Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
25. April 2022

Zugangskontrolle: So setzen Sie sie nach DSGVO um

Gratis
Zugangskontrolle: So setzen Sie sie nach DSGVO um
Bild: lekkyjustdoit / iStock / Thinkstock
5,00 (5)
Inhalte in diesem Beitrag
Datenschutz-Kontrolle
Die DSGVO und das BDSG legen bei der Sicherheit der Verarbeitung großen Wert auf die Zugangskontrolle. Was heißt Zugangskontrolle genau? Was müssen Datenschutzbeauftragte hier prüfen?

Es war ein Klassiker, wenn es in den Zeiten vor der Datenschutz-Grundverordnung (DSGVO) um Datenschutzkontrollen und technisch-organisatorische Maßnahmen (TOM) im Datenschutz ging: Zugangskontrolle und Zutrittskontrolle im Unternehmen oder in der Behörde wurden gern vermischt.

  • Die Zugangskontrolle sorgt dafür, dass keine unberechtigten Nutzer oder Rechner Zugang zur IT erhalten.
  • Die Zutrittskontrolle schützt davor, dass Unbefugte physikalisch auf IT-Systeme zugreifen können, also etwa unerkannt ins Rechenzentrum marschieren.
  • Und dann gibt es noch die Zugriffskontrolle. Sie sorgt für ein Rollen- und Berechtigungskonzept.

Die Verwechslung von Zugangskontrolle und Zutrittskontrolle war nachvollziehbar. Denn man kann in ein Gebäude oder zu IT-Systemen auch Zugang und nicht nur Zutritt erhalten. Doch es konnte ein Problem sein, wenn man sich über Mängel in der Zugangskontrolle unterhielt und einer der Gesprächspartner eigentlich an die Zutrittskontrolle dachte.

DSGVO: Zugangskontrolle umfasst Zutrittskontrolle

Weder die DSGVO noch das neue Bundesdatenschutzgesetz (BDSG) kennen eine separate Zutrittskontrolle. Nun umfasst die Zugangskontrolle beides.

Das sagt die DSGVO

Artikel 32 DSGVO (Sicherheit der Verarbeitung) besagt:

„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“

Das sagt das BDSG

Und § 64 Absatz 3 BDSG fordert:

„Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:

  1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle), …“

Es ist daher sinnvoll, in Ihren internen Prüfkatalogen Zugangskontrolle und Zutrittskontrolle zu verbinden und die Prüfung zur Zugangskontrolle zu erweitern.

Datenschutz-Management kompakt online

Datenschutz-Management kompakt ist die umfassende Lösung für die effiziente und rechtssichere Umsetzung der gesetzlichen Datenschutz-Vorgaben.

Profitieren Sie von den Erläuterungen und Umsetzungstipps zahlreicher erfahrener Datenschutzbeauftragter und Fachanwälten zum Datenschutzrecht.

 

Beispiele für Maßnahmen zur Zugangskontrolle

Zur Zugangskontrolle im Unternehmen oder in der Behörde gehören technisch-organisatorische Maßnahmen wie

  • Absicherung der Gebäude, Fenster und Türen,
  • Sicherheitsglas,
  • Bruch- und Öffnungsmelder,
  • Videoüberwachungs-Anlagen,
  • Alarmanlagen,
  • Zutrittskontroll-Systeme mit Chipkarten-Leser und
  • Besucher-Dokumentation.

Aber es gehören auch Vorkehrungen dazu wie

Praxis-Tipp
Vorsicht bei biometrischer Zugangskontrolle

Sowohl bei der Zutrittskontrolle als auch bei der Zugangskontrolle kommen häufig biometrische Verfahren ins Spiel. Da biometrische Daten nach der DSGVO zu den besonderen Kategorien personenbezogener Daten gehören und mit ihrer Nutzung erhöhte Risiken verbunden sein könnten, überlegen Sie immer, ob nicht mildere Mittel für die Zugangskontrolle ausreichen. Das kann beispielsweise ein Ausweis-Chip sein, um den Zutritt und den Zugang zu sichern, und nicht der biometrische Fingerabdruck oder der Iris-Scan.

Im Fokus der Zugangskontrolle: Welchen Weg geht ein Angreifer?

Bei der Suche nach geeigneten Maßnahmen für die Zugangskontrolle muss immer die Sicherheit des Zugangs zur IT und zu den personenbezogenen Daten im Fokus stehen. Dazu überlegen Sie sich am besten, welchen Weg ein externer Angreifer geht, um bis an die IT und bis an die Daten zu gelangen:

  • Ist der Angreifer bereits im Gebäude und steht vor dem IT-System oder erfolgt der Angriff über das Internet, greifen die bisherigen Maßnahmen der Zugangskontrolle.
  • Befindet sich der Angreifer vor Ort, aber noch vor dem Firmengelände oder Gebäude, kommen die bisherigen Maßnahmen der Zutrittskontrolle hinzu.

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.