Datenschutz-, Datensicherheits- und Berechtigungsmatrix
Technisches Facility Management: TFM » Strategie » Ausschreibung TTS » Datenschutz, Datensicherheit und Berechtigungen
Anlage – Datenschutz-, Datensicherheits- und Berechtigungsmatrix TTS
Nachfolgend die Anlage– Datenschutz-, Datensicherheits- und Berechtigungsmatrix TTS. Sie konkretisiert die übergeordnete Leistungsbeschreibung, das übergeordnete Leistungsverzeichnis, die RACI-/Schnittstellenlogik sowie den Start-up- und Mobilisierungsplan für den datenschutz- und informationssicherheitskonformen Betrieb des TTS-Modells. Maßgeblich sind dabei insbesondere das CAFM-System des AG als führendes System, die direkte Anbindung des AN, die Pflege von Stamm- und Bewegungsdaten, der Service Desk als operative Führungsstelle sowie die Aufnahme der relevanten Datenschutz- und Datensicherheitsregelungen in die Vertragslogik.
Datenschutz- und Berechtigungsmatrix im TTS
- Regelungszweck, Geltungsbereich, Rangfolge
- Leitprinzipien
- Schutzklassenmodell
- Datenkategorien- und Schutzklassenmatrix
- Rollen- und Profilmodell
- Berechtigungslegende
- Berechtigungsmatrix – CAFM
- Berechtigungsmatrix – GLT/BMS/OT-nahe Betriebsfunktionen
- Berechtigungsmatrix
- Berechtigungsmatrix – HSE-, Qualifikations- und Incident-Daten
- Datenschutz-, Datensicherheits- und TOM-Matrix
- Schnittstellen- und Exportmatrix
- Mobile-Working-Regeln
- Protokollierungs- und Monitoringmatrix
- Lösch-, Aufbewahrungs- und Rückgabematrix
- Incident- und Datenschutzvorfallsprozess
- Governance-, Review- und Freigabematrix
- Verbindliche Sonderregeln für den TTS-Betrieb
- Schlussbestimmung
Diese Matrix regelt für den TTS-Leistungsumfang verbindlich:
die zulässigen Datenarten und Verarbeitungszwecke,
die Schutzklassen der verarbeiteten Daten,
die Rollen- und Berechtigungsprofile,
die datenschutz- und datensicherheitsbezogenen Mindestmaßnahmen,
die Regeln für Mobile Working, Exporte, Schnittstellen, Protokollierung, Löschung und Rückgabe,
die Incident- und Eskalationslogik bei Datenschutz- oder Sicherheitsvorfällen.
Sie gilt für alle TTS-relevanten Systeme, Anwendungen, Geräte, Schnittstellen und Dokumentationsprozesse, insbesondere für:
CAFM-System des AG,
Service-Desk-/Ticketlogik,
DMS/Projektraum/Protokollablage,
GLT/BMS/OT-nahe Betriebsfunktionen,
mobile Endgeräte und Apps,
Prüf-, Wartungs-, HSE-, Notfall-, Gewährleistungs- und Reportingprozesse,
technische Sicherheits- und Zutrittssysteme, soweit diese im TTS-Scope liegen.
Diese Matrix ersetzt nicht den FM-Rahmenvertrag, eine etwaige Auftragsverarbeitungsvereinbarung, Vertraulichkeitsregelungen, IT-/OT-Sicherheitsrichtlinien, Betriebsvereinbarungen oder gesonderte Löschkonzepte. Sie konkretisiert diese für den TTS-Betrieb. Im Konfliktfall gilt die strengere Regelung; im Übrigen gelten die Rangfolgeregeln der übergeordneten Leistungsbeschreibung fort.
Leitprinzipien
Die Matrix folgt den datenschutzrechtlichen Grundprinzipien Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität/Vertraulichkeit und Rechenschaftspflicht. Diese Grundsätze gelten technologieunabhängig, also gleichermaßen für IT-Systeme, Videoüberwachung, Zutrittssysteme, Papierunterlagen und mobile Endgeräte. Zusätzlich ist der Zugriff auf personenbezogene Daten nach dem Need-to-know-Prinzip und nur im erforderlichen Umfang zulässig.
Für den TTS-Betrieb bedeutet dies konkret:
CAFM first: Das CAFM des AG ist führendes System; Schattenlisten, private Ablagen und unkontrollierte Exporte sind unzulässig.
