DSFA Sicherheitsroboter: Vorlage und Risikomatrix

Dieser Beitrag liefert eine Arbeitsvorlage für die Datenschutz-Folgenabschätzung (DSFA) beim Einsatz von Patrouillenrobotern im Werkschutz. Er richtet sich an den betrieblichen Datenschutzbeauftragten und ersetzt keine Rechtsberatung im Einzelfall. Die Struktur folgt der Praxis aus etwa 40 DSFA-Verfahren, die wir in den Jahren 2023 bis 2025 für KRITIS- und Industriestandorte begleitet haben.

DSFA Sicherheitsroboter: Wann sie zwingend ist

Art. 35 DSGVO verpflichtet den Verantwortlichen zur Folgenabschätzung, sobald eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Das gilt insbesondere bei systematischer umfangreicher Überwachung und neuen Technologien (EUR-Lex DSGVO-Kontext). Patrouillenroboter erfüllen beide Merkmale in der Regel kumulativ.

Art. 35 Abs. 3 lit. c DSGVO greift bei systematischer Überwachung öffentlich zugänglicher Bereiche. Ein Werksgelände mit Lieferverkehr, Spediteuren, Handwerkern und Besuchern ist im datenschutzrechtlichen Sinn faktisch öffentlich zugänglich. Die Muss-Liste der Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) nennt Videoüberwachung mit KI-gestützter Personenerkennung explizit als DSFA-pflichtig (DSK Muss-Liste, Stand 2018).

Das QR-2 Sensorprofil mit thermischer Personendetektion und der QR-3 mit LiDAR und Drohnenerkennung erfüllen zusätzlich das Kriterium "neue Technologie" nach Art. 35 Abs. 1 DSGVO. Eine reine RGB-Aufzeichnung ohne Auswertung, etwa beim QR-1 im rein internen Privatgelände, kann unterhalb der Schwelle bleiben. Auch dann ist die dokumentierte Schwellenwertanalyse Pflicht, nicht Kür.

Die DSFA ist vor Inbetriebnahme abzuschließen. Ein Pilotbetrieb ohne abgeschlossene DSFA ist ein Verstoß gegen Art. 35 in Verbindung mit Art. 83 Abs. 4 DSGVO. Bußgelder von bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes sind in diesem Tatbestand vorgesehen (Art. 83 Abs. 4 DSGVO).

Nächster Schritt: Prüfen Sie das Verarbeitungsverzeichnis auf bereits dokumentierte Videoüberwachungstatbestände und gleichen Sie diese mit den Sensorprofilen unter QR-2 Sensorprofil ab.

Schwellenwertanalyse: Die neun DSK-Kriterien

Die DSK arbeitet mit neun Bewertungskriterien, abgeleitet aus den WP248-Leitlinien der Art.-29-Datenschutzgruppe (WP248 rev.01). Treffen mindestens zwei Kriterien zu, ist die DSFA durchzuführen. Patrouillenroboter erfüllen typischerweise drei bis fünf Kriterien.

Die neun Kriterien im Überblick: Bewertung oder Scoring, automatisierte Entscheidungsfindung mit Rechtswirkung, systematische Überwachung, sensible Daten oder Daten höchstpersönlicher Natur, Datenverarbeitung in großem Umfang, Abgleich oder Zusammenführung von Datensätzen, Daten zu schutzbedürftigen Personen, innovative Nutzung neuer technologischer Lösungen, Verhinderung der Rechtsausübung der Betroffenen.

Die Vorlage nutzt fünf Spalten. Spalte 1: Kriterium. Spalte 2: trifft zu (J/N). Spalte 3: Begründung in zwei bis drei Sätzen. Spalte 4: Datenquelle (QR-1, QR-2 oder QR-3). Spalte 5: Verantwortlicher Fachbereich.

Beispiel für QR-2 mit Thermalsensorik. Systematische Überwachung: ja, 24/7-Patrouille auf festen Routen, Betroffene Mitarbeiter und Besucher. Neue Technologie: ja, autonome Mobilität in Verbindung mit Thermaldetektion ist im Werkschutz nicht etabliert. Datenverarbeitung in großem Umfang: ja bei Standorten über 50.000 m². Drei Kriterien ergeben DSFA-Pflicht.

