Um die Sicherheit der Verarbeitung gemäß Art. 32 der Datenschutzgrundverordnung (DSGVO) – den sogenannten „TOMs“ – zu gewährleisten, muss das Unternehmen auch Maßnahmen zur Zutrittskontrolle für Mitarbeiter, aber auch für Besucher implementieren. Diese Maßnahmen muss ein Verantwortlicher unter Berücksichtigung des Stands der Technik, der Kosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos treffen. Zu diesen Maßnahmen gehört auch ein Management für Besucher, allerdings sollten dabei immer auch die Rechte der betroffenen Besucher gewahrt bleiben. Zunehmend werden zum Beispiel Begrüßungsbildschirme bei Unternehmen eingesetzt, die den jeweiligen Gast oder Besucher namentlich für alle einsehbar im Empfangsbereich begrüßen. Diese Nennung der Namen sind Verarbeitungen von personenbezogenen Daten und somit auch vom Datenschutz geschützt. Dabei ist es datenschutzrechtlich nicht unbedenklich, eine solche Verarbeitung ohne Einwilligung des Betroffenen – z. B. auf Grundlage des berechtigten Interesses des Verantwortlichen – durchzuführen. Wie das bayerische Landesamt für Datenschutzaufsicht erklärte, wird man „im Regelfall jedoch davon ausgehen müssen, dass das Vorgehen eher nicht (mehr) auf Art. 6 Abs. 1 f) DS-GVO [Anm. berechtigtes Interesse des Verantwortlichen] gestützt werden kann, sondern allenfalls mit Einwilligung der betroffenen Person.“ Für Branchen und Bereiche (etwa in Bäckereien oder Metzgereien), in denen es sozialüblich ist, Kunden mit Nachnamen anzusprechen, mag es denkbar sein, weniger aber hingegen gegenüber Mitarbeitern von Unternehmen (Lieferanten, Abnehmer), so das Landesamt für Datenschutzaufsicht. Dies bedeutet, dass eine solche Verarbeitung der personenbezogenen Daten ohne Einwilligung z. B. bei einem Industrieunternehmen, nach Auffassung der Behörde, nicht rechtskonform einsetzbar ist. Die auch gerne in Unternehmen verwendete Besucherlisten, in denen sich Besucher namentlich und ggf. noch mit Kontaktdaten oder KFZ-Kennzeichen eintragen sollen, sind ferner so zu gestalten, dass unbefugte Dritte diese Daten nicht einsehen können. Dies kann z. B. durch ein nur einseitiges Formular umgesetzt werden. Nach einer solchen Umsetzung spricht nichts gegen die Verarbeitung durch Besucherlisten, wenn ein Zweck (z. B. Anwesenheitscheck bei Bränden) gegeben ist. In den größeren Unternehmen kommen des Öfteren auch Besucherausweise mit Namen der Besucher zur Anwendung. Hier kann die Stellungnahme der bremischen Datenschutzaufsichtsbehörde zur ausreichenden Rechtsgrundlage des berechtigten Interesses des Verantwortlichen bei Namensschildern für Arbeitnehmer mit Nennung nur des Nachnamens auch auf Besucher übertragen werden. Allerdings für die Verarbeitungen von Fotos auf Besucherausweise hingegen, sollte sich der Verantwortliche wiederrum eine Einwilligung einholen. Bei einem Einsatz von Software zum Besuchermanagement, in denen sogar der Aufenthaltsort und Aufenthaltsdauer eines Besuchers im Gebäude oder auf dem Firmengelände nachvollziehbar sind, ist stets ganz genau zu prüfen, ob dies nicht den Grundsätzen gem. Art. 5 DSGVO zu widerläuft und eine Rechtsgrundlage abseits der Einwilligung rechtskonform ist.
