nur autorisierte Mitarbeiter mit gültiger Fahrerlaubnis erhalten RFID-Schlüssel/Pin; Telematiksystem ist passwortgeschützt und nur von berechtigten Stellen einsehbar; Fahrer werden über die Installation des Systems und dessen Zweck vorab informiert (Transparenz, ggf. Betriebsratsbeteiligung erfolgt). Die Übertragung der Telemetriedaten vom Fahrzeug erfolgt verschlüsselt. Zugriff auf detailgenaue Bewegungsdaten ist eingeschränkt (z. B. nur Arbeitssicherheit darf Positionshistorie einsehen). Regelmäßige Auswertung beschränkt sich auf sicherheitsrelevante Aspekte, nicht auf minutengenaues Fahrverhalten jedes Einzelnen (kein dauerhaftes Tracking der Personenleistung). Daten, die für Statistiken benötigt werden, werden frühzeitig anonymisiert (z. B. Nutzungshäufigkeit pro Fahrzeug ohne Nennung des Fahrers).

Produktionssteuerungs- und MES-System (Manufacturing Execution System): Zentrales IT-System zur Steuerung und Überwachung der Fertigungsprozesse (inkl. Betriebsdatenerfassung). Hier werden Produktionsaufträge, Maschinenzustände und teils Arbeitsfortschritt von Mitarbeitern erfasst. Mitarbeiter in der Fertigung melden z. B. Auftragsstart/-ende, Stückzahlen und Ausschuss über Terminals an der Linie.

Zweck: Planung, Steuerung und Überwachung der Produktion in Echtzeit; Zuordnung von Arbeitsschritten zu Aufträgen; Qualitätssicherung und Rückverfolgbarkeit (wer hat wann was produziert); Ermittlung von Kennzahlen (Produktivität, Output pro Schicht) und Identifikation von Engpässen; Nachweis gegenüber Kunden bei Qualitätsfragen (Traceability).

Rechtsgrundlage: Berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO – das Unternehmen muss seine Produktion effizient organisieren und hat ein Interesse an der Rückverfolgbarkeit der Herstellung für Qualitätszwecke. Die Verarbeitung ist auch erforderlich zur Vertragserfüllung gegenüber Kunden (Produktion der bestellten Waren nach bestimmten Vorgaben) und zur Einhaltung von Sorgfaltspflichten (z. B. Produkthaftung – dafür Rückverfolgung, welcher Mitarbeiter einen Fertigungsschritt durchgeführt hat, um ggf. Fehlerquellen einzugrenzen). Im Beschäftigtenkontext zusätzlich § 26 BDSG, da die Erhebung der Produktionsdaten für die Durchführung des Arbeitsverhältnisses (Zuweisung von Aufgaben, Leistung von Arbeit) erforderlich ist.

Kategorien betroffener Personen: Produktionsmitarbeiter (Schichtpersonal, Linienführer – ihre Arbeitsleistung wird in Form von erfassten Produktionsdaten festgehalten), Schichtleiter, Qualitätsprüfer. Indirekt: Kunden, falls kundenspezifische Daten im System (Auftragsdaten mit Kundenbezug, jedoch i. d. R. Unternehmen, keine Privatpersonen).

Kategorien personenbezogener Daten: Mitarbeiter-Identifikationsdaten im System (Name oder Kürzel, Personalnummer, Abteilung/Schicht); Arbeitszuweisungen (welcher Mitarbeiter ist welchem Arbeitsplatz/Fertigungsschritt zugeordnet); Produktionsleistungsdaten mit Personenbezug: z. B. Anzahl gefertigter Teile pro Mitarbeiter/Schicht, Fehlproduktionen/Ausschuss dokumentiert mit Name des Meldenden; Zeitstempel für Arbeitsbeginn/-ende an einem Auftrag (damit sind implizit Arbeitszeiten pro Auftrag erkennbar, neben Zeiterfassung); ggf. Berechtigungsstufen (wer darf welche Maschine bedienen, hinterlegt mit Qualifikationsdaten). Qualitätsmeldungen im MES (z. B. Prüfprotokolle) können den Prüfer namentlich nennen.

Empfänger: Intern: Produktionsleitung/Schichtleitung (Einsicht in Live-Daten zur Steuerung der Fertigung), Qualitätsmanagement (Auswertung der Prozessdaten, z. B. bei Fehlern – Rückverfolgung welcher Los/Mitarbeiter betroffen war), Controlling (Nutzung von aggregierten Leistungskennzahlen, aber typischerweise ohne direkte Personennamen). Personalabteilung erhält nicht routinemäßig Einblick in MES-Daten zur individuellen Leistungsüberwachung (eine solche Nutzung wäre extra zu prüfen und ggf. mit Mitbestimmung zu regeln; primär dienen die Daten betrieblichen Zwecken, nicht der Personalbewertung). Extern: Softwareanbieter des MES (Auftragsverarbeiter, für Wartung/Hosting – siehe Verzeichnis Auftragsverarbeiter); evtl. Kunden oder Zertifizierer, denen auf Auditanfrage Nachweise der Produktionsprozesse gegeben werden (dabei könnten Mitarbeiterkürzel auf Dokumenten erscheinen – z. B. “Wer hat diese Charge gefertigt” – wird aber nur in Ausnahme-/Auditsituationen weitergegeben).

Drittlandübermittlung: Nein, Hauptsystem wird im eigenen Rechenzentrum oder Cloud in EU betrieben. Keine Übermittlung an Drittstaaten, außer evtl. der Softwarehersteller sitzt im Drittland und erhält im Supportfall Einblick – dann aber nur nach vertraglicher Regelung (Supportzugriff, ggf. Remote, mit EU-Standardklauseln).

Speicher- und Löschfristen: Produktionsbezogene Daten mit Personenbezug werden nach Erfüllung ihres Zwecks und Ablauf etwaiger Gewährleistungsfristen gelöscht oder anonymisiert. Da Produktionsdaten oft relevant für Garantie-/Haftungsansprüche sind, werden sie i. d. R. bis zu 6 Jahre aufbewahrt (Orientierung an der regelmäßigen Verjährungsfrist bzw. handelsrechtlichen Dokumentationspflichten; in [15] wird 6 Jahre genannt, u.a. weil Produktionsdaten als geschäftsrelevant eingestuft sind). So werden z. B. welchem Mitarbeiter welche Charge zugeordnet war, über mehrere Jahre vorgehalten, um bei Produktmängeln die Ursachen zurückverfolgen zu können. Nach 6 Jahren erfolgt eine Löschung oder dauerhafte Anonymisierung (Entfernung des Personenbezugs, aber Beibehaltung statistischer Produktionsdaten). Einzelne Auftragsdatensätze können länger aufbewahrt werden, wenn spezielle Aufbewahrungsfristen gelten (z. B. in der Luftfahrt oder Automobilbranche gibt es teils 15 Jahre Nachweispflichten für sicherheitsrelevante Teile – dann werden entsprechende Auftrags-/Prüfdatensätze ebenso lange vorgehalten, jedoch möglichst pseudonymisiert hinsichtlich der Mitarbeiterdaten).

Technische und organisatorische Maßnahmen: Zugriffskontrolle auf das MES: Mitarbeiter haben nur Zugriff auf Funktionen entsprechend ihrer Rolle (Produktionsmitarbeiter können nur eigene Arbeitsaufträge buchen, keine Meta-Daten ändern, etc.); Administrativer Zugriff ist passwortgeschützt und protokolliert. Datenschutz durch Technik: Wo möglich, werden nur Mitarbeiterkürzel statt Klarnamen in der Oberfläche angezeigt, um im täglichen Betrieb den Personenbezug zu minimieren. Auswertungen erfolgen überwiegend aggregiert. Schulung der Produktionsleitung im korrekten Umgang mit personenbezogenen Leistungsdaten (keine unzulässige Mitarbeiterbewertung ausschließlich anhand MES-Daten). Schnittstellen zum HR-System (für Stammdaten) sind gesichert; es findet kein Abgleich von Feinzeiten mit der Zeiterfassung ohne Rechtsgrundlage statt (z. B. wird nicht automatisiert kontrolliert, ob MES-Buchungen und Stechuhr identisch sind – falls doch erforderlich, würde dies klar kommuniziert und rechtlich geprüft). Backup der Produktionsdaten erfolgt verschlüsselt. Löschkonzept: Regelmäßige Archivierung alter Aufträge und damit verbundener Personendaten; Archive werden getrennt verwaltet und nur bei Bedarf eingesehen.

