Datenschutz- und IT-Sicherheitskonzept inkl. Auftragsverarbeitungsvertrag

Anmerkung: In diesem Abschnitt werden die vom Auftragnehmer getroffenen technischen und organisatorischen Sicherheitsmaßnahmen beschrieben.

• Zutrittskontrolle (Physische Sicherheit): Die Betriebsstätten, in denen Daten verarbeitet werden (Rechenzentren, Serverräume), sind gesichert. Es bestehen Zugangsbegrenzungen (Schließsysteme, Chipkarten, Alarmanlagen) und Besucherkontrollen, um unbefugten physischen Zutritt zu verhindern. Nur autorisierte Personen (IT-Administratoren, Wartungspersonal mit Begleitung) haben Zugang zu Server-Infrastruktur.

• Zugangskontrolle (Systemzugang): IT-Systeme (Server, Datenbanken, das Webportal) sind durch Authentifizierungsverfahren geschützt. Jeder Benutzer (Mitarbeiter des Auftragnehmers mit administrativen Aufgaben) erhält individuelle Zugangsdaten. Es gelten starke Passwort-Richtlinien (Mindestlänge, Komplexität, regelmäßige Änderung) und ggf. Zwei-Faktor-Authentifizierung für Administratoren. Fehlversuche werden protokolliert und können zu Sperrung des Accounts führen.

• Zugriffskontrolle (Datennutzung): Die Berechtigungen innerhalb der Systeme sind nach dem Need-to-know-Prinzip vergeben. Nur befugte Mitarbeiter des Auftragnehmers können auf die personenbezogenen Daten zugreifen, und auch diese nur in dem Umfang, der zur Aufgabenerfüllung erforderlich ist (z. B. Support-Mitarbeiter können zur Fehlerbehebung begrenzt Einsicht nehmen, Administratoren voll, etc.). Mitarbeiter des Verantwortlichen (z. B. Administratoren im Webportal) haben nur Zugriff auf Daten ihres Verantwortungsbereichs gemäß dem Rollenmodell (siehe Abschnitt 3). Jede Datenbankabfrage und administrative Tätigkeit wird protokolliert (Audit-Logs), um nachzuvollziehen, wer wann welche Daten eingesehen oder verändert hat. Die Logs sind gegen Manipulation geschützt und werden regelmäßig ausgewertet.

• Weitergabekontrolle (Transport- und Übermittlungssicherheit): Die Übertragung personenbezogener Daten zwischen Auftragnehmer und Verantwortlichem sowie zwischen Endnutzergeräten und dem Server erfolgt verschlüsselt. Das Webportal und die App nutzen aktuelle Transportverschlüsselung (TLS). Daten, die an Subunternehmer (z. B. an einen Reinigungsdienst, falls dieser Zugriff auf das System hätte) übermittelt werden, sind ebenfalls geschützt und nur in pseudonymisierter Form sichtbar, wenn möglich. Exporte oder Datenträger mit personenbezogenen Daten werden ebenfalls verschlüsselt. Es bestehen Regelungen, dass personenbezogene Daten nicht unkontrolliert per E-Mail (und schon gar nicht unverschlüsselt) versendet werden.

• Eingabekontrolle (Protokollierung): Alle Eingaben, Änderungen und Löschungen von personenbezogenen Daten im System werden mit Benutzerkennung, Datum und Uhrzeit protokolliert. Diese Protokolle ermöglichen eine nachträgliche Überprüfung, ob und von wem Daten eingegeben, verändert oder gelöscht wurden. Die Protokolle sind revisionssicher gespeichert und gegen unbefugten Zugriff geschützt. Administratoren des Auftragnehmers werten diese Logs bei Bedarf aus (z. B. bei Fehlersuche oder Verdacht auf unbefugten Zugriff) und informieren den Verantwortlichen bei Auffälligkeiten.

• Auftragskontrolle (Trennung der Verantwortlichkeiten): Der Auftragnehmer stellt durch interne Prozesse sicher, dass Daten ausschließlich entsprechend den Vereinbarungen mit dem Verantwortlichen verarbeitet werden (Art. 28 Abs. 3 lit. a DSGVO). Es gibt klare Weisungsketten und Verantwortlichkeiten: Die Mitarbeiter des Auftragnehmers wissen, dass sie nur nach Weisung handeln dürfen. Etwaige Wartungszugriffe oder Tests erfolgen nur mit Dummy-Daten oder mit ausdrücklicher Zustimmung des Verantwortlichen. Für Support-Zwecke definierte Verfahren stellen sicher, dass z. B. im Echt-System eines Kunden gearbeitet wird, dann besondere Schutzmaßnahmen greifen (kurzzeitige Zugriffsgewährung, Mitloggen von Support-Zugriffen etc.).

