DSGVO-Konformitätserklärung

In technischen Facility‑Management‑Anwendungen fallen vielfältige Daten an. Für eine DSGVO‑Konformitätserklärung müssen Bieter erläutern, welche Datenkategorien erfasst, gespeichert und verarbeitet werden, und wie die rechtlichen Grundlagen aussehen. Der folgende Abschnitt gibt einen Überblick über typische Datenarten:

Moderne Gebäude verwenden intelligente Messsysteme zur Erfassung von Strom-, Wasser- und Wärmeverbrauch. Diese Zählerstände können über Schnittstellen der Gebäudeautomation erfasst und den Nutzern zugeordnet werden, beispielsweise in Form von Mietnebenkostenabrechnungen oder Lastprofilen. Werden die Verbrauchsdaten einzelner Mieter oder Beschäftigter verarbeitet, handelt es sich um personenbezogene Daten. Folglich ist eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich. Eine solche Grundlage kann der Vertrag, eine gesetzliche Verpflichtung (z. B. für Abrechnungen) oder die Wahrung berechtigter Interessen darstellen. Datensparsamkeit und Zweckbindung sind zwingend zu beachten, sodass Energiedaten nur für die Abrechnung, Monitoring und Optimierung verwendet werden dürfen. Es ist sicherzustellen, dass keine unzulässigen Bewegungsprofile oder Auswertungen zum Nutzungsverhalten erstellt werden.

Zutrittskontrollsysteme generieren Log‑Dateien, in denen Zeitpunkte des Ein‑ und Austritts, verwendete Ausweise, biometrische Merkmale (z. B. Fingerabdrücke) und zugehörige Identitäten gespeichert werden. Diese Daten sind besonders sensibel, da sie Bewegungsmuster offenbaren und missbraucht werden können. Für die Verarbeitung solcher Protokolle ist eine klare Berechtigung erforderlich. Die Speicherung darf nur erfolgen, um den Zugangsschutz zu gewährleisten, Haftungsfälle zu klären oder gesetzliche Aufbewahrungsfristen zu erfüllen. Überwachungsdaten sind nach Ablauf der definierten Fristen zu löschen oder zu anonymisieren. Werden biometrische Daten eingesetzt, müssen strenge Schutzmaßnahmen zum Einsatz kommen, da sie unter Art. 9 DSGVO als besonders schützenswert gelten. Auftragsverarbeiter, die Zutrittsprotokolle speichern oder analysieren, müssen in den vertraglichen Vereinbarungen besonders benannt werden.

Im technischen Facility Management werden Wartungsleistungen dokumentiert, um Nachweise über durchgeführte Arbeiten zu erbringen. Solche Logs enthalten oft personenbezogene Daten wie Namen von Servicetechnikern, Kennzeichen von Subunternehmern, Arbeitszeiten und ggf. Kontaktdaten von Mitarbeitern oder Besuchern. Diese Angaben sind für die rechtliche Absicherung und Qualitätssicherung notwendig, stellen jedoch personenbezogene Daten dar. Bieter müssen in ihrer Erklärung beschreiben, nach welchem Verfahren Wartungsdaten verarbeitet werden, wie lange sie aufbewahrt werden und wer Zugriff hat. Ein sicherer Zugriffsschutz sowie die Protokollierung der Zugriffe sind zu gewährleisten, um Manipulation oder Missbrauch zu verhindern.

Nicht jede im Rahmen des TFM erfasste Information ist personenbezogen. Rein technische Daten wie Temperaturwerte, Betriebsstunden oder Fehlermeldungen von Anlagen stellen für sich genommen keine personenbezogenen Daten dar. Sobald diese Daten jedoch mit Personen in Verbindung gebracht werden können, unterliegen sie der DSGVO. In der Konformitätserklärung sollte deshalb klar erläutert werden, welche Daten anonymisiert vorliegen und welche mit Personenbezug verarbeitet werden. Für letztere ist eine transparente Information der Betroffenen sowie eine klare Rechtsgrundlage notwendig.

