Jetzt anrufen: +49-8802-333 06 90
Datenschutz für Ihr Unternehmen
  • Rss
  • Twitter
  • Youtube
  • LinkedIn
  • Blog
    • Datenschutzgesetze
      • Datenschutz Grundverordnung
    • DSGVO – das wichtigste und notwendigste
    • Datenschutzbeauftragter
      • Aufgaben Datenschutzbeauftragter
      • Stellung Datenschutzbeauftragter
      • Interner oder externer Datenschutzbeauftragter?
      • Datenschutzbeauftragten benennen
      • Kosten externer Datenschutzbeauftragter
    • Datenschutzmanagement
    • Auftragsverarbeitung
      • Auftragsverarbeitung erkennen
    • technische und organisatorische Maßnahmen
      • Zutrittskontrolle
      • Zugangskontrolle
      • Zugriffskontrolle
      • Weitergabekontrolle
      • Eingabekontrolle
      • Auftragskontrolle
      • Verfügbarkeitskontrolle
      • Trennungskontrolle
      • Pseudonymisierung
      • Anonymisierung
      • Verschlüsselung
      • DSMS
    • Schutzziele
      • Vertraulichkeit
      • Integrität
      • Verfügbarkeit
      • Belastbarkeit
    • Landesdatenschutzbehörden
  • Datenschutz
    • externer Datenschutzbeauftragter
    • Datenschutzberatung
    • Datenschutzaudit
    • Datenschutzmanagement
    • Datenschutzschulungen
  • Hinweisgeberschutz
    • Hinweisgeberschutzgesetz aktueller Stand
    • Hinweisgeberschutzgesetz kurz erklärt
    • Was ist das Hinweisgeberschutzgesetz?
    • Wann kommt das Hinweisgeberschutzgesetz?
    • Was ist ein Hinweisgeberschutzsystem?
    • allgemeine Anforderungen Hinweisgeberschutzsystem
    • Meldekanäle im Hinweisgeberschutz
    • Hinweisgeberschutzgesetz – Whistleblower-Richtlinie
    • Hinweisgeberschutz und Datenschutz
  • Über uns
    • Kontakt
    • Fachkunde
    • Tätigkeitsregion
    • Netzwerk
  • Suche
  • Menü Menü

Zugriffskontrolle – eingeschränkter Zugriff für Jeden

Die Zugriffskontrolle bedeutet einen eingeschränkten Zugriff für jeden. Richtig gelesen. Schließlich geht es bei dieser Maßnahme, um die Sicherstellung der Vertraulichkeit, und da personenbezogene Daten nicht jeden etwas angehen, gibt es Einschränkungen.

Die logische Folge sind Berechtigungen.

Wenn jeder Zugriff kontrolliert stattfindet, kann auch sichergestellt werden, dass Berechtigungen vorhanden sind.

Das ist Ihnen zu viel Text / zu viel zu lesen?

Sie hätten aber trotzdem gerne die enthaltenen Informationen und Hintergründe?

Fragen Sie uns doch einfach direkt.

Kontakt aufnehmen

Berechtigungen festlegen

Die Maßnahme der Zugriffskontrolle ist ein gutes Beispiel für die technischen und organisatorischen Maßnahmen (TOM) eines Unternehmens. Der Zugriff kann sowohl technisch, wie auch organisatorisch gewährt, oder aber auch verwehrt werden.

Die Anforderungen aus Datenschutz und Datensicherheit geben genau das vor.
Im Rahmen der Zugriffskontrolle stellen Sie Regeln auf, die verhindern, dass unberechtigte Personen Zugriff auf Daten erhalten. Unberechtigte sind unter Umständen auch interne Personen. Nämlich dann, wenn diese Beschäftigten personenbezogene Daten für die Ausübung ihrer Tätigkeit nicht benötigen.

Nach dem Need to Know Prinzip lassen Sie lediglich Zugriffe zu, die auch tatsächlich benötigt werden.

Erstellen Sie ein schriftliches Berechtigungskonzept. Das dient nicht nur der Dokumentation mit der Sie Ihrer Nachweispflicht nachkommen, sondern auch der Klarheit und Übersichtlichkeit.

