Sicherheitslage: Was Büros bedroht
Laut der Polizeilichen Kriminalstatistik (PKS) des BKA wurden 2019 noch über 93.000 Fälle von Diebstahl in oder aus Dienst-, Büro- und Lagerräumen registriert. Zwar sind die Fallzahlen seitdem um rund 20 Prozent zurückgegangen und liegen aktuell deutlich unter dem Vor-Corona-Niveau, doch die durchschnittliche Schadenssumme pro Fall steigt — neben Hardware und Bargeld werden häufig Laptops, Server, Mobiltelefone und externe Datenträger entwendet. Der sekundäre Datenschaden durch gestohlene Geräte übersteigt regelmäßig den materiellen Schaden um ein Vielfaches: Eine DSGVO-Meldepflicht, ein mögliches Bußgeld und der Reputationsschaden bei Kunden können Unternehmen weit stärker belasten als der Ersatzwert des gestohlenen Equipments. Das Polizeiprogramm K-Einbruch der Polizeilichen Kriminalprävention dokumentiert, dass 2024 rund 46 Prozent aller Einbrüche im Versuchsstadium scheiterten — ein klarer Beleg dafür, dass mechanische und elektronische Sicherungstechnik wirkt.
Neben externen Tätern ist auch die interne Bedrohung relevant: Datendiebstahl durch eigene Mitarbeitende, das unbefugte Kopieren vertraulicher Unterlagen und der Zutritt Unbefugter zu sensiblen Bereichen sind in vielen Unternehmen unterschätzte Risiken. Ein durchdachtes Sicherheitskonzept adressiert beide Bedrohungsszenarien — ohne dabei Misstrauen als Unternehmenskultur zu installieren.
Besonders unterschätzt wird das Risiko bei Personalwechsel: Ehemalige Mitarbeitende, deren Zugangskarten nicht deaktiviert, deren Schlüssel nicht eingezogen und deren digitale Zugänge nicht gesperrt wurden, stellen ein erhebliches Sicherheitsrisiko dar. Ein strukturierter Offboarding-Prozess, der physische und digitale Zugangsrechte am letzten Arbeitstag vollständig entzieht, ist eine der kostengünstigsten und wirksamsten Sicherheitsmaßnahmen überhaupt.
Schließanlagen: Von der Einzeltüre zum zentralen System
Die Grundlage jeder Bürosicherheit ist die mechanische Schließanlage. Für kleine Büros bis ca. 10 Mitarbeitende genügen häufig gute Einzelzylinder in Einbruchschutzklasse (VdS-Klasse C oder besser) — kombiniert mit einer Mehrfachverriegelung (Sicherheitsschloss mit Hakenriegel) an der Eingangstür. Wer mehr als eine Tür schützen oder verschiedenen Mitarbeitenden unterschiedliche Zugangsbereiche zuweisen muss, kommt an einer echten Schließanlage nicht vorbei.
Mechanische Schließanlagen (z. B. KABA, ASSA Abloy, BKS, Winkhaus) ermöglichen es, für alle Türen im Gebäude einen einheitlichen Schließplan zu definieren: Wer hat Zugang wohin? Welcher Generalschlüssel öffnet alle Türen, welcher Teilbereichsschlüssel nur bestimmte Zonen? Kosten: 150–400 € pro Zylinder inklusive Schlüssel, Schließplan-Einrichtung 500–2.000 € einmalig. Nachteil: verlorene Schlüssel erfordern den Austausch aller betroffenen Zylinder — ein teures Problem in großen Anlagen.
Elektronische Zutrittskontrollsysteme lösen das Schlüsselverlust-Problem: Zugangsmedien sind Chipkarten, Transponder oder Smartphones (NFC/BLE), die softwareseitig gesperrt werden können — ohne physischen Austausch. Zusätzlicher Vorteil: vollständiges Protokoll aller Zutrittsaktionen (Wer hat wann welche Tür geöffnet?) für spätere Nachverfolgung. Kosten: 400–1.500 € pro Tür (Leser, Kontroller, Elektrozylinder oder Türöffner), Systemsoftware 500–3.000 € einmalig. Marktführende Hersteller sind Dormakaba, ASSA Abloy (APERIO, Incedo), Siemens (SiPass), Gantner, Allegion und Bosch Sicherheitssysteme.