• Verfügbarkeitskontrolle (Datensicherung): Um die Verfügbarkeit und Belastbarkeit der Systeme sicherzustellen, implementiert der Auftragnehmer Maßnahmen zur Ausfallsicherheit: Die Server-Infrastruktur ist redundant ausgelegt (RAID-Systeme, ausfallsichere Server bzw. Cloud-Cluster). Es werden regelmäßige Backups aller relevanten Daten erstellt (z. B. tägliche inkrementelle und wöchentliche Vollsicherungen). Diese Backups werden verschlüsselt und an einem physisch getrennten, gesicherten Standort innerhalb der EU aufbewahrt. Es existieren Notfallpläne für den Fall eines Serverausfalls oder Datenverlusts, um die Verfügbarkeit der Daten zeitnah wiederherzustellen (Disaster-Recovery-Plan). Regelmäßige Tests der Datenwiederherstellung (mindestens jährlich) stellen sicher, dass Backups im Ernstfall funktionieren. Des Weiteren gibt es USV-Anlagen und Backup-Hardware, um technische Zwischenfälle zu überbrücken.

• Trennungsgebot: Daten, die der Auftragnehmer für verschiedene Auftraggeber (Kunden) verarbeitet, werden logisch voneinander getrennt, sodass keine Vermischung erfolgt. Im vorliegenden Fall werden die Daten des Verantwortlichen in einer mandantenspezifischen Umgebung gehalten, auf die andere Kunden keinen Zugriff haben. Test- und Produktivdaten sind ebenfalls getrennt: Produktivdaten werden nie unkontrolliert für Tests genutzt.

• Pseudonymisierung und Minimierung: Personenbezogene Daten werden, wo immer möglich, pseudonymisiert oder anonymisiert. Insbesondere beim RFID-Einsatz wird darauf geachtet, dass die RFID-Chips selbst keine direkt personenbezogenen Daten speichern, sondern lediglich Identifikationsnummern. Eine Zuordnung von Kleidungsstücken zu Personen kann im System so gestaltet werden, dass der Auftragnehmer standardmäßig nur pseudonymisierte Kennungen sieht und die tatsächliche Identität nur dem Verantwortlichen bekannt ist (siehe Abschnitt 5). Zudem werden nur solche personenbezogenen Daten erhoben, die für den jeweiligen Zweck erforderlich sind (Datenminimierung). Beispielsweise werden Gesundheitsdaten oder Privatadressen der Mitarbeiter vom Auftragnehmer nicht benötigt und folglich nicht verarbeitet.

• Verschlüsselung: Neben der Transportverschlüsselung (Punkt 4) werden sensible Daten, soweit möglich, auch verschlüsselt gespeichert. Passwörter von Benutzern werden als sichere Hashwerte abgelegt. Die RFID-Identifikationsnummern in der Datenbank könnten verschlüsselt oder gehasht gespeichert werden, um einen zusätzlichen Schutz vor Missbrauch zu bieten. Mobile Endgeräte (wenn z. B. Tablets für Ausgabeautomaten genutzt werden) sind durch Geräteschutzmechanismen und Verschlüsselung gesichert.

• Regelmäßige Überprüfung und Evaluierung: Der Auftragnehmer etabliert ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen. Mindestens jährlich – sowie anlassbezogen (z. B. nach Sicherheitsvorfällen oder signifikanten Systemänderungen) – wird eine interne oder externe Sicherheitsüberprüfung durchgeführt. Dies umfasst Penetrationstests des Webportals/der App, Audit der Berechtigungen, Überprüfung der Protokolle und ggf. eine Datenschutz-Folgenabschätzung bei grundlegenden Änderungen. Die Ergebnisse dieser Überprüfungen werden dokumentiert und nötige Verbesserungsmaßnahmen unverzüglich umgesetzt. Die Geschäftsführung des Auftragnehmers sowie der Datenschutzbeauftragte erhalten Berichte über die Sicherheitssituation.

• Sensibilisierung und Schulung: Alle Mitarbeiter des Auftragnehmers, die mit der Verarbeitung personenbezogener Daten betraut sind, erhalten regelmäßige Datenschutz- und IT-Sicherheitsschulungen. Sie werden über aktuelle Gefahren (Phishing, Social Engineering) aufgeklärt und in den geltenden Datenschutzrichtlinien unterwiesen. So wird gewährleistet, dass das Personal ein hohes Bewusstsein für den Schutz der Daten hat und Sicherheitsrichtlinien einhält.

Durch diese und ggf. weitere Maßnahmen stellt der Auftragnehmer ein dem Risiko angemessenes Schutzniveau sicher, wie es Art. 32 DSGVO fordert. Die Maßnahmen werden dokumentiert und können vom Verantwortlichen überprüft werden. Änderungen der TOM während der Vertragslaufzeit, die das Sicherheitsniveau beeinflussen, werden mit dem Verantwortlichen abgestimmt.

Für das bereitgestellte Webportal bzw. die App zur Kleiderverwaltung wird ein Berechtigungs- und Rollenmodell definiert. Dieses stellt sicher, dass jeder Benutzer nur auf die Daten und Funktionen zugreifen kann, die für seine Rolle erforderlich sind.

• Endnutzer (Mitarbeiter): Endnutzer sind die einzelnen Beschäftigten des Verantwortlichen, die die Berufskleidung tragen. Sie erhalten personalisierte Zugänge zum Webportal oder zur App (z. B. via individuelle Login-Daten oder Single-Sign-On durch den Arbeitgeber). Ein Endnutzer kann ausschließlich die ihn selbst betreffenden Daten einsehen und bearbeiten. Das umfasst z. B. das Profil (Name, ggf. Maße/Größe, ihm zugewiesene Kleidungsstücke mit RFID), seine Bestellhistorie oder aktuellen Ausleihen. Endnutzer können in der App bestimmte Aktionen im Self-Service durchführen, etwa Größenänderungen mitteilen, neue Kleidung anfordern oder defekte Teile melden. Sie sehen jedoch keine Daten anderer Nutzer. Endnutzer haben keine Administrationsrechte. Sie können nur begrenzte Einstellungen vornehmen (z. B. Sprache der App ändern).

