Sicherheit
Zu wissen, wer wo und wozu im Haus ist, reduziert unbefugten Zutritt und hilft, sensible Bereiche zu schützen.
Rechts-Ratgeber
Ist ein Besucherbuch Pflicht?
Ein klarer, aktueller Überblick: Was die Rechtslage tatsächlich vorgibt, wo die DSGVO greift und wann ein Besucherregister eine Pflicht ist oder – weit häufiger – eine sinnvolle gute Praxis für Sicherheit und Organisation.
Kurze Antwort
Es gibt keine einzelne Vorschrift, die jedes Unternehmen verpflichtet, ein Besucherbuch zu führen. Für die meisten privaten Betriebe ist es eine gute Praxis für Sicherheit und Organisation – in bestimmten Branchen oder auf regulierten Geländen kann es jedoch erwartet oder durch Zertifizierungen und Verträge verlangt werden.
Sobald Sie Besucherdaten erheben, verarbeiten Sie personenbezogene Daten: Dann gilt die DSGVO – Datenminimierung, transparente Information, begrenzte Speicherdauer und Datensicherheit sind verbindlich.
Es ist eine der häufigsten Fragen von Office-Managern, Sicherheits- und Empfangsverantwortlichen. Statt zu fragen „ist es Pflicht?“, lohnt sich eher die Frage „ist es für uns sinnvoll – und wenn wir es einführen, wie führen wir es rechtskonform?“ Festzuhalten, wer kommt und geht, beantwortet ganz konkrete Anforderungen an Sicherheit, Nachvollziehbarkeit und Ordnung am Empfang – und ist in vielen Betrieben längst Standard.
Gibt es eine gesetzliche Pflicht?
Weder das deutsche noch das EU-Recht enthält eine einzelne Vorschrift, die allen Unternehmen ausdrücklich ein „Besucherbuch“ vorschreibt. Es gibt jedoch Regelungen, die die Zutrittssteuerung indirekt betreffen und das Register zu einem nützlichen – mitunter erwarteten – Werkzeug machen.
Grundregel: keine eigenständige Pflicht
Für die meisten privaten Unternehmen ist das Besucherregister eine freiwillige organisatorische Maßnahme. Das bloße Fehlen ist nicht sanktioniert. Geregelt ist vielmehr, wie die Daten verarbeitet werden, sobald Sie sich für die Erhebung entscheiden (siehe Abschnitt zur DSGVO).
Besondere Kontexte: wann es nötig werden kann
In mehreren Situationen ist die Erfassung und Steuerung des Zutritts erforderlich oder dringend empfohlen:
- Arbeitsschutz und Notfälle — das Arbeitsschutzgesetz (ArbSchg) und die Arbeitsstättenverordnung (u. a. ASR A2.3) verpflichten Arbeitgeber, Notfälle und Räumungen zu planen. Genau zu wissen, wer sich im Betrieb befindet – Besucher eingeschlossen – unterstützt einen verlässlichen Sammelplatz-Abgleich.
- Regulierte Standorte und Branchen — Häfen, Flughäfen, kritische Infrastrukturen, bestimmte Gesundheits- und Sicherheitsbereiche wenden Zutrittsverfahren an, die durch Branchenregeln vorgegeben sind.
- Zertifizierungen und Managementsysteme — Normen wie ISO 9001, ISO 45001 oder ISO/IEC 27001 verlangen Zutrittskontrolle und deren Nachvollziehbarkeit: Im Audit ist ein geordnetes Register oft ein erwarteter Nachweis.
- Konzernrichtlinien und vertragliche Pflichten — Anforderungen von Kunden, Auftraggebern oder Versicherern sehen häufig eine dokumentierte Zutrittsverwaltung vor.
Warum viele Unternehmen ein Besucherregister führen
Über jede formale Pflicht hinaus wird das Zutrittsregister eingeführt, weil es reale Probleme löst. Das sind die häufigsten Gründe bei deutschen und österreichischen KMU.
Notfallmanagement
Bei einer Räumung macht die aktuelle Anwesenheitsliste den Abgleich schnell und verlässlich – zur Unterstützung der Sicherheitspflichten.
Audits und Prüfungen
Bei Inspektionen, ISO-Audits oder internen Kontrollen ist eine geordnete, durchsuchbare Zutrittshistorie ein sofortiger Nachweis der Nachvollziehbarkeit.
Qualität und Image
Ein gepflegter, professioneller Empfang signalisiert Sorgfalt und Verlässlichkeit – vom Empfang bis zum Qualitätsmanagement.
Organisation
Gastgeber informiert, Daten lesbar, kein verlegtes Blatt: Der Empfangsablauf wird einfacher und weniger fehleranfällig.