Least privilege: Jede Rolle erhält nur die Rechte, die sie für ihren konkreten Zweck benötigt.
Privacy by design / by default: Prozesse, Pflichtfelder, Rollen, Schnittstellen und Reports sind so auszugestalten, dass nur die für den jeweiligen Zweck notwendigen Daten verarbeitet werden.
Stand der Technik: Schutzmaßnahmen müssen risikoorientiert und am Stand der Technik ausgerichtet sein.
Nachweisbarkeit: Zugriffe, Änderungen, Exporte und sicherheitsrelevante Ereignisse sind protokollierbar und reviewfähig zu halten.
Für den TTS-Betrieb werden die nachstehenden Schutzklassen verwendet:
| Schutzklasse | Bedeutung | Beispiele |
|---|---|---|
| K1 – Intern | keine oder nur geringe Personenbeziehbarkeit; geschäftsintern | technische Asset-Stammdaten ohne Personenbezug, technische Zustandsdaten |
| K2 – Vertraulich | personenbezogene oder geschäftskritische Daten mit normalem Schutzbedarf | Tickets mit Namen/Kontaktdaten, Prüf- und Wartungsprotokolle mit Ausführenden, Qualifikationsnachweise |
| K3 – Besonders schutzbedürftig | Daten mit erhöhtem Risiko bei Fehlzugriff, Fehlübermittlung oder Verlust | HSE-/Notfall-/Unfalldaten, Zutrittslogs, CCTV-Bezüge, Admin-/Security-Logs, sensible Incident-Daten |
| Datenkategorie | Typische Inhalte | Primärsystem | Schutzklasse | Zulässiger Hauptzweck | Grundsatz für Zugriff |
|---|---|---|---|---|---|
| Asset-Stammdaten | Asset-ID, Standort, Kritikalität, Hersteller, Prüf-/Wartbezug | CAFM | K1 / K2 bei Kontaktbezug | Betrieb, Planung, Nachweis | breit lesbar im TTS-Scope, Änderung nur kontrolliert |
| Bewegungsdaten Betrieb | Tickets, Aufträge, Reaktionszeiten, Maßnahmen, Materialien, Rückmeldungen | CAFM | K2 | Störung, Wartung, Prüfung, SLA/KPI | rollenbezogen, aufgabenspezifisch |
| Kontakt- und Kommunikationsdaten | Namen, dienstliche Tel.-Nr., E-Mail, Rufbereitschaft, Eskalation | CAFM / DMS / Kontaktmatrix | K2 | Erreichbarkeit, Eskalation, Notfall | nur zweckbezogen, keine private Nutzung |
| Qualifikations-/Unterweisungsdaten | Schulungen, Befähigungen, Freigabestände | CAFM / DMS | K2 | Einsatzfähigkeit, Audit, Betreiberpflichten | nur Führung/HSE/prüfberechtigte Rollen |
| HSE-/Notfall-/Incident-Daten | Unfall-, Evakuierungs-, GBU-, Notfall- und Krisenbezug | DMS / CAFM-Verweis | K3 | Arbeitsschutz, Incident-Bearbeitung, BCM | streng fallbezogen, beschränkter Personenkreis |
| Zutritts-/Besucher-/Badge-Daten | Zutrittsereignisse, Besucherbezug, Badge-Status | Zutrittssystem | K3 | Sicherheit, Nachweis, Incident | grundsätzlich getrennt vom CAFM |
| Video-/CCTV-Daten | Live-/Aufzeichnungsdaten, Exportausschnitte | Videosystem | K3 | Sicherheit, Incident, Beweissicherung | nur eng begrenzter Zugriff |
| Admin-/Security-/Audit-Logs | Logins, Rechteänderungen, Exporte, Adminaktionen, Fehlversuche | IAM / CAFM / GLT / Security-Tools | K2 / K3 | Sicherheit, Compliance, Forensik | nur IT/IS/Revision mit klarer Zweckbindung |
| Prüf- und Wartdokumente | Prüfberichte, Wartungsprotokolle, Befunde, Fotos | CAFM / DMS | K2 | Nachweis, Betreiberpflichten, Claim | rollen- und auftragsbezogen |
| Reports / KPI-Exporte | KPI, SLA, Ad-hoc-Berichte, Managementreports | BI / CAFM-Export | K2 / K3 je Inhalt | Steuerung, Audit, Budget, Risiko | nach Empfängerkreis minimiert |
| Claim-/Gewährleistungsdaten | Ansprechpartner, Fristen, Mängelkommunikation | CAFM / DMS | K2 | Anspruchsmanagement, Fristensteuerung | nur involvierte Rollen |
Personenbezogene Sicherheitsdaten, insbesondere Zutritts-, Besucher- oder Videodaten, sind grundsätzlich nicht als Rohdaten in das CAFM zu übernehmen. Im CAFM zulässig sind nur technische Störungsbezüge, Ticketreferenzen, Incident-IDs und – soweit erforderlich – kurze Verweise auf den externen Nachweisort. Das folgt aus Zweckbindung, Datenminimierung und Speicherbegrenzung.