• Objektverantwortlicher (z. B. Abteilungs- oder Standortverantwortlicher beim Verantwortlichen): Diese Rolle bezeichnet einen Mitarbeiter des Verantwortlichen, der für die Berufskleidungsorganisation in einem bestimmten Bereich zuständig ist. Objektverantwortliche haben erweiterte Zugriffsrechte im Portal: Sie können die Daten aller Endnutzer ihres Verantwortungsbereichs einsehen. Zum Beispiel ein Werkstattmeister könnte Zugriff auf die Kleiderdaten aller Mitarbeiter seiner Werkstatt haben. Sie sehen, welche Kleidung welchem Mitarbeiter zugeordnet ist, können Bestellungen für ihre Abteilung auslösen oder genehmigen, Größen verwalten und als Ansprechpartner für den Austausch defekter Kleidung agieren. Objektverantwortliche können Berichte über den Kleidungsbestand oder Nutzungsstatistiken ihres Bereichs abrufen. Sie haben jedoch keine Systemadministrationsrechte und keinen Zugriff auf Bereiche, die nicht ihrer Zuständigkeit unterfallen. Objektverantwortliche können typischerweise keine neuen Benutzer anlegen (das bleibt Administratoren vorbehalten) und auch keine globale Systemeinstellungen verändern.

• Administrator (Administrationsrolle beim Auftraggeber und/oder Auftragnehmer):

• Administratoren des Auftraggebers (Kunden-Admin): Vom Verantwortlichen benannte Personen, die in der Webportal-Umgebung ihres Unternehmens vollumfängliche Rechte besitzen. Sie können alle Daten ihres Unternehmens einsehen: sämtliche Mitarbeiterprofile mit zugeordneten Kleidungsstücken, Bestände, Ausleihstatus etc. Sie können neue Endnutzerkonten erstellen oder deaktivieren (z. B. bei Eintritt/Austritt von Mitarbeitern), Rollen zuteilen (z. B. jemanden zum Objektverantwortlichen ernennen) und die Zuweisung von RFID-Kleidung managen. Kunden-Administratoren können außerdem auf erweiterte Berichte zugreifen (unternehmensweite Auswertungen über Bestände, Nutzungshäufigkeit, Verlustquoten etc.). Ihnen obliegt es oft, die Verbindung zwischen Auftraggeber und Auftragnehmer zu halten – sie koordinieren z. B. Sonderanforderungen oder klären Unstimmigkeiten in den Daten.

• Administratoren des Auftragnehmers (System-Admin): Interne Administratoren des Anbieters, die das System technisch betreuen. Sie besitzen Superuser-Rechte, allerdings nutzen sie diese ausschließlich für Wartung, Support und Betrieb. Sie können im Bedarfsfall auf alle Kundendaten zugreifen, tun dies aber nur auf Weisung des Verantwortlichen oder zur Störungsbehebung. Der Zugriff durch Auftragnehmer-Administratoren auf personenbezogene Daten der Endnutzer wird protokolliert und ist durch interne Richtlinien geregelt (siehe Abschnitt 2, Zugriffskontrolle).

• Rechteverwaltung: Das System stellt sicher, dass die Zuweisung von Rollen und Rechten dokumentiert und kontrolliert erfolgt. Jede Rolle ist mit einem festen Rechteprofil hinterlegt. Kombinationen von Rollen sind nur zulässig, wenn keine unzulässigen Rechtekumulationen entstehen (Stichwort Vier-Augen-Prinzip bei kritischen Aktionen). Die Rechte der Benutzer werden regelmäßig überprüft, insbesondere wenn Mitarbeiter das Unternehmen verlassen oder intern wechseln, um sicherzustellen, dass ehemalige Mitarbeiter keinen Zugang haben und Rollenwechsel nachvollzogen werden.

• Grundsätze: Dieses Rollenmodell folgt dem Prinzip der Minimalprivilegien: Jeder Benutzer erhält nur die niedrigsten Rechte, die zur Erfüllung seiner Aufgaben nötig sind. Zugriffe auf personenbezogene Daten sind rollenbasiert beschränkt. Sensible Aktionen (z. B. Löschen von Benutzerkonten, globale Einstellungen ändern) bleiben Administratoren vorbehalten. Der Zugriff der Auftragnehmer-Administratoren auf die Kundendaten erfolgt – soweit möglich – in pseudonymisierter Weise oder in Absprache mit dem Verantwortlichen, um die Privatsphäre der Endnutzer zu wahren.

