02. Mai 2023

Zugangskontrolle: So setzen Sie sie nach DSGVO um

Bild: lekkyjustdoit / iStock / Thinkstock

5,00 (5)

Inhalte in diesem Beitrag

Datenschutz-Kontrolle

Die DSGVO legt bei der Sicherheit der Verarbeitung großen Wert auf den Schutz vor unberechtigten Zugriffen und damit auf Zugangskontrolle. Was heißt das genau? Was müssen Datenschutzbeauftragte hier prüfen?

➧ Was bedeutet Zugangskontrolle und was Zutrittskontrolle?

Zugangskontrolle und Zutrittskontrolle im Unternehmen oder in der Behörde lassen sich leicht verwechseln. :

Die Zugangskontrolle sorgt dafür, dass keine unberechtigten Nutzer oder Rechner Zugang zur IT erhalten.
Die Zutrittskontrolle schützt davor, dass Unbefugte physikalisch auf IT-Systeme zugreifen können, also etwa unerkannt ins Rechenzentrum marschieren.
Und dann gibt es noch die Zugriffskontrolle. Sie sorgt für ein Rollen- und Berechtigungskonzept.

➧ Was sagt der Datenschutz zur Zugangskontrolle?

Das sagt die Datenschutz-Grundverordnung (DSGVO)

Artikel 32 DSGVO (Sicherheit der Verarbeitung) besagt:

„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“

Das sagt das Bundesdatenschutzgesetz (BDSG)

Und § 64 Absatz 3 BDSG fordert:

„Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:

Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle), …“

Datenschutz-Management kompakt ist die umfassende Lösung für die effiziente und rechtssichere Umsetzung der gesetzlichen Datenschutz-Vorgaben.

Profitieren Sie von den Erläuterungen und Umsetzungstipps zahlreicher erfahrener Datenschutzbeauftragter und Fachanwälten zum Datenschutzrecht.

➜ Jetzt professionell Datenschutz managen!

➧ Welche Maßnahmen zur Zugangskontrolle gibt es?

Zur Zugangskontrolle im Unternehmen oder in der Behörde gehören technisch-organisatorische Maßnahmen wie

Absicherung der Gebäude, Fenster und Türen,
Sicherheitsglas,
Bruch- und Öffnungsmelder,
Videoüberwachungs-Anlagen,
Alarmanlagen,
Zutrittskontroll-Systeme mit Chipkarten-Leser und
Besucher-Dokumentation.

Aber es gehören auch Vorkehrungen dazu wie

Passwort-Richtlinien,
Zwei-Faktor-Benutzeranmeldung,
Firewalls,
digitale Zertifikate,
Verschlüsselung,
Schutz vor Schadsoftware,
Bildschirmsperre und
aktuelle Nutzerverwaltung.

Praxis-Tipp

Vorsicht bei biometrischer Zugangskontrolle

Sowohl bei der Zutrittskontrolle als auch bei der Zugangskontrolle kommen häufig biometrische Verfahren ins Spiel. Da biometrische Daten nach der DSGVO zu den besonderen Kategorien personenbezogener Daten gehören und mit ihrer Nutzung erhöhte Risiken verbunden sein könnten, überlegen Sie immer, ob nicht mildere Mittel für die Zugangskontrolle ausreichen. Das kann beispielsweise ein Ausweis-Chip sein, um den Zutritt und den Zugang zu sichern, und nicht der biometrische Fingerabdruck oder der Iris-Scan.

➧ Wie versucht ein Angreifer, sich Zugang zu verschaffen?

Bei der Suche nach geeigneten Maßnahmen für die Zugangskontrolle muss immer die Sicherheit des Zugangs zur IT und zu den personenbezogenen Daten im Fokus stehen. Dazu überlegen Sie sich am besten, welchen Weg ein externer Angreifer geht, um bis an die IT und bis an die Daten zu gelangen:

Ist der Angreifer bereits im Gebäude und steht vor dem IT-System oder erfolgt der Angriff über das Internet, greifen die Maßnahmen der Zugangskontrolle.
Befindet sich der Angreifer vor Ort, aber noch vor dem Firmengelände oder vor dem Gebäude, kommen die bisherigen Maßnahmen der Zutrittskontrolle hinzu.

Oliver Schonschek

zu den Kommentaren

Wie nützlich war dieser Beitrag für Sie?

IT-Sicherheit

drucken

Verfasst von

Oliver Schonschek

Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.