Ist die Schlüsselliste vollständig und aktuell?

Eberhard Häcker • 30. Oktober 2023

Der kleine feine Datentipp

Lesezeit: ca. 6 Minuten

Schlüsselbund


In vielen Betrieben liegt das Schlüsselmanagement beim Facility Management. Dennoch haben Datenschutzbeauftragte hier eine Überwachungsaufgabe laut Datenschutz-Grundverordnung. Wie Sie in acht Schritten sicherstellen, dass es wegen Schlüsseln nicht zu Datenpannen kommt.


Schlüsselliste und Schlüsselmanagement


Wer hat die Schlüsselliste?


In vielen Betrieben ist das Facility Management (oder altmodisch: Hausmeisterin oder Hausmeister) für die Vergabe der Schlüssel zuständig. Je größer das Unternehmen, desto mehr Schlüssel fallen in diesen Verantwortungsbereich. Wer da den Überblick behalten möchte, braucht ein strukturiertes Vorgehen.


Wie viele Schlüssel vorhanden sein müssten


Die erste Frage könnte lauten: Wie viele unterschiedliche Schlösser gibt es überhaupt? Für jedes dieser Schlösser sind mutmaßlich mehrere Schlüssel vorhanden, klar. Viele Beschäftigte, sofern nicht gerade im Home-Office, müssen im Unternehmen in die Räume kommen können, wo sie tätig sind. Zumindest ein Teil der Räume ist in aller Regel mit einem elektronischen Schließsystem gesichert. Noch immer gibt es aber meistens Räume, die mit einem herkömmlichen Schlüssel auf- und zugeschlossen werden. Darum ist in der Regel eine bestimmte Anzahl von Schlüsseln in Umlauf. Aber sind die alle einsatzfähig? Auch Schlüssel werden gelegentlich beschädigt oder sogar zerstört. Was passiert dann? Wird das gemeldet? Wird es dokumentiert?


quote

"Je länger ein Schließsystem besteht, desto größer die Wahrscheinlichkeit, dass Schlüssel verlorengegangen oder Personen ausgeschieden sind, ohne ihren Schlüssel zurückzugeben. Umso wichtiger ist es, dass die Schlüsselliste, das Verzeichnis aller ausgegebenen Schlüssel, aktuell und vollständig ist."

Das betriebliche Schließsystem


Zu einem Schließsystem gehören mehrere Türen in einem Geschäftsbereich, die sich mit ein- und demselben Schlüssel auf- und zuschließen lassen. Das sind die sogenannten Gruppen- oder Hauptschlüssel. Daneben gibt es aber auch für jeden einzelnen Raum eigene Schlüssel, also Einzelschlüssel. Und dann gibt es noch die Generäle. Wer einen Generalschlüssel hat, trägt die volle Verantwortung, kann grundsätzlich jeden Raum öffnen und schließen. Normalerweise ist das neben der schon erwähnten Hausmeisterin die Geschäftsführung.



Strukturierte Vergabe der Schließberechtigungen


Wer Schlüssel ausgibt, tut das in der Regel in einem strukturierten Prozess. Vorgesetzte entscheiden, wer wo hineinkommen soll – für wen also für welche Räume ein Zutrittsrecht gilt. Diese Anforderung gleicht man mit dem Schließplan ab und entscheidet, welche Schlüssel an wen ausgegeben werden. Das beginnt oft genug mit der Tiefgarage, geht über Haupt- oder Nebeneingang, Gebäudeteile wie etwa die eigene Abteilung und schließlich das Büro, wo sich der Arbeitsplatz befindet. Dazu kommen Nebenräume wie Kopierer oder Toiletten. Und das alles sollte idealerweise mit einem einzigen Schlüssel erreichbar sein.


Verlustmeldung


Aber ob nun einer oder mehrere – was, wenn Schlüssel verlorengehen? Normalerweise sind Schlüsselinhaber verpflichtet, den Verlust eines Schlüssels unverzüglich zu melden. Schließlich muss der Betrieb schnell reagieren, damit nicht unbefugte Schlüsselfinder (oder Schlüsseldiebe) einfach in die Geschäftsräume einmarschieren. Je umfassender die Schließberechtigungen, desto größer der mögliche Schaden. Geht ein General verloren, müssen unter Umständen sehr viele Schlösser ausgetauscht werden.