• Berechtigungskonzept im Self-Service: Für Endnutzer bedeutet das Konzept, dass sie z. B. ihre eigenen RFID-Kleidungsstücke scannen (falls vorgesehen, z. B. via App), und die App gibt nur Auskunft über deren eigene Kleidung. Ein Endnutzer könnte etwa sehen "Du hast 5 Hemden und 2 Hosen im Umlauf, davon sind 1 Hemd und 1 Hose gerade in der Wäsche". Ein Objektverantwortlicher würde aggregierte Informationen sehen wie "In deiner Abteilung sind 50 Hemden und 20 Hosen im Umlauf, diese sind aktuell an folgende Mitarbeiter ausgegeben...". Der Administrator kann global verwalten, etwa definieren, welche Arten von Kleidung im Portfolio sind, oder Einstellungen des Systems ändern (mit Zustimmung des Auftragnehmers, falls es die Plattform betrifft).

Durch diese abgestufte Rollen- und Rechteverteilung wird sichergestellt, dass Zugriffe auf Daten klar geregelt sind und Missbrauchspotenziale minimiert werden. Jeder Benutzer weiß, für welche Daten er verantwortlicht zeichnen darf. Das Rollenmodell ist in internen Richtlinien dokumentiert und den Nutzern bekannt gemacht (insbesondere den Administratoren und Objektverantwortlichen).

In diesem Abschnitt wird festgelegt, wie lange personenbezogene Daten aufbewahrt werden (Speicherfristen), wie Backups gehandhabt werden und welche Routinen zur Löschung von Daten gelten – sowohl im laufenden Betrieb als auch nach Beendigung des Vertrags.

• Speicherfristen im aktiven Betrieb: Personenbezogene Daten der Mitarbeiter im System werden nur so lange gespeichert, wie es für den Zweck der Bereitstellung der Berufskleidung und der Portalnutzung erforderlich ist. Aktive Nutzungsdaten (z. B. aktuelle Kleidungszuordnungen, Kontoinformationen) werden für die Dauer des Beschäftigungsverhältnisses des jeweiligen Mitarbeiters bzw. der Vertragsbeziehung gespeichert. Wenn ein Mitarbeiter aus dem Unternehmen ausscheidet oder keine Berufskleidung mehr erhält, wird sein Portalzugang deaktiviert und seine personenbezogenen Daten werden gemäß den internen Richtlinien gelöscht oder anonymisiert. Konkret kann vorgesehen sein, dass nach Austritt eines Mitarbeiters dessen personenbezogene Daten (Name, Kontaktdaten, Zuordnungen) nach einer Karenzzeit von z. B. 30 oder 60 Tagen gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Diese Karenzzeit ermöglicht ggf. die Rückabwicklung (z. B. Rückgabe noch ausstehender Kleidung) und die Dokumentation offener Vorgänge. Die tatsächliche Löschung erfolgt spätestens, sobald feststeht, dass keine Ansprüche (z. B. fehlende Rückgabe) mehr geltend gemacht werden und keine rechtliche Pflicht zur Aufbewahrung besteht.

• Protokoll- und Bewegungsdaten: Logfiles und Nutzungsprotokolle (z. B. wer wann welche Kleidung abgeholt/zurückgebracht hat, wer sich wann im Portal angemeldet hat) werden aus Gründen der Nachvollziehbarkeit und Systemsicherheit für einen begrenzten Zeitraum aufbewahrt. Ein typischer Richtwert ist z. B. 6 bis 12 Monate für Zugriffslogs, um im Falle von Sicherheitsvorfällen oder Streitfällen (z. B. ob ein Mitarbeiter eine Lieferung abgeholt hat) Ermittlungen zu ermöglichen. Danach werden diese Logs automatisiert gelöscht oder anonymisiert, sofern sie nicht ausnahmsweise länger benötigt werden (z. B. ein konkreter Vorfall in Untersuchung).

• Backup-Policy: Backups enthalten Spiegelungen der produktiven Daten und daher ebenfalls personenbezogene Daten. Das Backup-Konzept sieht typischerweise eine Generationenfolge vor (z. B. tägliche Backups mit Vorhaltezeit X, wöchentliche mit Vorhaltezeit Y). Angenommen: tägliche inkrementelle Backups werden 30 Tage aufbewahrt, monatliche Vollbackups 6 Monate, etc. Diese Backups sind sicher (verschlüsselt) gespeichert und nur autorisiertem Personal zugänglich. Wichtig: Löschungen wirken sich mit Verzögerung auf Backups aus. Wenn in der aktiven Datenbank Daten gelöscht werden, bleiben sie u.U. noch in bestehenden Backups bis zu deren automatischer Überschreibung enthalten. Der Auftragnehmer stellt jedoch sicher, dass keine Wiederherstellung zu produktiven Zwecken allein zum Zweck der Wiederherstellung bereits gelöschter personenbezogener Daten erfolgt. Gelöschte Daten werden nicht reaktiv in das Livesystem übernommen. Nach Ablauf der Backup-Vorhaltezeit werden die Backups mit den gelöschten Daten endgültig vernichtet. Spätestens innerhalb von z. B. 6 Monaten sind daher auch in allen Backups keine personenbezogenen Daten eines gelöschten Mitarbeiters mehr enthalten.

• Im Falle der Beendigung des Vertrags (siehe Abschnitt 1.9) werden Backups weiterhin bis zum Ende ihrer Vorhaltefristen aufbewahrt, jedoch sicher verwahrt und nicht mehr aktiv genutzt. Alternativ kann der Verantwortliche verlangen, dass alle Backup-Datenträger mit dessen Daten nach Vertragsende vorzeitig gelöscht oder herausgegeben werden, sofern dies technisch umsetzbar ist. Der Auftragnehmer garantiert in jedem Fall die Vertraulichkeit auch der verbleibenden Backup-Daten und löscht sie nach Ablauf der Fristen vollständig.