Zur Steuerung der Berechtigungen werden die Rollen in Profile gebündelt:
| Profil | Bezeichnung | Typische Rollen |
|---|---|---|
| P1 | AG Governance / Fachfreigabe | AG TFM / Betreibervertretung |
| P2 | AG IT/OT/CAFM / IAM-Administration | AG IT/OT/CAFM, System- und Rollenadministration |
| P3 | AG HSE / Datenschutz / Informationssicherheit | AG HSE/BCM, DSB, ISB, Compliance |
| P4 | Service Desk | Service Desk / Leitstelle |
| P5 | AN Objektleitung / Betriebssteuerung | AN Objektleiter, Stellvertretung |
| P6 | AN Fachausführung / Mobile Technik | Techniker, Meister, Fachmonteure |
| P7 | AN CAFM / Daten / Reporting | CAFM-Administrator AN, Daten- und Reportingfunktion |
| P8 | AG Nutzer / Produktion | Betriebs- und Nutzungsvertreter |
| P9 | Externe Prüforganisation / Nachunternehmer | TÜV/ZÜS, Prüfer, beauftragte Spezialfirmen |
| P10 | Audit / Revision | Interne Revision, externe Auditoren |
CAFM-Kernrechte
| Profil | Asset-Stammdaten | Tickets / Bewegungsdaten | Prüf-/Wartungsdokumente | Standardreports | Ad-hoc-Export | Rollen-/User-Admin |
|---|---|---|---|---|---|---|
| P1 AG Governance | L/F | L | L | R | P | X |
| P2 AG IT/OT/CAFM | L/B/A* | L/B/A* | P* | X | X | A |
| P3 AG HSE/DS/IS | L (scope) | L/B** | L/B** | R | P | X |
| P4 Service Desk | L | B | B*** | R (operativ) | X | X |
| P5 AN Objektleitung | L/B**** | B/F | B/F | R | P | X |
| P6 AN Fachausführung | L | B (eigene Fälle) | B (eigene Nachweise) | X | X | X |
| P7 AN CAFM/Daten | B**** | B | B | R/B | P/R | X |
| P8 AG Nutzer/Produktion | X | B (eigene Meldungen) / L (Status) | X | X | X | X |
| P9 Externe Prüfer/Nachunternehmer | X | P | P (eigene Berichte) | X | X | X |
| P10 Audit/Revision | L | L | L | R | P | X |
* rein technische Systemunterstützung; keine fachliche Änderung von Kritikalität, Scope oder Prüfregimen ohne P1-Freigabe.
** nur für HSE-, Datenschutz-, Incident- oder Compliance-bezogene Vorgänge.
*** nur ticket- und auftragsbezogene Dokumente; kein allgemeiner Zugriff auf K3-Rohdaten.
**** Vorschläge und Pflege im Rahmen des Prozesses; kritische Stammdatenänderungen nur nach AG-Freigabe.
Zusätzliche CAFM-Regeln
Bewegungsdaten sind durch den AN vollständig, richtig und zeitnah zu pflegen.
Stammdatenänderungen mit Auswirkung auf Scope, Kritikalität, Kosten, Prüfregime oder Berechtigungen sind freigabepflichtig.
Personenbezogene Freitexteinträge sind auf das notwendige Minimum zu begrenzen; besondere Kategorien personenbezogener Daten gehören grundsätzlich nicht in Freitextfelder.
Exporte dürfen nur in freigegebene Zielsysteme oder freigegebene Projektablagen erfolgen.