App-basierte Zutrittslösungen (z. B. Kisi, Salto, Nuki Business) ermöglichen die vollständige Verwaltung per Smartphone-App: Zutrittsrechte vergeben, entziehen, zeitlich begrenzen und aus der Ferne steuern — ohne Schlüssel oder physische Chipkarte. Besonders attraktiv für Coworking Spaces, Büros mit wechselnden Mitarbeitenden und Standorte ohne ständig besetzten Empfang.
| System | Kosten pro Tür (netto) | Schlüsselverlust-Risiko | Protokollierung | Geeignet für |
|---|---|---|---|---|
| Mechanische Schließanlage | 150–400 € | Hoch (Zylindertausch nötig) | Keine | Kleinstbüros bis 5 Türen |
| Elektronisch (Chip/Karte) | 400–1.500 € | Gering (Software-Sperre) | Vollständig | KMU ab 10 MA, mehrere Zonen |
| App-basiert (Smartphone) | 300–900 € | Sehr gering | Vollständig | Flexible Büros, Coworking |
| Biometrie (Fingerabdruck/Iris) | 800–3.000 € | Kein Medium verlierbar | Vollständig | Hochsicherheitsbereiche, Rechenzentren |
Einbruchschutz: Türen, Fenster und Alarmanlagen
Physische Einbruchsicherung folgt dem Prinzip des Zeitgewinns: Einbrecher geben in der Regel auf, wenn ein Objekt länger als 3–5 Minuten Widerstand leistet. Maßnahmen, die diesen Zeitpuffer schaffen:
Türen: Einbruchhemmende Türen der Widerstandsklasse RC 2 (früher WK 2, nach DIN EN 1627) widerstehen körperlicher Gewalt (Treten, Rammen) für mindestens 3 Minuten. Für Büros mit erhöhtem Einbruchrisiko empfiehlt sich RC 3 (5 Minuten). Die Tür allein ist nichts ohne entsprechende Beschläge: Sicherheitsbeschlag mit Kernziehschutz, Aufbohrschutz und Anbohrschutz ist Pflicht. Kosten für RC 2-Eingangstür mit Rahmen: 2.000–5.000 € inkl. Montage.
Fenster: Fensterscheiben sind häufig die schwächste Stelle. Verbundsicherheitsglas (VSG) mit P4A-Klassifizierung (DIN EN 356) hält manuellen Einbruchversuchen für über 5 Minuten stand. Fenstersicherungen (abschließbare Griffe, Pilzkopfverriegelungen) reduzieren das Hebelrisiko. Für erdgeschossige oder leicht erreichbare Fenster sind diese Maßnahmen besonders relevant.
Einbruchmeldeanlagen (EMA): Eine normkonforme EMA nach DIN VDE 0833 und VdS-Klasse C besteht aus Bewegungsmeldern (PIR-Sensoren), Öffnungskontakten an Türen und Fenstern, Glasbruchmeldern, einer Alarmzentrale und einer Aufschaltung auf eine 24h-besetzte Sicherheitsleitstelle oder eine direkte Polizeiaufschaltung. Die VdS-Klasse ist für Versicherungen relevant: Viele Gewerbeversicherungen fordern VdS-anerkannte Anlagen als Bedingung für Einbruchdiebstahldeckung oder gewähren erhebliche Prämienrabatte. Investition für ein 300-m²-Büro: 3.000–10.000 € für Anlage und Installation, 50–150 € monatlich für Aufschaltung und Wartung.
Videoüberwachung: Was DSGVO und Betriebsrat erlauben
Videoüberwachung im Büro ist das rechtlich sensibelste Thema der Bürosicherheit — und das Thema, bei dem die meisten Fehler gemacht werden. Die relevante Rechtslage in Deutschland:
Die DSGVO (Art. 5, 6, 13) verlangt für jede Videoüberwachung eine Rechtsgrundlage (in der Regel: berechtigtes Interesse des Arbeitgebers nach Art. 6 Abs. 1 lit. f DSGVO), Verhältnismäßigkeit (das Interesse muss die Grundrechte der Betroffenen überwiegen), Transparenz (sichtbare Hinweisschilder) und Datensparsamkeit (keine Überwachung, wo keine Sicherheitsnotwendigkeit besteht). Videoüberwachung von Mitarbeitenden am Arbeitsplatz ist grundsätzlich möglich, aber streng auf das Notwendige begrenzt.