Zur Teilnahme an einer Ausschreibung müssen Bieter darlegen, dass sie die Anforderungen der DSGVO und des BDSG einhalten. Dies umfasst rechtliche, organisatorische und technische Maßnahmen. Die folgenden Punkte sollten in der DSGVO‑Konformitätserklärung abgehandelt werden:

• Vertragserfüllung: Daten werden verarbeitet, um vertragliche Pflichten zu erfüllen (z. B. Abrechnung von Nebenkosten, Überwachung der Zutrittsberechtigung oder Wartung von Anlagen).

• Gesetzliche Verpflichtung: Bestimmte Daten sind gesetzlich zu erfassen oder aufzubewahren, etwa aus dem Arbeitsrecht, Energierecht oder aus Sicherheitsvorschriften.

• Berechtigtes Interesse des Verantwortlichen: Energieoptimierung, Betriebssicherheit oder Durchsetzung von Hausordnungen können berechtigte Interessen darstellen. Hierbei ist stets eine Abwägung mit den Interessen der betroffenen Personen vorzunehmen, und es müssen Maßnahmen zur Wahrung der Rechte der Betroffenen ergriffen werden.

• Einwilligung: In einigen Fällen kann eine ausdrückliche Einwilligung erforderlich sein, z. B. bei der Verarbeitung biometrischer Daten. Die Einwilligung muss freiwillig, informiert und widerruflich sein.

In der Konformitätserklärung sollten Bieter die jeweils einschlägige Rechtsgrundlage benennen und darlegen, weshalb die Verarbeitung notwendig ist. Sie sollten zudem angeben, wie sie die Rechte der Betroffenen (Informationspflichten, Auskunftsrechte, Recht auf Löschung, Einschränkung der Verarbeitung, Datenportabilität und Widerspruchsrecht) gewährleisten.

Die DSGVO verlangt, dass personenbezogene Daten nur in dem Umfang erhoben werden, der für den konkreten Zweck erforderlich ist, und dass sie nicht für andere, mit dem ursprünglichen Zweck unvereinbare Zwecke verarbeitet werden. Für TFM‑Dienstleister bedeutet dies, dass beispielsweise Zutrittsprotokolle nur für die Sicherstellung des Zutritts, der Nachverfolgung von Sicherheitsvorfällen oder gesetzliche Nachweispflichten genutzt werden dürfen. Eine Auswertung von Bewegungsprofilen oder eine Verknüpfung mit Leistungsdaten von Mitarbeitern wäre unzulässig, sofern dafür keine gesonderte Rechtsgrundlage besteht. Die Konformitätserklärung muss darlegen, welche Maßnahmen zur Datenminimierung getroffen wurden, etwa durch technische Voreinstellungen (privacy by design), Beschränkung der Datenfelder, Pseudonymisierung oder Aggregation.

• Verschlüsselung und Pseudonymisierung: Personenbezogene Daten in Datenbanken und Backups sind durch Verschlüsselung zu schützen. Wo möglich, sollten Identifikationsmerkmale pseudonymisiert werden, sodass eine Zuordnung nur über zusätzliche Informationen möglich ist.

• Zugangs- und Zugriffskontrolle: Nur befugte Personen dürfen Zugriff auf personenbezogene Daten erhalten. Rollenbasierte Zugriffskonzepte, Mehrfaktor‑Authentifizierung und regelmäßige Überprüfung von Berechtigungen sind geeignete Maßnahmen.

• Protokollierung und Monitoring: Zugriffe und Änderungen an Daten müssen lückenlos protokolliert werden. Sicherheitsrelevante Ereignisse sind zu überwachen und bei Anomalien ist ein Incident‑Response‑Prozess auszulösen.

• Datensicherung: Regelmäßige Backups und Notfallpläne sind erforderlich, um die Datenverfügbarkeit zu gewährleisten. Diese Backups müssen denselben Sicherheitsanforderungen unterliegen wie die Primärsysteme.

• Benennung eines Datenschutzbeauftragten: Unternehmen, die umfangreich personenbezogene Daten verarbeiten, müssen laut Art. 37 DSGVO einen Datenschutzbeauftragten benennen. Die Kontaktdaten sind in der Konformitätserklärung anzugeben.