Wartungs- und Instandhaltungsmanagement: Software oder Modul zur Planung, Dokumentation und Nachverfolgung von Wartungs-, Inspektions- und Reparaturarbeiten an Anlagen (sowohl Gebäude-technik als auch Maschinen). Techniker (intern oder Servicetechniker externer Firmen) dokumentieren durchgeführte Arbeiten, Prüfungen und ggf. Mängel in diesem System.

Zweck: Sicherheit und Zuverlässigkeit der technischen Anlagen durch regelmäßige Wartung; Nachweis der Einhaltung von Prüffristen (z. B. UVV-Prüfungen, TÜV-Abnahmen) aus gesetzlichen Vorgaben; Planung von Wartungsintervallen; Historie für jede Anlage (welche Arbeiten wann von wem durchgeführt wurden).

Rechtsgrundlage: Rechtliche Verpflichtung gem. Art. 6 Abs. 1 lit. c DSGVO, sofern gesetzliche Prüfvorschriften bestehen (z. B. Verpflichtung zur Dokumentation von Sicherheitsprüfungen nach BetrSichV oder DGUV-Vorschriften – in diesen Fällen müssen Prüfer und Datum festgehalten werden). Darüber hinaus berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO, da eine lückenlose Wartungshistorie im Interesse der Betriebssicherheit und zur Abwehr von Haftungsansprüchen liegt.

Kategorien betroffener Personen: Wartungspersonal intern (Betriebstechniker, Instandhalter) und extern (Servicekräfte von Herstellern oder Dienstleistern), deren Einsätze dokumentiert werden; Prüfsachverständige (z. B. TÜV-Ingenieure) – ebenfalls mit Name/Firma in Berichten erwähnt. Ggf. Mitarbeiter des Fachbereichs, die einen Mangel melden (deren Name könnte in einem Wartungsticket als Melder stehen).

Kategorien personenbezogener Daten: Name des/der durchführenden Technikers bzw. Prüfers, dessen Arbeitgeber/Firma; durchgeführte Tätigkeit (Beschreibung der Wartung/Reparatur), Datum, Uhrzeit der Tätigkeit; Qualifikationsnachweise, falls erfasst (z. B. Zertifikatnummer eines Prüfers); Unterschrift oder elektronisches Signum in Prüfprotokollen. Bei externen Dienstleistern ggf. Kontaktdaten (Telefon/E-Mail) der Servicetechniker für Rückfragen. Bei Meldungen: Name des meldenden Mitarbeiters, Zeit der Meldung, Beschreibung des Problems (kann indirekt Rückschl

Verfahrensbezeichnung: Digitales Besuchermanagement-System (Verwaltung und Lenkung externer Besucher).

Zweck der Verarbeitung: Registrierung, Kontrolle und Leitung von Besuchern auf dem Campus zur Sicherheitsgewährleistung und Ablaufoptimierung. Besucher werden erfasst, erhalten temporäre Ausweise und werden räumlich geleitet, um unbefugten Zutritt zu verhindern und Wegleitungen zu vereinfachen.

Rechtsgrundlage: Überwiegend berechtigte Interessen gem. Art. 6 Abs. 1 lit. f DSGVO (Wahrnehmung des Hausrechts und Schutz von Personen, Daten und Anlagen). Soweit ein Besuch der Anbahnung oder Erfüllung eines Vertrags dient (z. B. Geschäftspartner auf Einladung), ggf. Art. 6 Abs. 1 lit. b DSGVO. In Ausnahmefällen kann auch Art. 6 Abs. 1 lit. c DSGVO einschlägig sein, etwa zur Erfüllung rechtlicher Sicherheitsvorgaben (z. B. bei hochsicherheitsrelevanten Bereichen).

Betroffene Personengruppen: Externe Besucher (Gäste, Lieferanten, Bewerber etc.) und ggf. Mitarbeiter als einladende oder empfangende Personen.

Datenarten: Stammdaten der Besucher (Name, Firma/Besucherunternehmen), Kontaktdaten, Besuchsdetails (Grund des Besuchs, einladende Stelle), Zeiten (Ankunft/Abmeldung), Ausweiskartennummer oder Kfz-Kennzeichen falls erforderlich, sowie Logdaten (z. B. Zutrittsprotokolle, Uhrzeit Ein-/Austritt). Bei Bedarf zusätzliche Sicherheitsinformationen (z. B. Unterzeichnung von NDA, COVID-Check während Pandemie – aktuell nicht mehr zulässig ohne Rechtsgrundlage).

Empfänger: Interne Empfangs- und Sicherheitsmitarbeiter (zur Abwicklung und Kontrolle der Besuche). Externe Wachdienstleister oder Empfangsdienste, sofern ausgelagert (Auftragsverarbeiter mit Vertrag nach Art. 28 DSGVO). Im Einzelfall Behörden, falls eine Herausgabe aus Sicherheitsgründen oder zur Strafverfolgung erforderlich ist.

Drittlandübermittlung: Nicht vorgesehen. Die Verarbeitung erfolgt im Regelfall lokal bzw. innerhalb der EU. Etwaige Cloud-Dienste für Besuchermanagement werden auf EU-Servern betrieben; andernfalls bestehen vertragliche Garantien (EU-Standardvertragsklauseln) mit dem Anbieter.

Speicher- und Löschfristen: Kurzfristige Aufbewahrung der Besucherdaten nur solange erforderlich: Besuchsprotokolle werden i. d. R. am Tagesende oder nach wenigen Tagen automatisiert gelöscht, sofern kein Sicherheitsvorfall eintritt. Längere Aufbewahrung (einige Monate) erfolgt nur für Statistik oder im Ereignisfall, dann begrenzt auf den Zweck (z. B. bis zur Klärung eines Vorfalls) und unter Beachtung gesetzlicher Fristen.

Technische-organisatorische Maßnahmen: Zugriff aufs System nur für berechtigte Mitarbeiter (Rollenkonzept, Authentifizierung); Datenschutz-Hinweisschilder am Eingangsbereich (Art. 12, 13 DSGVO); Datenübertragung verschlüsselt; regelmäßige Löschroutinen; Aufbewahrung der physischen Besucherbücher (falls Backup) unter Verschluss. Außerdem Audit-Logs zur Nachvollziehbarkeit von Zugriffen auf Besucherdaten.

Verfahrensbezeichnung: Mobile Indoor-Navigation für Mitarbeiter und Besucher (App oder Kiosk zur Wegfindung auf dem Werksgelände).

Zweck der Verarbeitung: Echtzeit-Navigationshilfe innerhalb von Gebäuden und Anlagen, um Ziele (Räume, Anlaufstellen, Notausgänge etc.) schneller zu finden. Verbesserung der Nutzererfahrung für Mitarbeiter und Besucher sowie effizientere Besucherlenkung und Barrierefreiheit (z. B. für ortsunkundige Personen).

Rechtsgrundlage: Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO, soweit Nutzer die Ortungsdienste aktiv einschalten und der App die Standortfreigabe erteilen (Opt-in für standortbasierte Dienste). Alternativ bei berechtigtem Unternehmensinteresse an Standortdiensten (z. B. Sicherheitsleitstelle verfolgt Geräte im Notfall) Art. 6 Abs. 1 lit. f DSGVO – jedoch überwiegen hier i. d. R. die Interessen der Betroffenen, weshalb primär mit freiwilliger Nutzung gearbeitet wird. Für Beschäftigte kann bei dienstlicher Nutzung § 26 BDSG (Datenverarbeitung für Beschäftigungsverhältnis) einschlägig sein, sofern die Navigation zur Aufgabenerfüllung nötig ist.