Schlüsselliste vollständig und aktuell


Je länger ein Schließsystem besteht, desto größer die Wahrscheinlichkeit, dass Schlüssel verlorengegangen oder Personen ausgeschieden sind, ohne ihren Schlüssel zurückzugeben. Umso wichtiger, dass die Schlüsselliste, das Verzeichnis aller ausgegebenen Schlüssel, aktuell und vollständig ist. Ist das nicht der Fall, wächst die Unsicherheit. Je größer die Lücken sind, desto schwieriger wird die Aufklärung, wenn etwas schiefgeht.


Das sind also die wesentlichen Voraussetzungen für ein erfolgreiches Schlüsselmanagement: Der Überblick über alle Schlüssel ist vollständig und jederzeit auf dem neuesten Stand. Und es ist sichergestellt, dass tatsächlich alle Schlüssel noch da sind.



Risiken eines mangelhaften Schlüsselmanagements


Unbefugte in geschützten Räumen


Sind Schlüssel im Umlauf, die sich niemandem zuordnen lassen, steigt die Gefahr, dass sich jemand Zutritt zu Räumen verschafft, der dort nichts zu suchen hat. Das muss nicht immer einen kriminellen Hintergrund haben. Unachtsamkeit kann genauso zu Schäden führen wie der bewusste Versuch, Schaden anzurichten. Wenn Kollegen untereinander Schlüssel ausleihen und vergessen, sie zurückzufordern, kann etwa ein Archiv oder ein anderer wichtiger Raum plötzlich von Unbefugten betreten werden. Der Supergau, dass ein solcher Schlüssel dann auch noch verloren geht, kann den Austausch von Schlössern nötig machen.



Nichts Genaues weiß man nicht


Wenn man nicht mehr sauber zuordnen kann, wer welchen Raum betreten darf, lässt sich bei Schlüsselmissbrauch schwer ermitteln, wer den Missbrauch verursacht hat. Ein verloren gegangener oder gestohlener Schlüssel kann schließlich dazu führen, dass unbefugte Personen ohne Erlaubnis wichtige Räume betreten und unbefugten Zugriff auf personenbezogene Daten oder Geschäftsgeheimnisse erlangen.


Zahlt das die Versicherung?


Kommt es durch kriminelle Handlungen zu Schäden, wird normalerweise die entsprechende Versicherung in Anspruch genommen. Die will natürlich wissen, ob Fahrlässigkeit ausgeschlossen werden kann. Führt das Unternehmen keinen Nachweis über alle Schlüssel, mit denen der betreffende Raum oder Geschäftsbereich geöffnet werden konnte, kann das eine Obliegenheitsverletzung darstellen. Diese hätte wiederum zur Folge, dass der Versicherungsschutz möglicherweise nicht mehr greift.


Besser den Überblick behalten


Es gibt also wichtige Gründe, warum ein unvollständiger Überblick über Schlüssel zu Gefährdungen führt. Je unvollständiger die Schlüsselliste, desto größer das Risiko.



Die Schlüsselliste und der Datenschutz


Zutrittskontrolle


Räume, wo personenbezogene Daten verarbeitet werden, sind gemäß Datenschutz-Grundverordnung (DSGVO) angemessen vor unbefugten Zutritten zu schützen. Das geht natürlich nur, wenn die Schließberechtigungen eindeutig und strukturiert verwaltet werden. Sind Schlüssel verlorengegangen und nicht mehr auffindbar, kann davon keine Rede sein.


Vertrauen ist gut, Kontrolle ist ratsam


Es lohnt sich, ab und zu einmal beim Hausmeister, Facility Manager oder Caretaker vorbeizugehen und zu prüfen, ob die ausgegebenen Schlüssel zum einen ordentlich dokumentiert sind und es zum anderen Hinweise gibt, dass möglicherweise einzelne Schlüssel verloren gegangen sind – und wie im zweiten Fall damit umgegangen wurde.


Gesetzliche Pflicht


Wer ist hier zuständig? Klare Antwort: Datenschutzbeauftragte. Diese Aufgabe zählt zu ihren Überwachungsaufgaben, das macht die Datenschutz-Grundverordnung (DSGVO) in Artikel 39 deutlich. Leider wird sie in der Praxis zu selten wahrgenommen. Umso wichtiger, darauf hinzuweisen: Es gehört zu den Aufgaben des Datenschutzes, sicherzustellen, dass Schlüssel rechtmäßig vergeben werden – und eben auch wirklich vorhanden sind.




