KI-gestütztes Besuchermanagement und Zutrittssteuerung

Das echte Ausmaß des Problems

Besuchermanagement wirkt wie eine Randaufgabe — bis es zum Compliance-Problem wird. Was dabei übersehen wird: In einem Unternehmen mit 200 Mitarbeitenden und zehn Besuchern täglich entstehen im Jahr etwa 2.400 Check-in-Vorgänge. Bei einem manuellen Aufwand von vier bis acht Minuten pro Besucher — Eintragen, Ausweis kopieren, NDA drucken, unterschreiben, ablegen, Gastgeber anrufen — sind das bis zu 320 Stunden Empfangsarbeit pro Jahr, nur für den Eingang.

Das ist die sichtbare Seite des Problems. Die unsichtbare: Laut einer Branchenumfrage von ASIS International (2023) berichten 92 Prozent der Sicherheitsverantwortlichen von Zugangskontrollproblemen in ihrem Betrieb, wobei unbefugtes Hinterherschlüpfen (sogenanntes Tailgating) mit 61 Prozent den größten Anteil ausmacht. In Unternehmen ohne digitales Protokoll wird dieser Vorfall nicht einmal bemerkt — geschweige denn dokumentiert.

Für Unternehmen, die eine ISO-27001-Zertifizierung anstreben oder bereits tragen, ist das keine Kleinigkeit. Norm-Abschnitt A.11 (physische Sicherheit) verlangt nachweisbare Besucherkontrolle. Wer das mit Excel belegen will, riskiert eine Nichtkonformität. Ähnliches gilt für TISAX (Automotive) und SOC 2 (IT-Dienstleister).

Drei Konsequenzen, die in der Praxis immer wieder auftreten:

• Externer Auditor verweigert Einlass, weil kein gültiges Besucherprotokoll vorliegt — und schreibt dies im Bericht auf. Zertifizierungsprozess verzögert sich um mindestens einen Monat.
• Paper-NDA liegt nicht vor, weil der Besucher das Dokument mitgenommen oder das Empfangsteam es falsch abgeheftet hat. Im Streitfall ist die Vereinbarung nicht nachweisbar.
• Zutrittsberechtigung unklar: Ein Besucher betritt Bereiche, für die er keine Freigabe hat — der Vorfall fällt erst beim nächsten Audit auf.

Mit vs. ohne KI — ein ehrlicher Vergleich

¹ Erfahrungswerte aus Implementierungen, bestätigt durch VizMan-Fallstudie bei Vadilal Industries (2024): Rückgang von 8,4 Minuten auf 2,1 Minuten Bearbeitungszeit je Besucher.

Das Empfangsteam wird nicht ersetzt — es wird von einem Ablauf befreit, der aus wiederholter Schreibarbeit und Informationsbeschaffung besteht. Was nach dem Rollout an Zeit übrig bleibt, fließt in echte Gästebetreuung.

Einschätzung auf einen Blick

Zeitersparnis — hoch (4/5) Der Hebel ist klar: 4–8 Minuten manueller Aufwand pro Besucher schrumpfen auf 1–2 Minuten. Bei zehn Besuchern täglich spart ein digitales System täglich mindestens 30–60 Minuten Empfangsarbeit — nicht durch KI-Magie, sondern durch Voranmeldung mit QR-Code, automatische Gastgeber-Benachrichtigung und digitale Unterschrift. Für Unternehmen mit hohem Besucheraufkommen (30+ täglich) ist dieser Effekt noch größer und potenziell in Richtung FTE-Entlastung ausbaubar.

Kosteneinsparung — mittel (3/5) Die Softwarekosten (39–300 €/Monat je Standort) sind überschaubar. Die tatsächliche Einsparung entsteht über entlastete Empfangskapazität — schwerer direkt zu isolieren als bei der Rechnungsverarbeitung, wo jede Rechnung gezählt werden kann. Wer den ROI direkt belegen will, misst die Check-in-Zeit vor und nach dem Rollout — das liefert harte Zahlen.

Schnelle Umsetzung — niedrig (2/5) Das Softwaresetup selbst ist in einem Tag erledigt. Was Zeit kostet: die Integration in bestehende Zugangskontrollhardware (Drehsperren, Türöffner, Kamerasysteme), die Abstimmung mit dem Datenschutzbeauftragten, das Einpflegen der Zonenberechtigungen und die Schulung des Empfangsteams. Realistisch sind 8–14 Wochen bis zum produktiven Betrieb über alle Standorte — damit liegt dieser Anwendungsfall am hinteren Ende des Feldes in dieser Branche.

