Besuchermanagement ist eines der letzten analogen Prozesse in deutschen Unternehmen — und gleichzeitig eines der am häufigsten übersehenen Datenschutzrisiken. Papierbasierte Besucherbücher, handschriftliche Einträge und manuelle Koordination am Empfang verstoßen in vielen Fällen gegen die DSGVO. Dieser Artikel zeigt, was Unternehmen konkret beachten müssen.
Warum Besuchermanagement ein DSGVO-Thema ist
Sobald ein Besucher seinen Namen, sein Unternehmen und die Besuchszeit in eine Liste einträgt, werden personenbezogene Daten verarbeitet. Das löst DSGVO-Pflichten aus — unabhängig davon ob die Liste aus Papier oder digital ist.
Die häufigsten Verstöße in der Praxis:
- Besucherlisten liegen offen aus und sind für nachfolgende Besucher einsehbar
- Daten werden nicht fristgerecht gelöscht
- Es gibt keinen Auftragsverarbeitungsvertrag mit dem Software-Anbieter
- Besucher werden nicht über die Datenverarbeitung informiert
Die vier DSGVO-Pflichten im Überblick
Auftragsverarbeitungsvertrag (AVV): Wird ein externer Dienstleister für die Besuchererfassung eingesetzt, ist ein AVV gemäß Art. 28 DSGVO Pflicht.
Datensparsamkeit: Es dürfen nur die Daten erhoben werden, die für den Besuchszweck notwendig sind — Name, Unternehmen, Uhrzeit, Gastgeber.
Transparenz: Besucher müssen beim Check-in aktiv über die Datenverarbeitung informiert werden.
Datenlöschung: Besuchsdaten müssen nach einer definierten Frist gelöscht werden. Automatische Löschfristen sind der einzig praktikable Weg.
Was das für die Softwareauswahl bedeutet
Eine DSGVO-konforme Besuchermanagement-Software muss folgende Anforderungen erfüllen:
- Datenspeicherung ausschließlich in Deutschland oder der EU — kein US-Cloud-Anbieter
- Standardmäßiger Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO
- Automatische Datenlöschung nach konfigurierbarer Frist
- Transparente Information des Besuchers beim Check-in
- Einschränkbare Auswertungsebene für Betriebsratsvereinbarungen
Besuchermanagement und der Betriebsrat
In Unternehmen mit Betriebsrat unterliegt die Einführung von Besuchermanagement-Software der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Der Prozess muss strukturiert sein. Betriebsräte fordern typischerweise, dass keine individuelle Auswertung von Besuchsdaten auf Mitarbeitendenebene stattfindet und dass Zugriffsrechte klar definiert sind.
Fazit
DSGVO-konformes Besuchermanagement ist kein aufwendiges Projekt — es ist eine Frage der richtigen Software und des richtigen Prozesses. Entscheidend sind: Datenspeicherung in Deutschland, automatische Löschfristen, ein standardmäßiger AVV und eine betriebsratsfähige Konfiguration.
Weiterführende Artikel
Häufig gestellte Fragen
In den meisten Fällen nein. Papierbasierte Besucherbücher erfüllen die Anforderungen an Datensparsamkeit, Datenlöschung und Transparenz in der Praxis kaum zuverlässig. Personenbezogene Daten liegen offen einsehbar aus und werden selten fristgerecht gelöscht — beides verstößt gegen die DSGVO.
Ja, sobald ein externer Dienstleister personenbezogene Daten verarbeitet, ist ein AVV gemäß Art. 28 DSGVO Pflicht. Das gilt auch für Software-as-a-Service-Lösungen. Seatti stellt diesen standardmäßig bereit — ohne Nachverhandlung.
Es gibt keine gesetzlich festgelegte Frist — die Speicherdauer muss dem Zweck angemessen sein. In der Praxis sind 30 bis 90 Tage nach dem Besuch üblich. Seatti ermöglicht konfigurierbare Löschfristen mit automatischer Ausführung.
Ja, wenn das System potenziell Verhalten oder Leistung von Mitarbeitenden erfassen kann, greift § 87 Abs. 1 Nr. 6 BetrVG. Seatti ist so konfigurierbar, dass keine individuelle Auswertung auf Mitarbeitendenebene stattfindet — eine Betriebsvereinbarung lässt sich damit problemlos abschließen.
Nach dem Prinzip der Datensparsamkeit nur die für den Besuchszweck notwendigen Daten: Name, Unternehmen, Uhrzeit und Gastgeber. Keine darüber hinausgehenden Informationen. Seatti erhebt ausschließlich diese Pflichtfelder.
Ja. Die DSGVO verlangt eine aktive Information beim Check-in — wer die Daten verarbeitet, zu welchem Zweck und wie lange sie gespeichert werden. Seatti stellt diese Transparenzinformation standardmäßig beim digitalen Check-in-Prozess bereit.
