Gratis
9. März 2020 - Datenschutz-Kontrolle

DSGVO: So setzen Sie die erweiterte Zugangskontrolle um

Drucken

Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) legen bei der Sicherheit der Verarbeitung großen Wert auf die Zugangskontrolle. Was heißt Zugangskontrolle genau? Was müssen Datenschutzbeauftragte (DSB) hier prüfen?

Login mit Username und Passwort: eine technisch-organisatorische Maßnahme von vielen Datenschutz-Grundverordnung und BDSG sehen die Kontrollen etwas anders als das alte Recht (Bild: lekkyjustdoit / iStock / Thinkstock)

Es war ein Klassiker, wenn es in den Zeiten vor der DSGVO um Datenschutzkontrollen und technisch-organisatorische Maßnahmen (TOM) im Datenschutz ging: Zugangskontrolle und Zutrittskontrolle wurden gern vermischt.

Das war einerseits nachvollziehbar. Denn man kann in ein Gebäude auch Zugang und nicht nur Zutritt erhalten. Andererseits konnte es ein Problem sein, wenn man sich über Mängel in der Zugangskontrolle unterhielt und einer der Gesprächspartner eigentlich an die Zutrittskontrolle dachte.

Zugangskontrolle umfasst nun Zutrittskontrolle

Mit dem neuen Datenschutzrecht gehört das seit dem 25. Mai 2018 der Vergangenheit an.

Nicht nur die Datenschutz-Grundverordnung (DSGVO) nennt die Zutrittskontrolle als Begriff nicht. Auch das Bundesdatenschutzgesetz kennt keine Zutrittskontrolle mehr.

Artikel 32 DSGVO (Sicherheit der Verarbeitung) besagt:

„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“

Und § 64 Absatz 3 BDSG fordert:

„Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:

  1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle), …“

Nun umfasst die Zugangskontrolle also beides. Es ist daher sinnvoll, die internen Prüfkataloge zur Zugangskontrolle zu erweitern.

Maßnahmen der Zutrittskontrolle aufnehmen

Damit die Maßnahmen der Zutrittskontrolle nicht in Vergessenheit geraten, führen Sie die bisher getrennten Prüf- und Maßnahmen-Kataloge in eine Liste für die erweiterte Zugangskontrolle zusammen.

Beispiele für Maßnahmen

Zu der erweiterten Kontrolle gehören somit Maßnahmen wie

  • Absicherung der Gebäude, Fenster und Türen,
  • Sicherheitsglas,
  • Bruch- und Öffnungsmelder,
  • Videoüberwachungs-Anlagen,
  • Alarmanlagen,
  • Zutrittskontroll-Systeme mit Chipkarten-Leser und
  • Besucher-Dokumentation.

Aber auch Vorkehrungen wie

  • Passwortrichtlinien,
  • Zwei-Faktor-Benutzeranmeldung,
  • Firewalls,
  • digitale Zertifikate,
  • Verschlüsselung,
  • Schutz vor Schadsoftware,
  • Bildschirmsperre und
  • aktuelle Nutzerverwaltung.

Ziel: Unbefugten Zugang zur IT verhindern

Bei der Suche nach geeigneten Maßnahmen muss immer die Sicherheit des Zugangs zur IT und zu den Daten im Fokus stehen. Dazu überlegen Sie sich am besten, welchen Weg ein externer Angreifer geht, um bis an die IT und bis an die Daten zu gelangen:

  • Ist der Angreifer bereits im Gebäude und steht vor dem IT-System oder erfolgt der Angriff über das Internet, greifen die bisherigen Maßnahmen der Zugangskontrolle.
  • Befindet sich der Angreifer vor Ort, aber noch vor dem Firmengelände oder Gebäude, kommen die bisherigen Maßnahmen der Zutrittskontrolle hinzu.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.