Datenschutz
Eine strukturierte Verwaltung schützt die Vertraulichkeit und verhindert, dass die Daten des einen für andere sichtbar sind.
Welche Daten erfassen
Leitprinzip ist die Datenminimierung: Es werden nur die für den angegebenen Zweck wirklich notwendigen Daten erhoben. Hier die gängigsten Felder mit Zweck und einer allgemeinen Empfehlung zur Erhebung.
| Datum | Zweck | Empfehlung |
|---|---|---|
| Vor- und Nachname | Besucher identifizieren | Erforderlich |
| Unternehmen | Besuch einordnen | Empfohlen |
| Datum/Uhrzeit Ein- und Austritt | Nachvollziehbarkeit und Notfall | Erforderlich |
| Besuchte Person/Abteilung | Interne Organisation und Verantwortung | Empfohlen |
| Besuchsgrund | Zweck des Zutritts und Sicherheit | Optional |
| Unterschrift (Regeln/NDA gelesen) | Nachweis der Annahme der Regeln | Bei Bedarf |
| Kfz-Kennzeichen | Zufahrt zu Parkplatz/Außenbereich | Nur wenn nötig |
| Ausweisdokument (Kopie) | Identitätsprüfung | Nicht empfohlen |
Besucherregister und DSGVO
Besucherdaten sind personenbezogene Daten: Ihre Erhebung ist eine Verarbeitung im Sinne der Verordnung (EU) 2016/679 (DSGVO). Ob das Register auf Papier oder digital geführt wird, ändert nichts – es gelten dieselben Grundsätze. Vier Punkte verdienen besondere Aufmerksamkeit.
Datenminimierung
Erheben Sie nur, was der angegebene Zweck wirklich erfordert (Art. 5 Abs. 1 lit. c). Vermeiden Sie unnötige Felder und Dokumentenkopien: Jedes Datum mehr ist ein weiteres zu schützendes und zu rechtfertigendes Datum.
Information und Transparenz
Der Besucher muss klar nach Art. 13 informiert werden: wer Verantwortlicher ist, welche Daten erhoben werden, wozu, auf welcher Rechtsgrundlage, wie lange und welche Rechte bestehen. Die Information muss bei der Registrierung leicht zugänglich sein.
Speicherbegrenzung
Daten werden nur so lange wie nötig gespeichert und dann gelöscht. Empfehlenswert ist eine angemessene, dokumentierte Aufbewahrungsfrist, die systematisch angewandt wird – statt Register unbegrenzt anzuhäufen.
Datensicherheit
Es sind geeignete Maßnahmen zu treffen (Art. 32): verhindern, dass ein Besucher die Daten des Vorgängers liest, den Zugriff auf die Informationen steuern und deren Integrität sichern. Genau hier zeigt das Papierbuch seine größten Schwächen.
Mehr dazu auf unserer Seite zu Besucherregister und DSGVO, wo wir erklären, wie sich Information, Rechtsgrundlage und Aufbewahrung konform handhaben lassen. Speziell zur Frist siehe wie lange Besucherdaten gespeichert werden dürfen.
Welche Risiken ohne Besucherregister
Über kein Erfassungssystem zu verfügen – oder es schlecht zu führen – setzt das Unternehmen mehreren sehr konkreten Problemen aus.
Notfälle schwer zu bewältigen
Ohne aktuelle Anwesenheitsliste wird der Abgleich bei einer Räumung langsam und unsicher, mit klaren Folgen für die Sicherheit.
Keine Nachvollziehbarkeit
Bei Diebstahl, Schaden oder Vorfall lässt sich nicht rekonstruieren, wer wann und warum anwesend war. Es fehlt jeder Nachweis.
Erschwerte Audits
Bei Inspektionen oder Zertifizierungsaudits ist das Fehlen einer geordneten Historie ein schwer zu rechtfertigender Schwachpunkt.
Dienstleister außer Kontrolle
Fahrer, Techniker und externe Dienstleister kommen und gehen ohne jede Spur – ein typisches Risiko auf Produktionsgeländen.
Für Produktionsumgebungen vertiefen wir das Thema auf unserer Seite zum Besuchermanagement in Produktionsbetrieben.
Papierregister, Excel oder Software?
