Zutrittskontrolle

Als erstes der acht Gebote der IT-Sicherheit ist die Zutrittskontrolle auch Bestandteil der technischen und organisatorischen Maßnahmen (TOM) eines Unternehmens. (Manche sprechen auch von den zehn Geboten der IT-Sicherheit.) Mit der Zutrittskontrolle erfüllen Sie die Anforderungen an Datensicherheit und Datenschutz. Es geht um das Schutzziel Vertraulichkeit.

Es geht damit also um Maßnahmen die verhindern, dass unberechtigte Personen Bereiche, Grundstücke, Gebäude, Gebäudeteile oder Räume betreten.

Aus einem anderen Blickwinkel betrachtet kann man auch sagen, dass durch die Anwendung der Zutrittskontrolle nur berechtigten Personen Zutritt zu Datenverarbeitungsanlagen, oder Bereichen, in denen diese aufgestellt sind, gewährt wird. Es handelt sich übrigens tatsächlich um den physischen Zutritt, also das körperliche Herantreten an Datenverarbeitungsanlagen.

Unberechtigte dürfen keinen räumlichen Zugriff auf Anlagen haben, mit denen personenbezogene Daten verarbeitet werden.

Das gleiche gilt natürlich auch für analoge Daten (z.B. Akten mit personenbezogenen Daten).

Das ist Ihnen zu viel Text / zu viel zu lesen?

Sie hätten aber trotzdem gerne die enthaltenen Informationen und Hintergründe?

Fragen Sie uns doch einfach direkt.

Kontakt aufnehmen

Zutrittskonzept

Wer berechtigt, oder unberechtigt ist, steht in einem Zutrittskonzept.

Wie immer sollten Sie all das zur Nachweisbarkeit dokumentieren. Schreiben Sie dazu einfach auf, wie Sie den Zutritt von Unberechtigten verhindern. (technische und organisatorische Maßnahmen)

Bereiche des Zutritts

Diese Regeln bestimmen also Bereiche des Zutritts in denen unberechtigte Personen sich nicht aufhalten dürfen. Risikobasiert wenn man so will.

Die Maßnahmen der Zutrittskontrolle beginnen an der Grundstücksgrenze und / oder dem Eingang (Türe) des Unternehmens.

Zutrittsbereiche aus Datenschutzsicht sind alle Bereich, in denen personenbezogene Daten verarbeitet werden. Dazu zählen beispielsweise:

  • Bürogebäude
  • Personalabteilung
  • Serverräume
  • Büroräume
  • Archivräume
  • usw.

Umsetzen der Zutrittskontrolle

Das Umsetzen der Zutrittskontrolle ist eigentlich gar nicht so schwer. Wenn Sie wissen, welche Daten sich in einem Raum befinden, und wer diese personenbezogenen Daten verarbeiten darf, haben Sie im Prinzip schon die halbe Arbeit gemacht.

Zur Nachvollziehbarkeit der Zutrittsberechtigung müssen Sie als nächstes Regeln erstellen. Wie hoch der Schutz sein muss hängt wie immer vom Schutzbedarf der Daten ab. Je nach Art der personenbezogenen Daten kann der Schutz unterschiedlich ausfallen. Wichtig ist in diesem Zusammenhang der Begriff der Angemessenheit oder Geeignetheit.

Wichtig ist, dass Sie alles entsprechend dokumentieren – für die Nachweisbarkeit.

Einige Beispiele zur Verdeutlichung:

Den Zutritt kontrollieren Sie, beispielsweise

  • mit abschließbaren Türen (Schlösser die auch benutzt werden)
  • Zutritt nur für bestimmte Personen (mit Schlüssel) zu bestimmten Bereichen
  • durch Verhindern des Betretens von Sicherheitsbereichen (durch Wachschutz)
  • Kontrolle des Eingangs zum Betriebsgelände (Pförtner)

Das bedeutet nicht, dass jedes Unternehmen einen Wachschutz mit Schäferhund benötigt. Generell sind die Maßnahmen  immer abhängig von der Notwendigkeit und Wirksamkeit in der Gesamtheit, bzw. Kombination. (Es nützt nichts, wenn man zwar Schlösser hat, aber niemand wusste, dass man abschließen sollte.)

Änderungen der Zutrittsregelung

Änderungen der Zutrittsregelung nehmen Sie üblicherweise im erwähnten Zutrittskonzept vor. Die Maßnahmen richten sich nach den verarbeiteten Daten, dem Risiko und anderen Gegebenheiten wie Umgebung oder Räume / Gebäude.  Wenn Sie hier also maßgebliche Veränderungen durchführen, überdenken Sie auch den Zutritt entsprechend.

Weitere Infos zur Zutrittskontrolle

Immer Up-to-date?

Abonnieren Sie unseren Newsletter!


Brandaktuelle Entwicklungen und Insiderwissen aus den Bereichen Datenschutz, Informationssicherheit und Hinweisgeberschutz liefern wir Ihnen 1x monatlich frei Haus in Ihr Mail-Postfach.


Jetzt für den Newsletter eintragen:

Mit dem Klick auf ‚E-Mail Newsletter abonnieren‘ erklären Sie sich mit dem regelmäßigen Empfang unseres Newsletters mit Informationen zu Datenschutz-, Informationssicherheits- und Compliancethemen sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unseren Datenschutzhinweisen.

Unser Angebot – passgenau für die Anforderungen in Ihrem Unternehmen


Was ist beim Thema Datenschutz und Informationssicherheit in Ihrem Unternehmen wirklich zu tun? Ob Sie Ihren Datenschutz selbst organisieren, vorhandene Strukturen optimieren möchten oder Ihr Datenschutzmanagement auf professionelle Beine stellen wollen – wir sind Ihr Partner!

Gerne prüfen wir Ihren Status quo und erstellen Ihnen daraufhin ein passgenaues Angebot, das die oben genannten Bausteine beinhalten kann.

Unsere Zusammenarbeit gestalten wir nach Ihren Wünschen vor Ort im Raum München oder remote in ganz Deutschland.


DSK360 GmbH
Alpenblickstr. 9
82386 Oberhausen

Nutzen Sie unser Kontaktformular:

Ich freue mich darauf, Sie persönlich kennenzulernen.

Christian Schröder ist GDD Mitglied

Rechtliches

Impressum

Datenschutzhinweise

Grundsätze der Datenverarbeitung

Onlinemeetings mit Zoom

technische und organisatorische Maßnahmentechnische und organisatorische Maßnahmen für DatensicherheitZugangskontrolleZugangskontrolle