Zutrittskontrollprozesse

Ein strukturiertes Einlass-/Auslassprotokoll definiert, wie Personen das Gelände betreten und verlassen dürfen. Sicherheitsmitarbeiter prüfen üblicherweise am Eingang die Identität (z.B. Sichtkontrolle eines Dienstausweises oder elektronische Authentifizierung am Drehkreuz). Je nach Sicherheitsstufe der Liegenschaft kann der Zugang rein manuell durch Wachpersonal, vollautomatisiert per Kartenterminal oder kombiniert erfolgen. In Bereichen mit erhöhtem Schutzbedarf kommen oft Zwei-Faktor-Authentifizierungen zum Einsatz, z.B. das Vorzeigen eines Ausweises plus eine biometrische Überprüfung (Fingerabdruck, Iris-Scan), bevor eine Tür freigeschaltet wird. Solche dualen Maßnahmen erhöhen die Sicherheit und stellen sicher, dass nur berechtigte Personen Zugang zu Hochsicherheitszonen erhalten. Zugleich sollten Türen und Tore mit Sensoren überwacht werden (Türkontakt, Zeitschloss), um zu erkennen, wenn eine Tür unberechtigt geöffnet oder zu lange offen gehalten wird – dies kann automatische Alarme auslösen, die vom Sicherheitspersonal geprüft werden.

Der Zugang für Besucher wird in dem Konzept gesondert geregelt. Üblich ist, dass die besuchende Person von einer internen Abteilung vorangemeldet wird (z.B. durch Eintrag in ein Besuchersystem oder Mitteilung an den Empfang). Am Empfang meldet sich der Besucher an und legitimiert sich mit einem Ausweis (Personalausweis oder Führerschein). Ein Besucherausweis wird ausgestellt, der gut sichtbar getragen werden muss und in vielen Fällen nur für bestimmte Bereiche und eine begrenzte Dauer gültig ist. Moderne Besuchermanagement-Systeme ermöglichen sogar eine Vorregistrierung, sodass Gäste am Besuchstag ihren Ausweis schneller erhalten und sich nicht mehr handschriftlich in Papierlisten eintragen müssen. In sensiblen Einrichtungen ist es vorgeschrieben, dass Besucher sich nur in Begleitung von autorisierten Mitarbeitern in nicht-öffentlichen Zonen aufhalten dürfen. Das Besucherprotokoll – ob digital oder analog – dient zur Nachverfolgung, wer sich wann im Gebäude aufgehalten hat. Wichtig ist dabei die Einhaltung des Datenschutzes: Besucherdaten dürfen nur zweckgebunden verwendet und nicht länger als erforderlich aufbewahrt werden. Die DSGVO-Compliance ist gerade im Besuchermanagement essenziell, da hier personenbezogene Daten von Gästen erfasst, gespeichert und verarbeitet werden. Daher müssen Prozesse definiert sein, wie Zustimmungserklärungen eingeholt, Daten sicher gespeichert und fristgerecht gelöscht werden.

Externe Auftragnehmer, Servicetechniker oder Lieferanten, die Zutritt zum Unternehmensgelände benötigen, unterliegen besonderen Kontrollen. Vor Betreten des Geländes muss verifiziert werden, dass die betreffende Person tatsächlich im Auftrag einer zugelassenen Firma kommt (z.B. durch Vorzeigen eines Lichtbildausweises und Abgleich mit Anmeldedaten). Ebenso ist sicherzustellen, dass sie mit den geltenden Sicherheits- und Verhaltensregeln vertraut gemacht wurden. In vielen deutschen Unternehmen ist eine Sicherheitsunterweisung für Fremdfirmen vor dem Zutritt Pflicht. Dabei werden Regeln etwa zum Verhalten in Gefahrenbereichen, Fotografierverbote oder Rauchverbote vermittelt. Jeder externen Person wird üblicherweise ein temporäres Zugangsprofil zugewiesen, das zeitlich (z.B. nur für den Tag) und räumlich begrenzt ist. So kann ein Lieferant etwa nur das Lagertor und den Warenannahmebereich öffnen, aber keine Büroräume. Die Dokumentation spielt auch hier eine große Rolle: Besucher von Fremdfirmen müssen häufig Geheimhaltungsvereinbarungen (NDAs) unterschreiben und die erfolgte Unterweisung bestätigen. All diese Nachweise (Anmeldedokumente, Unterweisungsprotokolle, ggf. Arbeitsgenehmigungen) sollte der Sicherheitsdienstleister im Rahmen des Zutrittskontrollprozesses sammeln und revisionssicher verwalten. Bereiche wie Laderampen oder Werkstätten, in denen Fremdfirmen tätig sind, bedürfen zudem einer besonderen Überwachung durch Security-Mitarbeiter oder Kameras, um unbefugtes Eindringen oder Verstöße gegen Sicherheitsauflagen sofort zu erkennen.