Ist die Entscheidung für ein Register gefallen, bleibt die Wahl des Werkzeugs. Die drei gängigsten Optionen – Papierheft, Excel-Tabelle und dedizierte Software – haben unterschiedliche Vor- und Nachteile, besonders beim Datenschutz.
| Aspekt | Papier | Excel | Dedizierte Software |
|---|---|---|---|
| Vertraulichkeit zwischen Besuchern | Gering: Daten sind für den nächsten sichtbar | Mittel: je nach Dateizugriff | Hoch: jeder sieht nur seine eigenen Daten |
| Suche und Einsicht | Langsam, manuell | Brauchbar, mit Filtern | Sofort und strukturiert |
| Datensicherheit | Niedrig | Mittel | Hoch (kontrollierter Zugriff) |
| Notfallmanagement | Schwierig | Manuell | Anwesenheitsliste in Echtzeit |
| Aufbewahrung und Löschung | Komplex, wenig selektiv | Manuell | Steuerbar und dokumentierbar |
| Berichte und Exporte | Keine | Einfach | Erweitert (CSV, Dashboard) |
| Professionelles Image | Veraltet | Ausreichend | Modern und gepflegt |
| Anfangskosten | Minimal | Minimal | Von kostenlos bis skalierbar |
Wir haben dem Thema einen ausführlichen Ratgeber gewidmet: Besucherregister — Papier, Excel oder digital, mit detailliertem Vergleich und Tipps für jeden Betrieb. Einen praxisnahen Vergleich der Versionen finden Sie zudem auf unserer Seite Vergleich kostenlose und erweiterte Version.
Kostenlose Excel-Vorlage herunterladen
Wenn Sie sofort und ohne Kosten starten möchten, haben wir ein kostenloses Kit vorbereitet: eine Besucherregister-Vorlage in Excel, eine druckbare PDF-Version und eine DSGVO-Checkliste für den Empfang. Ein guter Weg, Ordnung zu schaffen und zu klären, welche Daten sinnvoll sind.
Kostenloses Besucherregister-Kit
Excel-Vorlage, druckbares PDF und DSGVO-Checkliste, sofort einsatzbereit. In wenigen Minuten herunterladen und anpassen.
Eine digitale Lösung für das Besuchermanagement
IRIGuest ist das digitale Besucherregister, das das Empfangsbuch durch eine App auf iPad und Android-Tablets ersetzt. Es ist genau dafür gemacht, das Einfache zu ermöglichen, was die DSGVO verlangt: nur nützliche Daten erheben, die Information anzeigen, Vertraulichkeit schützen und alles geordnet und durchsuchbar halten.
Datenschutz by Design
Jeder Besucher sieht nur seine eigenen Daten – kein offenes Buch mit allen Namen.
DSGVO-gerecht
Anpassbare Information und Einwilligungen, Unterschrift am Bildschirm, geordnete Aufbewahrung.
Mehrsprachig
Oberfläche in 5 Sprachen: Jeder Gast registriert sich eigenständig in seiner Sprache.
Anwesende in Echtzeit
Sie wissen jederzeit, wer im Haus ist – eine konkrete Stütze für das Notfallmanagement.
Benachrichtigung an den Gastgeber
Mit der Cloud-Version wird die besuchte Person bei Ankunft des Gastes automatisch benachrichtigt.
Historie und Berichte
Stets durchsuchbare Zutritte, CSV-Export und zentrales Dashboard für mehrere Standorte und Zugänge.
Die kostenlose Version funktioniert auch offline, ohne Zeitlimit. Möchten Sie sehen, wie sie funktioniert, bevor Sie sie herunterladen?
Häufige Fragen
Ist ein Besucherbuch in Deutschland Pflicht?
Es gibt keine einzelne Vorschrift, die alle Unternehmen verpflichtet, ein Besucherbuch zu führen. In vielen Fällen ist es eine sinnvolle Sicherheits- und Organisationspraxis; in bestimmten Branchen oder auf regulierten Geländen kann die Zutrittskontrolle aufgrund von Branchenregeln, Zertifizierungen oder Verträgen erwartet werden. Sobald Daten erhoben werden, gilt die DSGVO.
Welche Vorschriften gelten für das Besucherregister?
Es gibt kein eigenes Gesetz. Die zentralen Bezugspunkte sind die DSGVO (Verordnung EU 2016/679), die die Verarbeitung der Besucherdaten regelt, sowie das Arbeitsschutzgesetz und die Arbeitsstättenverordnung, die Notfall- und Räumungsplanung verlangen – zu wissen, wer anwesend ist, unterstützt diese Pflichten.
Fällt das Besucherbuch unter die DSGVO?
Ja. Name, Unternehmen, Ein- und Austrittszeiten sind personenbezogene Daten: Ihre Erhebung ist eine Verarbeitung und muss die DSGVO einhalten – mit besonderem Augenmerk auf Minimierung, Transparenz (Information), Speicherbegrenzung und Sicherheit.
Wie lange dürfen Besucherdaten gespeichert werden?
Die DSGVO nennt keine feste Dauer: Daten werden nur so lange gespeichert, wie es für den Zweck nötig ist (Speicherbegrenzung). Viele Unternehmen legen eine angemessene, dokumentierte Frist fest; es ist gute Praxis, sie in der Information anzugeben und nicht mehr benötigte Daten zu löschen.
