Zutritts-, Zugangs- und Zugriffskontrolle

Zutritts-, Zugangs- und Zugriffskontrolle

Jeder Verantwortliche ist verpflichtet, technische und organisatorische Maßnahmen zum Schutz und zur Sicherheit personenbezogener Daten zu implementieren. Offensichtliche Maßnahmen dienen meist der Zutritts-, Zugangs- und Zugriffskontrolle. Nun reicht es bei der Dokumentation nicht, einfach nur zu schreiben, dass ein Verantwortlicher Maßnahmen hierzu ergriffen hat. Die Datenschutzaufsichtsbehörde oder etwaige Auftraggeber werden konkrete Maßnahmen in Erfahrung bringen wollen, mithilfe welcher ein Verantwortlicher diese Kontrolle erreichen möchte.

Begriffserklärungen

Die Begriffe Zutritts-, Zugangs- und Zugriffskontrolle haben nicht dieselbe Bedeutung. Die Erklärungen für diese Begriffe finden wir auch im IT-Grundschutz-Kompendium unter dem Prozessbaustein „ORP.4 Identitäts- und Berechtigungsmanagement“. Sie stammen noch aus der Zeit des alten Bundesdatenschutzgesetzes (dort Anlage zu § 9 BDSG) und waren die ersten drei von insgesamt acht Datenschutzzielen. Die Begriffe finden sich noch oft in der Dokumentation der technischen und organisatorischen Maßnahmen, obwohl sie so nicht mehr in Art. 32 DSGVO zu finden sind. Daher werden diese früheren Schutzziele auch mitunter den neuen Begriffen der DSGVO wie „Vertraulichkeit“ des Art. 32 Abs. 1 lit. b) DSGVO zugeordnet.

Zutrittskontrolle

Bei diesem Begriff handelt es sich um die Kontrolle des physischen Zuganges zu beispielsweise einen bestimmten Raum, Gebäude oder Gelände, in denen die Datenverarbeitung stattfindet bzw. Akten, Computer oder Server stehen.

Zugangskontrolle

Bei der Kontrolle des Zuganges wird festlegt, welcher Nutzer Zugang zu einem IT-System, Laufwerk, Dateiordner etc. erhält.

Zugriffskontrolle

Die Zugriffskontrolle bezeichnet die Kontrolle dessen, welcher Nutzer bestimmte Daten verarbeiten darf. Dabei ist der Begriff „Verarbeitung“ i. S. v. Art. 4 Nr. 2 DSGVO sehr weit zu verstehen und umfasst alles, was mit personenbezogenen Daten gemacht werden kann – von der Erhebung über die eigentliche Verarbeitung, die reine Speicherung, die Übermittlung, das Einblick gewähren, die Veränderung bis zum Löschen bzw. Vernichten.

Vorgaben in der DSGVO

Nun weist die DSGVO an verschiedenen Stellen auf die Pflicht eines Verantwortlichen hin, geeignete und angemessene technische und organisatorische Maßnahmen zum Schutz und der Sicherheit personenbezogener Daten zu implementieren. Die Stellen sind explizit Artt. 5 Abs. 1 lit. f), 24 Abs. 1, 25 Abs. 1 und 32 Abs. 1 DSGVO. Dies dient auch der Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten. Denn indem eine Zutritts-, Zugangs- und Zugriffskontrolle implementiert und aktiv ist, ist damit ein wichtiger Schritt getan, nicht nur in Richtung Datenschutz und -sicherheit, sondern auch in Richtung IT-Sicherheit.

Konkrete Maßnahmen für die Zutritts-, Zugangs- und Zugriffskontrolle

Die Grenze zwischen diesen Maßnahmen ist fließend. Schließlich tragen Maßnahmen der Zutrittskontrolle u. U. auch zur Kontrolle des Zuganges bei. Beispiele für solche Maßnahmen sind aber folgende:

1) Zutritt zu den Büroräumen der verantwortlichen Stelle ist ausschließlich mithilfe des Scans einer Beschäftigtenkarte möglich.

2) Um den Server-Raum betreten zu können, muss der jeweilige Beschäftigte eine PIN eingeben.

3) Besucher können das Gebäude des verantwortlichen nur betreten, wenn sie von einem der Beschäftigten in Empfang genommen und begleitet werden.

4) Sofern ein Beschäftigter sich nicht in den Büroräumen der verantwortlichen Stelle befindet, kann er ausschließlich über ein VPN auf die firmeninternen Laufwerke gelangen.

5) Für erhöhte Sicherheit, hat ein verantwortlicher einen Prozess zur Mehr-Faktor-Authentisierung implementiert.

6) Scheidet ein Beschäftigter aus einem Unternehmen aus, gibt es dokumentierte Prozesse, wie vorzugehen ist und wer darüber zu informieren ist, um beispielsweise Zutritts-, Zugangs- und Zugriffsberechtigungen ab einem bestimmten Datum zu entziehen.

7) Mithilfe eines Active Directorys legt der IT-Administrator fest, wer in welchem Ordner beispielsweise Dateien anlegen, ändern oder löschen darf.

8) Damit ein Beschäftigter beispielsweise auf die Plattform eines Kunden zugreifen darf, muss er ein Passwort eingeben.

9) Um auf das verschlüsselte Backup eines Verantwortlichen zugreifen zu können, muss die Person ein bestimmtes Passwort eingeben, was sie idealerweise ausschließlich aufgrund einer Berechtigung kennt.

Die oben genannten Beispiele sind nur eine kleine Auswahl möglicher Maßnahmen. Jeder Verantwortliche muss für sich selbst analysieren, welche Maßnahmen für den Datenschutz und die -sicherheit auch in Abhängigkeit der Sensibilität der zu schützenden Daten angemessen sind. Handelt es sich also beispielsweise um eine Verarbeitung personenbezogener Daten besonderer Kategorien gemäß Art. 9 Abs. 1 DSGVO, müssen die Schutzmaßnahmen höher sein. Das kann auch bedeuten, dass ein Verantwortlicher zu den Standardmaßnahmen zusätzliche Maßnahmen implementieren muss, um den entsprechend notwendigen höheren Schutz zu gewährleisten.

Fazit

Die Zutritts-, Zugangs- und Zugriffskontrolle nützt nicht nur dem Schutz personenbezogener Daten, sondern auch dem der Unternehmensdaten. Folglich wird die Implementation entsprechender Maßnahmen in den meisten Fällen auch aus diesem Grund im eigenen Interesse des Verantwortlichen sein. Des Weiteren trägt dies zu einem funktionierenden Datenschutz-Management-System bei.

Um also etwaige Anfragen nach den technischen und organisatorischen Maßnahmen von Kunden bei einer Auftragsverarbeitung oder der Datenschutzaufsichtsbehörde beantworten zu können, gilt es, entsprechende Maßnahmen zu ergreifen und zu dokumentieren (Art. 5 Abs. 2 DSGVO – Nachweispflicht eines Verantwortlichen). Falls Sie Unterstützung und Beratung hierbei benötigen, kontaktieren Sie uns gern heute für ein unverbindliches Angebot.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.