Das Bundesdatenschutzgesetz (BDSG) § 26 begrenzt die Überwachung von Beschäftigten zusätzlich: Dauerkameraüberwachung von Arbeitsplätzen ist nur bei konkretem Verdacht auf Straftaten zulässig, nicht zur allgemeinen Leistungskontrolle. Kameras im Eingangsbereich, im Lagerbereich mit Wertsachen und an Außenzugängen sind datenschutzrechtlich leichter zu rechtfertigen als Kameras, die Schreibtische oder Arbeitsvorgänge erfassen. Rechtsentwicklung beachten: Der EuGH hat 2023 eine wortgleiche Landesnorm als nicht Art.-88-DSGVO-konform eingestuft, und das Bundesarbeitsgericht bestätigte 2025, dass § 26 Abs. 1 S. 1 BDSG die Anforderungen der Öffnungsklausel nicht erfüllt. Bis zum Inkrafttreten eines geplanten Beschäftigtendatengesetzes (BeschDG) bleibt § 26 BDSG formal anwendbar, sollte aber eng ausgelegt und durch Art. 6 Abs. 1 lit. b oder f DSGVO abgesichert werden.
Das Betriebsverfassungsgesetz (BetrVG) § 87 Abs. 1 Nr. 6 gibt dem Betriebsrat ein zwingendes Mitbestimmungsrecht bei der Einführung von Videoüberwachungssystemen. Ohne Betriebsvereinbarung darf keine Überwachungsanlage installiert werden. Die Betriebsvereinbarung muss Standorte der Kameras, Speicherdauer, Zugriffsberechtigungen und Verwendungszwecke regeln.
Praktische Mindestanforderungen für rechtskonforme Videoüberwachung im Büro: Standorte und Löschfristen im Verfahrensverzeichnis dokumentieren, Hinweisschilder nach DSGVO-Standard anbringen (wer verantwortlich ist, zu welchem Zweck, wie lange gespeichert wird), Speicherdauer auf das notwendige Minimum begrenzen (typischerweise 48–72 Stunden), Kamerasichtbereiche auf öffentliche Zugänge und Wertbereiche beschränken, keine Kameraerfassung von Arbeitsplätzen oder Sanitärräumen. Das EHS Today-Fachmagazin dokumentiert internationale Best Practices für workplace security und die Balance zwischen Sicherheitsinteresse und Mitarbeiterrechten — mit US-amerikanischer Perspektive, die durch den Kontrast zum stärker regulierten deutschen Recht lehrreich ist.
Sicherheitszonen: Abgestufte Zugangskontrolle
Professionelle Bürosicherheit denkt in Zonen mit abgestuften Zugangsrechten. Ein bewährtes Drei-Zonen-Modell:
Zone 1 — Öffentlich: Eingangsbereich, Empfang, Wartezone. Für alle zugänglich, keine Zutrittskontrolle. Kamera am Eingang zulässig und empfehlenswert. Empfangspersonal oder Klingelanlage als erste Kontrollinstanz.
Zone 2 — Betriebsbereich: Büros, Besprechungsräume, Küche. Für Mitarbeitende und angekündigte Besucher zugänglich. Elektronische Zutrittskontrolle an der Trennlinie zwischen Zone 1 und 2 (Eingangsschleuse oder Chipkarten-Tür). Besucher immer nur mit Begleitung.
Zone 3 — Hochsicherheitsbereich: Serverraum, Archiv mit vertraulichen Unterlagen, Tresorraum. Nur für explizit autorisierte Personen, biometrische Kontrolle oder Doppelzylinder-System empfohlen, vollständiges Protokoll aller Zutritte, kein Zutritt für Reinigungspersonal ohne Begleitung.
Dieses Zonierungsmodell entspricht dem VdS-Konzept für Einbruchmeldeanlagen und ist gleichzeitig DSGVO-kompatibel: In Zone 3 ist die Rechtfertigung für erhöhte Sicherheitsmaßnahmen (auch Videoüberwachung) am stärksten, in Zone 1 am schwächsten.
Internationale Sicherheitskulturen: Vertrauen vs. Kontrolle
Der Umgang mit Bürosicherheit spiegelt tiefere kulturelle Werte über Vertrauen, Kontrolle und Privatsphäre wider.