Ein effektives Zutrittskonzept teilt das Gelände und die Gebäude in definierte Sicherheitszonen ein. Typische Zonen sind z.B. öffentlich zugängliche Bereiche (Empfangshalle), berechtigungspflichtige Zonen für Mitarbeiter, und Hochsicherheitsbereiche (Rechenzentren, Labore, Tresorräume). Für jede Zone werden Zugriffsrechte nach dem Prinzip der rollenbasierten Sicherheit vergeben: Mitarbeiter erhalten nur Zugang zu den für ihre Rolle oder Abteilung benötigten Orten (need-to-access Prinzip). Besucher und Dienstleister erhalten strikt beschränkte Berechtigungen. Beispielsweise kann das Sicherheitspersonal technische Maßnahmen einsetzen, damit Besucherausweise nur für als unkritisch eingestufte Bereiche freigeschaltet werden, während sensible Sektoren geschützt bleiben. Im Konzept ist auch festgelegt, wie neue Zutrittsberechtigungen beantragt und genehmigt werden (etwa durch Vorgesetzte und die Sicherheitsabteilung) und wie das Offboarding erfolgt. Letzteres umfasst den Entzug von Zugangsrechten bei Vertragsende oder Entlassung und das Einsammeln bzw. Sperren von Ausweisen. Es muss garantiert sein, dass abgelaufene oder nicht zurückgegebene Ausweise sofort deaktiviert werden, um Missbrauch zu verhindern. In vielen Einrichtungen wird bei Verlust eines Zugangsausweises verlangt, dass dies unverzüglich gemeldet wird, damit der Ausweis gesperrt werden kann. Übergeordnete Systeme oder Ausweisstellen (z.B. in großen Firmen oder am Flughafen) haben dafür oft einen 24/7-Bereitschaftsdienst eingerichtet, um verlorene Karten auch außerhalb der Bürozeiten sofort zu sperren. Ebenso sollten regelmäßige Kontrollen der Zutrittsrechte stattfinden, um sicherzustellen, dass nur noch aktive Mitarbeiter Zugang haben und ehemalige Mitarbeiter aus den Systemen entfernt wurden.

Trotz aller Prävention muss definiert sein, wie mit sicherheitsrelevanten Zwischenfällen im Zutrittsbereich umzugehen ist. Das Konzept beschreibt klare Handlungsanweisungen für das Sicherheitspersonal: Zum Beispiel, wie zu verfahren ist, wenn eine Person keinen gültigen Ausweis vorzeigen kann oder die Zutrittsberechtigung fehlt – in solchen Fällen ist der Zutritt konsequent zu verweigern. Die Kommunikationskette für Eskalationen sollte festgelegt sein: Bei versuchtem unbefugtem Eindringen oder Manipulation (z.B. Tailgating, also das unerlaubte Hinterherlaufen durch eine Tür) muss umgehend der Sicherheitsdienstleiter bzw. die Leitstelle informiert werden, und es kann notwendig sein, Behörden (Polizei) einzuschalten. Für den Fall verlorener oder gestohlener Zutrittsmedien (Ausweise, Schlüssel) gibt es – wie erwähnt – feste Protokolle: Sofortige Sperrung im System, Dokumentation des Vorfalls und Ausgabe eines Ersatzausweises gegen Gebühr oder nach Genehmigung. Alle Vorfälle im Zusammenhang mit Zutrittskontrolle (z.B. Alarm durch unbefugten Zutrittsversuch, Konflikte am Eingang, technische Störungen) sollten in einem Wachbuch oder elektronischen System protokolliert werden. Das erlaubt im Nachhinein eine genaue Analyse und ist wichtig für die Rechenschaftspflicht. Für Notfälle wie Evakuierungen oder Amok-/Terrorlagen muss das Zutrittskonzept zudem Notfallfunktionen vorsehen – etwa die Möglichkeit, alle Türen per zentralem Befehl zu verriegeln oder zu entriegeln (Lockdown bzw. Notfallöffnung), damit im Ernstfall die richtigen Maßnahmen schnell umgesetzt werden können.