• Schulungsprogramme: Regelmäßige Schulungen zu Datenschutzgrundsätzen, zur Erkennung von Phishing und zur sicheren Nutzung von Zutritts‑ und Automationssystemen.

• Vertraulichkeitsvereinbarungen: Mitarbeitende sind schriftlich auf die Einhaltung des Datengeheimnisses zu verpflichten.

• Breach‑Detection: Methoden zur Erkennung von unbefugten Zugriffen oder Datenverlusten.

• Interne Meldestrukturen: An wen interne Hinweise gerichtet werden (z. B. Datenschutzbeauftragter, IT‑Sicherheitsleiter).

• Kommunikation mit der Aufsichtsbehörde: Fristen, Inhalte und Dokumentationspflichten.

• Maßnahmen zur Schadenbegrenzung: Sofortige technische und organisatorische Reaktionen (z. B. Sperrung von Zugängen, Informieren der Betroffenen).

Zutrittskontrollsysteme stellen eine zentrale Sicherheitskomponente von Industriegebäuden dar. Sie verknüpfen physische und digitale Sicherheit und müssen sowohl den Datenschutz als auch betriebliche Anforderungen erfüllen.

Wenn biometrische Merkmale (Fingerabdrücke, Gesichtserkennung, Venenmuster) oder digitale Schlüssel verwendet werden, handelt es sich um besonders schützenswerte Daten im Sinne der DSGVO. Die Verarbeitung solcher Merkmale erfordert eine ausdrückliche Einwilligung oder eine spezifische gesetzliche Grundlage. Bieter müssen angeben, ob und welche biometrischen Daten erhoben werden und wie diese gespeichert und verschlüsselt werden. Biometrische Templates sollten durch Hash‑Verfahren und Hardware‑Sicherheitsmodule geschützt werden, um Missbrauch zu verhindern. Der Zugriff auf diese Daten ist auf einen sehr kleinen Personenkreis zu beschränken; eine rollenbasierte Zugriffskontrolle ist zwingend.

In einem Industriegebäude können verschiedene Gruppen Zugriff erhalten: eigene Mitarbeitende, Subunternehmer, Lieferanten oder Besucher. Es ist zu gewährleisten, dass Daten dieser Gruppen strikt getrennt verwaltet werden. Bieter müssen erklären, wie sie Datenbanken segmentieren und wie sie verhindern, dass Unberechtigte Einsicht in fremde Zutrittsprotokolle erhalten. Mandantenfähige Systeme, bei denen jede Nutzergruppe eigene Datensätze besitzt und Zugriffe nur nach Rollen möglich sind, sind hierbei von Vorteil. Außerdem sollten Besucherregistrierungen – sofern sie analog oder digital erfasst werden – zeitlich eng begrenzt gespeichert und anschließend gelöscht werden.

Für die Sicherheit des Gebäudes ist eine Echtzeitüberwachung der Zutrittsereignisse erforderlich. Diese darf jedoch nicht dazu führen, dass Mitarbeiter überwacht oder Leistungsdaten erfasst werden. Bieter sollten erläutern, wie sie Systeme konfigurieren, um Sicherheitsalarme auszulösen, ohne personenbezogene Daten dauerhaft zu speichern. Anonymisierte oder pseudonymisierte Darstellung von Live‑Daten, die nur bei sicherheitsrelevanten Vorfällen mit Personenbezug verknüpft werden, kann hier ein Mittel sein. Außerdem müssen klare Rollen definiert werden, wer Echtzeitdaten einsehen darf (z. B. Sicherheitszentrale) und welche Protokolle eingehalten werden.

Um unberechtigte Zugriffe zu verhindern, sind neben Verschlüsselung und starken Authentifizierungsverfahren auch organisatorische Maßnahmen erforderlich. Bieter sollten in ihrer Erklärung angeben, wie sie folgende Aspekte abdecken:

• Hardening und Patch‑Management: Zutrittscontroller und Server müssen regelmäßig aktualisiert werden, um bekannte Sicherheitslücken zu schließen. Unnötige Dienste und Ports sind zu deaktivieren.

