DSGVO Art 28 Roboter: AVV vor dem Pilot
DSGVO Art 28 Roboter: Pflichtinhalte, TOMs, Subunternehmer, Betriebsrat und Haftung. Operative Checkliste für Datenschutzbeauftragte vor Pilotstart.
DSGVO Art 28 Roboter: Warum der AVV das erste Dokument vor dem Pilot ist
Ein Patrouille-Roboter ist eine mobile Datenerfassungsplattform. RGB-Kameras, Mikrofone bei Trigger und Thermalsensorik liefern personenbezogene Daten von Mitarbeitern, Lieferanten, Besuchern und unbefugten Dritten. Das gilt ab dem ersten Testlauf, nicht erst ab Produktivbetrieb.
Die Rollenverteilung ist eindeutig. Der Betreiber bleibt Verantwortlicher nach Art 4 Nr. 7 DSGVO, weil er Zweck und Mittel der Patrouille festlegt. Quarero ist Auftragsverarbeiter nach Art 28 DSGVO. In Pilotgesprächen wird diese Abgrenzung regelmäßig falsch als Joint Controllership nach Art 26 dargestellt. Das ist falsch: Quarero entscheidet nicht über Patrouillenrouten, Detektionsschwellen oder Aufbewahrung im konkreten Werk.
Ohne unterzeichneten Auftragsverarbeitungsvertrag vor Inbetriebnahme bewegt sich der Betreiber im Bereich des Art 83 Abs. 4 DSGVO. Die Bußgeldobergrenze liegt bei 10 Mio. EUR oder 2 Prozent des weltweiten Konzernumsatzes des Vorjahres, der höhere Betrag gilt. Der AVV ist kein nachzureichender Annex. Er ist operatives Steuerungsdokument für Löschfristen, Subunternehmerwechsel und Auditrechte.
Bei KRITIS-Anlagen verschärft sich die Lage. Die KRITIS-Verordnung definiert Schwellenwerte und Pflichten für Betreiber kritischer Anlagen nach § 8a BSIG. Datenschutz und IT-Sicherheit müssen in einem konsistenten Schutzkonzept abgebildet sein, nicht in getrennten Aktenordnern. Wer den AVV als Anlage zum Rahmenvertrag behandelt, produziert genau diese Inkonsistenz.
Nächster Schritt: KRITIS-Anforderungen nach § 8a BSIG gegen den eigenen Geltungsbereich abgleichen, bevor der AVV verhandelt wird.
Pflichtinhalte nach Art 28 Abs. 3 DSGVO
Art 28 Abs. 3 DSGVO listet Mindestinhalte. Diese Inhalte müssen für einen Patrouille-Roboter konkret ausformuliert sein, nicht in Standardfloskeln.
Gegenstand und Dauer. Perimeterpatrouille mit QR-2 für 24/7-Außenperimeter oder QR-3 mit LiDAR und Drohnenerkennung über eine Mindestlaufzeit von 24 Monaten. Verlängerung wird gesondert vereinbart.
Art und Zweck. Detektion unbefugten Zutritts, Personenerkennung als Bounding Box, Audioauffälligkeiten bei definiertem Trigger, Bestandsabgleich an Toren. Ausgeschlossen sind Verhaltensanalysen einzelner Mitarbeiter, Arbeitszeiterfassung über den Roboter und biometrische Identifikation.
Datenkategorien. Bildaufnahmen, getriggerte Audiosequenzen, Robotereigenposition, Zeitstempel, Sensoralarme. Keine Speicherung biometrischer Templates, keine Gesichtsabgleichdatenbank.
Betroffenenkategorien. Werksmitarbeiter, externe Dienstleister mit regelmäßigem Zugang, Besucher und unbefugte Dritte. Jede Kategorie wird im Verarbeitungsverzeichnis nach Art 30 separat geführt.
Weisungsbindung. Quarero verarbeitet ausschließlich auf dokumentierte Weisung des Betreibers. Das umfasst Routenänderungen, Detektionsschwellen, Datenexport an Behörden und jeden potenziellen Auslandstransfer. Mündliche Weisungen werden binnen 48 Stunden schriftlich nachgeführt.
Nächster Schritt: AVV-Entwurf Klausel für Klausel gegen diese fünf Punkte prüfen, nicht im Block abnicken.