In Japan sind Büros traditionell offen und wenig gesichert — Einbruchskriminalität ist im internationalen Vergleich sehr niedrig, und die Bürokultur spiegelt ein hohes gegenseitiges Vertrauen. Schreibtische werden nicht abgeschlossen, persönliche Gegenstände liegen offen. Das Omotenashi-Prinzip (おもてなし — bedingungslose Gastfreundschaft) manifestiert sich auch im Bürodesign: Zugänge sind einladend statt abschreckend gestaltet. Die japanische Sicherheitsphilosophie setzt weniger auf technische Barrieren als auf soziale Kontrolle und Gemeinschaftsgefühl.
In den USA ist die Sicherheitsmentalität deutlich proaktiver — besonders in Industrie- und Technologieunternehmen. Badge-in-Systeme, Besucherregistrierung mit Ausweis-Scan, Sicherheitspersonal am Empfang und mehrstufige Zutrittskontrolle sind in mittelgroßen US-Unternehmen weit verbreiteter als in vergleichbaren deutschen Unternehmen. Der Hintergrund ist teilweise kulturell (höheres Sicherheitsbewusstsein), teilweise rechtlich (US-Unternehmen haften stärker für Sicherheitsversagen gegenüber Dritten).
In Deutschland ist die Balance zwischen Sicherheit und Privatsphäre besonders sensibel geregelt — stärker als in den meisten anderen EU-Ländern. Das BDSG und die Mitbestimmungsrechte des Betriebsrats schaffen einen Rechtsrahmen, der Überwachung begrenzt und Mitarbeiterrechte schützt. Das ist kein bürokratisches Hindernis, sondern ein gesellschaftlicher Wert: Das Recht auf informationelle Selbstbestimmung, das das Bundesverfassungsgericht 1983 im Volkszählungsurteil formulierte, gilt auch am Arbeitsplatz.
Versicherung und Haftung: Was gute Sicherheit bewirkt
Physische Sicherheitsmaßnahmen haben einen direkten Einfluss auf Versicherungsprämien und Haftungsrisiken. Eine VdS-anerkannte Einbruchmeldeanlage (EMA) mit Aufschaltung auf eine Notruf- und Serviceleitstelle (NSL) ist bei den meisten gewerblichen Einbruchdiebstahl-Versicherungen Voraussetzung für volle Deckung bei hohen Versicherungssummen — oder senkt die Prämie um 20–40 Prozent. Für Unternehmen mit hochwertigen Geräten, Lagerbeständen oder vertraulichen Daten lohnt sich die Investition in zertifizierte Sicherheitstechnik also auch rein versicherungsmathematisch.
Der GDV schätzt die Gesamtschäden durch Wohnungseinbrüche 2024 auf rund 350 Millionen Euro — mit einem Rekord-Durchschnitt von 3.800 Euro pro Fall. Für gewerbliche Einbrüche liegen die Einzelschäden typischerweise deutlich höher, weil neben dem Sachwert auch Betriebsunterbrechungskosten, IT-Wiederherstellung und regulatorische Folgekosten (DSGVO-Meldung, Kreditüberwachung für betroffene Kunden) anfallen. Ein einziger Einbruch in ein schlecht gesichertes Büro kann so Gesamtkosten im fünf- bis sechsstelligen Bereich verursachen — Kosten, die eine solide Sicherheitsausstattung im unteren fünfstelligen Bereich hätte verhindern können.
Datenschutzrechtlich ist die Absicherung gegen unberechtigten Datenzugriff eine Pflicht nach Art. 32 DSGVO — technische und organisatorische Maßnahmen (TOMs) zum Schutz personenbezogener Daten müssen dokumentiert werden. Physische Zutrittskontrolle zu Bereichen mit Datenverarbeitung ist explizit als TOM anerkannt. Ein gut dokumentiertes Sicherheitskonzept reduziert im Schadensfall sowohl Bußgeldrisiken gegenüber Datenschutzbehörden als auch zivilrechtliche Haftungsansprüche von betroffenen Personen.
