Technische und organisatori... / 1 Aspekte der Zutrittskontrolle

Die Zutrittskontrolle ist eine der 8 in der Anlage zu § 9 BDSG genannten technischen und organisatorischen Maßnahmen, die verbindlich umzusetzen sind. Es muss im Rahmen der Zutrittskontrolle sichergestellt sein, dass Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird.

Konkret sind 3 Aspekte von zentraler Bedeutung: Wer soll Zutritt erhalten, welche Räume oder Bereiche darf die betreffende Person betreten und wie lange darf sich die betreffende Person in den erlaubten Bereichen aufhalten.

Der technische Aufwand, der für eine wirksame Zutrittskontrolle betrieben werden sollte, ist vom Schutzbedarf der jeweiligen Daten abhängig. Je höher der Schutzbedarf ist, desto wirksamer müssen die Zutrittskontrollmaßnahmen sein. Der höchste Schutzbedarf ist normalerweise in Serverräumen und Rechenzentren gegeben.

1.1 Einordnung innerhalb der technischen und organisatorischen Maßnahmen

Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung von einschlägigen datenschutzrechtlichen Vorschriften zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Die technischen und organisatorischen Maßnahmen im § 9 BDSG beziehen sich auf alle Vorgänge, die mit dem Erheben, Verarbeiten und Nutzen von Daten verbunden sind, also nicht nur auf die elektronische Verarbeitung. Dort heißt es in der Anlage auch: "Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird." Konkret wird für die Zutrittskontrolle die Forderung aufgestellt, dass Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren ist.

1.2 Abgrenzung zur Zugangskontrolle

Häufig wird die Zutrittskontrolle mit der Zugangskontrolle gleichgesetzt. Landläufig wird oft mit Zugang der Zutritt bezeichnet. Dem ist jedoch bei den technischen und organisatorischen Maßnahmen nicht so. Hier ist der Zutritt die Erlaubnis, einen bestimmten Bereich auf dem Gelände oder in Gebäuden zu betreten. Dagegen fordert die Zugangskontrolle, dass zu verhindern ist, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Unter Zugang wird im BDSG also der Zugang zu Systemen verstanden.

 

Praxis-Beispiel

Abgrenzung im Büroraum

In einem Büroraum befinden sich mehrere Arbeitsplätze, die mit Computern ausgestattet sind. Die Türen zum Büroraum sind mit einem Sicherheitsschloss gesichert und immer dann verschlossen zu halten, wenn sich niemand im Raum befindet. Die Zutrittskontrolle sorgt dafür, dass nur Berechtigte (Inhaber von entsprechenden Schlüsseln) den Raum betreten dürfen oder solche Menschen, die von Berechtigten mit in den Raum hineingenommen werden. Wer im Raum ist, kann damit noch nicht mit den Systemen arbeiten, dafür benötigt er die Zugangserlaubnis (User-ID und Passwörter oder technische Komponenten der Zugangserlaubnis wie Dongle oder Chipkarte).

1.3 Datenschutz ist nicht der einzige Nutznießer der Zutrittskontrolle

Da bei der Zutrittskontrolle die Sicherheit von Gelände, Gebäuden und Räumlichkeiten betroffen ist, gibt es neben dem Datenschutzbeauftragten noch weitere Adressaten der Zutrittskontrolle. In vielen Unternehmen existiert ein Facility Management, früher auch als Haus- und Gebäudetechnik bezeichnet, verantwortet durch den Hausmeister. Dem Facility Management obliegt häufig auch die Verantwortung zur allgemeinen Sicherheit des Unternehmens. In größeren Unternehmen und bei besonderen Anforderungen an die Sicherheit gibt es oft auch einen eigenen Bereich Security. Die Security wird häufig mit Mitarbeitern eines internen oder externen Wachdienstes besetzt. Zwar gehen die Aufgaben des Facility Managements und der Security über die reinen Aufgaben des Datenschutzes hinaus, dennoch ist es für den Datenschutz stets von Vorteil, wenn schon einschlägige Vorkehrungen getroffen wurden.

 

Praxis-Tipp

Zusammenarbeit zwischen Datenschutzbeauftragten und Sicherheitsdienst

Wenn im Unternehmen schon Strukturen vorhanden sind, die sich um die Sicherheit in allgemeiner Form zu kümmern haben, wie z. B. Facility Management oder gar ein eigener Sicherheitsdienst, so ist eine enge Zusammenarbeit mit diesen Bereichen von Vorteil. Nicht selten wurde im Zusammenhang mit der allgemeinen Sicherheit ein Sicherheitskonzept erstellt, das auch für die Belange des Datenschutzes wertvolle Informationen beinhalten kann.

Es ist eher umgekehrt so, dass der Datenschutzbeauftragte sich einzelne Aspekte der technischen Sicherheit genau anschauen muss, die eventuell über das Ziel hinausschießen. So ist eine Videoüberwachungsanlage aus Sicht des Facility Managements und der Security ein wichtiger Aspekt der Sicherheit. Da der Datenschutzbeauftragte jedoch nicht allein nur die Sicherheitsaspekte zu betrachten hat, sondern auf die Einhaltun...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Compliance Office Online 30 Minuten lang und lesen Sie den gesamten Artikel.


Meistgelesene beiträge