Technische und organisatorische Maßnahmen (TOMs)
Die TOMs sind Anlage zum AVV und müssen die Realität der Anlage beschreiben, nicht Marketingaussagen.
Verschlüsselung. AES-256 für gespeicherte Bilddaten auf dem Roboter, TLS 1.3 für die Übertragung zum Leitstand. Schlüsselrotation alle 90 Tage, dokumentiert im Audit-Log.
Pseudonymisierung. Personen werden in der Echtzeitverarbeitung als Bounding Box mit numerischer Tracking-ID geführt. Namen, Gesichtsmerkmale und Kennzeichenabgleich finden nicht statt. Eine Re-Identifikation ist nur durch manuelle Sichtung autorisierter Operator möglich.
Zugriffsbeschränkung. Rollenbasiertes Berechtigungskonzept mit drei Stufen: Operator, Schichtleiter, Administrator. MFA für alle Accounts. Vollständiges Audit-Log mit Zeitstempel, Useraktion und betroffenem Datensatz. Mindestens 12 Monate Vorhaltung.
Löschfristen. Standard 72 Stunden für nicht-vorfallsbezogene Aufnahmen. 30 Tage bei dokumentiertem Vorfall mit interner Vorgangsnummer. Längere Aufbewahrung nur auf schriftliche Weisung des Betreibers, etwa wegen Strafanzeige.
Physische Sicherheit. Robotergehäuse versiegelt, Tamper-Detection mit sofortiger Alarmierung an den Leitstand und automatischem Datenlock. Wartungseingriffe nur durch zertifizierte Techniker mit dokumentiertem Vier-Augen-Prinzip.
Die EU-Maschinenverordnung 2023/1230 erfasst Sicherheitsfunktionen autonomer Systeme einschließlich Datenverarbeitung. Tamper-Detection und Datenlock sind damit nicht nur datenschutzrechtlich, sondern auch produktsicherheitsrechtlich relevant.
Nächster Schritt: TOM-Anlage vom internen IT-Sicherheitsbeauftragten gegen die aktuelle Risikoanalyse spiegeln.
Subunternehmer und Drittlandtransfer
Der häufigste Streitpunkt in AVV-Verhandlungen ist die Subunternehmerkette. Sie muss abschließend benannt sein.
Quarero listet im AVV alle Unterauftragsverarbeiter namentlich auf: Cloud-Hosting, Wartungspartner, Hardware-Lieferanten mit Fernzugriffsmöglichkeit. Pauschale Klauseln wie "weitere Dienstleister nach Bedarf" sind unzulässig und werden gestrichen.
Das Hosting der Sensordaten erfolgt ausschließlich in EU-Rechenzentren, primär Frankfurt und Zürich. US-Cloudanbieter sind ausgeschlossen, auch über EU-Subsidiaries. Damit entfällt die Schrems-II-Diskussion zu Standardvertragsklauseln und Transfer Impact Assessment für diese Kategorie.
Ein Wechsel oder die Aufnahme eines Subunternehmers erfordert 30 Tage Vorankündigung in Textform. Der Betreiber hat ein Widerspruchsrecht. Bei Widerspruch ohne Einigung greift ein Sonderkündigungsrecht ohne Vertragsstrafe.
Transfer in Drittländer ohne Angemessenheitsbeschluss der EU-Kommission ist ausgeschlossen. Die Schweiz gilt über den Angemessenheitsbeschluss aus 2024 als unproblematisch. Für Quarero Schweiz GmbH als Vertragspartner gilt zusätzlich das Schweizer DSG. Bei DACH-Betreibern wird im AVV vereinbart, dass jeweils die strengere Norm Anwendung findet, in der Praxis meist DSGVO.
Nächster Schritt: Liste der Subunternehmer als geschlossene Anlage zum AVV anfordern und im internen Lieferantenregister verankern.
Beschilderung, Betriebsrat und Informationspflichten
Die schönste AVV-Klausel scheitert, wenn die Außenkommunikation lückenhaft ist.