Berechtigungsmatrix – GLT/BMS/OT-nahe Betriebsfunktionen
| Profil | Dashboards / Live-Daten | Alarmquittierung | Trends / Historie | Parameteränderung | Systemadmin |
|---|---|---|---|---|---|
| P1 AG Governance | L | X | L/R | P | X |
| P2 AG IT/OT/CAFM | L/B | P | L/R | A* | A |
| P3 AG HSE/DS/IS | P | X | P | X | X |
| P4 Service Desk | L | B | X | X | X |
| P5 AN Objektleitung | L/B | B | L/R | P/F** | X |
| P6 AN Fachausführung | L/B | B | P | P** | X |
| P7 AN CAFM/Daten | L/R | X | R | X | X |
| P8 AG Nutzer/Produktion | X | X | X | X | X |
| P9 Externe Prüfer/Nachunternehmer | P | P | P | P*** | X |
| P10 Audit/Revision | L | X | P | X | X |
* nur im Rahmen freigegebener OT-/Systemadministration.
** nur innerhalb freigegebener Fahrpläne, Arbeitsaufträge oder Change-/Freigabeprozesse.
*** nur im freigegebenen Wartungsfenster und unter dokumentierter Aufsicht bzw. Ticketfreigabe.
Für GLT-/OT-nahe Zugriffe gilt:
Betrieblich notwendige Lese- und Quittierfunktionen sind von administrativen oder parametrierenden Rechten strikt zu trennen. Trend- und Diagnosedaten sind für ProvI und Energieoptimierung zulässig; produktions- oder personenbezogene Informationen sind zu minimieren und, soweit möglich, zu pseudonymisieren oder zu aggregieren.
Berechtigungsmatrix – Zutritt, Besucher, Video, sicherheitsrelevante Rohdaten
| Profil | Technischer Anlagenstatus | Rohdaten Zutritt/Badge | Live-/Replay-Zugriff CCTV | Incident-Export | Admin / Stammdaten Sicherheit |
|---|---|---|---|---|---|
| P1 AG Governance | L | P | P | P | X |
| P2 AG IT/OT/CAFM | L/B/A | P* | P* | P | A** |
| P3 AG HSE/DS/IS | L | P/F | P/F | P/F | X |
| P4 Service Desk | L (Störstatus) | X | X | X | X |
| P5 AN Objektleitung | L (Störstatus) | P*** | P*** | P*** | X |
| P6 AN Fachausführung | L (Störstatus) | X | X | X | X |
| P7 AN CAFM/Daten | X | X | X | X | X |
| P8 AG Nutzer/Produktion | X | X | X | X | X |
| P9 Externe Prüfer/Nachunternehmer | P (Wartungsfenster) | X | X | X | X |
| P10 Audit/Revision | L | P | P | P | X |
* nur soweit für technische Administration oder forensische Unterstützung ausdrücklich freigegeben und protokolliert.
** Badge- oder Benutzermasterdaten nur, wenn dies AG-seitig organisatorisch ausdrücklich zugewiesen ist; andernfalls verbleibt dies außerhalb des TTS.
*** nur bei konkretem Incident, konkretem Ticket oder konkreter Wartungsstörung; kein Dauerzugriff.
Grundsatz:
Der TTS-Scope betrifft hier primär den technischen Betrieb der Systeme, nicht die allgemeine Verarbeitung personenbezogener Sicherheitsrohdaten. Rohdaten aus Zutritt, Besuch oder CCTV sind funktional getrennt zu halten; im CAFM werden nur technische Störungsbezüge, Incident-IDs und Maßnahmennachweise geführt.
