Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

02. Mai 2023

Zugangskontrolle: So setzen Sie sie nach DSGVO um

Die Zugangskontrolle verwehrt Unberechtigten den Zugriff auf die IT-Systeme
Bild: lekkyjustdoit / iStock / Thinkstock
5,00 (5)
Inhalte in diesem Beitrag
Datenschutz-Kontrolle
Die DSGVO legt bei der Sicherheit der Verarbeitung großen Wert auf den Schutz vor unberechtigten Zugriffen und damit auf Zugangskontrolle. Was heißt das genau? Was müssen Datenschutzbeauftragte hier prüfen?

➧ Was bedeutet Zugangskontrolle und was Zutrittskontrolle?

Zugangskontrolle und Zutrittskontrolle im Unternehmen oder in der Behörde lassen sich leicht verwechseln. :

  • Die Zugangskontrolle sorgt dafür, dass keine unberechtigten Nutzer oder Rechner Zugang zur IT erhalten.
  • Die Zutrittskontrolle schützt davor, dass Unbefugte physikalisch auf IT-Systeme zugreifen können, also etwa unerkannt ins Rechenzentrum marschieren.
  • Und dann gibt es noch die Zugriffskontrolle. Sie sorgt für ein Rollen- und Berechtigungskonzept.

➧ Was sagt der Datenschutz zur Zugangskontrolle?

Das sagt die Datenschutz-Grundverordnung (DSGVO)

Artikel 32 DSGVO (Sicherheit der Verarbeitung) besagt:

„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“

Das sagt das Bundesdatenschutzgesetz (BDSG)

Und § 64 Absatz 3 BDSG fordert:

„Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:

  1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle), …“
Datenschutz-Management kompakt online

Datenschutz-Management kompakt ist die umfassende Lösung für die effiziente und rechtssichere Umsetzung der gesetzlichen Datenschutz-Vorgaben.

Profitieren Sie von den Erläuterungen und Umsetzungstipps zahlreicher erfahrener Datenschutzbeauftragter und Fachanwälten zum Datenschutzrecht.

 

➧ Welche Maßnahmen zur Zugangskontrolle gibt es?

Zur Zugangskontrolle im Unternehmen oder in der Behörde gehören technisch-organisatorische Maßnahmen wie

  • Absicherung der Gebäude, Fenster und Türen,
  • Sicherheitsglas,
  • Bruch- und Öffnungsmelder,
  • Videoüberwachungs-Anlagen,
  • Alarmanlagen,
  • Zutrittskontroll-Systeme mit Chipkarten-Leser und
  • Besucher-Dokumentation.

Aber es gehören auch Vorkehrungen dazu wie

Praxis-Tipp
Vorsicht bei biometrischer Zugangskontrolle

Sowohl bei der Zutrittskontrolle als auch bei der Zugangskontrolle kommen häufig biometrische Verfahren ins Spiel. Da biometrische Daten nach der DSGVO zu den besonderen Kategorien personenbezogener Daten gehören und mit ihrer Nutzung erhöhte Risiken verbunden sein könnten, überlegen Sie immer, ob nicht mildere Mittel für die Zugangskontrolle ausreichen. Das kann beispielsweise ein Ausweis-Chip sein, um den Zutritt und den Zugang zu sichern, und nicht der biometrische Fingerabdruck oder der Iris-Scan.

➧ Wie versucht ein Angreifer, sich Zugang zu verschaffen?

Bei der Suche nach geeigneten Maßnahmen für die Zugangskontrolle muss immer die Sicherheit des Zugangs zur IT und zu den personenbezogenen Daten im Fokus stehen. Dazu überlegen Sie sich am besten, welchen Weg ein externer Angreifer geht, um bis an die IT und bis an die Daten zu gelangen:

  • Ist der Angreifer bereits im Gebäude und steht vor dem IT-System oder erfolgt der Angriff über das Internet, greifen die Maßnahmen der Zugangskontrolle.
  • Befindet sich der Angreifer vor Ort, aber noch vor dem Firmengelände oder vor dem Gebäude, kommen die bisherigen Maßnahmen der Zutrittskontrolle hinzu.

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.