GDPR und Besuchermanagement: Ein praktischer Leitfaden

Wenn Sie ein Unternehmen besitzen, haben Sie sicher schon von der GDPR gehört. Dabei handelt es sich um eine umfangreiche Datenschutzverordnung, die 2018 in Kraft getreten ist und Unternehmen in der Europäischen Union (und darüber hinaus) betrifft. Im Wesentlichen geht es darum, die personenbezogenen Daten der Menschen zu schützen und sicherzustellen, dass die Unternehmen sie ordnungsgemäß erfassen und verarbeiten.

Sicherlich haben Sie inzwischen einige notwendige Schritte unternommen, um Ihr Netzwerk zu sichern, aber haben Sie auch an Ihr Besuchermanagement-system gedacht? Während Sie den Überblick darüber behalten, wer in Ihrem Unternehmen ein- und ausgeht, müssen Sie auch sicherstellen, dass Sie die GDPR-Regeln einhalten.

Es gibt viele verschiedene Möglichkeiten, Besucher zu verwalten. Unabhängig davon, ob Sie Papierprotokolle oder ein digitales System verwenden, ist es wichtig, eine solide Strategie zu haben, um sicherzustellen, dass Sie personenbezogene Daten von Besuchern auf legale Weise erfassen und verarbeiten.

In diesem Artikel werden wir uns mit den folgenden Fragen befassen:

Die Allgemeine Datenschutzverordnung (GDPR) ist das strengste Gesetz seiner Art. Es geht darum, dem Einzelnen mehr Kontrolle über seine personenbezogenen Daten und deren Verarbeitung zu geben. Sie gilt für jedes Unternehmen, das personenbezogene Daten von Personen in der Europäischen Union (EU) verarbeitet, unabhängig davon, wo sich das Unternehmen befindet.

Um sicherzustellen, dass sich die Unternehmen an die Regeln halten, wurden in der DSGVO sieben Grundsätze festgelegt, die Unternehmen bei der Erhebung, Verwendung und Speicherung personenbezogener Daten beachten müssen. Diese Grundsätze sind:

Rechtmäßigkeit, Fairness und Transparenz

Personenbezogene Daten müssen auf transparente Weise verarbeitet werden, ohne gegen Gesetze oder Vorschriften zu verstoßen. Organisationen müssen für die Verwendung und Speicherung personenbezogener Daten um Zustimmung bitten. Dies bedeutet, dass den Menschen genau erklärt werden muss, wofür ihre personenbezogenen Daten verwendet werden, und dass sie die Möglichkeit haben, zuzustimmen oder abzulehnen.

Zweckbindung

Organisationen müssen einen klaren Zweck für die Erhebung personenbezogener Daten haben, z. B. Sicherheits- oder Marketingzwecke.

Datenminimierung

Unternehmen sollten nur die personenbezogenen Daten erfassen, die für einen bestimmten Zweck tatsächlich benötigt werden. Wenn ein Unternehmen beispielsweise personenbezogene Daten zu Sicherheitszwecken erhebt, sollte es nur die Informationen abfragen, die es zur Gewährleistung der Sicherheit seiner Systeme und Einrichtungen benötigt.

Datengenauigkeit

Die personenbezogenen Daten, die ein Unternehmen sammelt und verarbeitet, müssen korrekt und aktuell sein.

Begrenzung der Speicherung

Personenbezogene Daten dürfen nicht länger aufbewahrt werden, als es für den jeweiligen Zweck, für den sie erhoben wurden, erforderlich ist.

Integrität und Vertraulichkeit

Unternehmen müssen geeignete Maßnahmen ergreifen, um die von ihnen erhobenen und verarbeiteten Daten zu schützen. Das bedeutet, dass sie über Sicherheitsvorkehrungen verfügen müssen, um den unbefugten Zugriff auf personenbezogene Daten zu verhindern und um sicherzustellen, dass die Daten nicht verloren gehen, beschädigt oder anderweitig beeinträchtigt werden. So kann eine Organisation beispielsweise personenbezogene Daten, die über das Internet übertragen werden, durch Verschlüsselung schützen oder sichere Anmeldeverfahren einführen, um einen unbefugten Zugriff auf die auf ihren Servern gespeicherten personenbezogenen Daten zu verhindern.