Seien Sie ruhig kritisch und Fragen, ob denn wirklich alle Zugriff auf alle Daten brauchen. Wo es keinen Zugriff gibt, ist das Risiko für Schäden umso geringer.

Eine gute Basis für das Identitäts- und Berechtigungsmanagement bietet der ORP.4 Baustein des BSI.

Berechtigungskonzept

Ob und auf welche personenbezogenen Daten ein Mitarbeiter zugreifen darf ist der erste Teil Ihrer Überlegungen.

Daraus ergibt, sich, was der Beschäftigte in welchem Umfang mit den Daten überhaupt machen muss. Daraus ergibt sich wiederum, worauf er überhaupt zugreifen darf.

Zugriffe bedeuten nicht zwangsläufig Vollzugriff. Manchmal genügen für die Ausführung der erforderlichen Tätigkeit auch Leserechte. Wenn lediglich Informationen benötigt werden, sind Schreib- oder Löschzugriffe nicht nötig.

Stellen Sie sich ruhig die Frage, wer worauf Löschzugriffe benötigt. Im Nachhinein stellt sich oft heraus, dass es so einfach gewesen wäre, wenn die Daten nicht gelöscht worden wären…

Zugriffskontrolle gilt auch für analoge Daten

Nicht nur digitale Daten unterliegen der Zugriffskontrolle. Datenschutz gilt auch für analoge Daten wie beispielsweise Akten und Ausdrucke. Berücksichtigen Sie in Ihrer Planung auch die physischen Zugriffe Unberechtigter.

Ein einfaches Beispiel ist die „Clean Desk Policy“ – auf dem Schreibtisch liegen keine (personenbezogenen) Daten herum, die Unberechtigte sehen könnten. Das betrifft Beschäftigte genauso wie Besucher.

Jemand den bestimmte Daten (auch die auf Unterlagen) nichts angehen, darf die auch nicht sehen können. Das gilt übrigens auch im Home-Office…

regelmäßige Überprüfung

Genauso wie auch die anderen Maßnahmen die zur Sicherheit der Verarbeitung beitragen, überprüfen Sie Ihre getroffenen Maßnahmen regelmäßig.

Je nach Unternehmensgröße und verarbeiteten personenbezogenen Daten, bzw. Risiken für Betroffene sollten Sie unabhängige Dritte mit der Überprüfung beauftragen.

Ihr Datenschutzbeauftragter oder ein Datenschutzauditor kann Ihnen helfen, wenn Sie nicht gleich eine Zertifizierung anstreben.

Jetzt kostenloses Onlinemeeting vereinbaren

E-Mail schreiben

Jetzt E-Mail schreiben

Ihr Berater für Datenschutz

Christian Schröder | CIPP/E | CIPM | Datenschutzbeauftragter | Datenschutzauditor | Informationssicherheitsbeauftragter | BSI IT-Grundschutz-Praktiker

Anrufen

Jetzt anrufen

neueste Beiträge

  • anonyme Meldungen
  • externe Meldestelle des Bundes
  • Software für Ihr Hinweisgeberschutzsystem finden
  • World Whistleblower Day
  • Hinweisgeberschutz unkompliziert umsetzen

Stellen Sie uns jetzt Ihre Frage – testen Sie uns!

Jetzt Frage per E-Mail stellen

zur kostenlosen Erstberatung

Kontakt aufnehmen

Stellen Sie uns Ihre Frage und teilen Sie Ihre Ideen mit uns – wir helfen gerne.

Sie erreichen uns direkt über unser Kontaktformular, per E-Mail, telefonisch, in einem Zoom Meeting oder indem Sie einen Rückruf anfordern.

E-Mail senden

service@datenschutzfachmann.eu

Kontaktformular

Zoom Onlinemeeting

Termin finden und direkt vereinbaren.

Anrufen

08802 333 06 90

Rückruf erhalten

Hinterlassen Sie uns Ihre Telefonnummer, und wir rufen Sie zeitnah zurück.

Christian Schröder ist GDD Mitglied

Rechtliches

Impressum

Datenschutzhinweise

Grundsätze der Datenverarbeitung

Onlinemeetings mit Zoom

personenbezogene Datenpersonenbezogene Daten machen Personen identifizierbarWeitergabekontrolleWeitergabekontrolle
Nach oben scrollen