Moderne Zutrittskontrollprozesse sind stark von unterstützender Technik geprägt. Ein Bieter sollte darlegen, wie sein vorgeschlagenes System sich in die bestehende technische Landschaft des Auftraggebers einfügt. Häufig gefordert ist die Anbindung an bereits vorhandene Systeme wie z.B. Lenel, HID, Dormakaba, Siemens SiPass oder andere Access-Control-Systeme, die in internationalen Konzernen zum Einsatz kommen. Wichtig ist auch die Kompatibilität mit anderen Sicherheitsgewerken: Etwa die Kopplung von Zutrittskontrolle und Videoüberwachung. Eine Integration dieser Systeme erhöht die Sicherheit erheblich – zum Beispiel können Kameras an Zutrittspunkten so eingerichtet werden, dass bei einem Zutrittsalarm (z.B. unberechtigter Zutrittsversuch oder gewaltsames Öffnen einer Tür) automatisch die zugehörigen Videoaufnahmen gesichert und an das Sicherheitspersonal übermittelt werden. Das Wachpersonal kann anhand der Bilder sofort beurteilen, ob ein kritischer Sicherheitsvorfall vorliegt oder lediglich eine Fehlbedienung, und entsprechend reagieren. Ebenso ist die Verzahnung mit dem Besuchermanagementsystem sinnvoll, damit vorab angemeldete Gäste automatisch im Zutrittskontrollsystem erfasst werden und zeitlich begrenzte Ausweise erhalten.

Zur Dokumentation und Nachvollziehbarkeit sollte das Konzept den Einsatz digitaler Protokolle und Berichte vorsehen. Jede Zutrittsbuchung (Ein- oder Austritt) wird idealerweise elektronisch protokolliert – inklusive Datum, Uhrzeit, Person/Badge-ID und Zutrittspunkt. Solche Log-Daten ermöglichen Audits und erleichtern die Aufklärung von Vorfällen. Bei der Ausstellung von Besucherausweisen entsteht beispielsweise automatisch ein Prüfpfad, der für die Einhaltung von Vorschriften unerlässlich ist. Vom Auftragnehmer wird oft erwartet, dem Auftraggeber regelmäßige Berichte zu liefern: Monatliche Statistiken der Zutrittsvorgänge (wie viele Personen pro Tag anwesend waren), Auflistung von sicherheitsrelevanten Ereignissen (z.B. wie oft ein Alarm ausgelöst oder Zutritt verweigert wurde) und Auffälligkeiten oder Trends. Manche Kunden verlangen auch ein Dashboard in Echtzeit, auf dem z.B. die aktuellen Besucher oder offene Türen ersichtlich sind. Solche Berichte und Dashboards erhöhen die Transparenz und erlauben es dem Auftraggeber, die Leistung des Sicherheitsdienstleisters im Zutrittsmanagement nachzuvollziehen.

Ein weiteres Kernelement, das in jeder Sicherheits-Ausschreibung berücksichtigt werden muss, ist die Qualifikation und Schulung des eingesetzten Personals. Bieter sollten nachweisen, dass ihre Sicherheitsmitarbeiter in allen relevanten Aspekten der Zutrittskontrolle ausgebildet sind. Dazu zählt die Bedienung der technischen Systeme (Lesegeräte, Schranken, Softwareoberflächen zur Rechteverwaltung) ebenso wie die Kenntnis der Abläufe für Besucher- und Lieferantenmanagement. Besonders hervorgehoben werden muss die Schulung in datenschutzkonformem Verhalten: Sämtliche personenbezogene Daten, die im Rahmen der Zutrittskontrolle anfallen (z.B. Besucherinformationen, Protokolldaten), sind gemäß DSGVO und dem Bundesdatenschutzgesetz (BDSG) zu behandeln. Das Personal muss hier sensibilisiert sein, unbefugten Zugriff auf diese Daten zu verhindern und vertraulich damit umzugehen. Darüber hinaus sollten Schulungsnachweise in Deeskalationstechniken vorliegen – z.B. wie man freundlich aber bestimmt einem Besucher ohne Berechtigung den Zutritt verweigert, oder wie mit verärgerten Personen am Eingang umzugehen ist, um Konflikte zu entschärfen. Auch praktische Fähigkeiten wie die Überprüfung von Ausweisdokumenten auf Echtheit, das Erkennen von Manipulationen (z.B. geteilte Karten, „Tailgating“) und der Umgang mit Notsituationen (z.B. Feueralarm und Evakuierung, bei der Zugangswege frei bleiben müssen) sind Teil des Schulungsprogramms. In Deutschland ist das Wachpersonal in der Regel über §34a Gewerbeordnung zertifiziert; im Angebotsprozess kann der Auftraggeber zusätzlich verlangen, Nachweise über spezielle Fortbildungen vorzulegen, die auf die Bedürfnisse des Auftraggebers zugeschnitten sind (etwa Kenntnisse im Umgang mit bestimmten IT-Systemen oder branchenspezifische Sicherheitsvorschriften). Letztlich muss der Bieter versichern, dass das eingesetzte Personal die gesetzlichen Vorgaben (Arbeitszeitgesetze, Datenschutz, ggf. Bewachungsverordnung) einhält und regelmäßige Weiterbildungen erhält, damit der Zutrittskontrollprozess stets professionell und rechtskonform ausgeführt wird.