ROI-Sicherheit — hoch (4/5) Selten in diesem Bereich: Der Nutzen ist doppelt belegbar. Zeitersparnis durch Check-in-Verkürzung lässt sich messen. Compliance-Nutzen durch nachgewiesene ISO-27001-Konformität ist ebenfalls quantifizierbar — in Form vermiedener Audit-Kosten und Zertifizierungsverzögerungen. Wer beide Hebel sauber dokumentiert, hat ein Ergebnis, das sich auch intern vertreten lässt.

Skalierbarkeit — hoch (4/5) Das System wächst mit: Mehr Standorte, mehr Besucher, mehr Zutrittspunkte — die Softwareseite skaliert ohne Probleme. Die ehrliche Einschränkung: Jeder physische Eingang braucht eigene Hardware (Tablet, ggf. Badge-Drucker, ggf. Türsystem-Integration) — das ist ein linearer Kostenanteil pro Standort, kein reines Software-Wachstum. Für Unternehmen mit vielen Standorten lohnt sich deshalb ein Lizenzmodell, das pro Standort abrechnet und Hardware-seitig ein einheitliches Konzept verfolgt.

Richtwerte — stark abhängig von Unternehmensgröße, Anzahl Standorte, vorhandener Zugangskontrollinfrastruktur und Besucheraufkommen.

Was das System konkret macht

Digitales Besuchermanagement löst vier Probleme im Verbund — die oft als separate Aufgaben behandelt werden, sich aber in einem einzigen Workflow bündeln lassen:

1. Voranmeldung mit automatischem QR-Code Der Gastgeber meldet den Besucher im System an — via Web-Interface, Outlook-Plugin oder direkt per Kalenderintegration. Das System sendet dem Besucher automatisch eine Einladungs-E-Mail mit personalisiertem QR-Code, Anfahrtsbeschreibung und relevanten Hinweisen (Sicherheitsregeln, was mitgebracht werden muss). Wer sich vorangemeldet hat, benötigt am Check-in-Tag keine Erklärung mehr.

2. Selbstständiger Check-in am Kiosk Am Empfang-Tablet scannt der Besucher seinen QR-Code. Das System zeigt seine Daten an, bestätigt die Identität, präsentiert das NDA- oder Datenschutzdokument zur digitalen Unterschrift und löst die Gastgeber-Benachrichtigung aus — in ein bis zwei Minuten, ohne Empfangspersonal. Der Gastgeber erhält eine Push-Nachricht auf das Smartphone: „Dein Gast Karl Mayer von BMW Group ist eingetroffen und wartet im Empfangsbereich.”

3. Zonenberechtigungen hinterlegen Für jeden Besuchertyp und jeden Anlass lassen sich Zutrittsbereiche definieren: Kunde darf in Showroom und Besprechungsräume, Lieferant nur zu Rampe und Warenlager, Auditor in Verwaltungstrakt und auf Anfrage in die Produktion. Diese Berechtigungen werden beim Check-in angezeigt und können als Badge-Ausdruck oder als Information für die Sicherheitszentrale weitergeleitet werden.

4. Revisionssicheres Protokoll Jede Eingabe, jede Unterschrift, jedes Zutrittsereignis wird mit Zeitstempel gespeichert und ist unveränderbar. Das Protokoll ist nach Name, Datum, Standort und Besuchertyp filterbar und als Export für Audits aufbereitbar. Wenn ein externer Auditor die Besucherliste der letzten zwölf Monate anfordert, dauert der Export drei Minuten statt einen Halbtag.

Wo KI ins Spiel kommt Die meisten führenden Lösungen setzen Machine Learning moderat ein: automatische Texterkennung bei der Ausweiserfassung (OCR), Anomalieerkennung bei ungewöhnlichen Zutrittszeitpunkten und intelligente Vorausfüllung von Besucherdaten bei Wiederholungsbesuchen. Die KI-Komponente ist Unterstützung, keine Voraussetzung — der grundlegende Nutzen entsteht durch Digitalisierung und Automatisierung, nicht durch Modelle allein.