Betroffene Personengruppen: Nutzer der Navigations-App, also Mitarbeiter und Besucher, die diese freiwillig verwenden.

Datenarten: Standortdaten innerhalb des Gebäudes (Positionskoordinaten, z. B. via WLAN/Bluetooth-Beacons), Bewegungsmuster und Routenverlauf (welche Wege der Nutzer geht, welche Bereiche häufig besucht werden) sowie Zeitstempel der Bewegungen. Ggf. Gerätekennung oder Nutzer-ID, falls die App personalisiert ist (z. B. Mitarbeiter-Login) – ansonsten pseudonyme Session-IDs. Optional vom Nutzer eingegebene Daten wie Zielsuche (Raumbezeichnung) oder Präferenzen (z. B. barrierefreie Route).

Empfänger: Intern: Betreiber des Systems (z. B. FM-IT-Abteilung) zur Auswertung der anonymisierten Verkehrsströme (für Flächenoptimierung, Reinigung). Extern: Anbieter der Navigationsplattform als Auftragsverarbeiter (wenn Cloudservice genutzt). Es findet kein ungefragtes Tracking durch Dritte statt; Standortdaten werden ausschließlich zur Navigation verwendet und nicht an externe Stellen weitergegeben.

Drittlandübermittlung: Nicht vorgesehen. Die Dienste sind serverseitig in der EU gehostet. Falls ein externer App-Anbieter mit Servern außerhalb der EU zum Einsatz kommt, werden Privacy Shield-Nachfolger/Standardvertragsklauseln genutzt.

Speicher- und Löschfristen: Kurzfristige Verarbeitung: Standortdaten werden primär in Echtzeit verarbeitet und angezeigt. Eine längerfristige Speicherung individueller Bewegungsdaten erfolgt nicht über das für den Navigationsvorgang notwendige Maß hinaus. Routendaten können für anonymisierte Analysen zeitweise vorgehalten werden (z. B. einige Tage bis Wochen), danach Löschung oder dauerhafte Anonymisierung (Aggregierung über alle Nutzer). Persönliche Profile werden nicht erstellt.

Technische-organisatorische Maßnahmen: Privacy-by-Design ist umgesetzt: Positionsdaten werden möglichst anonymisiert oder pseudonymisiert verarbeitet. Feingranulare Opt-in-Einstellungen erlauben Nutzern die Kontrolle über ihre Daten (z. B. Navigation ohne Account nutzbar). Kommunikation zwischen Gerät und Beacons/Server ist verschlüsselt. Zugriff auf eventuelle Backend-Daten nur für Administratoren; regelmäßige Sicherheitsaudits der App und Infrastruktur. Nutzer werden in der App über die Datenverarbeitung informiert (Datenschutzerklärung, Einwilligungsbanner).

Verfahrensbezeichnung: Digitale Plattform für Workplace Services (z. B. Mitarbeiter-App oder Webportal für Arbeitsplatz- und Servicefunktionen).

Zweck der Verarbeitung: Unterstützung der Mitarbeiter im Arbeitsalltag und effiziente Bereitstellung von FM-Services. Dazu zählen u. a. Raumbuchung und Desk-Sharing (Arbeitsplätze/Meetingräume reservieren), Workplace-Komfortsteuerung (individuelle Temperatur/Lichtsteuerung via App), Ticketing für Störungsmeldungen (Mängelmeldung, Serviceanforderungen) sowie Informationsdienste (News, Kantinenplan etc.). Die Plattform erhöht die Nutzerzufriedenheit und optimiert die Flächenauslastung und Service-Reaktionszeiten.

Rechtsgrundlage: Vertragserfüllung gem. Art. 6 Abs. 1 lit. b DSGVO, soweit die Nutzung Bestandteil des Arbeitsverhältnisses ist (z. B. digitale Buchungssysteme als Arbeitsmittel). Im Übrigen berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) des Arbeitgebers an einer modernen, effizienten Arbeitsplatzorganisation und schnellen Störungsbehebung. Die Teilnahme an optionalen Services (z. B. Komfort-App) erfolgt freiwillig; hier kann eine Einwilligung (Art. 6 Abs. 1 lit. a) vorliegen, die der Mitarbeiter erteilt, indem er die App installiert und Daten eingibt. Bei Datenverarbeitungen im Beschäftigungskontext wird § 26 BDSG berücksichtigt.

Betroffene Personengruppen: Beschäftigte/Mitarbeiter des Standorts (primäre Nutzer der Plattform). Ggf. auch Externe Mieter bzw. Co-Working-Nutzer auf dem Campus, falls die Plattform standortübergreifend eingesetzt wird.

Datenarten: Personaldaten der Nutzer (Name, Unternehmenszugehörigkeit/Abteilung, geschäftliche Kontaktdaten, Nutzerkonto/Login). Buchungsdaten: reservierter Arbeitsplatz/Raum, Datum/Uhrzeit, ggf. Meeting-Titel (Achtung: kann personenbezogene Inhalte wie Namen Dritter enthalten) und Teilnehmer. Servicedaten: Meldungen über Defekte oder Wünsche (inkl. Beschreibung, Fotos), zugehörige Person und Zeit. Komfortdaten: individuelle Einstellungen (z. B. Wunschtermostat in °C, Beleuchtungsvorlieben). Nutzungsdaten: Logins, Klickverhalten innerhalb der App, Feedback-Eingaben. Außerdem können Standort- oder Anwesenheitsdaten anfallen, z. B. wenn Anwesenheitssensoren mit der Buchungsfunktion verknüpft sind oder wenn Mitarbeiter via App ihren Check-in am Campus melden (dies erfolgt pseudonymisiert; aggregierte Flächenbelegungsdaten werden für Smart Cleaning etc. genutzt).

Empfänger: Interne Empfänger: zuständige FM-Abteilungen (z. B. Raumverwaltung erhält Buchungspläne, Haustechnik erhält Störungsmeldungen mit Meldenden-Angabe). Vorgesetzte erhalten keine individuellen Bewegungsprofile, es sei denn im Einzelfall mit Zustimmung des Betriebsrats (z. B. zur Evakuierungsliste im Notfall). Externe Dienstleister: Betreiber der Software (sofern Cloud/IWMS-Anbieter), welche als Auftragsverarbeiter nach Art. 28 DSGVO tätig sind. Einzelne Service-Tickets können an wartungsbeauftragte Firmen weitergeleitet werden (dann mit minimal nötigen Personendaten, z. B. Name des Meldenden und Raumangabe, sofern für Zugang nötig). Eine Übermittlung an unbefugte Dritte findet nicht statt.

Drittlandübermittlung: Abhängig vom eingesetzten System. Bei rein interner Lösung oder EU-basiertem Anbieter: Nein (Server in EU). Bei Einsatz globaler SaaS-Lösungen (z. B. US-Software für IWMS) können personenbezogene Daten in die USA übertragen werden; in diesem Fall bestehen Standardvertragsklauseln und ggf. Zertifizierungen (EU-US Data Privacy Framework) als Schutzmaßnahmen.

Speicher- und Löschfristen: Staffelung nach Datenkategorie: Buchungs- und Belegungsdaten werden i. d. R. kurzfristig aufbewahrt (z. B. 1 Jahr, für Auslastungsanalysen und um Nachweisanfragen zu beantworten), anschließend aggregiert oder gelöscht. Servicetickets und Störungsmeldungen mit Personenbezug werden nach Erledigung und Ablauf etwaiger Gewährleistungsfristen gelöscht oder anonymisiert (z. B. 2 Jahre zur Trendanalyse). Grundsätzliche Löschfrist für Accounts und Personaldaten: unverzüglich nach Austritt des Mitarbeiters bzw. wenn ein Nutzer länger als X Monate inaktiv ist (nach vorheriger Info). Backups unterliegen denselben Löschkonzepten.