Verantwortlichkeit

Organisationen müssen die Verantwortung dafür übernehmen, wie sie personenbezogene Daten erfassen, verwenden und speichern. Sie müssen über Verfahren verfügen, die sicherstellen, dass sie die Datenschutz-Grundverordnung einhalten. Um die Rechenschaftspflicht zu unterstützen, können einige Organisationen einen Datenschutzbeauftragten (DSB) ernennen, der für die Überwachung der Datenschutzpraktiken zuständig ist.

Die Datenschutz-Grundverordnung räumt dem Einzelnen auch bestimmte Rechte ein. Am bekanntesten ist das “Recht auf Vergessenwerden”, d. h. die Menschen können entscheiden, dass ihre Daten gelöscht werden. Darüber hinaus hat jeder das Recht, auf seine personenbezogenen Daten zuzugreifen und zu erfahren, wie sie verwendet werden, seine Daten auf andere Dienste zu übertragen und der Verwendung seiner Daten für bestimmte Zwecke (z. B. Direktmarketing) zu widersprechen. Und sollte es jemals zu einer Datenschutzverletzung kommen, haben die Betroffenen das Recht, darüber informiert zu werden.

GDPR-Grundsätze

Die Datenschutz-Grundverordnung wurde als Reaktion auf die wachsende Besorgnis über die Art und Weise, wie personenbezogene Daten von Unternehmen erhoben, verwendet und gespeichert werden, eingeführt. Mit dem Siegeszug des Internets und der digitalen Technologien waren viele personenbezogene Daten im Umlauf, und die Menschen machten sich Sorgen, was mit ihnen geschehen könnte. Die Menschen machten sich Sorgen, was mit diesen Daten geschehen könnte. Es wurden Bedenken hinsichtlich des Missbrauchspotenzials sowie der Risiken von Datenschutzverletzungen und anderen Sicherheitsvorfällen laut.

Durch die Festlegung klarer Regeln und Richtlinien und die Möglichkeit für den Einzelnen, mehr Kontrolle über seine personenbezogenen Daten zu erhalten, soll die DSGVO diese Bedenken ausräumen.

Das Wichtigste zuerst: In den Vereinigten Staaten gibt es kein Gesetz, das der DSGVO entspricht. Es gibt jedoch eine Reihe von Bundes- und Landesgesetzen, die die Erhebung, Verwendung und Speicherung personenbezogener Daten regeln, z. B. Gesundheitsinformationen, Kreditauskünfte und Daten von Kindern. Es gibt auch einige bundesstaatliche Gesetze, die sich mit dem Datenschutz befassen, wie das kalifornische Verbraucherschutzgesetz (CCPA).

Aber auch wenn es in den USA kein Gesetz gibt, das genau mit der DSGVO übereinstimmt, müssen amerikanische Unternehmen, die in der EU Geschäfte machen, dennoch die DSGVO befolgen - und das gilt für Unternehmen überall auf der Welt. Das Gesetz gilt für jede Organisation, die personenbezogene Daten von Einzelpersonen in der EU verarbeitet, unabhängig davon, wo sie sich befindet.

Was passiert, wenn Sie die Vorschriften nicht einhalten?

Wenn ein Unternehmen die Datenschutz-Grundverordnung nicht einhält, kann es mit empfindlichen Strafen belegt werden. Dazu können Geldstrafen, Anordnungen zur Einstellung der Verarbeitung oder zur Löschung personenbezogener Daten oder sogar die Aussetzung der Datenverarbeitung gehören.

Gegen eine Reihe von Organisationen, darunter Technologieunternehmen, Banken und andere Unternehmen, wurden bereits Bußgelder nach der DSGVO verhängt.

Dies sind nur einige Beispiele:

Im Jahr 2019 wurde Google von der französischen Datenschutzbehörde (CNIL) mit einer Geldstrafe in Höhe von 50 Millionen Euro belegt, weil das Unternehmen nicht klar genug über seine Datenschutzpraktiken informiert war.
Im Jahr 2020 wurde British Airways von der britischen Datenschutzbehörde (ICO) zu einer Geldstrafe in Höhe von 20 Millionen Pfund verurteilt, weil bei einem Datenschutzverstoß die personenbezogenen Daten von rund 500.000 Kunden preisgegeben wurden.
Im Jahr 2021 verhängte die britische Datenschutzbehörde (ICO) gegen den Hotelkonzern Marriott International eine Geldstrafe in Höhe von 18,4 Millionen Pfund wegen einer Datenschutzverletzung, bei der die personenbezogenen Daten von rund 339 Millionen Gästen preisgegeben wurden.