Was mit Gesichtserkennung wirklich erlaubt ist

Viele Anbieter bewerben “KI-Check-in per Gesichtserkennung” — hier ist, was du dazu wissen musst, bevor du diesen Weg einschlägst.

Gesichtsbilder, die zur Identifizierung einer Person verwendet werden, gelten nach Art. 9 der DSGVO als biometrische Daten — und damit als besondere Kategorie personenbezogener Daten. Deren Verarbeitung ist grundsätzlich verboten, außer du erfüllst eine der engen Ausnahmen. Im Besuchermanagement kommen realistisch nur zwei in Frage:

• Ausdrückliche Einwilligung (Art. 9 Abs. 2a DSGVO): Der Besucher willigt vor dem Check-in schriftlich und informiert ein — freiwillig, widerruflich, ohne Nachteile bei Ablehnung. Das bedeutet: Du musst immer eine Alternativmethode (QR-Code, Ausweis) anbieten.
• Schutz lebenswichtiger Interessen: Für den Unternehmenseingang in aller Regel irrelevant.

Was daraus folgt: Gesichtserkennung als Standard-Check-in ist in Deutschland für externe Besucher rechtlich nicht umsetzbar. Du kannst sie als optionalen Schnellzugang anbieten — aber das System muss immer ohne Biometrie funktionieren, und jede Gesichtsbildverarbeitung erfordert zwingend eine Datenschutz-Folgenabschätzung (DSGVO Art. 35).

Der Bundesbeauftragte für Datenschutz (BfDI) hat mehrfach klargestellt: Bequemlichkeit und allgemeine Sicherheit reichen als Rechtfertigung für biometrische Verarbeitung nicht aus. Die schwedische Datenschutzbehörde verhängte 2023 ein Bußgeld gegen eine Schule, die Gesichtserkennung zur Anwesenheitskontrolle eingesetzt hatte — obwohl die Schüler zugestimmt hatten, weil die Einwilligung im Kontext einer Pflichtveranstaltung nicht als wirklich freiwillig galt.

Empfehlung für die Praxis: QR-Code-Check-in ist DSGVO-konform, einfach, schnell und für 95 Prozent der Unternehmensgebäude ausreichend. Biometrie nur einsetzen, wenn ein klarer betrieblicher Mehrwert existiert, ein Datenschutzjurist den spezifischen Fall bestätigt hat und die Datenschutz-Folgenabschätzung vorliegt.

Hinweis zu Videoüberwachung (CCTV): Eine Kamera am Eingang, die aufzeichnet aber nicht zur biometrischen Identifizierung ausgewertet wird, fällt unter normale Videoüberwachungsregeln und ist mit entsprechender Beschilderung (EN 50132 als Orientierung) und Löschfristen zulässig. Die Linie zur biometrischen Verarbeitung wird erst überschritten, wenn Gesichtsbilder technisch analysiert und zur Identifizierung abgeglichen werden.

Gleichzeitig gilt: Das Unternehmen hat Hausrecht und darf Personen, die keinen gültigen Check-in haben, den Zutritt verweigern — ohne biometrische Technik, allein durch Empfangspersonal oder Drehsperren.

Konkrete Werkzeuge — was wann passt

Die Toollandschaft für digitales Besuchermanagement ist klar segmentiert. Die Wahl hängt vor allem davon ab, welche Compliance-Anforderungen du hast und wie viel Hardware-Integration nötig ist.

EinfachGast — wenn deutsche Datenhaltung und ISO 27001 / TISAX Pflicht sind Deutsches Produkt, Server in Deutschland, ISO 27001- und TISAX-zertifiziert. Ein Preis pro Standort (39 €/Monat, Jahresabrechnung), unbegrenzte Besucher und Geräte. Kein technisches Setup erforderlich. Voranmeldung, QR-Check-in, NDA-Unterzeichnung, Host-Benachrichtigung und revisionssicheres Protokoll sind im Standard enthalten. Die Integration mit physischer Zugangskontrollhardware ist über die API möglich, aber nicht out-of-the-box. Beste Wahl für deutsche Mittelständler mit Compliance-Anforderungen.