Art 13 DSGVO verlangt sichtbare Hinweisbeschilderung an allen Zugängen zum patrouillierten Bereich. In Werken mit internationalen Belegschaften ist eine zweisprachige Beschilderung (Deutsch plus Englisch oder die zweithäufigste Werksprache) Pflicht. Ein QR-Code auf dem Schild führt zur vollständigen Datenschutzinformation mit Verantwortlichem, Zwecken, Rechtsgrundlage, Aufbewahrungsdauer und Betroffenenrechten.
Die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG ist verpflichtend, sobald der Roboter geeignet ist, das Verhalten oder die Leistung von Arbeitnehmern zu überwachen. Diese Eignung wird bei kamerabasierten Systemen unterstellt, unabhängig vom tatsächlichen Zweck. Die Betriebsvereinbarung muss vor Pilotstart abgeschlossen sein, nicht parallel.
Mindestinhalte der Betriebsvereinbarung: Ausschluss von Leistungs- und Verhaltenskontrolle, Ausschluss von Gesichtserkennung und biometrischer Identifikation, Beteiligung des Datenschutzbeauftragten bei Anpassungen, Rechte des Betriebsrats auf Einsicht in das Verarbeitungsverzeichnis, Eskalationsweg bei Verdachtsmomenten.
Die Schulung der Operator wird dokumentiert. Verstöße gegen das Schulungskonzept führen zur Vertragsverletzung nach Art 28 Abs. 3 lit. b DSGVO. Das ist im AVV explizit zu verankern, damit Quarero diese Pflicht nicht stillschweigend an den Betreiber zurückspielt.
Nächster Schritt: Mustertexte für Betriebsvereinbarung über Quarero anfordern, durch eigene Rechtsabteilung und Betriebsratsanwalt anpassen lassen.
Audit, Nachweise und Haftung im Schadensfall
Der AVV regelt, wie der Betreiber seine Verantwortlichenrolle nachweisen kann.
Der Betreiber hat ein Auditrecht vor Ort mindestens einmal jährlich, mit 14 Tagen Vorankündigung in Textform. Anlassbezogene Audits, etwa nach einem Vorfall, sind ohne Frist möglich. Quarero stellt einen benannten Ansprechpartner und Zugang zu betroffenen Systemen bereit.
Ohne separate Anforderung liefert Quarero jährlich einen aktualisierten TOM-Bericht und eine Zusammenfassung des letzten Penetrationstests. Vollständige Pentest-Berichte werden auf Anforderung unter NDA übergeben, da sie Schwachstelleninformationen enthalten.
Die Meldepflicht bei Datenschutzverletzung ist scharf gefasst: Quarero meldet binnen 24 Stunden an den Betreiber, damit dieser die 72-Stunden-Frist nach Art 33 DSGVO gegenüber der Aufsichtsbehörde halten kann. Die Meldung enthält Art der Verletzung, betroffene Datenkategorien, geschätzte Anzahl Betroffener und ergriffene Sofortmaßnahmen.
Im Innenverhältnis haftet Quarero für eigene Verstöße, etwa unzureichende Verschlüsselung oder unautorisierte Subunternehmer. Der Betreiber haftet für Weisungsentscheidungen, etwa fehlerhafte Routendefinitionen oder unterlassene Beschilderung. Diese Trennung ist im AVV ausdrücklich aufzunehmen, weil Aufsichtsbehörden bei Bußgeldern oft beide Seiten adressieren.
Versicherungsnachweis: Quarero hält Cyber- und Betriebshaftpflicht mit Mindestdeckung 5 Mio. EUR je Schadensfall. Der Nachweis wird jährlich unaufgefordert an den Betreiber übermittelt.
Nächster Schritt: Eskalationskette für Meldungen im internen Vorfallmanagement hinterlegen, mit Telefon und sekundärem Kanal.
Schnittstelle zu NIS-2 und KRITIS-Dachgesetz
Der AVV nach Art 28 DSGVO steht nicht isoliert. Er ist Baustein eines mehrlagigen Compliance-Gerüsts.
Die NIS-2-Richtlinie verlangt Lieferkettensicherheit und persönliche Verantwortung der Leitungsorgane. Der AVV nach Art 28 DSGVO ist Teil des Nachweises für angemessene Lieferantensteuerung. Wer hier mit Standardklauseln arbeitet, schwächt die NIS-2-Dokumentation parallel.