Berechtigungsmatrix – HSE-, Qualifikations- und Incident-Daten
| Profil | Qualifikationen / Unterweisungen | GBU / PTW | HSE-Incidents / Evakuierung | personenbezogene Notfalldaten |
|---|---|---|---|---|
| P1 AG Governance | L | L/F | L | P |
| P2 AG IT/OT/CAFM | X | X | X | X |
| P3 AG HSE/DS/IS | L/B/F | L/B/F | L/B/F | P/F |
| P4 Service Desk | X | P (nur Status) | P (nur Einsatzsteuerung) | X |
| P5 AN Objektleitung | L/B | B | B | P |
| P6 AN Fachausführung | L (eigene Daten) | B (eigene PTW-relevante Tätigkeiten) | P | X |
| P7 AN CAFM/Daten | P (nur Nachweisbezug) | P | P | X |
| P8 AG Nutzer/Produktion | X | P (Betriebsfreigabe) | P | X |
| P9 Externe Prüfer/Nachunternehmer | P (nur eigene Freigaben) | P (eigene PTW) | X | X |
| P10 Audit/Revision | P | P | P | P |
Datenschutz-, Datensicherheits- und TOM-Matrix
Die DSGVO verlangt geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des Risikos und des Stands der Technik. Das BfDI verweist ergänzend auf datenschutzkonforme Technikgestaltung und das Standard-Datenschutzmodell; das BSI konkretisiert für Protokollierung, mobile Endgeräte und Mobile Device Management Mindestanforderungen an sichere Nutzung, Zugriffsschutz und zentrale Verwaltung.
| Maßnahmenbereich | Mindestanforderung für TTS | Hauptverantwortung | Nachweis |
|---|---|---|---|
| Zweckbindung / Feldgestaltung | Pflichtfelder, Reports und Schnittstellen nur mit erforderlichen Daten; keine freien Schattenlisten | P1 / P2 / P7 | Prozessfreigabe, Feldkatalog |
| Rollen- und Rechtemodell | Rechte nur profilbasiert; keine Dauer-Sonderrechte ohne Freigabe | P2, fachlich P1 | Rollenmatrix, Freigaben |
| Personenbezogene Accounts | keine geteilten Benutzerkonten; Ausnahme nur dokumentierte Service-Accounts | P2 | IAM-Register |
| MFA / starke Authentisierung | verpflichtend für Remote-Zugriffe, Admin-Zugriffe und Systeme mit K2/K3-Daten | P2 | IAM-/MFA-Report |
| Joiner-Mover-Leaver-Prozess | Anlage, Änderung und Entzug von Rechten nur ticket- und freigabebasiert; Entzug unverzüglich bei Rollenende | P2 / P5 | IAM-Tickets |
| Mobile Endgeräte | nur AG-freigegebene und zentral verwaltete Endgeräte; PIN/Passwort, Gerätesperre, Verschlüsselung, Remote-Wipe, Patchstatus | P2, Nutzung durch P4/P5/P6/P7 | MDM-Compliance-Report |
| Lokale Speicherung | lokale Speicherung nur, wenn technisch unvermeidbar; verschlüsselt, zeitlich begrenzt und automatisiert synchronisiert / bereinigt | P2 / P7 | MDM-/App-Konfiguration |
| Netzzugriff | VPN/Conditional Access, Segmentierung, kein unkontrollierter Internet-Adminzugang | P2 | Netz- und Firewall-Regeln |
| Verschlüsselung | Transport- und Speicherverschlüsselung für K2/K3-Daten sowie Exporte | P2 | Systemkonfiguration |
| Protokollierung | Zugriffe, Rechteänderungen, Exporte, Adminaktionen, sicherheitsrelevante Ereignisse und Break-Glass-Zugriffe protokollieren | P2 | Logkonzept, SIEM/Logreport |
| Zeitsynchronisation | konsistente Zeitbasis für Tickets, Logs, Prüf- und Incident-Nachweise | P2 | Systemmonitoring |
| Backup / Recovery | backups gem. Schutzbedarf, Wiederherstellungstests, dokumentierte Notfallwiederanläufe | P2 | Backup- und Restore-Protokolle |
| Patch-/Vuln-Management | Betriebssysteme, Apps, Schnittstellen und OT-nahe Komponenten nach Freigabelogik aktuell halten | P2 / P5 | Patchreport |
| Exportkontrolle | Ad-hoc-Exporte nur freigegeben, verschlüsselt, zweckgebunden und mit Empfängernachweis | P1 / P2 / P7 | Exportfreigabe, Versandnachweis |
| Druck und Papier | Ausdrucke K2/K3 nur ausnahmsweise; sichere Aufbewahrung und datenschutzgerechte Vernichtung | P5 / P7 | Vernichtungsnachweis |