• Klarheit und Vollständigkeit des Konzepts: Wird jeder der geforderten Aspekte (Mitarbeiter, Besucher, Fremdfirmen, Technik, Notfälle etc.) nachvollziehbar abgedeckt? Ein strukturierter und lückenloser Prozessablauf wird positiv bewertet.

• Technologische Reife: Welche Systeme und Geräte bietet der Bieter an? Sind dies moderne, erprobte Lösungen, die mit der vorhandenen Infrastruktur kompatibel sind? Innovationen wie z.B. der Einsatz von Biometrie, Self-Service-Terminals für Besucher oder mobile Ausweistechnologie (z.B. virtuelle Ausweise auf Smartphones) können hier Pluspunkte bringen, sofern sie praxistauglich und sicher sind.

• Anpassungsfähigkeit: Ein gutes Zutrittskonzept ist skalierbar und flexibel. Das Angebot sollte zeigen, dass der Dienstleister das Konzept an unterschiedliche Objektgrößen (vom Bürogebäude bis zum großen Werksgelände) und Risiko-Level anpassen kann. Etwa die Möglichkeit, bei erhöhter Terrorgefahr schnell strengere Zutrittsregeln umzusetzen (z.B. verstärkte Kontrollen, mehr Personal an den Toren).

• DSGVO-Konformität und Datensicherheit: Der Bieter muss überzeugend darlegen, wie Datenschutz gewährleistet wird (Stichwort: minimale Datenerhebung, gesicherte Speicherung, Löschkonzept). Gutes Abschneiden in Audits oder Zertifizierungen im Datenschutzbereich (z.B. ISO 27001 für Informationssicherheit) fließt hier positiv ein.

• Schulung und Qualitätsmanagement: Nachweise über durchgeführte Schulungen, Zertifikate des Personals und ein solides Plan für die Einarbeitung der Mitarbeiter vor Ort sind wichtig. Ebenso wird geschaut, ob der Bieter ein Qualitätsmanagementsystem hat, das sicherstellt, dass die Zutrittskontrollprozesse eingehalten und regelmäßig überprüft werden.

• Integration in bestehende Strukturen: Punkte erhält auch, wer bereits Erfahrung in ähnlichen Projekten vorweisen kann und dessen Konzept auf die beim Auftraggeber vorhandenen Systeme und Prozesse Rücksicht nimmt (z.B. Übernahme bestehender Ausweisdatenbanken, Zusammenarbeit mit dem Werkschutz des Kunden, etc.).

Durch diese Kriterien soll sichergestellt werden, dass der ausgewählte Dienstleister nicht nur den günstigsten Preis bietet, sondern vor allem ein durchdachtes, effektives und rechtskonformes Zutrittskontrollmanagement gewährleisten kann.