Das Ergebnis der Schwellenwertanalyse wird als Vorstandsbeschluss freigegeben, nicht als IT-Memo. Begründung: Der Vorstand haftet nach Art. 24 DSGVO für die Rechenschaftspflicht des Verantwortlichen. Eine Delegation auf den IT-Leiter genügt der Aufsichtsbehörde im Prüfungsfall nicht.

Rechtsgrundlage und Zweckbindung im Werkschutz

Die regelmäßige Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Einwilligung scheidet aus. Im Beschäftigungsverhältnis ist sie nicht freiwillig erteilbar; gegenüber Besuchern ist sie praktisch nicht einholbar.

Der Drei-Stufen-Test ist schriftlich zu dokumentieren. Stufe 1: berechtigtes Interesse. Schutz vor Diebstahl, Sabotage, Brandstiftung, unbefugtem Zutritt zu Gefahrstofflagern. Bei KRITIS-Betreibern stützt sich das Interesse zusätzlich auf die Schutzpflichten nach BSI-KritisV (Gesetze im Internet) und auf die Anforderungen an KRITIS-Betreiber.

Stufe 2: Erforderlichkeit. Mildere Mittel sind dokumentiert zu prüfen, etwa stationäre Kameras, menschliche Streifen, Zaunmelder. Die EU-Maschinenverordnung 2023/1230 setzt zusätzliche Anforderungen an autonome Maschinen mit Sensorik (EUR-Lex 2023/1230), die in die Erforderlichkeitsprüfung einfließen.

Stufe 3: Abwägung. Gewichtung der Interessen von Beschäftigten (Persönlichkeitsrecht, Recht auf informationelle Selbstbestimmung) und Besuchern gegen das Sicherheitsinteresse. Maskierung und Zugriffsbeschränkung verschieben die Abwägung zugunsten des Verantwortlichen.

BetrVG § 87 Abs. 1 Nr. 6 erzwingt die Beteiligung des Betriebsrats bei Einführung technischer Einrichtungen, die zur Verhaltens- oder Leistungskontrolle geeignet sind. Eine Betriebsvereinbarung ist Voraussetzung der Inbetriebnahme, nicht nachgelagerter Verwaltungsakt.

Zweckbindung präzise formulieren. Zweck: Perimeterschutz und Detektion unbefugter Anwesenheit. Ausgeschlossene Zwecke: Auswertung von Pausenzeiten, Anwesenheitskontrolle, Leistungsbewertung. Speicherdauer im Standardbetrieb 72 Stunden, Verlängerung nur bei dokumentiertem Vorfall mit Aktenzeichen.

Risikomatrix: Eintrittswahrscheinlichkeit und Schwere

Die Risikobewertung erfolgt entlang von vier Risikofeldern. Risikofeld 1: unbefugte Identifikation von Betroffenen. Risikofeld 2: Profilbildung über Bewegungsmuster. Risikofeld 3: unrechtmäßige Weitergabe an Dritte, etwa Strafverfolgungsbehörden ohne Rechtsgrundlage oder Versicherer. Risikofeld 4: Datenverlust durch Cyberangriff auf die Roboterflotte oder das Cloud-Backend.

Die Skala ist vierstufig. Eintrittswahrscheinlichkeit von 1 (unwahrscheinlich) bis 4 (regelmäßig zu erwarten). Schwere von 1 (vernachlässigbar) bis 4 (existenziell für Betroffene). Das Produkt ergibt die Risikoklasse: 1 bis 3 niedrig, 4 bis 6 mittel, 8 bis 9 hoch, 12 bis 16 sehr hoch.

Beispielbewertung QR-2 ohne Schutzmaßnahmen. Risikofeld unbefugte Identifikation: Eintritt 3, Schwere 3, Produkt 9, Risikoklasse hoch. Risikofeld Cyberangriff: Eintritt 2, Schwere 4, Produkt 8, Risikoklasse hoch. Ohne Maßnahmen liegt die Gesamtbewertung bei "hoch" und löst die Konsultationspflicht nach Art. 36 DSGVO aus.

Nach Maßnahmen (Pseudonymisierung der biometrischen Vektoren, AES-256-Verschlüsselung, granulare Zugriffsmatrix, Vier-Augen-Prinzip bei Demaskierung) sinken die Werte. Zielkorridor: Produktwert kleiner oder gleich 4 pro Risikofeld. Ein Restrisiko mit Produktwert größer 6 nach Maßnahmen erzwingt die vorherige Konsultation der Aufsichtsbehörde.