Für KRITIS-Betreiber gilt: Datenschutzkonzept und Schutzkonzept nach § 8a BSIG müssen konsistent sein. Wenn der AVV eine Löschfrist von 72 Stunden vorsieht, das KRITIS-Schutzkonzept aber forensische Vorhaltung von 90 Tagen verlangt, ist die Widersprüchlichkeit dokumentiert und angreifbar.
Bei Vorfällen mit personenbezogenem Bezug entstehen parallele Meldepflichten: BfDI nach Art 33 DSGVO, BSI nach § 8b BSIG für KRITIS, BBK bei physischen Sicherheitsvorfällen unter dem KRITIS-Dachgesetz. Der Referentenentwurf zum KRITIS-Dachgesetz koppelt physische und IT-Sicherheitspflichten. Ein einheitlicher Meldepfad reduziert Fehler unter Zeitdruck.
Die Vorstandshaftung nach NIS-2 erfasst auch unzureichende AVV-Gestaltung bei sicherheitskritischen Dienstleistern. Ein DSB, der eine schwache Vorlage durchwinkt, schiebt das Risiko nach oben. Wer dort Klarheit schaffen will, findet die operativen Details unter Vorstandshaftung unter NIS-2.
Empfehlung: AVV und KRITIS-Schutzkonzept im selben Compliance-Cycle prüfen, nicht in getrennten Spuren mit unterschiedlichen Aktualisierungsständen.
Nächster Schritt: Einheitlichen Prüfkalender für NIS-2-Compliance, DSGVO und KRITIS-Schutzkonzept einrichten.
Operative Checkliste vor Pilotstart
Die folgende Reihenfolge hat sich in Pilotprojekten der vergangenen 24 Monate als belastbar erwiesen.
AVV-Entwurf anfordern. Quarero liefert den Entwurf binnen fünf Werktagen nach Letter of Intent. Datenschutzbeauftragter und Rechtsabteilung prüfen parallel. Unterzeichnung vor Hardwarelieferung, nicht vor Inbetriebnahme. Hardware auf dem Hof ohne AVV erzeugt bereits Druck im Prozess.
DSFA durchführen. Eine Datenschutz-Folgenabschätzung nach Art 35 DSGVO ist für videogestützte Patrouille auf öffentlich zugänglichem Werksbereich verpflichtend. Die DSFA dokumentiert Risiken, Maßnahmen und Restrisikobewertung. Sie ist Grundlage für die Verhältnismäßigkeitsprüfung.
Betriebsvereinbarung abschließen. Mustertexte über Quarero anfordern, durch Betriebsratsanwalt anpassen. Verhandlung mindestens vier Wochen vor Pilotstart einplanen. Die EN ISO 13482 regelt Sicherheitsanforderungen für persönliche Assistenzroboter und ist Referenzrahmen für autonome Mobilität im Mischbetrieb. Diese Norm ist in der Betriebsvereinbarung als Sicherheitsstandard zu referenzieren.
Beschilderung montieren. Schilder vor Tag 1 montieren, Standorte fotografisch dokumentieren, Aufnahmen in der DSFA-Akte ablegen. Ohne nachweisbare Beschilderung ist die Rechtsgrundlage nach Art 13 DSGVO nicht erfüllt.
Verarbeitungsverzeichnis ergänzen. Löschkonzept, Datenkategorien, Empfängerkreise und Übermittlungen ins Verzeichnis nach Art 30 DSGVO eintragen. Verantwortliche Person mit Namen benennen, nicht nur Funktion.
Schulung dokumentieren. Operator und Schichtleiter werden vor Pilotstart geschult. Schulungsnachweise mit Unterschrift archivieren. Wiederholung jährlich, bei Systemänderungen anlassbezogen.
Wer diese sechs Punkte vor Hardwarelieferung abgeschlossen hat, geht in den Pilot ohne offene Datenschutzrisiken. Die wirtschaftliche Einordnung des Modells liefert der TCO-Vergleich Wachschutz. Die Vertragsstruktur selbst ist im Robotics-as-a-Service-Modell detailliert beschrieben.
Wenn Ihre Datenschutz- und KRITIS-Dokumentation für einen Pilot mit Patrouille-Robotern vorbereitet werden soll, beginnen Sie mit dem Robotics-as-a-Service-Modell und fordern Sie den AVV-Entwurf vor jeder Hardwareplanung an.