• EU-Datenhaltung: Sämtliche Daten, inklusive Backups, werden auf Servern in der EU/EWR gespeichert (siehe auch Abschnitt 1.2). Externe Cloud-Dienste für Backups oder Archivierung werden nur eingesetzt, wenn sie in Europa gehostet sind oder nachweislich DSGVO-konforme Garantien bieten.

• Löschroutinen und -kontrollen: Der Auftragnehmer implementiert automatisierte Löschroutinen im System, die gemäß den vordefinierten Fristen Daten löschen oder anonymisieren. Beispielsweise kann es regelmäßige Jobs geben, die inaktiven Benutzerkonten nach X Tagen löschen, oder Altlogs entfernen. Diese Routinen werden dokumentiert und ihr einwandfreies Funktionieren regelmäßig geprüft. Sollte eine Löschung aus technischen Gründen ausnahmsweise nicht möglich sein, wird der Auftragnehmer den Verantwortlichen informieren und alternative Maßnahmen ergreifen (z. B. Sperrung der Daten). Alle Löschvorgänge im Rahmen des konzipierten Löschkonzepts werden in einem Löschprotokoll festgehalten (wer hat wann was gelöscht, automatisiert oder manuell). Dieses Protokoll kann vom Verantwortlichen eingesehen werden.

• Datenträgervernichtung: Sofern physische Datenträger mit personenbezogenen Daten aus dem Auftrag ausgemustert werden (Festplatten, USB-Medien, Ausdrucke), erfolgt eine sichere Vernichtung nach gängigen Standards (z. B. Schreddern, Degaussing bei HDDs, zertifizierte Aktenvernichtung). Auf Anforderung wird der Verantwortliche hierüber einen Vernichtungsnachweis erhalten.

Diese Lösch- und Backup-Policy gewährleistet den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO), indem Daten nicht länger als notwendig personenbezogen vorgehalten werden, und sie stellt sicher, dass auch in Sicherungskopien und Archiven die Löschung konsequent umgesetzt wird. Der Auftragnehmer und Verantwortliche stimmen die Fristen und Verfahren regelmäßig auf Aktualität ab, insbesondere wenn sich gesetzliche Vorgaben ändern oder neue Datenkategorien hinzukommen.

Im Rahmen des Mietsystems werden RFID-Chips in der Berufskleidung eingesetzt, um Kleidungsstücke eindeutig zu identifizieren. Dieses Kapitel regelt den datenschutzkonformen Umgang mit der RFID-Technologie, insbesondere im Hinblick auf Personenbezüge.

• Zweck des RFID-Einsatzes: Die RFID-Chips dienen primär der automatischen Erfassung und Verwaltung der Kleidungsstücke – z. B. beim Waschprozess, bei der Ausgabe und Rücknahme oder Inventur. Durch RFID soll sichergestellt werden, dass jedes Kleidungsstück seiner vorgesehenen Verwendung zugeordnet werden kann (z. B. dass gereinigte Kleidung dem richtigen Mitarbeiter zurückgegeben wird und Verwechslungen ausgeschlossen sind). Außerdem ermöglicht die Technologie effizientere Prozesse (schnelleres Zählen, Auffinden und Sortieren der Wäsche).

• Personenbezug und Rechtsgrundlage: Die RFID-Tags selbst speichern keine Personendaten, sondern nur eine eindeutige Identifikationsnummer des Kleidungsstücks. Ein personenbezogener Bezug entsteht jedoch, wenn im Hintergrundsystem diese ID mit einem Mitarbeiter verknüpft wird (z. B. Tag Nr. 12345 gehört aktuell zu Mitarbeiter Max Mustermann). Diese Zuordnung ist für die Erbringung der vertraglichen Leistung in der Regel erforderlich (damit die Kleidung personalisiert ausgegeben werden kann). Die Rechtsgrundlage für diese personenbezogene Verarbeitung ist im Beschäftigungskontext die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bzw. das berechtigte Interesse des Verantwortlichen an einer geordneten Kleiderverwaltung (Art. 6 Abs. 1 lit. f DSGVO), sofern keine überwiegenden Interessen der Mitarbeiter entgegenstehen. In jedem Fall wird der Verantwortliche die Mitarbeiter über den RFID-Einsatz und die damit verbundene Datenverarbeitung transparent informieren (Art. 13 DSGVO) – beispielsweise im Rahmen einer Mitarbeiterinformation zum Kleiderpool. Falls nach nationalem Recht erforderlich (z. B. bei eventueller Mitbestimmung), werden Betriebsrat/Beteiligungsgremien einbezogen und entsprechende Vereinbarungen getroffen.