• Netzwerksegmentierung: Zutrittskontrollsysteme sollten in einem separaten, geschützten Netzwerksegment betrieben werden, das physisch oder logisch von anderen Unternehmensnetzen getrennt ist.

• Notfallpläne: Für den Ausfall von Zutrittskontrollsystemen sind Backup‑Methoden vorzuhalten (z. B. mechanische Schlüssel, manuelle Besuchsliste), um den sicheren Zugang weiterhin zu gewährleisten.

Im Falle eines Sicherheitsvorfalls müssen Verantwortliche nicht nur Datenschutzverletzungen nach Art. 33 DSGVO melden, sondern auch interne Sicherheitsprozesse aktivieren. Dazu gehört die Information der Sicherheitsbeauftragten, die sofortige Untersuchung der Ursache, die Bewertung der Risiken und die Umsetzung von Sofortmaßnahmen. Der Vorfall muss dokumentiert werden; bei hohem Risiko für die Betroffenen sind diese unverzüglich zu benachrichtigen. Für Zutrittskontrollsysteme bedeutet dies, dass ein unbefugter Zugriff, der etwa durch kompromittierte Zugangskarten entsteht, gemeldet, die betroffene Karte deaktiviert und ggf. ein Massenpasswortwechsel durchgeführt werden muss.

Die ordnungsgemäße Berücksichtigung von Datenschutzaspekten beginnt bereits in der Ausschreibung. Auftraggeber müssen klare Vorgaben machen, und Bieter müssen vollständige Erklärungen vorlegen.

Die Ausschreibungsunterlagen sollten eine verbindliche Vorlage für die DSGVO‑Konformitätserklärung enthalten. Bieter reichen diese Erklärung zusammen mit ihren Angeboten ein. Darin müssen sie alle in diesem Leitfaden genannten Punkte systematisch abhandeln. Die Erklärung muss von einer zur Vertretung befugten Person unterzeichnet sein. Der Auftraggeber sollte festlegen, ob die Erklärung in deutscher Sprache einzureichen ist und welche Frist gilt. Verspätete oder unvollständige Erklärungen können zur Ablehnung des Angebots führen.

• Formale Vollständigkeit: Sind alle geforderten Kapitel enthalten und wurden die erforderlichen Unterlagen (z. B. Nachweis über Bestellung eines Datenschutzbeauftragten) beigefügt?

• Plausibilität der Maßnahmen: Werden geeignete technische und organisatorische Maßnahmen beschrieben, oder gibt es Widersprüche? Bei Unklarheiten sollte der Auftraggeber Nachfragen stellen oder ergänzende Unterlagen anfordern.

• Compliance mit Standards: Verweist der Bieter auf international anerkannte Standards wie ISO/IEC 27001 oder DIN EN 15221? Besitzt das Unternehmen eine entsprechende Zertifizierung, kann dies die Zuverlässigkeit der Umsetzung belegen.

Gemäß Art. 37 DSGVO müssen Verantwortliche einen Datenschutzbeauftragten (DPO) bestellen, wenn ihre Kerntätigkeit in umfangreicher Verarbeitung besonderer Datenkategorien oder in einer systematischen Überwachung von Personen besteht. Da Zutrittskontrollsysteme und Energieverbrauchsanalysen potenziell große Mengen an personenbezogenen Daten erfassen, wird in der Ausschreibung in der Regel der Nachweis eines DPO verlangt. Bieter sollten den Namen, die Qualifikation und die Kontaktdaten des DPO angeben. Auch die Stellvertretung für den DPO bei Abwesenheiten sollte geregelt sein.

Häufig werden einzelne Aufgaben im TFM an Subunternehmer vergeben, beispielsweise Wartungsdienste oder IT‑Dienstleister für die Zutrittskontrolle. In solchen Fällen bleibt der Hauptauftragnehmer nach Art. 28 DSGVO verantwortlich und muss sicherstellen, dass auch Subunternehmer die Datenschutzanforderungen erfüllen. Die Verträge mit Subunternehmern müssen klare Weisungen zur Datenverarbeitung enthalten. Der Auftraggeber sollte in den Ausschreibungsunterlagen verlangen, dass Bieter eine Liste ihrer Subunternehmer mitsamt der vereinbarten Datenschutzmaßnahmen vorlegen. Zudem kann verlangt werden, dass Subunternehmer eine eigenständige Konformitätserklärung abgeben.

