Fachartikel aus PROTECTOR Special Zutrittskontrolle 2018, S. 18 bis 23

PROTECTOR & WIK Forum Zutrittskontrolle 2018 Verordnete Sicherheit?

DSGVO – dieses Kürzel wurde in den letzten Monaten vielfach thematisiert, teils auch auf unseriöse Weise. Umso wichtiger schien es, im Rahmen des Forums Zutrittskontrolle 2018 sachlich zu erörtern, wie die Konzeption und der Betrieb von Zutrittssystemen durch die seit Ende Mai gültige Datenschutzgrundverordnung beeinflusst werden.

Bild: Michael Gückel
(Bild: Michael Gückel)

Moderator Volker Kraiss schloss zu Beginn der Diskussion an die Themen der letzten Jahre an: „Im Rahmen des Forums wurde in der Vergangenheit mehrfach über Themen der Datensicherheit diskutiert und dabei auch Fragen des Datenschutzes thematisiert. Die Datenschutzgrundverordnung 2018 ist nunmehr Fakt und verbindlich anzuwenden. Daher die Frage: Welche Auswirkungen hat die DSGVO konkret auf Hersteller, Errichter und Betreiber von Zutrittsanlagen? Wie groß ist der Handlungsbedarf? Ist dem Betreiber überhaupt bewusst, dass gehandelt werden muss? Wie hat man sich darauf vorbereitet und gibt es praxisbasierte Lösungs- und Organisationsansätze?“ Dass das Thema gerade kurz vor dem 25. Mai auf reges Interesse gestoßen ist, kann Rainer Füess von Tisoware bestätigen: „Die Anfragen von unseren Kunden bezüglich DSGVO haben in letzter Zeit deutlich zugenommen.

Aber man muss sagen, es hat relativ lange gedauert, bis es dazu kam. Erst jetzt, wo die zwei Jahre Übergangsfrist ablaufen, merken wir, dass quasi täglich Anfragen reinkommen. Wir als Softwarehersteller müssen uns dem Thema stellen und die entsprechenden Voraussetzungen schaffen, dass die Anwendung als solche nach der neuen Datenschutzverordnung konform ist. Natürlich muss man auf der anderen Seite auch intern entsprechende Maßnahmen ergreifen – technischer oder organisatorischer Natur. Wir müssen unsere Mitarbeiter schulen, Abläufe dokumentieren, Prozesse definieren und alles, was sonst noch dazu gehört. Der Aufwand ist nicht unerheblich.“ Den hohen internen Aufwand bestätigt Thomas Christian von Bosch: „Bei Bosch ist die DSGVO auch ein sehr großes Thema. Bosch hat ein großes Team aufgestellt, um interne Abläufe und Prozesse konform mit der Datenschutzgrundverordnung zu gestalten. Zudem haben wir unsere Systeme entsprechend geprüft und angepasst, so dass diese datenschutzkonform betrieben werden können. Doch damit nicht genug. Es ist enorm wichtig, die Kunden zu sensibilisieren, wie sie mit den Systemen umgehen müssen, um sich DSGVO-konform zu verhalten.“ Markus Nettelbeck von Assa Abloy Hospitality erklärt: „Bei uns wurde das Thema ebenfalls sehr ernst genommen. Wir haben relativ früh Untersuchungen gemacht, was zu tun ist. Aus den Ergebnissen haben wir dann To-Do-Listen entwickelt. Die Produkte selbst waren da eher im unkritischen Bereich, aber die interne Organisation hat es schon in sich. Wir waren erstaunt, was alles umzustellen und zu beachten ist. Das geht bis zum Vertrag mit dem Dienstleister, der unsere Akten vernichtet.“

Kunden oft noch entspannt?

Robert Karolus sieht sich für Anfragen von Kundenseite gut gerüstet: „Grundsätzlich kann ich sagen: Wir sind vorbereitet, es gibt unsere Software in einer neuen Version, die die Anforderungen der DSGVO unterstützt. Die muss nun an den Kunden gebracht werden, denn es gibt hier durchaus welche, die zehn oder 15 Jahre alte Software einsetzen und nun dringend ein Update machen müssen. Wir sind hier selbst aktiv geworden und haben unseren Kunden eine Empfehlung zukommen lassen, worauf Sie achten sollten.“ Gerhard Haas von phg schildert seine Sicht als Hardware-Anbieter: „Wir haben als Hersteller von Hardware- Komponenten in erster Linie intern mit dem Thema zu tun, denn auf Seiten der Produkte ändert sich hier eigentlich nichts. Denn es ist so: Wenn man eine durchgängige Verschlüsselung hat vom Ausweis bis in die Managementebene hoch, und der Zugriff auf die Datenbank entsprechend geschützt ist, dann muss man sich keine Gedanken machen. Darum müssen sich aber in erster Linie die Anbieter von Software und natürlich die Anwender selbst machen. Denn der Umgang mit dem System ist entscheidend.“ Eine Diskrepanz zwischen geltendem Recht und Realität hat Sebastian Witzmann erkannt: „Es gibt bei der Fragen nach dem Datenschutz zwei Welten. Die eine Welt ist die des Gesetzes, die wird aktuell sehr hoch gehangen. Die andere Welt ist der praktische Alltag beim Kunden. Hier habe ich jeden Tag auch mit Kunden zu tun, denen die Lage noch gar nicht so bewusst ist. Natürlich ist die DSGVO eine Verschärfung in Sachen Datenschutz, aber die wesentlichen Züge dahinter sind relativ alt. Schon vorher gab es ein Bundesdatenschutzgesetz, und Datenverarbeitungsabkommen haben wir schon vor vielen Jahren für unsere Cloud-Lösungen abgeschlossen. Es muss aber wohl noch stärker ins Bewusstsein gelangen. Und wenn man es so sieht: An einem Stück Hardware ist nicht viel in der Hinsicht zu tun, in der Regel ist die Software das Problem und natürlich die Art, wie Menschen mit der Software umgehen.“