Envoy Visitors — wenn internationale Einheitlichkeit und tiefe Hardware-Integration im Vordergrund stehen US-amerikanisches System mit starker Hardware-Integration (Drucker, Zugangskontrollsysteme von Kisi, HID und Lenel) und nativen Slack/Teams-Benachrichtigungen. Standard ab ca. 100 USD/Monat pro Standort, Premium ab ca. 300 USD. EU-Datenhaltung ist seit 2024 verfügbar, aber nur in höheren Tarifen. Kein deutschsprachiger Support. Sinnvoll für international aufgestellte Unternehmen, die ein konzernweites System einsetzen.

Genetec Security Center — wenn Besuchermanagement Teil einer umfassenden physischen Sicherheitsplattform wird Für Unternehmen, die Zutrittskontrolle, Videoüberwachung und Besuchermanagement in einer Plattform konsolidieren wollen. Genetec bietet über das Visitor Management Module eine integrierte Lösung, die nativ mit der Synergis-Zutrittsplattform kommuniziert. Sinnvoll ab ca. 50+ Kameras und strukturierter Sicherheitsinfrastruktur. Deutlich höhere Einstiegskosten (ab ca. 15.000 € Setup).

DocuSign — wenn das NDA-Management unabhängig vom Besuchersystem läuft Wenn euer Empfangssystem keine native NDA-Unterzeichnung bietet oder ihr Besuchervereinbarungen in denselben Workflow wie Lieferantenverträge integrieren wollt, lässt sich DocuSign als digitale Unterschriftskomponente anschließen. DSGVO-konformer Betrieb ist über Enterprise-Verträge mit EU-Datenresidenz möglich. Mehraufwand: API-Integration, zusätzliche Lizenzkosten.

Make.com — für maßgeschneiderte Benachrichtigungs- und Workflow-Automatisierung Wenn das Besuchersystem keine native Kalender- oder Teams-Integration hat, lassen sich mit Make.com solche Brücken ohne Code bauen: Besuchervoranmeldung aus Outlook-Kalender in EinfachGast übertragen, Abwesenheits-Check beim Gastgeber, automatische Eskalation wenn ein Besucher 30 Minuten wartet. Freemium-Tarif reicht für einfache Workflows, kostenpflichtiger Plan ab 9 USD/Monat für höhere Volumen.

Zusammenfassung: Wann welches Tool

• Deutsche Compliance-Anforderungen (ISO 27001, TISAX): EinfachGast
• Internationale Konzernstruktur mit Hardware-Integration: Envoy Visitors
• Vollständige Sicherheitsplattform gesucht: Genetec Security Center
• Standalone-NDA-Workflow ohne eigenes Besuchersystem: DocuSign

Was ihr hardware-seitig braucht

Dieser Anwendungsfall ist einer der wenigen im Facility-Bereich, bei dem Software allein nicht reicht. Was an Hardware am Eingang gebraucht wird — und was optional ist:

Pflicht:

• Tablet am Empfang (iPad oder Android, mindestens 10 Zoll) für den Check-in-Kiosk — Kosten: 200–600 € pro Gerät, handelsüblich
• Stabile WLAN- oder LAN-Anbindung am Eingangsbereich — ohne Verbindung kein QR-Check-in
• Druckmöglichkeit für Besucherausweise, wenn keine Displayanzeige verwendet wird — einfache Thermodrucker (Zebra, Brother) ab ca. 200–500 €

Sinnvoll:

• Badge-Drucker für professionelle Besucherausweise (mit Bild und QR-Code) — ab ca. 400 € plus Verbrauchsmaterial; lohnt sich bei mehr als 20 Besuchern täglich
• Türzugangssystem-Integration (Magnetschloss, elektrischer Türöffner) für vollautomatischen Einlass nach digitalem Check-in — Kosten stark abhängig von vorhandener Infrastruktur (200–2.000 € je Tür)
• Drehsperre / Mantrap für sensible Bereiche (IT, F&E, Serverraum) — Sicherheitsgewinn deutlich höher als durch reine Software-Lösung, Kosten im mittleren vierstelligen Bereich

Nicht notwendig (für die meisten Unternehmen):

• Gesichtserkennung (rechtliche Gründe, siehe Abschnitt oben)
• NFC-Reader (QR-Code ist in 95 % der Fälle ausreichend und günstiger)
• Dedizierter Empfangscomputer (Tablet reicht)

Wichtige Erkenntnis aus der Praxis: Die teuerste Überraschung bei Hardware-Projekten ist selten die Hardware selbst — es ist die Montage, Verkabelung und Konfiguration. Plane pro Eingang 3–6 Stunden Handwerker- und IT-Aufwand ein, wenn Türsysteme angebunden werden.