• Pseudonymisierung und Datenminimierung: Wo immer möglich, wird die Verknüpfung zwischen RFID-Chip und Person pseudonymisiert gestaltet. Das heißt, der Dienstleister (Auftragnehmer) kann nicht ohne Weiteres erkennen, welchem Mitarbeiter ein Chip gehört – z. B. indem das System intern mit pseudonymen Kennungen arbeitet und die Identitätszuordnung nur kontrolliert erfolgen kann. Ein Beispiel: In einem modernen Ausgabesystem wird einem Mitarbeiter beim Entnehmen eines Kleidungsstücks nur temporär eine pseudonyme ID zugeordnet, und beim Zurückgeben wird die Verbindung wieder gelöst. Der Auftragnehmer könnte so nur sehen, dass z. B. RFID-Tag X einem bestimmten Kundenunternehmen zugeordnet war und vielleicht einer Nutzungs-ID, aber nicht direkt "Mitarbeiter Müller". Damit verbleibt das personenbezogene Wissen primär beim Verantwortlichen. Solche Verfahren werden – wo technisch machbar und vom Betriebsablauf her vertretbar – bevorzugt eingesetzt, um die Privatsphäre der Mitarbeiter zu schützen.

• Verbot von versteckter Mitarbeiterüberwachung: RFID-Technologie wird nicht zum Zwecke der Verhaltens- oder Leistungskontrolle der Mitarbeiter eingesetzt. Insbesondere erfolgt keine Ortung der Mitarbeiter über RFID (die Tags haben keine aktive Sendeeinheit und dienen nur der kurzen Distanzidentifikation der Kleidung). Es wird nicht getrackt, wie lange sich ein Mitarbeiter wo aufhält; die RFID-Daten beschränken sich auf die Kleidung im organisatorischen Kontext (z. B. Kleidung X ist gerade im Schrank oder in der Wäsche, nicht "Person X ist um 14:00 Uhr an Ort Y"). Sollte der Verantwortliche Auswertungen über RFID ziehen (z. B. wer wie oft frische Kleidung holt), erfolgt dies nur im Rahmen der erlaubten Zweckbindung (Organisation der Ausstattung) und nicht zur Bewertung des Mitarbeiters.

• Transparenz und Kennzeichnung: RFID-Tags in der Kleidung werden den Mitarbeitern nicht verborgen. Alle Kleidungsstücke mit RFID-Chip werden entsprechend gekennzeichnet (z. B. durch ein RFID-Symbol oder Hinweis in der Kleidung). Den Mitarbeitern wird offen kommuniziert, welche Informationen ausgelesen werden können und wofür sie verwendet werden. Auf Verlangen eines Mitarbeiters kann dieser weitere Informationen zum RFID-System erhalten, etwa ob der Chip deaktiviert werden kann. (In der Regel bleiben die Tags aktiv, da sie zur Verwaltung benötigt werden, aber der Mitarbeiter kann das Kleidungsstück außerhalb der Arbeitsstätte ablegen, so dass keine weitergehende Erfassung erfolgt.)

• Datensparsamkeit bei RFID-Daten: Im System des Auftragnehmers werden pro RFID-Chip nur solche Daten gespeichert, die für die Kleiderverwaltung nötig sind: also in erster Linie die eindeutige Chip-ID, eine Artikelbeschreibung (z. B. "Jacke, Größe L, Modell XY") und der aktuelle Status (bei wem in Nutzung, in Wäsche, im Lager etc.). Historische Bewegungsdaten (wie oft gewaschen etc.) können gespeichert werden, aber wenn möglich ohne direkten Personenbezug, außer dieser ist für den Verantwortlichen erforderlich (z. B. um nachzuhalten, welcher Mitarbeiter welches Teil noch zurückgeben muss). Nach Ausscheiden eines Mitarbeiters wird die Verknüpfung zwischen dem Mitarbeiter und seinen ehemals genutzten RFID-Chips aufgehoben, sodass aus der Historie nicht mehr unmittelbar auf die Person geschlossen werden kann.

• Dokumentation und Datenschutz-Folgenabschätzung: Der Verantwortliche wird den Einsatz von RFID in seinem Verzeichnis der Verarbeitungstätigkeiten dokumentieren, inklusive der Zwecke, Datenkategorien, Technik und Rechtsgrundlage. Sollte der RFID-Einsatz ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der Mitarbeiter mit sich bringen (was hier eher nicht der Fall ist, da primär organisatorisch und nicht überwachend), wird der Verantwortliche ggf. eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Der Auftragnehmer unterstützt hierbei durch Bereitstellung der technischen Details des Systems.

• Optionaler Verzicht auf Personenbezug: Falls der Verantwortliche es datenschutzfreundlicher gestalten möchte, kann das System auch so betrieben werden, dass keine dauerhafte personenbezogene Zuordnung erfolgt. Beispielsweise könnten Kleidungsstücke in einem offenen Pool geführt werden, wobei Mitarbeiter beim Abholen ein beliebiges Stück nehmen und das System nur zählt, aber nicht speichert, wer welches Stück hatte (ähnlich dem im Krankenhaus-Artikel beschriebenen temporären Spind-Prinzip). In diesem Fall würde der Personenbezug entfallen oder stark reduziert sein. Allerdings ginge dann der Vorteil der Personalisierung verloren. Diese Entscheidung obliegt dem Verantwortlichen; der Auftragnehmer kann technisch beide Varianten unterstützen.