Anforderungen an Betreiber

Für Anbieter von Systemen und Software scheint also die Lage relativ klar zu sein, die Produkte sind vorbereitet. Doch bei den Anwendern ist dies offenbar nicht durchgehend der Fall. Dabei sind sie es, die letztlich darüber entscheiden, ob ihr System den Ansprüchen der Datenschutzgrundverordnung genügt. Darauf haben die Hersteller wenig Einfluss. Rainer Füess bestätigt das: „Die Software an sich ist so weit, es gibt eine Version, in der alles Nötige zur Verfügung steht. Darüber hinaus unterstützen wir die Kunden bei der Implementierung, damit sind diese von der Systemseite im Prinzip sicher. Aber dennoch muss der Kunde natürlich seinerseits auch die Prozesse abbilden und bei seinen internen Abläufen die Konformität sicherstellen.

Das können wir nicht kontrollieren.“ Hilfestellung zu geben, findet auch Thomas Christian wichtig: „Wir informieren unsere Kunden selbstverständlich, worauf zu achten ist. Die Aufgabe ist, mit dem Kunden gemeinsam Abläufe und Prozesse zu definieren, damit unsere Systeme in der täglichen Praxis datenschutzkonform genutzt werden können. Da gilt es, diverse Dinge zu berücksichtigen, etwa, was wie und wann zu löschen oder zu anonymisieren ist, wie man mit Backups von Daten umgeht und vieles mehr.“ Stefan Dörenbach von Genetec ergänzt: „Wir haben für unsere Kunden anlässlich der DSGVO einen Leitfaden herausgebracht, der immerhin noch knapp zwölf DIN-A4-Seiten umfasst. Darin geht es auch um organisatorische Dinge wie das Löschen, aber auch um das Recht des Zugriffs. Betroffene können nicht nur sagen, sie möchten, dass ihre Daten gelöscht werden, sondern sie können die sie betreffenden Daten anfordern und mitnehmen. Als Anwender hat man dann eine bestimmte Zeit, diese herauszugeben. Dafür muss man vorher Prozesse definieren.“ Für Armin Weinmann von Intrakey sind die meisten Anforderungen und Funktionalitäten nicht neu, gleichwohl fanden sie nicht überall Beachtung: „Vieles in der DSGVO ist nichts wirklich Neues für die Branche. Die Softwarelösungen haben nicht erst seit gestern einstellbare Löschfristen und Funktionen, mit denen man Daten zum Beispiel anonymisieren kann. Es gibt Anwender, die heute schon keinen Name und keine anderen personenbezogenen Daten in der Software hinterlegt haben. Die Kehrseite ist natürlich: Das System wird dadurch aufwendiger zu administrieren. Diesen Mehraufwand in der Bedienung bringt der Datenschutz eben auch mit sich.“

In Komplexität gefangen

Komplexität und Aufwand, das sind zwei Aspekte, die im Rahmen der DSGVO gerne genannt werden. Sie sind nicht zu leugnen und treffen nun auch die Falschen, findet Axel Schmidt von Salto Systems: „Was man durchaus kritisch sehen kann, ist, dass die Datenschutzgrundverordnung eigentlich von der EU erzeugt worden ist, um den großen Datenkraken wie Google, Facebook und Co die unkontrollierte Nutzung von Daten zu erschweren. Doch es zeigt sich bereits: Die kleinsten Unternehmen haben die größten Probleme, das betrifft kleine Anwender von Sicherheitssystemen ebenso wie die Errichter. Dabei muss man auch im Verhältnis sehen: In der Zutrittskontrolle werden nicht derart viele Daten erzeugt und verarbeitet.

