Mit der Umsetzung der Zugangskontrolle wird der Zugriff unbefugter auf Datenverarbeitungsanlagen verhindert. Die zugreifende Person muss identifiziert und authentifiziert werden können. Das gilt auch für einen Zugang zu DV-Anlagen via Internet.
Die Zugangskontrolle ist das zweite der 8 Gebote der Datensicherheit und wird oft mit der Zugriffskontrolle verwechselt.

Zur Umsetzung muss eine Zugangsrichtlinie erlassen, kontrolliert, und neuen Umständen und Bedürfnissen angepasst werden. Darin sind entsprechende Grundsatzfragen geregelt und ergeben sich aus dem Schutzbedarf der personenbezogenen Daten.

Die Verwendung von Rechteprofilen aufgrund von Funktion und Aufgaben erleichtert der IT das strukturierte Vorgehen. Informations- und Zugriffsrechte der Nutzer sind dabei abhängig von Sensitivität der Daten auf die sie zugreifen.
Ausnahmen müssen unbedingt begründet werden.
Wichtig ist, dass die Verantwortlichen aus der IT Zugang zur Richtlinie haben, denn sie sind es, die die Zugangsregeln einrichten und ändern.

Generell müssen Passwörter benutzt werden. Diese wiederum individualisiert.
Beispielsweise sind Administratoren Passwörter die alle Administratoren nutzen, wegen der nötigen Authentifizierung nicht sinnvoll, denn Zugriffe sind so nicht nachvollziehbar. Eine Übertragung (Ausleihen) eines Passwortes samt des dazugehörigen Accounts ist im Rahmen der Zugangskontrolle schlichtweg verboten.

Die Qualität eines Passwortes wird durch seine Länge, die Verwendung von Ziffern, Sonderzeichen, Groß-/ Kleinschreibung maßgeblich beeinflusst.
Aus Datenschutzsicht gilt: Je aufwändiger ein Passwort ist, desto besser und sicherer ist es!

Ein Passwort muss regelmäßig gewechselt werden. Im Idealfall darf es dabei dem vorherigen nicht ähneln, keine Variante davon sein oder sogar nur aus einem bereits bekannten Pool genutzt werden.
Ein Passwort, das wiederholt falsch eingegeben wird, muss gesperrt werden.

Zugänge können auch digital erfolgen. Viele personenbezogene Daten werden in der täglichen Kommunikation ohne Verschlüsselung, d.h. ohne Zugangskontrolle, übertragen. Bestes Beispiel: Email.
Eine Verschlüsselung ist daher auch hier nötig und muss in die Zugangsrichtlinie aufgenommen werden.
Ein Virenscanner schützt vor Schadsoftware, die sich unbemerkt auf den Unternehmensrechner installiert und andere Schutzbemühungen außer Kraft setzt.
Eine Firewall verhindert unberechtigte Zugriffe auf das Unternehmensnetzwerk und dessen Bestandteile.

Mitarbeiter, die nicht an ihrem Rechner arbeiten, sollten die Bildschirmsperre aktivieren, denn so kann nur durch die Eingabe des Passwortes auf die dargestellten Daten Einsicht genommen werden.
Die Nutzerkonten von ehemaligen Mitarbeitern müssen deaktiviert werden, damit keine Zugriffe auf die Daten erfolgen kann.

Weitere Details gibt es auf der Webseite des BSI.

Die Umsetzung dieser Zugangsrichtlinie muss der Datenschutzbeauftragte kontrollieren. Dabei arbeitet er eng mit der IT zusammen und sucht nach praxistauglichen Lösungen für Unternehmen, Mitarbeiter und Betroffene, deren personenbezogene Daten verarbeitet, und geschützt werden müssen.
Idealerweise erfolgt die Kontrolle der Richtlinie regelmäßig. In der Praxis kann das auch im Zuge von Veränderungen geschehen.

Das dritte Gebot der Datensicherheit ist die Zugriffskontrolle.