DSGVO im Facility Management: Checkliste für Gebäudebetreiber

Warum DSGVO im Facility Management besonders relevant ist

Facility Management ist datenintensiver als viele denken. Zutrittskontrollsysteme protokollieren, wer wann welchen Bereich betreten hat. Videoüberwachung erfasst Personen in und um Gebäude. Besuchermanagement-Systeme speichern Namen, Unternehmen und Kontaktdaten. Störmeldesysteme können Rückschlüsse auf das Nutzerverhalten einzelner Mieter oder Mitarbeiter zulassen. All diese Daten unterliegen der DSGVO – und die Verantwortung liegt beim Gebäudebetreiber.

Checkliste: DSGVO-Compliance im FM

1. Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)

Erstellen Sie ein vollständiges Verzeichnis aller Verarbeitungstätigkeiten im Facility Management. Dazu gehören:

• Zutrittskontrollsysteme (Kartenleser, Biometrie, PIN-Systeme)
• Videoüberwachungsanlagen
• Besuchermanagement und Empfangssysteme
• Störmelde- und Ticketsysteme
• Schließanlagenverwaltung
• Parkraummanagement
• Gebäudeautomation mit Raumbelegungserkennung

Dokumentieren Sie für jede Verarbeitung den Zweck, die Rechtsgrundlage, die Kategorien betroffener Personen, Löschfristen und etwaige Auftragsverarbeiter.

2. Videoüberwachung (Art. 6 Abs. 1 lit. f DSGVO)

Videoüberwachung ist einer der häufigsten DSGVO-Streitpunkte im FM. Beachten Sie:

• Berechtigtes Interesse: Die Überwachung muss einem konkreten, dokumentierten Zweck dienen (z.B. Einbruchschutz, Vandalismuspräventionl)
• Verhältnismäßigkeit: Kameras dürfen nur Bereiche erfassen, in denen die Überwachung erforderlich ist – keine Pausenräume, keine Toiletten
• Beschilderung: Deutlich sichtbare Hinweisschilder nach Art. 13 DSGVO mit Angabe des Verantwortlichen und des Zwecks
• Speicherdauer: Aufzeichnungen sind in der Regel nach 48 bis 72 Stunden zu löschen, sofern kein Vorfall dokumentiert ist

3. Zutrittskontrolle und Zeiterfassung

Zutrittskontrollsysteme erzeugen Bewegungsprofile – das ist datenschutzrechtlich sensibel. Stellen Sie sicher, dass Zutrittsdaten nur für den definierten Sicherheitszweck verwendet werden und nicht zur verdeckten Leistungskontrolle missbraucht werden. Die Speicherdauer sollte auf das notwendige Minimum begrenzt sein. Bei biometrischen Systemen gelten verschärfte Anforderungen nach Art. 9 DSGVO – hier ist in der Regel eine ausdrückliche Einwilligung erforderlich.

4. Auftragsverarbeitung (Art. 28 DSGVO)

Facility-Management-Dienstleister, die personenbezogene Daten im Auftrag verarbeiten, benötigen einen Auftragsverarbeitungsvertrag (AVV). Das betrifft typischerweise:

• Externe Empfangs- und Sicherheitsdienste
• Cloud-basierte FM-Software-Anbieter
• Externe Wartungsdienstleister mit Zugang zu Gebäudesystemen
• Reinigungsdienstleister mit Zugang zu Zutrittskontrollsystemen

5. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Schützen Sie die FM-Daten durch angemessene technische und organisatorische Maßnahmen: verschlüsselte Datenübertragung, rollenbasierte Zugriffsrechte, regelmäßige Sicherheitsupdates der Gebäudetechnik und Schulung der Mitarbeiter. Besonders bei vernetzter Gebäudetechnik (IoT, Smart Building) ist die IT-Sicherheit der Systeme ein DSGVO-relevanter Faktor.

Datenschutz als Qualitätsmerkmal

DSGVO-Compliance ist im Facility Management kein bloßer Formalismus, sondern ein Qualitätsmerkmal. Mandanten und Mieter erwarten einen verantwortungsvollen Umgang mit ihren Daten. Eine FM-Software mit integriertem Berechtigungskonzept, automatischen Löschroutinen und transparenter Protokollierung erleichtert die Einhaltung der DSGVO im täglichen Betrieb erheblich.