| Subunternehmer / Prüforganisationen | nur mit freigegebenem Rollenprofil, Vertraulichkeitsbindung und nachgewiesener Mindestschutzlogik | P5 / P2 | Freigabeakte |
| Physischer Zugriff | Geräte, Schaltschränke, Serverräume, Leitstellen und Archivbereiche gegen unbefugten Zugang sichern | P2 / AG Facility/Security | Zutrittskonzept |
| Löschung / Vernichtung | Löschung, Archivierung und Rückgabe nach Löschmatrix; sichere Datenträgervernichtung | P2 / P7 | Löschprotokoll |
Schnittstellen- und Exportmatrix
| Quelle | Ziel | Datenart | Zulässigkeit | Bedingung | Freigabe |
|---|---|---|---|---|---|
| CAFM | BI / Reporting | KPI-, SLA-, Betriebsdaten | zulässig | nur erforderliche Felder, möglichst aggregiert | P1/P7 |
| GLT/BMS | CAFM | technische Alarm- und Zustandsdaten | zulässig | kein unnötiger Personenbezug | P2/P5 |
| Mobile App | CAFM | Ticket-, Zeit-, Foto-, Prüf- und Wartdaten | zulässig | nur freigegebene App / MDM | P2 |
| Prüforganisation | CAFM / DMS | Prüfberichte, Befunde, Zertifikate | zulässig | dokumentierte Übernahme und Zuordnung | P5/P7 |
| Zutritt/CCTV | CAFM | nur Incident-/Ticketreferenz, kein Rohdatenbulk | nur ausnahmsweise | konkrete Störung / konkreter Incident | P1/P3 |
| CAFM | Externer Auditor | Reports / Nachweise | zulässig | scope-minimiert, protokolliert | P1/P10 |
| CAFM / DMS | Nachfolgedienstleister | definierte Vertrags- und Übergabedaten | zulässig | nur am Vertragsende / Exit-Freigabe | P1/P2 |
| CAFM | persönliche Mailbox / private Cloud | K1–K3-Daten | unzulässig | keine | – |
Mobile-Working-Regeln
Personenbezogene Daten dürfen im TTS nur auf AG-freigegebenen, zentral verwalteten mobilen Endgeräten verarbeitet werden. Das BSI empfiehlt für mobile Endgeräte u. a. zentrale Verwaltung per MDM, individuelle PIN-/Passwortsicherung, sichere Grundkonfiguration und kontrollierte Einbindung in die IT-Infrastruktur. Sicherheitsrelevante Ereignisse und Protokollierung sind ebenfalls Mindestanforderungen.
Für den TTS-Betrieb gilt daher:
BYOD ist ausgeschlossen, soweit nicht schriftlich und technisch gleichwertig freigegeben.
Offline-Fähigkeit ist nur zulässig, wenn Daten verschlüsselt lokal gepuffert und nach Synchronisation automatisiert bereinigt werden.
Screenshots, private Backups, private Messenger, private Cloud-Speicher oder private Weiterleitungen mit TTS-Daten sind unzulässig.
Foto-, Sprach- und Videofunktionen dürfen nur für den freigegebenen Wartungs-, Prüf- und Ticketnachweis genutzt werden.
Verlust oder Diebstahl eines mobilen Geräts ist unverzüglich, spätestens innerhalb von 30 Minuten nach Kenntniserlangung, an P2 und P5 zu melden.
Protokollierungs- und Monitoringmatrix
| Ereignis | Muss protokolliert werden | Mindestinhalt | Review durch |
|---|---|---|---|
| Login / Logout | ja | Konto, Zeit, Quelle, Erfolg/Misserfolg | P2 |
| Rollen- / Rechteänderung | ja | Wer, was, wann, warum, Freigabeticket | P2 / P1 |
| Export / Download | ja | Datensatztyp, Umfang, Empfänger, Zweck, Freigabe | P2 / P7 |
| Adminaktion | ja | System, Aktion, Konto, Zeit, Ergebnis | P2 |
| Break-Glass-Zugriff | ja | Anlass, Freigabe, Beginn/Ende, Nachreview | P2 / P1 |
| Fehlgeschlagene Zugriffe / Anomalien | ja | Quelle, Muster, Betroffenheit | P2 / P3 |
| Löschung / Archivierung | ja | Datenart, Umfang, Frist, Methode | P2 / P7 |
| Incident / Datenschutzvorfall | ja | Zeit, Sachverhalt, Sofortmaßnahmen, Betroffene Systeme | P2 / P3 / P5 |
Lösch-, Aufbewahrungs- und Rückgabematrix
Konkrete Fristen sind im finalen Lösch- und Aufbewahrungsplan sowie – soweit einschlägig – in AVV, Betriebsvereinbarung, HSE-Konzept, Versicherungs- und Verjährungslogik zu konkretisieren. Die nachstehende Matrix bildet die Mindestlogik.