Technische-organisatorische Maßnahmen: Benutzer-Authentifizierung (Single-Sign-On oder starke Passwörter) zum Schutz der Konten. Rollen- und Rechtekonzept, sodass jeder nur die notwendigen Daten sieht (z. B. ein Mitarbeiter sieht nur seine eigenen Buchungen, nicht die von Kollegen). Verschlüsselung der Kommunikation und gespeicherten Daten (insb. sensible Angaben in Tickets). Mobile Device Management Richtlinien für App-Nutzung (Schutz bei Verlust des Smartphones). Regelmäßige Privacy-Schulungen der Administrierenden. Darüber hinaus Logging von Zugriffsaktionen und Implementierung von Privacy-by-Design (z. B. Voreinstellungen, dass Komfortdaten lokal gespeichert bleiben, sofern möglich).

Verfahrensbezeichnung: Closed Circuit Television Überwachungssystem (stationäre Kameraüberwachung der kritischen Bereiche).

Zweck der Verarbeitung: Objektschutz, Geländesicherheit und Zugangskontrolle. Prävention und Aufklärung von Diebstahl, Sabotage oder Unfällen durch visuelle Überwachung von Eingängen, Produktionsbereichen, Perimeter etc. Zusätzlich Mitarbeiter- und Besuchersicherheit (z. B. schneller Eingriff bei Zwischenfällen).

Rechtsgrundlage: Berechtigtes Interesse des Verantwortlichen gem. Art. 6 Abs. 1 lit. f DSGVO an der Sicherung seines Eigentums und der Personen auf dem Gelände. Entsprechende Videoüberwachung erfolgt im zulässigen Rahmen (Abwägung: überwachte Bereiche sind klar gekennzeichnet, keine übermäßige Eingriffstiefe in Privatsphäre). Für Mitarbeiterüberwachung gelten zudem § 26 BDSG und Mitbestimmungsregeln (Betriebsrat).

Betroffene Personengruppen: Alle Personen vor Ort, insbesondere Mitarbeiter, Besucher und externe Dienstleister, die sich in den überwachten Zonen aufhalten (zufällige Erfassung).

Datenarten: Bild- und Videoaufzeichnungen der Kameras, teils Echtzeit-Monitoring durch Security-Personal. In sensiblen Bereichen eventuell auch Tonaufzeichnung (nur wo zwingend, z. B. Intercom an Toren). Metadaten: Kamera-ID, Aufnahmedatum/-uhrzeit, Speicherort. Falls die Kamerasoftware Analysen fährt: erfasste Bewegungsmuster oder erkannte Ereignisse (z. B. Bewegung in verbotener Zone). Besonders sensible Daten (z. B. biometrische Identifizierung) werden nicht verwendet – es findet keine automatisierte Gesichtserkennung statt, nur manuelle Sichtung bei Bedarf.

Empfänger: Intern: Werkschutz/Sicherheitsleitstelle (Live-Einsicht und Auswertung im Ereignisfall). Extern: Ein externer Sicherheitsdienst, falls mit Überwachung beauftragt (als Auftragsverarbeiter). Darüber hinaus nur Behörden bei berechtigter Anforderung (z. B. Polizei nach Vorfall). Keine Veröffentlichung oder Weitergabe an Versicherungen etc. ohne Rechtsgrundlage.

Drittlandübermittlung: Nein. Das CCTV-System ist lokal implementiert; Videodaten verbleiben auf lokalen Servern/NVRs auf dem Gelände. Kein Cloud-Streaming in Drittstaaten.

Speicher- und Löschfristen: Kurzfristige Speicherung, üblicherweise max. 72 Stunden (3 Tage) für die Aufzeichnungen, sofern kein besonderer Anlass vorliegt. Nach Ablauf der Frist werden die Videoaufnahmen automatisch überschrieben oder gelöscht, wie es dem Datenminimierungsprinzip entspricht. Bei sicherheitsrelevanten Vorkommnissen (Unfall, Diebstahl) können einzelne Sequenzen isoliert und bis zur abschließenden Klärung bzw. für Beweiszwecke länger aufbewahrt werden (ggf. einige Wochen, im Einklang mit gesetzlichen Vorgaben), danach Löschung.

Technische-organisatorische Maßnahmen: Kameras sind so ausgerichtet, dass nur nötige Bereiche erfasst werden (Datensparsamkeit). Deutliche Hinweisschilder auf Videoüberwachung gem. Art. 13 DSGVO. Zugriff auf Livebilder und Aufzeichnungen nur für befugtes Personal mit individuellen Logins; Zugriffsvorgänge werden protokolliert. Videodaten sind verschlüsselt gespeichert; Übertragung z. B. von Außenkameras erfolgt in geschlossenen Netzwerken/VPN. Löschroutinen sind technisch implementiert (First-In-First-Out Überschreibung). Regelmäßige Überprüfung der Kameras (Bildausrichtung, Schutzzonenmaskierung) und der Verarbeitungsprozesse mit dem Datenschutzbeauftragten.

Verfahrensbezeichnung: Elektronisches Einbruch- und Gefahrenmeldesystem (Alarmzentrale mit Tür-/Fenstersensoren, Bewegungsmeldern, Glasbruchsensoren etc., inkl. stillem Alarm).

Zweck der Verarbeitung: Detektion unbefugter Zutritte oder Gefahren in Echtzeit und automatisierte Alarmierung zuständiger Stellen. Schutz von Gebäuden, Sachwerten und Personen durch sofortige Reaktion auf Einbruchsversuche, Überfälle (Paniktaster) oder andere definierte Gefahrensituationen.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) des Unternehmens an der Aufrechterhaltung der Sicherheit und Verhinderung von Straftaten. Soweit Sicherheitsauflagen gesetzlich vorgeschrieben sind (z. B. nach Versicherungsbedingungen oder Arbeitsschutz), ggf. Rechtspflicht nach Art. 6 Abs. 1 lit. c DSGVO.

Betroffene Personengruppen: Mitarbeiter mit Alarmzugang (z. B. Wachdienst, Schichtleiter, die das System scharf/unscharf schalten), ggf. Täter/Unbefugte (deren Handlungen vom System erfasst werden, wobei dies zunächst unbekannte Personen sind), sowie Notfallkontakte (Personen, die im Alarmfall benachrichtigt werden).

Datenarten: Protokolldaten des Alarmsystems: Nutzerkennungen oder PINs von Mitarbeitern, die das System scharf/unscharf schalten, jeweils mit Zeitstempel (zur Nachvollziehbarkeit, wer zuletzt das Gebäude verlassen hat etc.). Alarmereignisdaten: Art des Sensors (z. B. “Bewegungsmelder Lagerhalle Nord”), Uhrzeit des Alarms, verknüpfte Kamera (sofern mit CCTV gekoppelt, siehe dort). Kontaktinformationen der hinterlegten Interventionspersonen (z. B. Name des Sicherheitsverantwortlichen, Telefonnummer des Wachdienstes). Bei Integration mit einer Leitstelle: ggf. Audioaufzeichnungen des Sprechverbindungs-Telefonats mit der Notrufzentrale oder Statusmeldungen bei Fernüberwachung.

Empfänger: Interne Alarmempfänger: Werkschutz/Sicherheitsdienst vor Ort (erhalten Alarmmeldung auf Leitstellen-Software oder Pager). Externer Alarm-Empfänger: Vertrags-Sicherheitsleitstelle oder Wachunternehmen, das Alarme entgegennimmt und bearbeitet (im Auftrag, Vertrag nach Art. 28 DSGVO). In Einbruchsfall ggf. Weitergabe an Polizei/Notruf (Übermittlung der minimal nötigen Daten wie Objektadresse und Alarmart).

Drittlandübermittlung: Nein. Alarmserver und Leitstellen befinden sich national/EU. Keine Cloud-Übertragung der personenbezogenen Alarm-Protokolle in Drittländer.

Speicher- und Löschfristen: Alarmprotokolle (Scharf-/Unscharfschaltungen, Alarmereignisse) werden für einen begrenzten Zeitraum aufbewahrt, typischerweise 6 bis 12 Monate, um im Nachhinein Vorfälle analysieren oder ggf. Fehlalarme nachvollziehen zu können. Kontaktdaten der Notfallpersonen werden laufend aktualisiert; veraltete Kontakte werden entfernt. Audioaufzeichnungen eines Notrufgesprächs werden – falls sie stattfinden – nur zu Protokollzwecken kurzzeitig gespeichert (wenige Tage) und anschließend gelöscht, sofern sie nicht für einen echten Vorfall als Beweis dienen müssen.