EN ISO 13482 definiert Sicherheitsanforderungen für persönliche Pflegeroboter und dient als Referenz für mobile Serviceroboter (ISO 13482). Die Norm adressiert physische Sicherheit, ergänzt aber die datenschutzrechtliche Risikobewertung nicht. Beide Bewertungen sind getrennt zu führen und im VVT zu verknüpfen.

Technische und organisatorische Maßnahmen (TOM)

Die TOM sind nach Art. 32 DSGVO am Stand der Technik auszurichten. Die folgenden Maßnahmen sind Mindeststandard für Patrouillenroboter im Werkschutz.

Verschlüsselung. AES-256 für die Speicherung auf dem Roboter und im Backend. TLS 1.3 für die Übertragung zwischen Roboter, Leitstand und Cloud. Dokumentation nach BSI TR-02102-1 und TR-02102-2.

Maskierung. Gesichter und Kfz-Kennzeichen werden im Standardbetrieb automatisch unkenntlich gemacht. Die Demaskierung erfolgt ausschließlich bei dokumentiertem Anlass. Sie erfordert das Vier-Augen-Prinzip zwischen Werkschutzleiter und Datenschutzbeauftragtem. Jede Demaskierung wird in einem revisionssicheren Log mit Zeitstempel, Anlass und Aktenzeichen festgehalten.

Zugriffsmatrix. Werkschutzleiter erhält Zugriff auf den Live-Stream und maskierte Aufzeichnungen. Der Datenschutzbeauftragte erhält Zugriff auf das Audit-Log, nicht auf die Inhalte. Die Geschäftsführung erhält Vorfallsberichte in anonymisierter Form. Pauschale Admin-Rechte für IT-Mitarbeiter werden nicht vergeben. Zugriffe werden quartalsweise auditiert.

Audio. Die Audio-Aufzeichnung der QR-Serie ist werkseitig deaktiviert. Eine Aktivierung erfordert eine separate Rechtsgrundlage, eine eigene DSFA-Ergänzung und eine angepasste Beschilderung. § 201 StGB (Verletzung der Vertraulichkeit des Wortes) ist zu beachten.

Löschkonzept nach DIN 66398 mit revisionssicherem Protokoll. Standardlöschfrist 72 Stunden, verlängerte Frist bei Vorfall maximal 30 Tage, danach Übergabe in Vorfallakte mit eigener Rechtsgrundlage.

Transparenzpflichten und Beschilderung

Art. 13 DSGVO erzwingt die Information der Betroffenen vor Beginn der Verarbeitung. Übersetzt auf das Werksgelände heißt das: Information vor Betreten des überwachten Bereichs, nicht erst beim Zutritt zum Werk.

Beschilderung am Werkstor und an allen Außenzugängen. Inhalt: Piktogramm Roboter mit Kamera, Verantwortlicher mit Firmierung und Anschrift, Zweck (Perimeterschutz), Kontakt des Datenschutzbeauftragten, QR-Code zur Langfassung der Datenschutzinformation in mindestens Deutsch und Englisch. Schildgröße so, dass der Text aus drei Metern Entfernung lesbar ist.

Der Roboter selbst trägt eine sichtbare Kennzeichnung mit Betriebsnummer, Hersteller und der zuständigen Aufsichtsbehörde. Dies entspricht der Praxis bei stationären Videoanlagen und ist Voraussetzung für die Wiedererkennbarkeit der Verarbeitung im laufenden Betrieb.

Beschäftigteninformation als separates Dokument, vom Betriebsrat mitgezeichnet, in die Personalakte aufgenommen. Inhalt: konkrete Zonen der Patrouille, Zeiten, Speicherdauer, Rechte aus Art. 15 bis 22 DSGVO, Beschwerdeweg. Bei Neueinstellungen Bestandteil des Onboardings.

Besucherregelung im Empfangsprozess. Die Beschilderung allein genügt nicht für komplexe Lieferketten mit häufig wechselnden Fahrern. Die Anmeldung am Empfang oder per Self-Service-Terminal enthält einen Hinweis auf die Roboterüberwachung und einen Link zur vollständigen Information.

Praxisbeispiel zur Umsetzung finden Sie unter Perimeterschutz Industriepark.