| Datenkategorie | Regelauslöser | Aufbewahrung / Sperre | Löschung / Archivierung | Verantwortlich |
|---|---|---|---|---|
| Asset-Stammdaten | Außerbetriebnahme / Vertragsende | bis Abschluss Übergabe und technischer Nachweiszwecke | Archivierung / Bereinigung ohne unnötigen Personenbezug | P7 / P1 |
| Tickets / Bewegungsdaten | Auftragsabschluss | für Vertrags-, Nachweis-, KPI-, Verjährungs- und Auditbedarf | danach Löschung oder Anonymisierung gem. Löschplan | P7 / P1 |
| Kontakt- und Eskalationsdaten | Rollenende / Funktionswegfall | nur solange erforderlich | zeitnahe Löschung / Aktualisierung | P2 / P5 |
| Qualifikations- / Unterweisungsdaten | Ablauf gesetzlicher oder vertraglicher Nachweispflichten | solange Nachweiszweck besteht | Löschung / Archivierung gem. Pflicht | P5 / P3 |
| HSE-/Incident-Daten | Abschluss Incident / Verjährung / Versicherungsfall | solange rechtlicher oder sachlicher Bedarf besteht | restriktive Archivierung, dann Löschung | P3 / P1 |
| Zutritts-/Badge-/Besucherdaten | Ablauf Sicherheitszweck / Sonderregelung | gemäß separatem Sicherheits- und Löschkonzept | keine Übernahme ins CAFM als Rohdaten | P2 / P3 |
| CCTV-Daten | Ablauf Sicherheitszweck / Incident-Ende | gemäß gesondertem Konzept / BV | keine Dauerhaltung außerhalb des Ursprungssystems | P2 / P3 |
| Security-/Admin-Logs | Ablauf Sicherheits- und Forensikzweck | gemäß Security-Löschkonzept | Löschung / revisionsfeste Archivierung soweit nötig | P2 |
| Exporte / Ad-hoc-Dateien | Zweck erfüllt / Übergabe erfolgt | nur im freigegebenen Speicherort | unverzügliche Löschung | P7 / Empfänger |
Bei Vertragsende sind personenbezogene und vertrauliche Daten entweder geordnet zurückzugeben, in abgestimmter Form zu exportieren oder datenschutzgerecht zu löschen. Rohdaten ohne Übergabepflicht dürfen nicht beim AN verbleiben. Das entspricht der in der Leistungsbeschreibung vorgesehenen Exit- und Datenübergabelogik.
Incident- und Datenschutzvorfallsprozess
| Ereignistyp | Sofortmaßnahme | interne Meldung an | Meldefrist intern | Dokumentation |
|---|---|---|---|---|
| Verdacht unbefugter Zugriff auf K2/K3-Daten | Zugriff sperren, Session sichern, Log sichern | P2, P3, P5 | unverzüglich, max. 1 h | Incident-Ticket |
| Fehlversand / Fehlfreigabe von Exporten | Versand stoppen / Rückruf, Empfänger kontaktieren, Datei sperren | P2, P3, P7 | unverzüglich, max. 1 h | Incident-Ticket |
| Verlust / Diebstahl mobiles Gerät | MDM-Sperre / Remote-Wipe, Konto sperren | P2, P5 | unverzüglich, max. 30 min | Incident-Ticket |
| Malware / Kompromittierung | System isolieren, Logs sichern, Notfallplan aktivieren | P2, P3, P5 | unverzüglich | Incident-Ticket |
| Unzulässiger Zugriff auf Zutritt/CCTV-Daten | Zugriff entziehen, Export stoppen, Logreview | P2, P3 | unverzüglich | Incident-Ticket |
| Betroffenenanfrage / Datenschutzbeschwerde | keine inhaltliche Antwort ohne Freigabe; unverzügliche Weiterleitung | P3 / AG zuständige Stelle | unverzüglich, max. gleicher Arbeitstag | Vorgangsakte |
Der AN beantwortet Betroffenenanfragen, Auskunftsbegehren oder Datenschutzbeschwerden nicht eigenständig, sofern ihm diese Rolle nicht ausdrücklich übertragen wurde. Er leitet solche Vorgänge unverzüglich an die AG-seitig zuständige Stelle weiter und unterstützt mit Nachweisen, Logs und Datenlokalisierung. Gesetzliche Melde- und Unterrichtungspflichten beurteilt und steuert der AG in seiner Verantwortungsrolle; der AN liefert hierfür alle erforderlichen Informationen ohne schuldhaftes Zögern.