Technische-organisatorische Maßnahmen: Zugangsschutz zum Alarmsystem (nur autorisierte Personen besitzen Codes/Transponder, Mehr-Faktor-Authentifizierung für Fernzugriff). Verschlüsselung der Alarmübertragung an externe Leitstelle (z. B. VPN oder GSM-Verschlüsselung). Protokollierung aller Systemzugriffe und Änderungen. Alarmzentrale in gesichertem Raum untergebracht; Sabotagealarme bei Manipulationsversuch. Mitarbeiter mit Alarmrechten werden auf Vertraulichkeit verpflichtet (Codes geheim halten). Regelmäßige Funktionstests und Wartung des Systems, dabei Löschung alter Logs gemäß Löschplan.

Verfahrensbezeichnung: Schlüsselmanagement-System (Verwaltung physischer Schlüssel und elektronischer Zutrittsmedien, z. B. Ausweiskarten; ggf. elektronischer Schlüsselschrank).

Zweck der Verarbeitung: Kontrollierte Ausgabe und Verwaltung von Zugangsberechtigungen. Sicherstellung, dass nur autorisierte Personen Zugang zu definierten Bereichen erhalten, und Nachvollziehbarkeit, wer wann welchen Schlüssel/transponder genutzt hat. Minimierung von Sicherheitsrisiken durch Schlüsselverlust und effiziente Organisation der Schlüsselausgabe (insbesondere relevant bei vielen Dienstleistern und Bereichen).

Rechtsgrundlage: Berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO an der Aufrechterhaltung eines geordneten und sicheren Zutrittskontrollsystems (Schutz von Eigentum und Personen). Bei Beschäftigten kann zusätzlich § 26 BDSG (notwendige Datenverarbeitung für die Zugangskontrolle im Beschäftigungsverhältnis) greifen.

Betroffene Personengruppen: Mitarbeiter mit Zutrittsberechtigung, externe Dienstleister/Gebäudenutzer, denen temporär Schlüssel oder Karten ausgehändigt werden, und Besucher, falls spezielle Besucherausweise verwaltet werden.

Datenarten: Personaldaten der Schlüsselinhaber: Name, Abteilung/Firma, Rollen (z. B. Techniker, Reinigungskraft), Kontaktinfo. Ausgabedaten: welcher Schlüssel/Badge mit welcher Berechtigung wurde an wen ausgegeben, Zeitpunkt der Ausgabe und Rückgabe. Bei elektronischen Systemen: Zutrittsprotokolle (Log der Türöffnungen mit Personenzuordnung und Zeit), Kartennummern, PIN-Codes sofern verwendet. Zudem Verlust-/Sperrvermerke (Kennzeichnung, falls Schlüssel verloren und ersetzt wurde).

Empfänger: Interne Sicherheits-/FM-Abteilung (Verantwortlich für Schlüsselverwaltung, Zugriff auf alle Daten). Externe Wachdienstleister, falls diese das Schlüsselmanagement betreiben (im Auftrag, z. B. Pförtnerdienst – vertraglich gebunden auf Datenschutz). Keine planmäßige Weitergabe an externe Dritte; im Falle von sicherheitsrelevanten Vorfällen könnten Protokolldaten jedoch an Ermittlungsbehörden gehen (z. B. bei Einbruch wird Log der Zutritte ausgewertet und ggf. übergeben).

Drittlandübermittlung: Nein. System und Datenbank liegen auf internen Servern oder beim EU-Cloudanbieter des Schließsystem-Herstellers. Keine Übermittlung in Drittstaaten.

Speicher- und Löschfristen: Historische Zutrittsprotokolle werden nach einem definierten Zeitraum gelöscht oder anonymisiert. Üblich sind Aufbewahrungsfristen von 3 bis 6 Monaten für detaillierte Logs, sofern kein sicherheitsrelevanter Anlass zur längeren Aufbewahrung besteht. Daten zu aktuellen Berechtigungen werden laufend gepflegt (Entfernung unmittelbar nach Ausscheiden eines Mitarbeiters oder Vertragsendes eines Dienstleisters). Altdaten (z. B. ehemalige Mitarbeiter samt Schlüsselhistorie) werden nach spätestens 12 Monaten gelöscht oder archiviert, sofern nicht für interne Ermittlungen noch erforderlich.

Technische-organisatorische Maßnahmen: Zugriffsschutz auf die Schlüsselverwaltungssoftware (Passwort, 2-Faktor). Automatisierte Protokollierung jeder Schlüsselbewegung. Physische Schlüsselschränke sind gesichert (PIN oder Biometrie für Entnahme). Least Privilege Prinzip: Nur wenige Administratoren können Berechtigungen ändern. Schulung des Pförtner-/FM-Personals im datenschutzkonformen Umgang (z. B. keine Aushänge mit Namenslisten der Schlüssel). Regelmäßige Auditierung: Stimmen Soll- und Ist-Bestand überein, unnötige Altberechtigungen löschen etc. Bei elektronischen Zutrittssystemen: Datenübertragung zwischen Tür und Server verschlüsselt; Ausweise sind anonym codiert (keine Klarnamen auf Karte).

Verfahrensbezeichnung: Digitales Parkmanagement-System (z. B. Schrankenanlage mit Kennzeichenerkennung und Parkplatzauslastungssteuerung).

Zweck der Verarbeitung: Automatisierte Verwaltung der Parkplatznutzung auf dem Campus. Dazu zählen Zufahrtskontrolle (nur berechtigte Fahrzeuge auf Firmengelände), Steuerung der Belegung (Anzeige freier Plätze, Reservierung für Besucher) und Durchsetzung von Parkregeln (z. B. Höchstparkdauer überwachen). Ziel ist eine effiziente Nutzung begrenzter Parkflächen und Sicherheit (Unberechtigte erkennen, verwaiste Fahrzeuge identifizieren).

Rechtsgrundlage: Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO an geordnetem Parkraummanagement und Schutz vor Parkmissbrauch. Die Erfassung von Kfz-Kennzeichen zur Zugangskontrolle und Parkdauerüberwachung wurde von Aufsichtsbehörden ausdrücklich als legitimes Interesse anerkannt, sofern gewisse Bedingungen erfüllt sind (Hinweispflichten, Datensparsamkeit, Löschfristen etc.). Eine Einwilligung ist im öffentlichen Werksgelände-Kontext nicht praktikabel; stattdessen wird transparent informiert (Schrankenhinweis).

Betroffene Personengruppen: Kraftfahrzeugführer auf dem Gelände – insbesondere Mitarbeiter mit Parkberechtigung, Besucher mit Fahrzeug sowie externe Lieferanten. Auch Fahrzeughalter werden durch Kennzeichenerfassung personenbezogen identifizierbar (Kennzeichen gilt als personenbezogenes Datum des Halters).

Datenarten: Fahrzeugkennzeichen bei Ein- und Ausfahrt (per Kennzeichenkamera erfasst) samt Datum/Uhrzeit. Aus diesen Grunddaten errechnet das System Parkdauer und prüft diese gegen erlaubte Zeiten. Ggf. Foto des Fahrzeugs (Übersichtsbild, auf dem Kennzeichen und Fahrzeugtyp erkennbar sind). Parkberechtigungs-Status des Kennzeichens (z. B. hinterlegt als Mitarbeiter, Besucher mit Voranmeldung oder unberechtigt). Bei Reservierungssystem: Reservierungsdaten (wer hat wann welchen Platz gebucht – Name/Abteilung bei Mitarbeitern, Besuchername durch Einlader hinterlegt). Falls Zahlungsfunktion (für Gästeparkplätze): Zahlungsdaten (Ticket-ID, Zahlungseingang, Kosten).