Datenschutz und Datenhaltung

Besucherdaten sind personenbezogene Daten im Sinne der DSGVO — Name, Firma, Besuchszweck, Zeitstempel, ggf. Foto und Unterschrift. Folgendes muss vor dem Go-Live geklärt sein:

Auftragsverarbeitungsvertrag (AVV) Sobald ein externes SaaS-System Besucherdaten verarbeitet, gilt Art. 28 DSGVO: Du benötigst einen AVV mit dem Anbieter. EinfachGast und Envoy Visitors stellen AVV-Vorlagen bereit — aktiv einfordern und mit dem Datenschutzbeauftragten prüfen, bevor Live-Daten ins System fließen.

Speicherfristen Besucherprotokolle müssen nach einem definierten Zeitraum gelöscht werden. Typische Praxis: 30–90 Tage für reguläre Besuche, längere Aufbewahrung nur, wenn ein spezifischer Rechtsgrund vorliegt (z. B. laufendes Vertragsverfahren). Dieser Zeitraum muss im System konfiguriert und im Datenschutzverzeichnis dokumentiert sein.

Informationspflicht gegenüber Besuchern (Art. 13 DSGVO) Besucher müssen beim Check-in informiert werden, welche Daten erhoben werden, zu welchem Zweck und wie lange sie gespeichert bleiben. Die meisten Systeme bieten einen Pflicht-Datenschutzhinweis als Teil des Check-in-Flows — den Text sollte dein Datenschutzbeauftragter prüfen.

Datenhaltung nach Anbieter:

• EinfachGast: Deutschland (Google Cloud, Frankfurt) — DSGVO-konform ohne Zusatzverträge
• Envoy Visitors: USA (Standard), EU auf Anfrage (Premium/Enterprise) — AVV und EU-Datenresidenz aktiv einfordern
• Genetec Security Center: On-Premise oder EU-Region (AWS Frankfurt) — beim SaaS-Setup Region explizit wählen

ISO 27001 und Hausrecht ISO 27001, Anhang A.11 verlangt nachweisbare physische Zugangskontrolle für sensible Bereiche. Ein revisionssicheres digitales Besucherprotokoll ist ein konkreter Audit-Nachweis. Das Hausrecht berechtigt das Unternehmen, Personen ohne gültigen Check-in den Zutritt zu verweigern — auch ohne biometrische Technik.

Videoüberwachung (CCTV) separat regeln Kameras am Eingang sind nicht Teil des Besuchermanagementsystems, aber oft gleichzeitig Thema. Videoüberwachung ist nach § 4 BDSG zulässig, wenn die Aufnahmen für Sicherheitszwecke erforderlich und verhältnismäßig sind, die Betroffenen sichtbar informiert werden (Hinweisschild) und Löschfristen eingehalten werden. Standard: 72–96 Stunden für normale Empfangsbereiche. Keine biometrische Auswertung ohne explizite DPIA nach Art. 35 DSGVO.

Was es kostet — realistisch gerechnet

Softwarekosten (laufend)

• EinfachGast: 39 €/Monat pro Standort (Jahresabrechnung, zzgl. MwSt.) — zwei Standorte: 78 €/Monat
• Envoy Visitors: 100–300 USD/Monat pro Standort
• Genetec Security Center (Visitor Module): Teil der Gesamtlizenz, typisch ab 15.000 € Setup

Einmalige Einrichtungskosten

• Tablet(s) am Empfang: 200–600 € je Gerät
• Badge-Drucker (optional): 400–600 € inkl. Verbrauchsmaterial für 6 Monate
• Hardware-Integration Türsysteme (je nach Umfang): 500–5.000 € — stark abhängig von vorhandener Infrastruktur
• Ersteinrichtung und Schulung: 1–2 Tage intern, typisch 500–1.500 € externer Dienstleister (einmalig)

Konservativer ROI-Check Annahme: 150 Mitarbeitende, 10 Besucher täglich, Empfangsteam 50 % der Zeit manuell mit Besucherbearbeitung beschäftigt (1 Person × 0,5 FTE × 3.000 €/Monat Brutto = 1.500 €/Monat Empfangsaufwand für Besucher).

