Zugangskontrolle: So setzen Sie sie nach DSGVO um
Die DSGVO legt bei der Sicherheit der Verarbeitung großen Wert auf den Schutz vor unberechtigten Zugriffen und damit auf Zugangskontrolle. Was heißt das genau? Was müssen Datenschutzbeauftragte hier prüfen?
Was bedeutet Zugangskontrolle und was Zutrittskontrolle?
Zugangskontrolle und Zutrittskontrolle im Unternehmen oder in der Behörde lassen sich leicht verwechseln. :
- Die Zugangskontrolle sorgt dafür, dass keine unberechtigten Nutzer oder Rechner Zugang zur IT erhalten.
- Die Zutrittskontrolle schützt davor, dass Unbefugte physikalisch auf IT-Systeme zugreifen können, also etwa unerkannt ins Rechenzentrum marschieren.
- Und dann gibt es noch die Zugriffskontrolle. Sie sorgt für ein Rollen- und Berechtigungskonzept.
Was sagt der Datenschutz zur Zugangskontrolle?
Das sagt die Datenschutz-Grundverordnung (DSGVO)
Artikel 32 DSGVO (Sicherheit der Verarbeitung) besagt:
„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“
Das sagt das Bundesdatenschutzgesetz (BDSG)
Und § 64 Absatz 3 BDSG fordert:
„Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:
- Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle), …“
Welche Maßnahmen zur Zugangskontrolle gibt es?
Zur Zugangskontrolle im Unternehmen oder in der Behörde gehören technisch-organisatorische Maßnahmen wie
- Absicherung der Gebäude, Fenster und Türen,
- Sicherheitsglas,
- Bruch- und Öffnungsmelder,
- Videoüberwachungs-Anlagen,
- Alarmanlagen,
- Zutrittskontroll-Systeme mit Chipkarten-Leser und
- Besucher-Dokumentation.
Aber es gehören auch Vorkehrungen dazu wie
- Passwort-Richtlinien,
- Zwei-Faktor-Benutzeranmeldung,
- Firewalls,
- digitale Zertifikate,
- Verschlüsselung,
- Schutz vor Schadsoftware,
- Bildschirmsperre und
- aktuelle Nutzerverwaltung.
PRAXIS-TIPP
Vorsicht bei biometrischer Zugangskontrolle
Sowohl bei der Zutrittskontrolle als auch bei der Zugangskontrolle kommen häufig biometrische Verfahren ins Spiel. Da biometrische Daten nach der DSGVO zu den besonderen Kategorien personenbezogener Daten gehören und mit ihrer Nutzung erhöhte Risiken verbunden sein könnten, überlegen Sie immer, ob nicht mildere Mittel für die Zugangskontrolle ausreichen. Das kann beispielsweise ein Ausweis-Chip sein, um den Zutritt und den Zugang zu sichern, und nicht der biometrische Fingerabdruck oder der Iris-Scan.
Wie versucht ein Angreifer, sich Zugang zu verschaffen?
Bei der Suche nach geeigneten Maßnahmen für die Zugangskontrolle muss immer die Sicherheit des Zugangs zur IT und zu den personenbezogenen Daten im Fokus stehen. Dazu überlegen Sie sich am besten, welchen Weg ein externer Angreifer geht, um bis an die IT und bis an die Daten zu gelangen:
- Ist der Angreifer bereits im Gebäude und steht vor dem IT-System oder erfolgt der Angriff über das Internet, greifen die Maßnahmen der Zugangskontrolle.
- Befindet sich der Angreifer vor Ort, aber noch vor dem Firmengelände oder vor dem Gebäude, kommen die bisherigen Maßnahmen der Zutrittskontrolle hinzu.