Ist der Zuschlag erteilt, muss der Sicherheitsdienstleister den beschriebenen Zutrittskontrollprozess auch im laufenden Betrieb konsequent umsetzen. Vertraglich wird festgelegt, welche Berichts- und Dokumentationspflichten bestehen. So werden typischerweise tägliche elektronische Logbücher geführt, in denen alle relevanten Ereignisse festgehalten sind (z.B. besondere Vorkommnisse, Anzahl der Besucher, technische Störungen an Zutrittssystemen). Diese Daten müssen für einen gewissen Zeitraum archiviert werden, damit im Nachhinein Prüfnachweise existieren. Der Dienstleister stellt dem Auftraggeber in der Regel monatliche Reportings zur Verfügung (siehe oben), und bespricht diese in Jour-fixe-Terminen. Bei diesen regelmäßigen Meetings – oft quartalsweise oder jährlich – wird gemeinsam bewertet, ob Anpassungen am Zutrittskonzept nötig sind. Der Anbieter hat die Pflicht, an Audits mitzuwirken, etwa wenn die interne Revision oder externe Prüfer die Zutrittskontrolle des Unternehmens überprüfen. Dazu gehört, Auskünfte zu erteilen, Dokumente vorzulegen (z.B. Listen aller aktiven Ausweise, Schulungsnachweise der Mitarbeiter) und bei Begehungen der Räumlichkeiten zu begleiten. Ein weiterer wichtiger Aspekt ist die Pflege der Technik: Der Dienstleister muss dafür sorgen, dass Ausweisleser, Schranken, Drehkreuze und Software stets funktionstüchtig sind. Ausgegebene Ausweise bzw. Zugangskarten sind zu inventarisieren – verlorene oder defekte Karten werden dokumentiert und ersetzt, um Schwund oder Missbrauch vorzubeugen. Falls vertraglich vereinbart, unterstützt der Sicherheitsdienstleister auch jährliche Praxistests (z.B. unangekündigte Versuchszutritte durch Auditteams) und Notfallübungen, um die Wirksamkeit der Zutrittskontrolle zu verifizieren. Alle temporären Zugangsberechtigungen (für Besucher, Handwerker etc.) sind lückenlos zu dokumentieren; dazu gehört, festzuhalten, wer wann welche Bereiche betreten hat und wann die Zugangsrechte wieder entzogen wurden. Abschließend wird im Vertrag oft festgelegt, dass der Dienstleister dem Auftraggeber proaktiv Verbesserungsvorschläge machen soll, wenn sich im Laufe der Zusammenarbeit Optimierungspotenziale zeigen – beispielsweise neue technische Lösungen oder geänderte Abläufe, um die Sicherheit weiter zu erhöhen. So bleibt der Zutrittskontrollprozess ein lebendiger Bestandteil der Sicherheitsstrategie des Unternehmens.

Ein klar definierter und gut dokumentierter Zutrittskontrollprozess ist in Unternehmen unverzichtbar für Rechtskonformität, Risikominimierung und transparente Abläufe. Deshalb gehört die Forderung nach einem solchen Prozess in jede Ausschreibung, die Empfangsdienste, Werkschutz oder den Schutz sensibler Bereiche umfasst. Durch die verbindliche Vorgabe dieser Standards in der Ausschreibung wird sichergestellt, dass der beauftragte Sicherheitsdienstleister von Anfang an strenge Maßstäbe anlegt und diese einhält. Gerade im Zeitalter von DSGVO und hohen Compliance-Anforderungen erwarten Auftraggeber, dass physische Sicherheit und Datenschutz Hand in Hand gehen. Ein guter Zutrittskontrollprozess verbindet daher physische Sicherheit mit IT-Security und Datenschutzanforderungen und unterstützt die Governance-Ziele des Unternehmens (Stichwort: ESG – Environmental, Social, Governance – insbesondere im Aspekt Governance und Compliance). Die in der Ausschreibung gemachten Vorgaben zu Schnittstellen der Zutrittskontrollsysteme, zur Dokumentation und zum Datenschutz schaffen außerdem Einheitlichkeit über verschiedene Standorte hinweg und erleichtern dem Auftraggeber das Monitoring. Zusammenfassend ist zu empfehlen, dass jede sicherheitsrelevante Ausschreibung Unterlagen zum geplanten Zutrittskontrollsystem umfasst – etwa technische Schnittstellenbeschreibungen – und vom Bieter eine Datenschutz-Konformitätserklärung (DSGVO-Statement) für die vorgesehenen Prozesse verlangt. So wird gewährleistet, dass die Sicherheit Ihres Unternehmens vom Werkstor bis zum Serverraum höchsten Standards entspricht und jederzeit überprüfbar ist.