Einsparpotenzial: Reduktion von 4–8 Minuten auf 90 Sekunden je Besucher spart ca. 65–70 % Bearbeitungszeit = rund 975–1.050 €/Monat.

Gegen: Softwarekosten 39–100 €/Monat, Hardware-Abschreibung ca. 50 €/Monat.

In diesem Szenario liegt der Break-even innerhalb von 6–12 Monaten, ohne den Compliance-Nutzen einzurechnen. Wer den ISO-27001-Vorteil mitrechnet (vermiedene Audit-Nichtkonformität kostet typisch 2.000–10.000 € in Nachbesserung und Verzögerung), kommt schneller ins Plus.

Wie du den Nutzen wirklich misst Messe vor dem Rollout die Check-in-Zeit für eine Woche (Stoppuhr am Empfang). Messe erneut vier Wochen nach dem Go-Live. Die Differenz in Minuten × Besucheranzahl × Bruttostundensatz ist deine belegbare Zahl. Wer Audits vorbereitet, dokumentiert zusätzlich: Wie lange hat der Auditexport in der alten Lösung gedauert vs. jetzt?

Vier typische Einstiegsfehler

1. Software einführen, Hardware vergessen Das häufigste Problem: Das SaaS-System ist konfiguriert, aber am Empfang steht noch kein Tablet, kein Drucker, und der WLAN-Empfang ist zu schwach für den QR-Scan. Dann läuft der Check-in weiter auf Papier, weil “das System so nicht funktioniert”. Lösung: Hardware-Beschaffung vor Softwareeinführung klären — und einmal wöchentlich das Netz am Empfang auf Stabilität prüfen.

2. Besuchertypen nicht im Vorfeld definieren Lieferant, Kunde, Auftragnehmer, Auditor, Praktikant — jeder Typ braucht möglicherweise unterschiedliche NDAs, andere Zutrittsbereiche und andere Informationen beim Check-in. Wenn das nicht vorab konfiguriert ist, landet alles im gleichen Standardformular. Lösung: Vor dem Setup einen Workshop mit Facility, Sicherheit und Empfang durchführen: Welche Besuchertypen gibt es, was unterscheidet sich jeweils?

3. Datenschutz-Koordination auf “nach dem Launch” verschieben Der AVV wird oft als bürokratische Nacharbeit behandelt — und dann nicht abgeschlossen, bevor echte Besucherdaten im System landen. Das ist eine DSGVO-Verletzung. Lösung: AVV parallel zum Software-Onboarding vorbereiten, Datenschutzbeauftragten vor dem Go-Live einbeziehen, Informationspflichten im Check-in-Flow einbauen.

4. Das System läuft — und niemand pflegt es mehr Das ist der unsichtbare Langzeitfehler. Besuchertypen ändern sich, NDAs werden aktualisiert, Gastgeber wechseln — aber das System spiegelt den Stand von vor 18 Monaten. Besucher unterschreiben eine veraltete NDA-Version. Zonenberechtigungen passen nicht mehr zu den realen Raumstrukturen. Lösung: Halbjährliche Systemüberprüfung im Kalender verankern — wer ist noch im Unternehmen, welche NDAs sind aktuell, welche Bereiche haben sich geändert? Diese Pflege kostet eine Stunde pro Halbjahr und ist nicht optional.

Was mit der Einführung wirklich passiert — und was nicht

Technik und Datenschutz sind die handhabbaren Teile dieser Einführung. Was unterschätzt wird: die menschliche Seite.

Das Empfangsteam ist skeptisch. Nicht wegen des Systems — sondern weil die Einführung eines digitalen Kiosks oft so kommuniziert wird, als würde der Empfang wegoptimiert. Das stimmt nicht: Das System übernimmt den Formularkram, das Empfangsteam übernimmt das Eigentliche — Gäste begrüßen, navigieren, betreuen. Aber diese Botschaft muss früh und klar kommuniziert werden. Lass das Empfangsteam das System konfigurieren und testen, bevor es für Besucher öffnet.

Besucher reagieren überraschend positiv. Der Widerstand gegen digitale Check-ins ist bei Besuchern gering — anders als viele erwarten. Was bei der Schulung vorbereitet sein muss: Besucher ohne Smartphone, Besucher mit schlechtem Handyempfang (QR-Code aus E-Mail vorher ausdrucken), ältere Besucher, die Erklärung brauchen. Eine handgeschriebene Alternativmethode (kleines Papierformular) sollte immer als Backup existieren.

