RFID-gestützte Zugangskontrollsysteme an Hochschulen
Wenn der Bedarf zur Modernisierung der Schließsysteme in öffentlichen Stellen des Landes erkannt wird, liegt es nahe, eine Entscheidung für ein RFID-gestütztes Zugangskontrollsystem zu treffen. Bei solchen Schließsystemen erfolgt das Öffnen und Schließen der Türen kontaktlos über einen RFID-Transponder.
Die beschriebene Angelegenheit „RFID-Zugangskontrollsysteme" ist technisch derart komplex, dass der Senat die Hochschule für Wirtschaft und Recht und die Freie Universität Berlin um eine Stellungnahme gebeten hat.
Es gibt einige Argumente, die dafür sprechen, von einer solchen mechanischen Schließanlage zu einer elektronischen umzurüsten. Dieser Wechsel vereinfacht die Schlüsselverwaltung und verringert die Missbrauchsgefahr erheblich. Zu den Vorteilen elektronischer Schließsysteme gehören die mögliche Realisierung sich überschneidender Gruppenschließungen und die deutliche Erschwernis nicht autorisierter Schlüsselvervielfältigung. Die individuellen Zutrittsrechte von Personen, die mit einem solchen Schlüssel ausgestattet werden, können flexibel auf dem Transponder abgelegt werden, sodass die Personen nur die Türen passieren können, durch die sie gehen sollen, und jene verschlossen bleiben, hinter denen sie nichts zu suchen haben. Bei Verlust eines Transponders können einfach die entsprechenden Schlösser für diesen Transponder gesperrt werden. Es müssen daher weder alle Schlüssel und Schlösser noch die gesamte Schließanlage ausgetauscht werden. Eine elektronische Schließanlage erhöht also die Sicher-heit (auch der Datenverarbeitungsanlagen und Datenträger in verschlossenen Bereichen), die Flexibilität der Administration und senkt die Betriebskosten.
Datenschutzrechtlich relevant werden solche Schließsysteme, aber auch jene, die mit anderen maschinenlesbaren Ausweisen oder Tokens arbeiten, vor allem, wenn die Nutzung solcher Schlüssel protokolliert wird und somit die Möglichkeit besteht, zumindest im eingeschränkten Maße Bewegungsprofile der Zutrittsberechtigten innerhalb der Räume der anwendenden Stelle zu erstellen. Wie genau diese Profile sind, hängt davon ab, wie differenziert die Zugriffsberechtigungen vergeben sind, welche Türen also mit dem Schlüssel geöffnet werden müssen und damit kontrolliert werden können, und was im Einzelnen
Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit 2010 bei jeder Nutzung protokolliert wird, z. B. Ort der Tür, Zeitpunkt ihrer Öffnung und Rolle der berechtigten Person.
Bei RFID-Systemen kommt hinzu, dass die Kommunikation zwischen Chip und den Endgeräten des Schließsystems über Funkwellen stattfindet. 3 Satz 1 BlnDSG eine Risikoanalyse und darauf aufbauend ein Sicherheitskonzept erstellt werden muss, das sich auch auf die personenbezogene Stammdatenverwaltung in den zentralen Komponenten, vor allem aber auf die Protokollierungsfunktionen beziehen und die speziellen sicherheitsrelevanten Eigenschaften von Funkchips berücksichtigen muss. Da es sich in der Regel um Personaldaten handelt, die in dem Verfahren verarbeitet werden und die dem besonderen Personalaktengeheimnis unterliegen können, könnte nach § 5 Abs. 3 Satz 2 BlnDSG auch eine Vorabkontrolle durch den behördlichen Datenschutzbeauftragten geboten sein. Grundlagen einer solchen Vorabkontrolle sind regelmäßig die Dateibeschreibung nach § 19 BlnDSG, die alle rechtlich prüfbedürftigen Informationen enthalten sollte, sowie das erwähnte Sicherheitskonzept einschließlich der Risikobetrachtungen.
Anlass zur Befassung mit RFID-gestützten Schließsystemen waren die Projekte zur Einführung solcher Systeme in zwei Berliner Hochschulen, der Freien Universität Berlin (FUB) und der Hochschule für Wirtschaft und Recht (HWR).
Dabei steht das Verfahren bei der FUB unmittelbar vor seiner Einführung, während sich das Projekt der HWR erst im Anfangsstadium befindet.
Gemeinsam ist beiden Hochschulen, dass der Vgl. auch 12.3
Bericht des Berliner Beauftragten für Da- Stellungnahme des Senats tenschutz und Informationsfreiheit 2010
Betrieb der elektronischen Schließsysteme als Datenverarbeitung im Auftrag durch externe Auftragnehmer durchgeführt wird und somit in beiden Fällen die Auftragsvergabe nach § 3 BlnDSG geregelt werden muss.
Freie Universität Berlin:
Die FUB hat 2008 mit dem Projekt begonnen, in ihren Häusern die mechanischen Schließanlagen durch ein elektronisches Schließsystem zu ersetzen. Die Beschäftigten erhalten die Zugangsberechtigungen zu den einzelnen Bereichen mit Hilfe von RFID-Transpondern, die in Schlüsseletiketten integriert sind. Die Bereiche werden je nach Bedarf mit Online- bzw. Offline-Schlössern gesichert.
Bei den Online-Schlössern ist die Berechtigung der Transponder auf dem zentralen Server der Zutrittskontrollzentrale (ZKZ) gespeichert. Jedes Schließen oder Öffnen eines Online-Schlosses wird protokolliert und auf dem zentralen Server für sechs Monate im Ringspeicherverfahren gespeichert. Der Zugriff auf diese Protokolldaten ist nur nach dem Vier-Augen-Prinzip möglich, was in der Dateibeschreibung ausführlich erläutert wird.
Die Offline-Schlösser hingegen haben einen internen Speicher, in dem festgehalten ist, welche der Transponder-Identifikationsnummern dazu berechtigt sind, dieses Schloss zu öffnen. Die Speicherung des Schließens bzw. Öffnens erfolgt lokal im jeweiligen Endgerät (Schloss). Es werden maximal 500 Schließungen/Öffnungen protokolliert und im Ringspeicherverfahren gespeichert. Bei einem solchen Verfahren wird nach Füllung des Speichers für jeden neuen Eintrag der älteste vorhandene Eintrag gelöscht. Der Zugriff auf diese Protokolldaten ist ebenfalls nur nach dem VierAugen-Prinzip möglich.
Unter diesen Umständen haben wir trotz der theoretischen Möglichkeit der Erstellung von Bewegungsprofilen die Missbrauchsgefahr als gering eingestuft. Die einzig zugangsberechtigten Personen der zentrale Administrator und ein sog. Zutrittskontrolleur können nur gemeinsam eine Auswertung der Daten und damit eine Personenzuordnung vornehmen.
Die grundlegenden Risiken, die im Falle der FUB abgeschätzt wurden, sind der Verlust der Vertraulichkeit.