• Einsatzanalyse und Wartung: Etwaige Analysen, ob RFID-Tags korrekt funktionieren (Reichweiten, Auslesequoten etc.), werden vom Auftragnehmer in aggregierter Form durchgeführt, ohne unnötig personenbezogene Details auszuwerten. Wenn z. B. festgestellt wird, dass ein bestimmtes Kleidungsstück häufig fehlt, wird dies mit dem Verantwortlichen geklärt (möglicherweise ist der Mitarbeiter verantwortlich oder das Teil defekt), aber es erfolgt keine heimliche Nachverfolgung.

Insgesamt gelten für den RFID-Einsatz alle allgemeinen Datenschutzprinzipien entsprechend: Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung und Integrität. Die RFID-Technik wird ausschließlich zur Verbesserung der Kleiderlogistik eingesetzt, nicht zur Überwachung von Personen. Jede darüberhinausgehende Nutzung (z. B. Kopplung mit Zugangskontrollsystemen, Zeiterfassung etc.) wäre nur nach gesonderter Prüfung und Änderung der datenschutzrechtlichen Grundlage zulässig.

Trotz aller Sicherheitsmaßnahmen können Datenschutzvorfälle (Verletzungen der Sicherheit personenbezogener Daten, sog. Datenpannen) nicht mit absoluter Sicherheit ausgeschlossen werden. Für den Fall, dass beim Auftragnehmer ein solcher Vorfall eintritt, der Daten des Verantwortlichen betrifft, wird folgendes Verfahren zwischen Auftragnehmer und Verantwortlichem vereinbart, um den Anforderungen von Art. 33 DSGVO gerecht zu werden.

• Meldepflicht und Frist: Wird dem Auftragnehmer eine Verletzung des Schutzes personenbezogener Daten bekannt, die Daten aus dem Auftragsverhältnis betrifft, so informiert er den Verantwortlichen unverzüglich. Unverzüglich bedeutet ohne schuldhaftes Zögern – in der Praxis sofort, sobald die relevanten Informationen zum Vorfall vorliegen. Der Auftragnehmer unternimmt größte Anstrengungen, den Verantwortlichen spätestens innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls zumindest vorläufig zu benachrichtigen. Auf jeden Fall erfolgt die Benachrichtigung so rechtzeitig, dass der Verantwortliche seinerseits die Frist von 72 Stunden zur Meldung an die Aufsichtsbehörde einhalten kann (vgl. Art. 33 Abs. 1 DSGVO). Sollte es dem Auftragnehmer ausnahmsweise nicht möglich sein, vollständige Details binnen 24 Stunden zu liefern (z. B. weil die Untersuchung noch läuft), so wird er innerhalb dieser Frist zumindest eine Erstmeldung mit den bisher bekannten Informationen abgeben und kennzeichnen, dass weitere Details nachfolgen. (Beispiel-Ergänzung aus der Praxis: "Der Auftragsverarbeiter meldet dem Verantwortlichen den Vorfall unverzüglich und in jedem Fall innerhalb von 48 Stunden nach Bekanntwerden, mit allen verfügbaren Informationen, um dem Verantwortlichen die fristgerechte Meldung zu ermöglichen".)

• Benachrichtigungsweg und Eskalation: Als primäre Ansprechstelle beim Verantwortlichen wird ein spezifischer Kontakt benannt (z. B. Datenschutzbeauftragter oder IT-Sicherheitsverantwortlicher des Maschinenbauunternehmens). Der Auftragnehmer meldet Vorfälle an diesen Kontakt schriftlich (per E-Mail) und auf Wunsch zusätzlich telefonisch, insbesondere bei schwerwiegenden Vorfällen. Bei sehr kritischen Vorfällen (z. B. laufendes Leck, aktiver Hackerangriff) wird der Auftragnehmer sofort telefonisch die zuständige Stelle beim Verantwortlichen alarmieren, um gemeinsam Sofortmaßnahmen zu koordinieren. Gleichzeitig erfolgt eine schriftliche Zusammenfassung. Interne Eskalation: Der Auftragnehmer verfügt über einen Notfallplan, bei dem zunächst interne Stellen (z. B. Security-Team, Management, Datenschutzbeauftragter des Auftragnehmers) den Vorfall untersuchen und dann schnellstmöglich die Meldung an den Kunden (Verantwortlichen) freigeben.

• Inhalt der Meldung: Die Meldung des Auftragnehmers an den Verantwortlichen enthält alle nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit diese bereits ermittelt werden konnten.

• Beschreibung des Vorfalls: Art der Datenschutzverletzung (z. B. Datenleck, Ransomware-Befall, Fehlversand von Daten etc.), Zeitpunkt und Entdeckungszeitpunkt.

• Betroffene Daten: Kategorien personenbezogener Daten und – soweit quantifizierbar – ungefähre Anzahl der betroffenen Datensätze und Personen (z. B. "Namen und Kleiderzuordnungen von 200 Mitarbeitern könnten betroffen sein").

• betroffene Personen: Ob z. B. Mitarbeiter, und wenn möglich welche Kategorien (alle Mitarbeiter, oder nur die einer bestimmten Abteilung, etc.).

• Folgen und Risiken: Einschätzung der bisherigen und möglichen Auswirkungen des Vorfalls auf die Rechte und Freiheiten der Betroffenen (z. B. Risiko von Identitätsdiebstahl, reputative Schäden, Verlust an Privatsphäre).