Oft haben wir nur den Namen und den Nachnamen, im Normalfall nicht einmal ein Geburtsdatum, keine Anschrift und der gleichen. Am sensibelsten sind die Ereignisse, wer wann wo gewesen ist.“ Ludger Weihrauch von Siemens sieht auch Schwierigkeiten bei Dingen, die eigentlich dazu gedacht waren, die tägliche Praxis zu vereinfachen: „Wir agieren auch in der Zutrittskontrolle zunehmend über Fernwartung, um diesen Vorgang schneller und effizienter abzubilden. Aber: Hierbei wird auf Daten zugegriffen. Wie sichert man das Verhalten eines Mitarbeiters, wenn dieser aus der Ferne auf Daten eines Kunden zugreift? Oder: Wer garantiert, dass dort nicht plötzlich jemand anderes sitzt? Es wird schnell kompliziert, wenn man nicht mehr vor Ort ist.

Der Prozess muss genau definiert sein. Außerdem kann es in Sachen Datenschutz durchaus ein Problem sein, wenn ich Daten von A nach B bringe. Da muss man sich fragen: Wie stelle ich das regelkonform an? Diese Detailfragen zeigen bereits: Es steckt eine ganze Menge mehr dahinter, als man vielleicht vordergründig sehen kann. Juristen und Datenschützer betrachten übrigens Vieles auch aus einer anderen Perspektive als wir Hersteller. Die Produkte müssen nach dem Stand der Technik geschützt werden, zum Beispiel durch Verschlüsselungstechniken und starke Passwörter.“ Markus Baba von HID Global spannt den Bogen ebenfalls weiter: „Wir sehen natürlich auch Auswirkungen der DS- GVO, vor allem auf unserer Cloud, in der wir einen Credential Service anbieten. Hier sind wir von unserer Seite komplett konform und besitzen das EU-Siegel GDPR ready. Aber wenn wir an Cloud- Lösungen denken, dann muss man Datenschutz und Datensicherheit im Verbund sehen und sich fragen: Wie sicher ist denn das Rechenzentrum, in dem die Cloud läuft, welches Level an Sicherheit erfüllt es? Welche Sicherheitsstufe kann das Rechenzentrum erreichen, werden Daten gespiegelt, gibt es externen Datenzugriff und wie sicher sind eigentlich die Ausweise, die Zutritt zum Rechenzen trum gewähren?“

DSGVO als Treiber

Damit ist ein gänzlich anderer Aspekt angesprochen, nämlich der der DSGVO als Treiber für mehr Zutritts- und Sicherheitstechnik. Axel Schmidt sieht es so: „Ein Aspekt, der noch zu wenig beachtet wird, ist: Wir sind mit der Zutrittskontrolle eigentlich ein Hilfsmittel für den Datenschutz und sorgen für mehr Sicherheit in Unternehmen. Das sollte man herausstellen, statt zu betonen, die Zutrittskontrolle könnte ein Risiko darstellen. Dagegen lässt sich nämlich schon durch entsprechende Funktionen und Standardeinstellungen einige tun. Wir können Vorarbeit leisten, dass damit die Software DSGVO-konform arbeiten kann.“ Sebastian Witzmann stimmt zu: „Man muss nicht unbedingt nach der Komplexität suchen, sondern vielleicht eher nach der Lösung.

Mehr auf Sicherheit.info

Dann kann man es auch etwas positiver betrachten. Es ist beispielsweise so, dass Datenlecks und Verstöße künftig ge zwungenermaßen früher gemeldet werden müssen, was per se die Sicherheit für alle erhöht. Dann wurde ein weiterer positiver Aspekt genannt: Man braucht die Zutrittskontrolle jetzt mehr. Es eröffnen sich womöglich auch neue Geschäftsfelder.“ Ludger Weihrauch findet: „Es ist grundsätzlich positiv, wenn wir mehr Rechtssicherheit erlangen. Das ist ja auch das Ziel der Gesetzgeber. Und wir müssen zur Kenntnis nehmen, dass wir uns mit der elektronischen Zutrittskontrolle in der Welt der Digitalisierung bewegen, wo Daten unerlässlich sind und deren Sicherheit garantiert sein muss. Wenn die Datensicherheit in Frage steht, werden wir den Sprung in die Welt nicht schaffen. Dennoch bin ich nicht so optimistisch, dass sich durch die DSGVO nun mehr Geschäft generieren lässt. Der Schutz der Daten von Kunden und Lieferanten sowie der Schutz der Daten von Mitarbeitern hat höchste Priorität.“ Stefan Dörenbach plädiert ebenfalls für eine positive Sicht: „Ich finde es durchaus richtig und wichtig, sich zu überlegen, welchen Vorteil es auch bringen kann, wenn man mit der Datenschutzgrundverordnung konform ist. Wir haben unser Produkt bei der Europäischen Kommission eingereicht und das Siegel GDPR-ready erhalten. Das ist natürlich ein Argument, mit dem man als Unternehmen den Kunden belegen kann, dass sie mit dem Produkt auf der sicheren Seite sind. Das ist für die Anwender ein klares Signal und ein Stück Sicherheit.“

Michael Gückel