Welche Daten dürfen von Besuchern erhoben werden?
Nur die für die angegebenen Zwecke wirklich nützlichen: in der Regel Vor- und Nachname, Unternehmen, besuchte Person oder Abteilung sowie Datum und Uhrzeit von Ein- und Austritt. Kopien von Ausweisdokumenten oder unnötige Daten sind grundsätzlich unverhältnismäßig und zu vermeiden, sofern keine spezifische Pflicht besteht.
Ist die Einwilligung des Besuchers nötig?
Die Einwilligung ist nicht immer die richtige Rechtsgrundlage. Je nach Zweck kann die Verarbeitung auf berechtigtem Interesse (Sicherheit und Nachvollziehbarkeit der Zutritte) oder einer rechtlichen Verpflichtung beruhen. In jedem Fall ist dem Besucher eine klare Information nach Art. 13 DSGVO zu geben. Die Rechtsgrundlage ist im Einzelfall zu prüfen.
Ist ein offenes Besucherbuch aus Papier DSGVO-konform?
Es kann konform sein, doch das Empfangsbuch hat Schwächen: Wer unterschreibt, kann die Daten der Vorgänger lesen (fehlende Vertraulichkeit), und es lässt sich schwer schützen, aufbewahren und selektiv löschen. Deutsche Aufsichtsbehörden haben offene Besucherlisten daher kritisch gesehen. Eine digitale Lösung erleichtert die Einhaltung von Vertraulichkeit, Sicherheit und Betroffenenrechten deutlich.
Ist ein Besucherregister in einem Produktionsbetrieb Pflicht?
Es gibt keine allgemeine eigenständige Pflicht, doch in Produktionsbetrieben ist die Steuerung der Zutritte von Lieferanten, Fahrern, Wartungs- und externem Personal aus Gründen des Arbeitsschutzes dringend empfohlen und oft durch Zertifizierungen oder interne Verfahren verlangt. Hier ist das Register vor allem ein Sicherheitsinstrument.
Wer ist für die Besucherdaten verantwortlich?
Verantwortlicher ist in der Regel das Unternehmen, das die Daten erhebt. Es muss Zweck und Rechtsgrundlage festlegen, die Information bereitstellen, angemessene Sicherheitsmaßnahmen anwenden und die Betroffenenrechte gewährleisten. Werden die Daten über einen Softwareanbieter verarbeitet, handelt dieser meist als Auftragsverarbeiter.
Ist ein digitales Besucherregister sicherer als Papier?
In der Regel ja. Ein digitales Register schützt Daten durch kontrollierten Zugriff, verhindert, dass ein Besucher die Daten eines anderen sieht, ermöglicht selektives Suchen und Löschen sowie Berichte. All das erleichtert die DSGVO-Konformität gegenüber dem Papierbuch.
Brauchen kleine Unternehmen und Kanzleien ein Besucherregister?
Nicht generell. Auch für kleine Betriebe und Kanzleien ist das Register vor allem gute Praxis: Es schützt die Vertraulichkeit der Mandanten, bringt Ordnung in den Empfang und verbessert das Image. Werden Daten erhoben, gelten die DSGVO-Pflichten dennoch.
Was riskiert ein Unternehmen bei schlechtem Umgang mit Besucherdaten?
Eine nicht konforme Verarbeitung (zu viele Daten, fehlende Information, mangelnde Sicherheit, unbegrenzte Aufbewahrung) kann Beschwerden und Maßnahmen der Aufsichtsbehörde nach sich ziehen, dazu einen Reputationsschaden. Das Register korrekt zu führen ist daher auch ein Schutz für das Unternehmen.
Quellen und Verweise
Nützliche rechtliche und institutionelle Verweise zur Vertiefung. Diese Seite dient der Information und ersetzt keine Rechtsberatung.
- Verordnung (EU) 2016/679 — DSGVO, amtlicher Text: eur-lex.europa.eu (insbesondere Art. 5, 6, 13 und 32).
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI): bfdi.bund.de (Hinweise zu Rechtsgrundlagen, Transparenz und Sicherheit).
- Bundesdatenschutzgesetz (BDSG): gesetze-im-internet.de.
- Österreichische Datenschutzbehörde (DSB) — Datenschutzgesetz (DSG): dsb.gv.at.
- ISO/IEC 27001 — Informationssicherheits-Managementsysteme (Zutrittskontrolle): iso.org.
Ein einfaches und konformes Besucherregister?
Starten Sie kostenlos mit der IRIGuest-App oder testen Sie sie in Sekunden online. Ohne Verpflichtung, ohne Zeitlimit.