Governance-, Review- und Freigabematrix
| Vorgang | Takt / Trigger | Verantwortlich | Freigabe / Review |
|---|---|---|---|
| Onboarding neuer Nutzer / Rollen | bei Bedarf | P2 | P1 oder benannte AG-Freigabe |
| Rechteänderung / Rollenwechsel | bei Bedarf | P2 | P1 / P5 je nach Rolle |
| Entzug von Rechten / Offboarding | unverzüglich bei Rollenende | P2 | Nachweis an P1/P5 |
| Regelmäßiger Berechtigungsreview | mindestens quartalsweise | P2 | P1 / P3 |
| Review der K3-Zugriffe | mindestens quartalsweise | P2 / P3 | P1 |
| Review der Exportliste | mindestens monatlich | P7 / P2 | P1 |
| Review der Log- und Incident-Lage | mindestens monatlich, bei Bedarf ad hoc | P2 / P3 | P1 |
| Review der Matrix | mindestens jährlich oder nach CR / Systemänderung | P1 / P2 / P3 | AG-Freigabe |
| Break-Glass-Zugriff Nachreview | innerhalb 1 Arbeitstag | P2 | P1 / P3 |
| Subunternehmer-/Prüforganisationsfreigabe | vor erstem Zugriff | P5 / P2 | P1 / P3 |
Verbindliche Sonderregeln für den TTS-Betrieb
Keine Schatten-Systeme: Excel-, E-Mail- oder lokale Listen mit betriebsrelevanten Stamm- oder Bewegungsdaten sind unzulässig, sofern nicht ausdrücklich freigegeben und systemisch rückführbar.
Trennung von Technik- und Personendaten: Technischer Anlagenstatus darf in TTS-Prozessen breit genutzt werden; personenbezogene Rohdaten nur ausnahmsweise und fallbezogen.
Service Desk mit minimalem Personenbezug: Der Service Desk verarbeitet nur diejenigen personenbezogenen Daten, die für Meldung, Rückfrage, Eskalation und Rückmeldung erforderlich sind.
Exports nur zweckgebunden: Jeder Ad-hoc-Export ist zu begründen, freizugeben, zu protokollieren und nach Zweckerfüllung zu löschen.
Keine unkontrollierten Medienbrüche: Papier, Fotos, Screenshots, Messenger und private Speichermedien dürfen nicht zum parallelen Schattenprozess werden.
Adminrechte sind Ausnahmefälle: Dauerhafte Vollrechte für Fach- oder Betriebsrollen sind ausgeschlossen.
Nachunternehmer erhalten nur temporäre, aufgabenbezogene Rechte und nur für den freigegebenen Zeitraum.
Rohdaten aus Zutritt, Besucher- oder Videotechnik verbleiben in den Ursprungssystemen, sofern keine ausdrückliche abweichende Regelung getroffen wurde.
Schlussbestimmung
Diese Datenschutz-, Datensicherheits- und Berechtigungsmatrix ist so anzuwenden, dass der TTS-Betrieb die Anforderungen aus Verfügbarkeit, Betreiberpflichten, Auditfähigkeit, direkter CAFM-Anbindung und mobilem Arbeiten erfüllt, ohne die Grundsätze von Zweckbindung, Datenminimierung, Vertraulichkeit, Speicherbegrenzung und Zugriffsbeschränkung zu verletzen. Sie bildet damit die operative Klammer zwischen TTS-Leistungsmodell, Service-Desk-Logik, CAFM-Führungssystem, HSE-/Notfallprozessen, Prüf- und Wartregime sowie den datenschutz- und informationssicherheitsrechtlichen Mindestanforderungen.
Als nächste Anlage ist ein separater Lösch-, Aufbewahrungs- und Exportplan mit projektspezifischen Fristen sinnvoll.