Zugangskontrolle: So setzen Sie sie nach DSGVO um

Es war ein Klassiker, wenn es in den Zeiten vor der Datenschutz-Grundverordnung (DSGVO) um Datenschutzkontrollen und technisch-organisatorische Maßnahmen (TOM) im Datenschutz ging: Zugangskontrolle und Zutrittskontrolle im Unternehmen oder in der Behörde wurden gern vermischt.

• Die Zugangskontrolle sorgt dafür, dass keine unberechtigten Nutzer oder Rechner Zugang zur IT erhalten.
• Die Zutrittskontrolle schützt davor, dass Unbefugte physikalisch auf IT-Systeme zugreifen können, also etwa unerkannt ins Rechenzentrum marschieren.
• Und dann gibt es noch die Zugriffskontrolle. Sie sorgt für ein Rollen- und Berechtigungskonzept.

Die Verwechslung von Zugangskontrolle und Zutrittskontrolle war nachvollziehbar. Denn man kann in ein Gebäude oder zu IT-Systemen auch Zugang und nicht nur Zutritt erhalten. Doch es konnte ein Problem sein, wenn man sich über Mängel in der Zugangskontrolle unterhielt und einer der Gesprächspartner eigentlich an die Zutrittskontrolle dachte.

DSGVO: Zugangskontrolle umfasst Zutrittskontrolle

Weder die DSGVO noch das neue Bundesdatenschutzgesetz (BDSG) kennen eine separate Zutrittskontrolle. Nun umfasst die Zugangskontrolle beides.

Das sagt die DSGVO

Artikel 32 DSGVO (Sicherheit der Verarbeitung) besagt:

„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“

Das sagt das BDSG

Und § 64 Absatz 3 BDSG fordert:

„Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:

1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle), …“

Es ist daher sinnvoll, in Ihren internen Prüfkatalogen Zugangskontrolle und Zutrittskontrolle zu verbinden und die Prüfung zur Zugangskontrolle zu erweitern.

Beispiele für Maßnahmen zur Zugangskontrolle

Zur Zugangskontrolle im Unternehmen oder in der Behörde gehören technisch-organisatorische Maßnahmen wie

• Absicherung der Gebäude, Fenster und Türen,
• Sicherheitsglas,
• Bruch- und Öffnungsmelder,
• Videoüberwachungs-Anlagen,
• Alarmanlagen,
• Zutrittskontroll-Systeme mit Chipkarten-Leser und
• Besucher-Dokumentation.

Aber es gehören auch Vorkehrungen dazu wie

• Passwort-Richtlinien,
• Zwei-Faktor-Benutzeranmeldung,
• Firewalls,
• digitale Zertifikate,
• Verschlüsselung,
• Schutz vor Schadsoftware,
• Bildschirmsperre und
• aktuelle Nutzerverwaltung.

Im Fokus der Zugangskontrolle: Welchen Weg geht ein Angreifer?

Bei der Suche nach geeigneten Maßnahmen für die Zugangskontrolle muss immer die Sicherheit des Zugangs zur IT und zu den personenbezogenen Daten im Fokus stehen. Dazu überlegen Sie sich am besten, welchen Weg ein externer Angreifer geht, um bis an die IT und bis an die Daten zu gelangen:

• Ist der Angreifer bereits im Gebäude und steht vor dem IT-System oder erfolgt der Angriff über das Internet, greifen die bisherigen Maßnahmen der Zugangskontrolle.
• Befindet sich der Angreifer vor Ort, aber noch vor dem Firmengelände oder Gebäude, kommen die bisherigen Maßnahmen der Zutrittskontrolle hinzu.

Oliver Schonschek