Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
09. März 2020

DSGVO: So setzen Sie die erweiterte Zugangskontrolle um

Gratis
DSGVO: So setzen Sie die erweiterte Zugangskontrolle um
Bild: lekkyjustdoit / iStock / Thinkstock
2,50 (2)
Datenschutz-Kontrolle
Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) legen bei der Sicherheit der Verarbeitung großen Wert auf die Zugangskontrolle. Was heißt Zugangskontrolle genau? Was müssen Datenschutzbeauftragte (DSB) hier prüfen?

Es war ein Klassiker, wenn es in den Zeiten vor der DSGVO um Datenschutzkontrollen und technisch-organisatorische Maßnahmen (TOM) im Datenschutz ging: Zugangskontrolle und Zutrittskontrolle wurden gern vermischt.

Das war einerseits nachvollziehbar. Denn man kann in ein Gebäude auch Zugang und nicht nur Zutritt erhalten. Andererseits konnte es ein Problem sein, wenn man sich über Mängel in der Zugangskontrolle unterhielt und einer der Gesprächspartner eigentlich an die Zutrittskontrolle dachte.

Zugangskontrolle umfasst nun Zutrittskontrolle

Mit dem neuen Datenschutzrecht gehört das seit dem 25. Mai 2018 der Vergangenheit an.

Nicht nur die Datenschutz-Grundverordnung (DSGVO) nennt die Zutrittskontrolle als Begriff nicht. Auch das Bundesdatenschutzgesetz kennt keine Zutrittskontrolle mehr.

Artikel 32 DSGVO (Sicherheit der Verarbeitung) besagt:

„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“

Und § 64 Absatz 3 BDSG fordert:

„Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:

  1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle), …“

Nun umfasst die Zugangskontrolle also beides. Es ist daher sinnvoll, die internen Prüfkataloge zur Zugangskontrolle zu erweitern.

Maßnahmen der Zutrittskontrolle aufnehmen

Damit die Maßnahmen der Zutrittskontrolle nicht in Vergessenheit geraten, führen Sie die bisher getrennten Prüf- und Maßnahmen-Kataloge in eine Liste für die erweiterte Zugangskontrolle zusammen.

Beispiele für Maßnahmen

Zu der erweiterten Kontrolle gehören somit Maßnahmen wie

  • Absicherung der Gebäude, Fenster und Türen,
  • Sicherheitsglas,
  • Bruch- und Öffnungsmelder,
  • Videoüberwachungs-Anlagen,
  • Alarmanlagen,
  • Zutrittskontroll-Systeme mit Chipkarten-Leser und
  • Besucher-Dokumentation.

Aber auch Vorkehrungen wie

  • Passwortrichtlinien,
  • Zwei-Faktor-Benutzeranmeldung,
  • Firewalls,
  • digitale Zertifikate,
  • Verschlüsselung,
  • Schutz vor Schadsoftware,
  • Bildschirmsperre und
  • aktuelle Nutzerverwaltung.

Ziel: Unbefugten Zugang zur IT verhindern

Bei der Suche nach geeigneten Maßnahmen muss immer die Sicherheit des Zugangs zur IT und zu den Daten im Fokus stehen. Dazu überlegen Sie sich am besten, welchen Weg ein externer Angreifer geht, um bis an die IT und bis an die Daten zu gelangen:

  • Ist der Angreifer bereits im Gebäude und steht vor dem IT-System oder erfolgt der Angriff über das Internet, greifen die bisherigen Maßnahmen der Zugangskontrolle.
  • Befindet sich der Angreifer vor Ort, aber noch vor dem Firmengelände oder Gebäude, kommen die bisherigen Maßnahmen der Zutrittskontrolle hinzu.
Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek

Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.

Er wurde als einer der „Top 50 Global Thought Leaders and Influencers on Privacy“ sowie mehrfach als Influencer und Media Leader für Technologien wie Blockchain, AI, VR / AR und Mobile Computing ausgezeichnet. Seine Spezialgebiete sind Datenschutz, Datensicherheit, IT-Sicherheit, Business & IT.

Kontakt:

http://www.schonschek.de

0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen.