Besuchermanagement ist eines der letzten analogen Prozesse in deutschen Unternehmen — und gleichzeitig eines der am häufigsten übersehenen Datenschutzrisiken. Papierbasierte Besucherbücher, handschriftliche Einträge und manuelle Koordination am Empfang verstoßen in vielen Fällen gegen die DSGVO. Dieser Artikel zeigt, was Unternehmen konkret beachten müssen.
Warum Besuchermanagement ein DSGVO-Thema ist
Sobald ein Besucher seinen Namen, sein Unternehmen und die Besuchszeit in eine Liste einträgt, werden personenbezogene Daten verarbeitet. Das löst DSGVO-Pflichten aus — unabhängig davon ob die Liste aus Papier oder digital ist.
Die häufigsten Verstöße in der Praxis:
- Besucherlisten liegen offen aus und sind für nachfolgende Besucher einsehbar
- Daten werden nicht fristgerecht gelöscht
- Es gibt keinen Auftragsverarbeitungsvertrag mit dem Software-Anbieter
- Besucher werden nicht über die Datenverarbeitung informiert
Die vier DSGVO-Pflichten im Überblick
Auftragsverarbeitungsvertrag (AVV): Wird ein externer Dienstleister für die Besuchererfassung eingesetzt, ist ein AVV gemäß Art. 28 DSGVO Pflicht.
Datensparsamkeit: Es dürfen nur die Daten erhoben werden, die für den Besuchszweck notwendig sind — Name, Unternehmen, Uhrzeit, Gastgeber.
Transparenz: Besucher müssen beim Check-in aktiv über die Datenverarbeitung informiert werden.
Datenlöschung: Besuchsdaten müssen nach einer definierten Frist gelöscht werden. Automatische Löschfristen sind der einzig praktikable Weg.
Was das für die Softwareauswahl bedeutet
Eine DSGVO-konforme Besuchermanagement-Software muss folgende Anforderungen erfüllen:
- Datenspeicherung ausschließlich in Deutschland oder der EU — kein US-Cloud-Anbieter
- Standardmäßiger Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO
- Automatische Datenlöschung nach konfigurierbarer Frist
- Transparente Information des Besuchers beim Check-in
- Einschränkbare Auswertungsebene für Betriebsratsvereinbarungen
Besuchermanagement und der Betriebsrat
In Unternehmen mit Betriebsrat unterliegt die Einführung von Besuchermanagement-Software der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Der Prozess muss strukturiert sein. Betriebsräte fordern typischerweise, dass keine individuelle Auswertung von Besuchsdaten auf Mitarbeitendenebene stattfindet und dass Zugriffsrechte klar definiert sind.
Fazit
DSGVO-konformes Besuchermanagement ist kein aufwendiges Projekt — es ist eine Frage der richtigen Software und des richtigen Prozesses. Entscheidend sind: Datenspeicherung in Deutschland, automatische Löschfristen, ein standardmäßiger AVV und eine betriebsratsfähige Konfiguration.