Empfänger: Intern: Facility Management/Parkplatzverwaltung erhält Zugriff auf Parkplatz-Belegungsdaten und Berechtigungslisten. Evtl. Werksicherheit, falls interveniert werden muss (z. B. unberechtigtes Fahrzeug identifizieren). Extern: Dienstleister für Parkraumüberwachung, sofern beauftragt (z. B. externer Betreiber für Besucherparkhaus – im Auftrag oder als eigener Verantwortlicher, je nach Konstrukt). Im Fall von Verstößen (z. B. Parkzeit überschritten und Vertragsstrafe vorgesehen) ggf. externe Inkassodienstleister oder Ordnungsamt/Polizei (wenn unbefugt abgestellte Fahrzeuge umgesetzt werden müssen) – in diesem Fall wird aber i. d. R. das Unternehmen selbst tätig als Verantwortlicher gegenüber dem Halter.

Drittlandübermittlung: Nein. Kennzeichendaten und Bilder werden lokal bzw. auf EU-Servern verarbeitet. Eine Cloud-Verarbeitung außerhalb der EU findet nicht statt.

Speicher- und Löschfristen: Sehr kurze Speicherfristen im Normalbetrieb: Wenn die erlaubte Parkdauer nicht überschritten wird, werden die erfassten Ein-/Ausfahrtsdaten unverzüglich bzw. spätestens am Tagesende gelöscht. Es findet idealerweise nur ein temporärer Abgleich statt (kein Parkverstoß -> kein dauerhaftes Speichern). Lediglich bei Verstößen (z. B. Überziehung der Parkzeit, fehlende Berechtigung) werden die relevanten Daten bis zur Klärung des Vorgangs aufbewahrt – z. B. bis eine Vertragsstrafe beglichen ist oder das Fahrzeug entfernt wurde. Danach werden auch diese Daten gelöscht. Reservierungslogs ohne Vorfall werden z. B. nach 90 Tagen anonymisiert (für Auslastungsstatistik).

Technische-organisatorische Maßnahmen: Datensparsame Erfassung: Kameras sind so eingestellt, dass nur das Kennzeichenfeld und das Fahrzeug erfasst werden, ohne Insassen oder Gesichter (Bereich außerhalb Kennzeichen maskiert). Klare Beschilderung vor Einfahrt über die Kennzeichendatennutzung. Zugriff auf die Kennzeichendatenbank nur für befugte Administratoren, mit Protokollierung der Zugriffe. Datenbank ist verschlüsselt gespeichert. Für Zahlungsabwicklung PCI-DSS-konforme Prozesse (sofern anwendbar). Automatische Löschung durch System konfiguriert gemäß obiger Fristen. Regelmäßige Überprüfung durch Datenschutzbeauftragten, ob alle Vorgaben (z. B. BayLDA-Bedingungen) eingehalten werden.

Verfahrensbezeichnung: System zur Verwaltung von Elektrofahrzeug-Ladestationen (Firmenparkplatz-Ladesäulen inklusive Nutzeridentifikation und Abrechnungsfunktion).

Zweck der Verarbeitung: Bereitstellung von Ladeinfrastruktur für E-Fahrzeuge der Mitarbeiter und Besucher und Abrechnung/Verteilung der Stromkosten. Das System ermöglicht die Nutzeridentifikation an der Ladesäule, die Freischaltung des Ladevorgangs und ggf. die Zuordnung der geladenen kWh zu einem Nutzerkonto (für Abrechnung oder interne Statistik). Zudem werden Ladedaten erfasst, um Nutzungsauswertungen durchzuführen, Spitzenlasten zu managen und die Energieversorgung zu optimieren.

Rechtsgrundlage: Soweit Ladevorgänge entgeltlich abgerechnet werden oder vertraglich als Benefit vereinbart sind: Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO (Nutzungsvertrag oder Arbeitsvertrag im Teil "Laden als Benefit"). Bei kostenfreiem Laden für Mitarbeiter stützt sich die Datenverarbeitung auf berechtigte Interessen des Arbeitgebers (Art. 6 Abs. 1 lit. f) an einer fairen und sicheren Steuerung der Ressource Strom sowie an der Verhinderung von Missbrauch (z. B. Fremdladen). Gleichzeitig besteht ein Interesse der Mitarbeiter am Zugang zur Ladeinfrastruktur – diese Interessen sind in Balance. (In Deutschland bestehen zudem steuerliche Dokumentationspflichten bei kostenloser Stromabgabe, was ebenfalls eine Datenverarbeitung nötig machen kann – Art. 6 Abs. 1 lit. c DSGVO.) Einwilligung wird in der Regel durch die konkludente Nutzung der Ladesäule nicht separat eingeholt, da ein berechtigter Zweck vorliegt; jedoch werden Nutzer informiert.

Betroffene Personengruppen: E-Fahrzeugnutzer auf dem Gelände – primär Mitarbeiter mit E-Autos, ggf. Besucher, sofern Gäste-Ladesäulen angeboten werden. Ebenso Fahrer von Firmen-E-Fahrzeugen, falls diese geladen werden – hier können auch Mitarbeiter gemeint sein, allerdings unterliegen dienstliche Fahrten dem selben Datenschutz.

Datenarten: Identifikationsdaten an der Ladesäule: z. B. RFID-Kartennummer (Mitarbeiterladekarte) oder App-User-ID, um den Ladevorgang einem Nutzer zuzuordnen. Fahrzeugkennung: oft das Kfz-Kennzeichen oder die Fahrzeug-ID, falls Plug&Charge verwendet wird (ISO 15118 – Zertifikat im Auto). Lade-Transaktionsdaten: Startzeit, Endzeit des Ladevorgangs, geladene Energiemenge (kWh), Säulen-ID/Standort. Nutzerkonto-Daten: Name des Nutzers, Abteilung oder Kundennummer, sofern hinterlegt, sowie ggf. Abrechnungsdaten (Preis, Zahlungsmethode bei Kostenpflicht). Daraus können sich indirekt Bewegungsprofile ergeben – z. B. regelmäßiges Laden zu bestimmten Zeiten kann Anwesenheitszeiten des Mitarbeiters offenbaren.

Empfänger: Intern: Energie-/FM-Abteilung für Auswertung der Ladedaten (z. B. Lastmanagement) und ggf. die Buchhaltung bei entgeltlichen Vorgängen (für Verrechnung mit Mitarbeiter oder Dienstwagenabrechnung). Extern: Betreiber der Ladesoftware (SaaS-Anbieter, z. B. ein E-Mobility-Dienstleister wie Virta – als Auftragsverarbeiter mit Zugriff auf personenbezogene Ladedaten). Zahlungsdienstleister, falls z. B. Kreditkartenzahlung für Gäste angeboten wird (dann erhalten diese die Transaktionsdaten). Keine routinemäßige Meldung an Dritte außer ggf. Behörden bei missbräuchlicher Nutzung (z. B. unbefugtes Laden durch Fremde – dann Kennzeichenweitergabe an Polizei falls nötig).

Drittlandübermittlung: In der Regel nein. Die Daten werden auf Servern in der EU verarbeitet. Sollte ein externer Cloud-Service doch in einem Drittland hosten, werden entsprechende Schutzmaßnahmen eingesetzt (z. B. ISO 27001 zertifizierter Dienst und EU-Standardklauseln; Virta selbst z. B. speichert Kundendaten in der EU).

Speicher- und Löschfristen: Ladedaten werden zumindest solange gespeichert, wie es für Abrechnung und Nachweiszwecke nötig ist. Bei Abrechnung über Gehaltsabrechnung oder Rechnung: Aufbewahrung nach Handels- und Steuerrecht 6–10 Jahre (abrechnungsrelevante Daten). Nicht abrechnungsrelevante Nutzungsdaten (z. B. wer hat wann geladen, wenn kostenlos) werden nach z. B. 12 Monaten gelöscht oder anonymisiert, nachdem statistische Auswertungen erstellt sind. Identifikationsdaten (Nutzerkonten) bleiben aktiv, solange die Person berechtigt ist; nach Austritt eines Mitarbeiters wird das Konto umgehend gelöscht; Transaktionshistorie wird wie oben behandelt. Bewegungsprofile werden nicht aktiv erstellt; etwaige implizite Profile aus den Daten werden nicht länger als notwendig gehalten.

