Technische und organisatorische Maßnahmen: Zutrittskontrolle

Zusammenfassung

Die Zutrittskontrolle dient in erster Linie dazu, Maßnahmen zu definieren und umzusetzen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet und genutzt werden, zu verwehren. Am Anfang steht eine Gefährdungsanalyse, bei der festgestellt wird, wie schützenswert die jeweiligen Daten sind. Hierfür ist es eine große Hilfe, wenn die Verfahrensübersicht mit den dazugehörenden ausführlichen Verfahrensbeschreibungen vorliegt. Der Schutzbedarf ergibt sich aus der Schutzstufe der jeweiligen personenbezogenen Daten.

Grundlage für eine wirksame Zutrittskontrolle ist eine Bestandsanalyse der vorhandenen Maßnahmen. Dabei geht man wie bei einer Zwiebelschale von außen nach innen vor. Ergibt sich gegenüber der Risikoanalyse weiterer Handlungsbedarf, so sind die entsprechenden Maßnahmen vorzunehmen.

Ein beliebtes Instrument der Überwachung der Wirksamkeit einer Zutrittskontrolle ist die Videoüberwachung. Eine Anforderungsliste an einen datenschutzkonformen Betrieb einer solchen Anlage befindet sich im Anhang.

Um die Zutrittskontrolle zu gewährleisten, werden vielfältige personenbezogene Daten erhoben, verarbeitet und genutzt, denn ohne Kontrolle kommt die Zutrittskontrolle nicht aus. Wenn moderne Zutrittskontrollsysteme genutzt werden, werden auch immer Protokolldaten erhoben. Hier ist der Datenschutz auch gefragt. Daher enthält der Anhang Muster für die Sollbeschreibung eines Vorgangs am Beispiel der Schließanlage und das Muster für eine Verfahrensanweisung zum selben Thema.

1 Aspekte der Zutrittskontrolle

Die Zutrittskontrolle ist eine der 8 in der Anlage zu § 9 BDSG genannten technischen und organisatorischen Maßnahmen, die verbindlich umzusetzen sind. Es muss im Rahmen der Zutrittskontrolle sichergestellt sein, dass Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird.

Konkret sind 3 Aspekte von zentraler Bedeutung: Wer soll Zutritt erhalten, welche Räume oder Bereiche darf die betreffende Person betreten und wie lange darf sich die betreffende Person in den erlaubten Bereichen aufhalten.

Der technische Aufwand, der für eine wirksame Zutrittskontrolle betrieben werden sollte, ist vom Schutzbedarf der jeweiligen Daten abhängig. Je höher der Schutzbedarf ist, desto wirksamer müssen die Zutrittskontrollmaßnahmen sein. Der höchste Schutzbedarf ist normalerweise in Serverräumen und Rechenzentren gegeben.

1.1 Einordnung innerhalb der technischen und organisatorischen Maßnahmen

Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung von einschlägigen datenschutzrechtlichen Vorschriften zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Die technischen und organisatorischen Maßnahmen im § 9 BDSG beziehen sich auf alle Vorgänge, die mit dem Erheben, Verarbeiten und Nutzen von Daten verbunden sind, also nicht nur auf die elektronische Verarbeitung. Dort heißt es in der Anlage auch: "Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird." Konkret wird für die Zutrittskontrolle die Forderung aufgestellt, dass Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren ist.

1.2 Abgrenzung zur Zugangskontrolle

Häufig wird die Zutrittskontrolle mit der Zugangskontrolle gleichgesetzt. Landläufig wird oft mit Zugang der Zutritt bezeichnet. Dem ist jedoch bei den technischen und organisatorischen Maßnahmen nicht so. Hier ist der Zutritt die Erlaubnis, einen bestimmten Bereich auf dem Gelände oder in Gebäuden zu betreten. Dagegen fordert die Zugangskontrolle, dass zu verhindern ist, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Unter Zugang wird im BDSG also der Zugang zu Systemen verstanden.

 

Praxis-Beispiel

Abgrenzung im Büroraum

In einem Büroraum befinden sich mehrere Arbeitsplätze, die mit Computern ausgestattet sind. Die Türen zum Büroraum sind mit einem Sicherheitsschloss gesichert und immer dann verschlossen zu halten, wenn sich niemand im Raum befindet. Die Zutrittskontrolle sorgt dafür, dass nur Berechtigte (Inhaber von entsprechenden Schlüsseln) den Raum betreten dürfen oder solche Menschen, die von Berechtigten mit in den Raum hineingenommen werden. Wer im Raum ist, kann damit noch nicht mit den Systemen arbeiten, dafür benötigt er die Zugangserlaubnis (User-ID und Passwörter oder technische Komponenten der Zugangserlaubnis wie Dongle oder Chipkarte).

1.3 Datenschutz ist nicht der einzige Nutznießer der Zutrittskontrolle

Da bei der Zutrittskontrolle die Sicherheit von Gelände, Gebäuden und Räumlichkeiten betroffen ist, gibt es neben dem Datenschutzbeauftragten noch weitere Adressaten der Zutrittskontrolle. In vielen Unternehmen existiert ein Facility Management, früher auch als Haus- und Ge...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Compliance Office Online 30 Minuten lang und lesen Sie den gesamten Artikel.


Meistgelesene beiträge