Um die Einhaltung der Datenschutzverpflichtungen sicherzustellen, sollten Auftraggeber sich vertraglich Audit‑ und Kontrollrechte vorbehalten. Diese erlauben es, während der Vertragslaufzeit unangekündigte Prüfungen durchzuführen, die technischen und organisatorischen Maßnahmen zu überprüfen und Interviews mit dem DPO zu führen. Die Bieter müssen in ihrer Erklärung zusagen, solche Audits zu ermöglichen und aktiv zu unterstützen. Bei festgestellten Mängeln sind Abhilfemaßnahmen zu vereinbaren.

Kommt ein Bieter seinen Datenschutzpflichten nicht nach, drohen rechtliche und vergaberechtliche Konsequenzen. Der Auftraggeber kann Angebote ausschließen oder den Vertrag fristlos kündigen. Zudem können Aufsichtsbehörden Bußgelder verhängen, die nach Art. 83 DSGVO empfindlich hoch sein können. Vertraglich sollten daher Sanktionen wie Schadensersatzklauseln, Vertragsstrafen oder Haftungserweiterungen vereinbart werden, um sicherzustellen, dass der Auftragnehmer seinen Datenschutzpflichten nachkommt.

Die DSGVO‑Konformitätserklärung endet nicht mit der Zuschlagserteilung. Während der gesamten Vertragslaufzeit müssen Auftragnehmer nachweisen, dass ihre Datenschutzprozesse den gesetzlichen Anforderungen entsprechen und an neue rechtliche oder technische Entwicklungen angepasst werden. Im abschließenden Kapitel dieses Leitfadens werden die Elemente einer solchen Bestätigung beschrieben.

• Verpflichtung zur dauerhaften DSGVO‑Konformität: Der Bieter hat sich in der Erklärung zu verpflichten, alle geltenden Bestimmungen der DSGVO und des BDSG während der gesamten Vertragsdauer einzuhalten. Dies umfasst die Aktualisierung der internen Richtlinien bei Gesetzesänderungen, die rechtzeitige Anpassung der Technik an neue Sicherheitsstandards und die Umsetzung von Empfehlungen der Datenschutzaufsichtsbehörden.

• Mitteilungs‑ und Informationspflichten: Änderungen von Datenschutzrichtlinien, Wechsel des Datenschutzbeauftragten oder erhebliche Anpassungen der Zutrittskontrollsysteme sind dem Auftraggeber umgehend mitzuteilen. Der Auftragnehmer verpflichtet sich, regelmäßig (etwa einmal jährlich) einen Bericht über die Datenschutzmaßnahmen und mögliche Vorfälle vorzulegen. In diesem Bericht sollten auch die Ergebnisse interner Audits und gegebenenfalls durchgeführter Schulungen enthalten sein.

• Verantwortung für Beschäftigte, Vertreter und Subunternehmer: Der Auftragnehmer garantiert, dass alle Mitarbeitenden sowie beauftragte Subunternehmer die Datenschutzvorschriften kennen und einhalten. Dies erfordert schriftliche Vereinbarungen, Schulungen und regelmäßige Überprüfungen. Bei Verstößen von Subunternehmern haftet der Hauptauftragnehmer und hat für Ersatz zu sorgen. In der Konformitätserklärung muss dieser Verantwortungstransfer ausdrücklich geregelt sein.

• Fortlaufende Kontrolle und Optimierung der Datenschutzmaßnahmen: Datenschutz ist ein fortlaufender Prozess. Der Auftragnehmer verpflichtet sich, die in seinem Unternehmen implementierten Maßnahmen regelmäßig zu überprüfen und zu verbessern. Dies umfasst die Durchführung interner Penetrationstests, die Aktualisierung von Firewalls und Zugangsberechtigungen, die Bewertung neuer Technologien und die Anpassung von Löschkonzepten. Ziel ist es, ein nachhaltiges Datenschutzniveau sicherzustellen und mögliche Schwachstellen frühzeitig zu erkennen.