Konvergenz: Physische und digitale Sicherheit zusammendenken
In der modernen Bürosicherheit verschwimmt die Grenze zwischen physischer und digitaler Sicherheit zunehmend. Elektronische Zutrittskontrollsysteme sind IT-Systeme, die selbst Angriffsflächen bieten: Wer das Netzwerk kompromittiert, kann potentiell Türen öffnen. Umgekehrt kann ein physischer Einbruch den Zugang zu Netzwerkkomponenten ermöglichen, die eine Cyberattacke erst möglich machen.
Dieses Zusammenwachsen erfordert ein integriertes Sicherheitskonzept, das physische und IT-Sicherheit nicht mehr als getrennte Disziplinen behandelt. Konkrete Maßnahmen an der Schnittstelle: Zutrittskontrollsysteme gehören in ein vom Büronetzwerk getrenntes VLAN oder physisch separates Netzwerk, damit eine Kompromittierung des einen nicht automatisch das andere betrifft. Netzwerkschränke und Switches in Fluren oder Gemeinschaftsbereichen müssen physisch gesichert sein — ein offener Patchschrank im Flur macht jede Firewall-Investition zunichte. Und USB-Ports an öffentlich zugänglichen Rechnern sollten deaktiviert oder physisch blockiert sein, um Datenexfiltration durch Besucher oder Reinigungspersonal zu verhindern.
Für KMU ist die vollständige Integration von physischer und IT-Sicherheit oft ressourcenbedingt nicht realisierbar. Ein pragmatischer erster Schritt: Die Verantwortlichen für IT-Sicherheit und für Gebäudesicherheit sollten sich regelmäßig austauschen und ihre jeweiligen Risikoanalysen abgleichen. Oft ergeben sich Synergien — etwa wenn der IT-Verantwortliche weiß, dass der Serverraum keine Zutrittskontrolle hat, oder der Facility Manager erfährt, dass die Zutrittskontrolle über ein ungesichertes WLAN gesteuert wird.
Fazit und Sicherheitscheckliste: Bürosicherheit systematisch aufbauen
Bürosicherheit ist keine Frage des Misstrauens — es ist ein Qualitätsmerkmal professionellen Unternehmensbetriebs. Ein durchdachtes Sicherheitskonzept schützt Mitarbeitende, Kunden und Unternehmenswerte gleichermaßen und spart im Schadensfall ein Vielfaches der Investitionskosten. Der Einstieg muss dabei nicht teuer sein: Schon die konsequente Umsetzung mechanischer Grundsicherung (RC 2-Tür, abschließbare Fenster, Sicherheitsbeschläge) und ein strukturiertes Schlüsselmanagement heben das Sicherheitsniveau der meisten Büros erheblich — für einen Bruchteil der Kosten, die ein einziger Einbruch verursachen würde.
Sicherheitscheckliste — Büro 2026:
- Risikoanalyse: Welche Bereiche, Daten und Werte sind besonders schutzbedürftig?
- Drei-Zonen-Modell: Öffentlich / Betrieb / Hochsicherheit klar abgrenzen
- Eingangstür: Mind. RC 2 (DIN EN 1627), Sicherheitsbeschlag mit Kernziehschutz
- Fenster EG und KG: VSG P4A oder Fenstersicherung mit Pilzkopfverriegelung
- Schließanlage: Ab 10 Türen elektronisches System (Chip/App) statt mechanischem Schlüssel
- EMA: VdS-Klasse C für Versicherungsdeckung, Aufschaltung auf NSL, alle Zugänge gesichert
- Videoüberwachung: Nur Eingangsbereiche und Wertbereiche, DSGVO-Hinweisschilder, 48–72 h Speicherdauer
- Betriebsrat einbinden: Betriebsvereinbarung vor Installation von Überwachungstechnik (§ 87 BetrVG)
- TOMs dokumentieren: Zutrittskontrolle als DSGVO-Maßnahme im Verarbeitungsverzeichnis erfassen
- Serverraum / Archiv Zone 3: Biometrie oder Doppelzylinder, kein Zutritt ohne Protokoll
- Besuchermanagement: Anmeldung, Begleitung, Besucherausweis — kein unkontrollierter Zugang
- Schlüssel-/Kartenverwaltung: Ausgabeliste führen, bei Austritt sofortige Deaktivierung
- Versicherung prüfen: VdS-Anerkennung für Prämienrabatt, EMA-Pflicht bei hohen Versicherungssummen
- Notfallplan: Wer wird wann informiert bei Einbruchalarm, Datenpanne oder Sicherheitsvorfall?