Technische-organisatorische Maßnahmen: Zugang zu Nutzerdaten nur für Administratoren des Ladesystems; die meisten Auswertungen erfolgen aggregiert (z. B. Gesamtkonsumtion pro Monat ohne Namensnennung). Authentifizierung an der Säule mittels sicheren Verfahrens (verschlüsselte RFID/ISO 15118-PKI), um Missbrauch und Abgreifen von Daten zu verhindern. Verschlüsselung aller personenbezogenen Daten in der Datenbank und bei Übertragung (TLS). Protokollierung von Zugriffen auf die sensiblen Daten. Trennung von Identität und Ladedaten wo möglich (z. B. interne IDs statt Klarname in der Ladestation selbst). Die Erstellung von detaillierten Bewegungsprofilen wird technisch unterbunden bzw. es wird nur auf Tagesbasis aggregiert ausgewertet. Nutzer werden über die Datenverarbeitung informiert (Datenschutzhinweise z. B. im Intranet oder an der Ladesäule via QR-Code).

Verfahrensbezeichnung: Energiemonitoring/CO₂-Tracking-System (digitales System zur Erfassung von Verbrauchsdaten und CO₂-Emissionen des Standorts).

Zweck der Verarbeitung: Überwachung und Optimierung des Energieverbrauchs sowie Nachverfolgung des CO₂-Fußabdrucks des Betriebs. Erhebung aller relevanten Betriebsdaten (Strom, Wärme, Wasser) zur Effizienzsteigerung und als Basis für Nachhaltigkeitsberichte (ESG). Das System dient auch dem Einhalt von Umweltauflagen und internen Klimaschutzzielen, indem es Transparenz über Emissionen schafft. Zudem können Echtzeit-Alarmierungen bei überhöhten Verbrauchswerten erfolgen, um Energieverschwendung zu vermeiden.

Rechtsgrundlage: Bei verpflichtenden Umweltreportings (z. B. im Rahmen der gesetzlichen CSR/CSRD-Berichtspflichten) Erfüllung einer rechtlichen Verpflichtung gem. Art. 6 Abs. 1 lit. c DSGVO. Ansonsten berechtigtes Interesse (Art. 6 Abs. 1 lit. f) des Unternehmens an effizientem Ressourcenmanagement und Nachhaltigkeitssteuerung. Die Erfassung rein technischer Verbrauchsdaten ist meist nicht personenbezogen; soweit jedoch personenbeziehbare Informationen einfließen (z. B. Fahrprofile, wenn Mitarbeiterpendeln einbezogen wird), werden diese auf freiwilliger Basis (Einwilligung, Art. 6 Abs. 1 lit. a, z. B. bei Mitarbeiter-Umfragen zum Mobilitätsverhalten) oder als Bestandteil des Arbeitsverhältnisses (§ 26 BDSG, betriebliche Umweltprogramme) erhoben.

Betroffene Personengruppen: Primär keine individuellen Betroffenen für die Kerndaten, da Fokus auf Anlagen und Verbräuche. Allerdings indirekt Mitarbeiter – etwa wenn Daten über Nutzerverhalten in die Auswertung fließen (z. B. typische Büro-Anwesenheitszeiten beeinflussen Heizprofil) oder wenn Mitarbeiter selbst Daten liefern (z. B. privater Pendelweg für CO₂-Bilanz). Ebenso Dienstleister/Nachunternehmer, falls deren Verbrauchsdaten erfasst werden (z. B. Kontraktoren-Fuhrparkemissionen).

Datenarten: Verbrauchs- und Betriebsdaten: Stromlastgänge, Gasverbrauch, Wasserverbrauch, Heizwärme, Kühlenergie – gemessen über Zähler. Umweltparameter: ggf. lokale Emissionsfaktoren (CO₂ pro kWh Strom etc.), Wetterdaten. Aggregierte Gebäudedaten: belegungsabhängige Kennzahlen (kWh pro Mitarbeiter oder pro m²). Wenn im System integriert: Mobilitätsdaten (z. B. jährlich erhobene km der Dienstreisen, Pendeldistanzen der Mitarbeiter – oft aber anonymisiert oder statistisch). Kennzahlen für Berichte: z. B. CO₂-Ausstoß gesamt, pro Scope (1-3) und Parameter. Falls Detaildaten erhoben: Gerätebezogene Verbrauchsdaten (Maschinen-Laufzeiten). Personendaten nur randständig: z. B. Benutzerdaten für Systemlogin (Name des energieverantwortlichen Mitarbeiters) und evtl. Kontaktinfos für Alarmmeldungen (Energieoffizier bekommt E-Mail bei Überschreitung).

Empfänger: Intern: Energiemanagement, Nachhaltigkeitsbeauftragte und Management erhalten die Auswertungen. Berichtszahlen fließen in Geschäftsberichte und ggf. an die Öffentlichkeit/Investoren (aber dort nur in aggregierter Form, ohne Personenbezug). Extern: Möglicher Cloudanbieter der Monitoring-Software (als Auftragsverarbeiter). Gegebenenfalls Zertifizierungsstellen oder Auditoren, die zur Prüfung der Emissionsdaten Zugriff erhalten (z. B. ISO 50001 Audit, die Prüfer könnten stichprobenhaft Rohdaten einsehen – erfolgt unter Vertraulichkeit). Falls gesetzlich gefordert, Behördenmeldungen (z. B. Emissionshandelsstelle) – jedoch sind diese Daten i. d. R. nicht personalisiert.

Drittlandübermittlung: Nicht vorgesehen. Die Emissions- und Verbrauchsdaten werden innerhalb EU in den Systemen gehalten. Sollte ein globales Sustainability-Tool genutzt werden (US-Anbieter), werden die Daten anonymisiert exportiert oder vertraglich abgesichert (SCCs). In der Regel verbleiben Daten aber im EU-Rechenzentrum des Softwareanbieters.

Speicher- und Löschfristen: Langfristige Archivierung möglich, da Trends über Jahre verfolgt werden (z. B. Energieverbräuche über 5–10 Jahre für Nachhaltigkeitsziele). Personenbezügliche Einzelinformationen (z. B. Befragungsdaten der Mitarbeitermobilität) werden nach Auswertung und Aggregation sofort gelöscht oder anonymisiert. Verbrauchslogs von Zählern könnten z. B. auf 3 Jahre Tagesauflösung aufgehoben werden, dann nur Monatswerte behalten. Rohdaten (Minutenwerte etc.) werden zeitnah verdichtet. Berichtsrelevante Endwerte werden im Rahmen der gesetzlichen Aufbewahrungspflichten (Geschäftsunterlagen) 10 Jahre aufbewahrt.

Technische-organisatorische Maßnahmen: Trennung von personenbezogenen und technischen Daten: Soweit möglich werden personenbezogene Eingaben (z. B. Pendlerumfrage) extern ausgewertet und nur in anonymisierter Form ins System eingespeist. Zugang zum System nur für berechtigte Personen (Passwortschutz, 2-Faktor für Administratoren). Verschlüsselung der Datenübertragungen (z. B. von IoT-Sensoren per VPN/SSL). Regelmäßige Plausibilitätschecks, ob ungewollt Personendaten in den Datenstrom geraten (z. B. prüfen, dass keine personenbezogenen Inhalte in Bemerkungsfeldern hinterlegt werden). Datenschutz-Folgenabschätzung nicht erforderlich, da primär keine Risiken für Rechte von Personen – dennoch wird das System im Verzeichnis geführt und datenschutzkonform eingestellt (z. B. Benachrichtigung an Mitarbeiter, wenn personenbezogene Daten wie Pendelwege erhoben werden).

Verfahrensbezeichnung: Intelligentes Reinigungs- und Hygienemanagement-System (inkl. Sensorik und ggf. Reinigungsroboter).