Fazit: Es ist wichtig, dass Unternehmen die Datenschutzgrundverordnung ernst nehmen, wenn sie nicht mit einer hohen Geldstrafe enden wollen.

Die Einhaltung der DSGVO ist besonders wichtig für Besuchermanagement-systeme, da diese Systeme in der Regel personenbezogene Daten von Personen erfassen, verwenden und speichern, die die Räumlichkeiten einer Organisation besuchen.

Einige der wichtigsten Anforderungen der DSGVO, die für Besuchermanagement-systeme relevant sind, sind:

Einholung der ausdrücklichen Zustimmung, bevor personenbezogene Daten erhoben, verwendet oder gespeichert werden
Bereitstellung klarer und umfassender Informationen darüber, wie die Daten verwendet werden
Umsetzung von Maßnahmen zum Schutz personenbezogener Daten
Das Recht des Einzelnen auf Zugang, Berichtigung oder Löschung seiner personenbezogenen Daten
Das Recht des Einzelnen auf Datenübertragbarkeit, das es ihm ermöglicht, seine personenbezogenen Daten für seine eigenen Zwecke über verschiedene Dienste hinweg zu erhalten und wiederzuverwenden

Es ist wichtig, dass Besuchermanagement-systeme diese Anforderungen erfüllen, um sicherzustellen, dass die personenbezogenen Daten von Einzelpersonen geschützt und die Rechte von Einzelpersonen respektiert werden.

Weiterlesen
Wie man mit der digitalen Besucherregistrierung [in weniger als 30 Minuten] beginnt (/de/blog/wie-sie-in-weniger-als-30-minuten-mit-der-digitalen-besucherregistrierung-beginnen-konnen/). Kalt und unpersönlich? Nur für große Unternehmen? 5 Mythen über digitale Besuchermanagement.

Unabhängig davon, ob Sie ein Gästebuch in Papierform oder eine digitale Besuchermanagement-lösung verwenden, müssen Besucherdaten gemäß der Datenschutz-Grundverordnung behandelt und gespeichert werden. Im Allgemeinen kann ein Papier-Anmeldebogen, der an Ihrer Rezeption herumliegt, in dieser Hinsicht einige Probleme aufwerfen.

Probleme, die auftreten können:

Wenn das Anmeldeformular ungesichert und für Unbefugte zugänglich ist, kann jeder die Daten der vorherigen Besucher in Ihrem Papierprotokoll einsehen.
Es kann sich als schwierig erweisen, nur relevante Daten verschiedener Gästetypen zu erfassen, wenn Sie Anmeldebögen aus Papier verwenden.
Wenn Sie große Mengen personenbezogener Daten sammeln, ist es nicht einfach, den Einzelnen klar und umfassend darüber zu informieren, wie ihre Daten verwendet werden.
Es ist unmöglich, die sichere Aufbewahrung von Gästedaten zu gewährleisten: Papier kann leicht gestohlen, fotografiert oder verlegt werden.
Organisationen müssen in der Lage sein, bestimmte Besucherdaten auf Anfrage zu löschen. Das kann bei der Verwendung von Papierprotokollen kompliziert sein.

Um die Einhaltung der DSGVO zu gewährleisten, können Unternehmen sicherere Alternativen zu Papierprotokollen in Erwägung ziehen, z. B. elektronische Besuchermanagementsysteme, die die Erfassung und Speicherung personenbezogener Daten auf sicherere und transparentere Weise ermöglichen.

Weiterlesen
Die Sicherheit in Ihrem Unternehmen verbessern? Hier sind 7 Möglichkeiten, wie Besuchermanagementsysteme helfen können.
Die Zeit des Besucherprotokolls auf Papier ist vorbei: 7 Gründe für die Abschaffung des Papierprotokolls im Jahr 2023.

Wie können Sie sicherstellen, dass Ihr VMS mit der DSGVO konform ist?

Es gibt eine Reihe von Schritten, die Organisationen unternehmen können, um sicherzustellen, dass ihr Besuchermanagement-system GDPR-konform ist:

1. Zustimmung einholen

Die DSGVO verlangt von Organisationen, dass sie die ausdrückliche Zustimmung von Personen einholen, bevor sie deren personenbezogene Daten verarbeiten. Stellen Sie sicher, dass Ihr VMS den Besuchern die Möglichkeit bietet, zu bestätigen, dass sie die Datenschutzbestimmungen gelesen haben, oder Optionen für die Speicherung von Daten anbietet.