• Bereits ergriffene oder geplante Maßnahmen: Was der Auftragnehmer unternommen hat, um den Vorfall einzudämmen und zukünftig zu vermeiden (z. B. System vom Netz getrennt, Passwörter zurückgesetzt, Sicherheitslücke geschlossen) und welche Schritte noch vorgesehen sind (z. B. Information an alle betroffenen Nutzer, Empfehlung an Mitarbeiter, aufmerksam zu sein auf Phishing).

Sollte der Auftragnehmer nicht alle Informationen sofort bereitstellen können (etwa weil die Untersuchung andauert), wird er initiale Informationen liefern und diese kontinuierlich aktualisieren, sobald weitere Erkenntnisse gewonnen werden. Der Verantwortliche wird somit fortlaufend informiert bleiben.

• Dokumentation des Vorfalls: Der Auftragnehmer wird jedes datenschutzrelevante Sicherheitsereignis intern dokumentieren, einschließlich der Fakten zum Vorfall, der getroffenen Abhilfemaßnahmen und aller Kommunikation hierzu. Diese Dokumentation dient zum einen der eigenen Nachbearbeitung und zum anderen als Nachweis gegenüber dem Verantwortlichen und ggf. der Aufsichtsbehörde. Der Verantwortliche benötigt eine solche Dokumentation, da er gem. Art. 33 Abs. 5 DSGVO verpflichtet ist, Verletzungen und deren Umstände zu dokumentieren. Der Auftragnehmer stellt dem Verantwortlichen daher einen abschließenden Incident-Bericht zur Verfügung, sobald der Vorfall aufgearbeitet ist. Darin sind alle relevanten Informationen zusammengestellt (Zeitablauf, Betroffenheitsanalyse, Maßnahmen, Verantwortlichkeiten). Auf Wunsch des Verantwortlichen stellt der Auftragnehmer auch Zwischenberichte zur Verfügung.

• Weitere Zusammenarbeit und Kommunikation: Der Auftragnehmer unterstützt den Verantwortlichen bei der Erfüllung ggf. weiterer Meldepflichten. Insbesondere, falls sich herausstellt, dass der Vorfall ein hohes Risiko für die Rechte und Freiheiten der Mitarbeiter mit sich bringt und der Verantwortliche daher Betroffene informieren muss (Art. 34 DSGVO), wird der Auftragnehmer bei der Erstellung der Mitteilungen mitarbeiten (z. B. indem er dem Verantwortlichen klare Informationen liefert, die dieser an die Mitarbeiter weitergeben kann). Ebenso unterstützt der Auftragnehmer bei Anfragen der Datenschutz-Aufsichtsbehörde im Zusammenhang mit dem Vorfall – er wird auf Anweisung des Verantwortlichen erforderliche Auskünfte erteilen.

• Erkennung: Mitarbeiter, der einen Vorfall bemerkt, meldet ihn sofort an das interne Security/IT-Team.

• Bewertung: Das Security-Team beurteilt Schwere und Umfang (ggf. Einbeziehung DSB).

• Kommunikation an Geschäftsführung: Bei schweren Vorfällen wird unverzüglich die Geschäftsführung/des Datenschutzverantwortlichen des Auftragnehmers informiert.

• Meldung an den Kunden: Freigabe der Meldung an den Verantwortlichen (spätestens binnen 24h wie oben beschrieben).

• Kontinuierliche Updates: Tägliche oder laufende Berichte an den Verantwortlichen, bis Vorfall bewältigt.

• Abschluss und Nachbereitung: Abschlussbericht an Verantwortlichen, interne Lessons Learned, Verbesserung der Sicherheitsmaßnahmen.

• Verpflichtung zur Prävention und Nachbearbeitung: Nach einem Vorfall wird der Auftragnehmer unverzüglich Schritte unternehmen, um weitere Schäden zu verhindern (z. B. Sicherheitslücke schließen) und Wiederholungen zu vermeiden. Dies kann technische Fixes, aber auch Schulungen oder disziplinarische Maßnahmen (falls z. B. ein Mitarbeiter fahrlässig handelte) beinhalten. Solche Verbesserungsmaßnahmen teilt der Auftragnehmer dem Verantwortlichen mit.

Der hier beschriebene Prozess stellt sicher, dass der Verantwortliche in die Lage versetzt wird, seiner gesetzlichen Meldepflicht innerhalb von 72 Stunden nachzukommen und etwaige Folgemaßnahmen (wie Benachrichtigung der Betroffenen) fundiert durchzuführen. Beide Parteien vereinbaren, im Falle eines Datenschutzvorfalls eng zusammenzuarbeiten und offen zu kommunizieren, um den Schaden für die Betroffenen möglichst gering zu halten und die Situation unter Kontrolle zu bringen.

Mit diesen umfassenden Regelungen im Vertragsanhang – bestehend aus dem Auftragsverarbeitungsvertrag und den ergänzenden Bestimmungen zum Datenschutz- und IT-Sicherheitskonzept – wird sichergestellt, dass die Zusammenarbeit beim Mietvertrag über RFID-berüstete Berufskleidung DSGVO-konform, transparent und sicher gestaltet ist. Beide Parteien erkennen die Verbindlichkeit dieser Anlage an und werden die hier festgelegten Maßnahmen und Pflichten einhalten.