Zweck der Verarbeitung: Bedarfsorientierte Planung und Steuerung von Reinigungsleistungen im Gebäude. Durch IoT-Sensoren und KI werden Nutzungsmuster und Verschmutzungsgrade in Echtzeit erfasst, um Reinigungseinsätze effizient zu planen. Ziel ist höhere Sauberkeit bei optimiertem Ressourceneinsatz: Räume mit viel Personenverkehr werden bei Bedarf öfter gereinigt, während wenig genutzte Bereiche seltener gereinigt werden (anstatt starrer Pläne). Zudem dient das System der Qualitätssicherung (Überwachung, ob Reinigungsaufgaben erledigt wurden) und der Nachweisführung gegenüber Auftraggebern (Sauberkeitsstandards).

Rechtsgrundlage: Berechtigtes Interesse des Unternehmens (Art. 6 Abs. 1 lit. f DSGVO) an einer sauberen, hygienischen Arbeitsumgebung sowie einer effizienten Organisation der Reinigungstätigkeiten. Dieses Interesse schließt auch Gesundheitsaspekte (z. B. Hygiene in Pandemiezeiten) und Werterhalt der Immobilie ein. Soweit Beschäftigtendaten (z. B. Leistung der Reinigungskräfte) verarbeitet werden, findet § 26 BDSG Anwendung – die Verarbeitung ist für die Durchführung des Beschäftigungsverhältnisses erforderlich (Arbeitssteuerung und -kontrolle in angemessenem Rahmen). Eine Einwilligung der Mitarbeiter ist hier nicht vorgesehen, da die Verarbeitung auf Arbeitgeberinteressen basiert; jedoch werden alle Maßnahmen mitbestimmt (Betriebsrat, soweit vorhanden).

Betroffene Personengruppen: Reinigungspersonal (eigene Angestellte oder Dienstleister-Mitarbeiter), deren Arbeitseinsatz erfasst und gesteuert wird. Alle Gebäudenutzer (Mitarbeiter, Besucher), soweit ihr Nutzungsverhalten indirekt erfasst wird – jedoch ohne direkte Identifizierung (das System zählt z. B. Personenströme anonym). In Ausnahmefällen können dennoch Personen betroffen sein, etwa wenn ein Raumbelegungsplan mit konkreten Verantwortlichen verknüpft wird oder wenn Beschwerden/Feedback mit Name gemeldet werden.

Datenarten: Sensor- und Nutzungsdaten: z. B. Zählung von Personenbewegungen (via Bewegungsmelder, IoT-Personenzähler), Nutzungsdauer von Räumen (Belegungsstatus, z. B. Meetingraum war 8h belegt), Umweltdaten wie Luftqualität, Füllstände von Abfallbehältern oder Seifenspendern. Diese Daten sind primär nicht personalisiert, sondern liefern den Reinigungsbedarf. Auftragsdaten: Erstellte Reinigungsaufträge (Zeit, Ort, Art der Reinigung). Mitarbeiterleistungsdaten: z. B. welche Reinigungskraft welchen Auftrag übernommen hat, Start-/Endzeit der Durchführung, ggf. GPS-Track der Reinigungsroboter oder manuelle Check-ins via App. Qualitätsdaten: Feedback über Reinigungsqualität, ggf. mit Hinweis auf Verantwortliche. Falls Reinigungsroboter mit Kameras eingesetzt werden: temporäre Bilddaten der Umgebung (können personenabbildend sein, z. B. wenn jemand im Gang läuft – diese werden aber nur zur Hinderniserkennung genutzt und typischerweise nicht gespeichert).

Empfänger: Intern: Objektleitung/Facility Manager, die die Reinigungsdienstleistung steuern, bekommen Auswertungen (z. B. welche Bereiche wurden gereinigt/nicht gereinigt). Externer Reinigungsdienstleister, falls die Reinigung outgesourct ist: Dieser hat Zugriff auf das System bzw. erhält automatisierte Einsatzpläne – die Mitarbeiterdaten der Reinigungskräfte werden dann dort verwaltet (Auftragsverarbeiter in Bezug auf Facility-Kunde). Keine externen Dritten erhalten individuelle Daten; allenfalls werden aggregierte Kennzahlen (z. B. Reinigungsquote, Zufriedenheitslevel) im Rahmen von Berichten an den Auftraggeber kommuniziert.

Drittlandübermittlung: Nicht vorgesehen. Systemserver in EU (z. B. IoT-Plattform gehostet in Deutschland). Falls ausnahmsweise ein Cloud-Dienst aus Drittland zum Einsatz kommt, werden Standardvertragsklauseln abgeschlossen. Die Sensoren kommunizieren lokal oder über EU-basierte IoT-Hubs.

Speicher- und Löschfristen: Sensordaten (Rohdaten wie einzelne Zählereignisse) werden kurzfristig gehalten und nach wenigen Tagen überschrieben oder aggregiert, da nur Trends wichtig sind. Reinigungsauftragsdaten werden für eine mittlere Frist gespeichert (z. B. 1 Jahr), um Leistungsnachweise führen zu können und für eventuelle Reklamationen gerüstet zu sein. Mitarbeiter-Leistungsdaten (Einzelzeiten pro Reinigungskraft) werden nach Auswertung (z. B. monatsweise zur Abrechnung/Steuerung) gelöscht oder in anonymisierte Statistiken überführt. Grundsätzlich gilt: Personenbeziehbare Daten werden nicht länger aufbewahrt als nötig für Planung und Nachweis. Etwaige Bilddaten von Robotern werden gar nicht dauerhaft gespeichert, sondern on-the-fly ausgewertet und verworfen.

Technische-organisatorische Maßnahmen: Anonymisierung/Pseudonymisierung: Wo möglich, arbeiten Sensoren mit anonymen IDs oder aggregierten Counts. Persönliche Identifikationen (z. B. Reinigungskraft via App) erfolgen mit Benutzerkonto, aber Kundenseite sieht primär nur die erledigte Aufgabe, nicht permanente Überwachung. Zugriffskontrolle: Nur Administratoren können Rohdaten der Personalsensoren einsehen; Reinigungskräfte sehen nur ihre Aufgaben. Geräte- und Netzsicherheit: IoT-Geräte senden über abgesicherte Protokolle; Roboter haben Edge-Processing, sodass Bilddaten nicht ins Netzwerk gelangen. Schulung der Beschäftigten: Reinigungspersonal wird über den Zweck der Datenerfassung aufgeklärt (Transparenz) und es wird sichergestellt, dass keine unzulässige Verhaltenskontrolle stattfindet (kein minutenexaktes Tracking zur Leistungsbewertung ohne Anlass). Vertragssteuerung mit Dienstleistern: Im Dienstleistungsvertrag ist Datenschutz geregelt; der Dienstleister stellt sicher, dass seine Mitarbeiter einwilligen oder informiert sind, falls ihre Bewegungen erfasst werden. Regelmäßig wird das System datenschutzrechtlich überprüft, insbesondere wenn neue Sensorarten (z. B. Kameras) hinzugefügt werden.

Verfahrensbezeichnung: Einsatz autonomer Serviceroboter im FM (z. B. Sicherheitsroboter, Lieferroboter, Inspektionsdrohnen).

Zweck der Verarbeitung: Automatisierung von Facility-Services durch robotische Systeme. Beispiele: ein Sicherheits-Patrouillenroboter überwacht nachts autonom Gelände und Hallen, ein Transportroboter bringt Post oder Material innerhalb des Werks von A nach B, oder eine Inspektionsdrohne kontrolliert schwer zugängliche Anlagen (Dach, Rohrleitungen) visuell. Diese Roboter erfassen Daten, um ihre Aufgaben zu erfüllen – insbesondere Sensor- und Bilddaten zur Navigation, Objekterkennung und Dokumentation. Ziel ist die Erhöhung der Effizienz und Sicherheit (Roboter können monotone oder gefährliche Aufgaben übernehmen) sowie lückenlosere Überwachung (24/7-Betrieb).

Rechtsgrundlage: Bei Sicherheitsrobotern ähnlich wie Videoüberwachung: berechtigtes Interesse gem. Art. 6 Abs.