Die IT wird zur Engstelle. Hardware-Beschaffung, WLAN-Ausbau, Türsystem-Anbindung — all das läuft über IT und wird in der Planung oft unterschätzt. Regel: Sechs Wochen Vorlauf für IT-Beauftragung einplanen, nicht sechs Tage.

Was konkret hilft:

• Drei interne Testbesuche vor dem Go-Live mit verschiedenen Szenarien (Voranmeldung, kein QR-Code, falscher Besuchertyp)
• Empfangsteam-Champion benennen, der erste Anlaufstelle für Besucher und System-Fragen ist
• Im ersten Monat täglich die Protokolle prüfen: Sind alle Check-ins vollständig? Gibt es Fehler?
• 90-Tage-Evaluationszeitraum kommunizieren, bevor Urteile gefällt werden

Realistischer Zeitplan mit Risikohinweisen

Häufige Einwände — und was dahintersteckt

„Wir haben zu wenige Besucher, das lohnt sich nicht.” Unter zehn Besuchern pro Woche stimmt das vermutlich. Aber die Rechnung ändert sich, sobald Compliance ins Spiel kommt: Ein ISO-27001-Audit kostet bei Nichtkonformität 2.000–10.000 € in Nacharbeit und Zertifizierungsverzögerung — das übersteigt die Jahreskosten eines Systems wie EinfachGast. Wer Compliance braucht, rechnet nicht nur die Check-in-Zeit gegeneinander.

„Unsere Besucher wollen das nicht.” In der Praxis ist dieser Einwand selten berechtigt. Jeder Flughafen-Check-in, jede Bank-Warteschlange, jede Hotel-Registrierung läuft inzwischen digital — Besucher kennen das. Was sie nicht akzeptieren: ein System, das langsamer ist als das Papier. Wenn das digitale Check-in schneller und reibungsloser läuft als das Formular, zieht der Einwand nicht mehr.

„Wir brauchen Gesichtserkennung für echte Sicherheit.” Gesichtserkennung erhöht die wahrgenommene Sicherheit, aber in deutschen Unternehmensgebäuden ist sie für externe Besucher rechtlich nicht ohne weiteres umsetzbar (Art. 9 DSGVO). Und was wirklich die meisten Sicherheitsvorfälle verhindert, sind physische Sicherheitsmaßnahmen: Drehsperren, Mantrap-Schleusen, konsequentes Empfangspersonal. Ein digitales Protokoll macht jeden Vorfall nachverfolgbar — das ist für Sicherheitsaudits oft wichtiger als biometrische Identifikation.

„Das ist ein IT-Projekt, das braucht Monate.” Das Softwaresetup ist in einem Tag erledigt. Was Zeit braucht, ist die Koordination: Datenschutz, Hardware, Türsysteme. Wer diese Abhängigkeiten früh klärt, kann realistische acht bis zwölf Wochen bis zum ersten Go-Live planen — kein Monsterprojekt, aber kein Wochenend-Sprint.

Woran du merkst, dass das zu dir passt

• Du hast Besucher-Compliance-Anforderungen — ISO 27001, TISAX, SOC 2 oder interne Sicherheitsrichtlinien, die eine nachweisbare Besucherdokumentation verlangen
• Dein Empfangsteam verbringt täglich mehr als 30 Minuten mit dem manuellen Einschreiben von Besuchern
• NDAs werden auf Papier unterschrieben und regelmäßig nachgefragt — “Wir finden das Exemplar von Herrn Meyer nicht mehr”
• Du betreibst mehr als einen Standort, für den du eine einheitliche Besucherdokumentation willst
• Gastgeber werden zu spät benachrichtigt — Besucher warten im Empfang, der Gastgeber ist noch im Meeting und weiß nicht, dass jemand wartet
• Du hast schon einmal eine Compliance-Frage zu Besucherprotokollen nicht sofort beantworten können

Wann es sich (noch) nicht lohnt — drei harte Ausschlusskriterien:

1. Unter 3 Besucher pro Woche und keine Compliance-Pflichten. Bei diesem Volumen ist der Einrichtungsaufwand unverhältnismäßig. Ein gepflegtes digitales Excel-Sheet mit Zeitstempel und Backup reicht dann — kein SaaS-System erforderlich.