Auftragsverarbeitung mit Quarero Robotics

Das Robotics-as-a-Service Modell bedeutet datenschutzrechtlich: Quarero Robotics ist Auftragsverarbeiter nach Art. 28 DSGVO. Der Betreiber bleibt Verantwortlicher und damit primärer Adressat der Aufsichtsbehörde.

Der Auftragsverarbeitungsvertrag (AV-Vertrag) liegt vor Unterzeichnung des Hauptvertrags vor. Eine Nachreichung ist nicht zulässig, auch nicht für die Pilotphase. Der AV-Vertrag deckt die acht Pflichtinhalte nach Art. 28 Abs. 3 DSGVO ab: Gegenstand, Dauer, Art und Zweck, Datenkategorien und Betroffenenkategorien. Ebenfalls enthalten: Pflichten und Rechte, Weisungsrecht, Vertraulichkeit, TOM, Unterauftragsverarbeiter, Unterstützungspflichten, Löschung und Nachweispflichten.

Subunternehmer sind namentlich benannt. Cloud-Hosting in Frankfurt am Main (Rechenzentrum nach ISO 27001) und Zürich (Rechenzentrum nach FINMA-Vorgaben für die Schweizer Standorte). Wartungsdienstleister für die Roboterflotte sind aufgelistet. Eine Änderung der Subunternehmerliste erfordert Vorabankündigung mit Widerspruchsrecht des Verantwortlichen.

Audit-Rechte. Jährliche Vor-Ort-Prüfung beim Auftragsverarbeiter oder Vorlage eines aktuellen Berichts nach ISO 27001 Anhang A. Bei begründetem Verdacht ist ein Ad-hoc-Audit auf Kosten des Verantwortlichen möglich. Bei festgestelltem Verstoß trägt der Auftragsverarbeiter die Kosten.

Datenübermittlung in Drittländer ist vertraglich ausgeschlossen. Die Datenverarbeitung erfolgt ausschließlich in der DACH-Region. Damit entfällt die Prüfung der Standardvertragsklauseln nach Schrems II und das Transfer Impact Assessment.

Eine wirtschaftliche Vergleichsrechnung gegen klassische Bewachung dokumentiert der BDSW über die jährlich aktualisierten Stundensätze (BDSW Zahlen, Daten, Fakten). Die Wirtschaftlichkeit der DSFA-Investition lässt sich darüber begründen, der vollständige TCO-Vergleich Wachschutz liefert die Kalkulation.

Konsultation der Aufsichtsbehörde und Review-Zyklus

Verbleibt nach Maßnahmen ein hohes Restrisiko, ist die vorherige Konsultation nach Art. 36 DSGVO durchzuführen. Die Landesdatenschutzbehörde benötigt 8 bis 14 Wochen, im Einzelfall länger. Diese Frist ist im Projektplan zu berücksichtigen, ein Vorziehen der Inbetriebnahme ist nicht zulässig.

Konsultationsunterlage. Vollständiger DSFA-Bericht, Maßnahmenkatalog mit Wirksamkeitsbewertung, Restrisikobewertung mit nachvollziehbarer Skala, Begründung der Erforderlichkeit unter Darstellung der geprüften milderen Mittel, Stellungnahme des Datenschutzbeauftragten, Stellungnahme des Betriebsrats. Die Aufsichtsbehörde kann Auflagen erteilen oder die Verarbeitung untersagen.

Review der DSFA. Jährlich oder bei wesentlicher Änderung. Wesentliche Änderungen umfassen: Erweiterung der Sensorik (etwa Aktivierung Audio), neue Standorte, Software-Updates mit neuen KI-Funktionen sowie Wechsel des Auftragsverarbeiters, Änderung der Zweckbestimmung oder Erweiterung des Betroffenenkreises.

Versionierung im Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO. Jede DSFA-Version erhält eine fortlaufende Nummer, ein Änderungsdatum, einen Verantwortlichen und eine Begründung der Änderung. Vorgängerversionen sind 10 Jahre aufzubewahren, parallel zur handelsrechtlichen Aufbewahrungsfrist nach § 257 HGB. Aufsichtsbehörden und KRITIS-Prüfer im Rahmen der NIS-2-Umsetzung erwarten diesen Aktenstand bei der ersten Anfrage.

Nächster Schritt: Betriebsrat Robotik Mitbestimmung als parallele Arbeitslinie zur DSFA aufsetzen und die Robotik-Vor-Ort-Service-Vereinbarung im AV-Vertrag verankern.