2. Informationen bereitstellen

Die Datenschutz-Grundverordnung besagt, dass Personen ein Recht darauf haben, zu erfahren, was Sie mit ihren Daten vorhaben. Als Unternehmen sind Sie verpflichtet, offen und klar darüber zu informieren, wie die Daten verwendet werden, zu welchem Zweck und wie lange sie gespeichert werden.

3. Sammeln Sie nur, was Sie brauchen

Seien Sie selektiv bei den Informationen, die Sie sammeln: Sie dürfen nur das sammeln, was Sie wirklich brauchen. Um den Check-in-Prozess zu rationalisieren, sollten Sie versuchen, spezielle Verfahren für verschiedene Arten von Gästen zu entwickeln. So müssen Sie beispielsweise für Personen, die Zutritt zu Sicherheitsbereichen benötigen, Angaben zur Sicherheitsüberprüfung machen, während Sie für Essenslieferungen nur den Firmennamen benötigen.

4. Kontrollieren Sie, wer Zugang hat

Unternehmen müssen geeignete Maßnahmen zum Schutz personenbezogener Daten ergreifen. Eine Möglichkeit, die Daten Ihrer Besucher vor neugierigen Blicken zu schützen, besteht darin, eine Zugangskontrolle einzurichten, damit nur befugtes Personal auf die Daten zugreifen kann.

5. Informationen entschlüsseln

Cloud-basierte Besuchermanagement-systeme bieten eine sichere Möglichkeit, Daten zu speichern. Sie verwenden verschlüsselte Datenbanken und HTTPS-Webübertragungen zum Schutz vor unbefugtem Zugriff.

6. Respektieren Sie die Rechte des Einzelnen

Denken Sie daran, dass Besucher ihre Zustimmung jederzeit widerrufen können. Als Unternehmen müssen Sie in der Lage sein, deren Daten auf Wunsch zu entfernen, zu anonymisieren oder zu ändern. Einige Besuchermanagement-systeme ermöglichen es Ihnen, den Besuch zu protokollieren, aber identifizierende Informationen wie den Namen und das Unternehmen des Besuchers zu entfernen.

7. Behalten Sie den Überblick über die Datenverarbeitungsaktivitäten

Als Organisation sind Sie verpflichtet, Aufzeichnungen über Ihre Datenverarbeitungstätigkeiten zu führen. Welche Art von Daten erheben Sie? Wofür verwenden Sie sie? Und an wen geben Sie sie weiter?

Besuchermanagement-systeme sind ein wichtiges Instrument für Organisationen, die den Überblick über die Personen behalten müssen, die ihre Räumlichkeiten besuchen. Indem sie die oben genannten Schritte befolgen, können Organisationen sicherstellen, dass ihr Besuchermanagement-system GDPR-konform ist und dass sie die personenbezogenen Daten ihrer Gäste gemäß den Anforderungen des Gesetzes schützen.

Vizito nimmt den Datenschutz ernst. Die folgenden Funktionen sorgen dafür, dass Ihr Unternehmen bei der Erfassung von Besucherdaten GDPR-konform ist:

Holen Sie Einwilligungen von Ihren Besuchern ein
Legen Sie fest, wer Zugriff auf Besucherdaten hat
Richten Sie verschiedene Besuchertypen ein, um sicherzustellen, dass Sie nur die Informationen sammeln, die Sie benötigen
Legen Sie fest, wann die Besucherdaten automatisch gelöscht werden sollen.
Alle Daten werden sicher auf den Vizito-Servern gespeichert

Um ein Gefühl dafür zu bekommen, wie ein modernes Besuchermanagement-system Ihrem Unternehmen zu mehr Wachstum verhelfen kann, testen Sie Vizito kostenlos während einer 14-tägigen Testphase. Chatten Sie mit uns oder buchen Sie eine Demo, um zu besprechen, wie Vizito Ihnen helfen kann, Ihren Empfang zu verbessern.

Haben Sie noch mehr Fragen? Dies sind die 7 häufigsten Fragen zur digitalen Besuchermanagement - und unsere Antworten.