2. Kein stabiles Internet am Eingangsbereich. QR-Check-in und Host-Benachrichtigung setzen WLAN oder LAN voraus. Gebäude mit Funklöchern am Eingang müssen zuerst die Netzwerkinfrastruktur nachrüsten — sonst läuft das System im Pilotbetrieb, fällt aber beim ersten größeren Besuchertag aus.

3. Kein interner Prozessverantwortlicher. Besuchermanagement-Software braucht jemanden, der die Konfiguration aktuell hält: NDA-Versionen, Besuchertypen, Gastgeber-Listen, Löschfristen. Wenn diese Verantwortung nicht namentlich vergeben ist, veraltet das System innerhalb von 12 Monaten — und gibt dann beim nächsten Audit einen falschen NDA-Stand aus. Schlimmer als kein digitales System.

Das kannst du heute noch tun

Erstelle eine einfache Voranmeldungsvorlage, die du per E-Mail an Besucher schicken kannst — kostenlos, ohne Software. Das Test-Erlebnis zeigt dir sofort, ob der Prozess für eure Besucher funktioniert, und du kannst die Anforderungen für ein späteres System konkreter formulieren.

Falls ihr bereits ein System evaluiert: Meld dich bei EinfachGast für den 14-Tage-Test an (einfachgast.de, keine Zahlungsdaten erforderlich) und lass das Empfangsteam einen echten Besuchertag damit abbilden. Das echte Empfangs-Feedback ist wertvoller als jeder Feature-Vergleich.

Für die interne Vorbereitung hilft dieser Prompt:

Quellen & Methodik

• ASIS International Access Control Technology Survey (2023): 92 Prozent der befragten Sicherheitsverantwortlichen berichten von Zugangskontrollproblemen; Tailgating/Piggybacking als häufigster Vorfall (61 Prozent). Veröffentlicht als Branchenerhebung auf facilitiesdive.com.
• VizMan Case Study — Vadilal Industries (2024): Check-in-Zeit von 8,4 Minuten auf 2,1 Minuten je Besucher reduziert, 127 Besucher täglich, 347 Stunden Arbeitszeit monatlich eingespart. Quelle: vizman.app/resources/case-study/
• EinfachGast Preisseite (Mai 2026): 39 €/Monat pro Standort (Jahresabrechnung), Datenhaltung Google Cloud Frankfurt, ISO 27001- und TISAX-Konformität. Quelle: einfachgast.de/preis/
• DSGVO Art. 9 (Besondere Kategorien personenbezogener Daten): Biometrische Daten zur Identifizierung von Personen sind besondere Kategorien, Verarbeitung grundsätzlich verboten außer bei engen Ausnahmen. Datenschutz-Grundverordnung in der aktuell gültigen Fassung.
• DSGVO Art. 13 und Art. 28: Informationspflichten beim Erheben von Besucherdaten; AVV-Pflicht bei Auftragsverarbeitung. DSGVO in der aktuell gültigen Fassung.
• DSGVO Art. 35 (Datenschutz-Folgenabschätzung): Pflicht vor der Verarbeitung biometrischer Daten. BfDI-Hinweise zur Biometrie und Datenschutz: bfdi.bund.de
• ISO/IEC 27001:2022, Anhang A.11 (Physische Sicherheit): Anforderungen an physische Zugangskontrolle und Dokumentation. Beziehen über DIN/ISO-Verlag.
• Swedish Data Protection Authority — Schule und Gesichtserkennung (2023): Bußgeld wegen Gesichtserkennungseinsatz zur Anwesenheitskontrolle, obwohl Einwilligung vorlag — Freiwilligkeit im Pflichtkontext nicht gegeben. Erwähnt bei Brighter AI: brighter.ai/resources/regulatory-implications-of-facial-recognition-technology/
• Preisangaben Envoy Visitors (Mai 2026): Standard ca. 100 USD/Monat, Premium ca. 300 USD/Monat pro Standort. Quelle: Capterra-Vergleich und OMT-Analyse.
• Implementierungskosten und Zeitplanung: Erfahrungswerte aus Facility-Management-Projekten im Mittelstand (100–500 Mitarbeitende, 2–5 Standorte).

Du willst wissen, welcher Ansatz für euren Standort und eure Compliance-Anforderungen konkret passt? Meld dich — das klären wir in einem kurzen Gespräch.