Als erstes der acht Gebote der IT-Sicherheit ist die Zutrittskontrolle auch Bestandteil der technischen und organisatorischen Maßnahmen (TOM) eines Unternehmens. Sie dienen dazu den Anforderungen an Datensicherheit und Datenschutz gerecht zu werden.
Es handelt sich dabei um ein dokumentiertes Regelwerk, das in Bezug auf den Datenschutz dazu dient, nur berechtigten Personen Zutritt zu Bereichen, Gebäuden oder Gebäudeteilen zu gewähren, in denen personenbezogene Daten verarbeitet werden.
Es darf nur berechtigten Personen möglich sein Datenverarbeitungsanlagen, oder Bereiche, in denen diese aufgestellt sind, körperlich zu erreichen.

Unberechtigte dürfen keinen räumlichen Zugriff auf Anlagen haben, mit denen personenbezogene Daten verarbeitet werden.

Schon an der Grundstücksgrenze oder der Eingangstür zum Unternehmen beginnt die Zutrittskontrolle.
Zur Nachvollziehbarkeit der Zutrittsberechtigung müssen Regeln erstellt werden. Es hängt vom Schutzbedarf der Daten ab, wie wirksam der Schutz sein muss. Dieser kann unterschiedlich hoch ausfallen und muss entsprechend dokumentiert werden.

Die regelmäßige Überprüfung und Aktualisierung der Zutrittsberechtigungen fällt in den Aufgabenbereich des Datenschutzbeauftragten.

Das nächste Gebot der IT-Sicherheit ist die Zugangskontrolle.