In acht Schritten zu einem guten Schlüsselmanagement


Tipp Nr. 1

Stellen Sie sicher, dass es eine vollständige Schlüsselliste mit allen ausgegebenen Schlüsseln gibt.

Tipp Nr. 2

Halten Sie die Schlüsselliste vollständig und aktuell.

Tipp Nr. 3

Prüfen Sie, bei welchen Schlüsseln eine Kontrolle sinnvoll ist, ob sie noch da sind. Dazu wird etwa der Schlüsselinhaber aufgefordert, den Schlüssel zu einem bestimmten Zeitpunkt an einer bestimmten Stelle vorzuzeigen. Jede erfolgte Vorlage wird dokumentiert. 

Tipp Nr. 4

Machen Sie den richtigen Umgang mit Schlüsseln zum Gegenstand regelmäßiger Schulungen. 

Tipp Nr. 5

Wer einen Schlüssel erhält, sollte verpflichtet werden, vorschriftsmäßig damit umzugehen und den Verlust eines Schlüssels sofort zu melden.

Tipp Nr. 6

Sollte auffallen, dass jemand beim Ausscheiden aus dem Betrieb Schlüssel mitgenommen hat, muss entweder das betroffene Schloss ausgetauscht werden oder Sie versuchen, den Schlüssel zurückzuerhalten. 

Tipp Nr. 7

Datenschutzbeauftragte sollten regelmäßig die Dokumentation über ausgegebene Schlüssel überprüfen.

Tipp Nr. 8

Für Datenschutz­beauftragte empfiehlt sich, die Dokumentation des Schlüssel­managements in den Datenschutz-Jahresbericht aufzunehmen. 


Das ist die Kernfrage für gutes Schlüsselmanagement: Ist eine Schlüsselliste vorhanden und ist sie vollständig und aktuell?


Wir wünschen viel Erfolg beim strukturierten Schlüsselmanagement!

Bei Datenschutz-Fragen Team Datenschutz fragen.


Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

15. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 14. Dezember 2025
Dieses Türchen verbindet Alltag, Risiko und Weihnachtszauber und zeigt, warum Datenschutz in Behörden nicht nur Pflicht ist – sondern Menschenschutz.

14. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 13. Dezember 2025
Das heutige Adventskalender-Türchen ist für alle, die wissen wollen, wie Datenschutz auch auf vier Rädern funktioniert.

13. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 12. Dezember 2025
In dieser warm erzählten Adventsgeschichte zeigt ein Fuhrparkleiter, wie man mit Ruhe, Respekt und Know-how eine stille Datenpanne verhindert und gleichzeitig das gesamte Unternehmen verbessert.

12. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 11. Dezember 2025
VPN, Verschlüsselung und richtige Reihenfolge entscheiden, ob ein Angreifer nur bunte Datenpakete sieht oder ob ein echtes Risiko entsteht.

11. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 10. Dezember 2025
Nicht jeder Held trägt einen Umhang. Diese Geschichte erzählt von einem Kollegen, der mehr Sicherheit schafft als jede technische Maßnahme.

10. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 9. Dezember 2025
Was tun, wenn ein externer Partner einen Datenschutzfehler verursacht? Ein spannendes Türchen über Krisenkompetenz, Vertrauen und echtes Projekt-Leadership.

9. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 8. Dezember 2025
Wie gewinnt man Kunden, wenn Budgets wie dünne Eiszapfen wirken? Indem man zeigt, dass Datenschutz nicht nur Ressourcen kostet, sondern sich auszahlen kann.

8. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 7. Dezember 2025
Das 8. Türchen zeigt humorvoll, wie ein unscheinbarer Router zum Risiko wird und wie ein IT-Kollege mit viel Fachkenntnis (und etwas Übermut) eine kritische Situation sichtbar macht.

7. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 6. Dezember 2025
Was passiert, wenn ein Team erkennt, dass ein Kollege unterzugehen droht? In dieser warmen Adventsgeschichte wird aus Stress eine stille, liebevolle Rettungsaktion.
Mehr anzeigen