Zutrittskontrolle

Als erstes der acht Gebote der IT-Sicherheit ist die Zutrittskontrolle auch Bestandteil der technischen und organisatorischen Maßnahmen (TOM) eines Unternehmens. Die Zutrittskontrolle erfüllt die Anforderungen an Datensicherheit und Datenschutz in Bezug auf das Schutzziel der Vertraulichkeit.

Es werden damit also Maßnahmen ergriffen, die verhindern, dass unberechtigte Personen Bereiche, Grundstücke, Gebäude, Gebäudeteilen oder Räume betreten.

Aus einem anderen Blickwinkel betrachtet kann man auch sagen, dass durch die Anwendung der Zutrittskontrolle nur berechtigten Personen Zutritt zu Datenverarbeitungsanlagen, oder Bereichen, in denen diese aufgestellt sind, gewährt wird. Es handelt sich übrigens tatsächlich um den physischen Zutritt, also das körperliche Herantreten an Datenverarbeitungsanlagen.

Wer berechtigt, oder unberechtigt ist, steht in einem Zutrittskonzept.

Wie immer sollte das alles für die Nachweisbarkeit dokumentiert sein.

Unberechtigte dürfen keinen räumlichen Zugriff auf Anlagen haben, mit denen personenbezogene Daten verarbeitet werden.

Das gleiche gilt natürlich auch für analoge Daten (z.B. Akten mit personenbezogenen Daten).

Bereiche des Zutritts

Es werden mit diesen Regeln also Bereiche des Zutritts bestimmt, in denen unberechtigte Personen sich nicht aufhalten dürfen. Risikobasiert wenn man so will.

Die Maßnahemn der Zutrittskontrolle beginnen an der Grundstücksgrenze oder der Eingangstür des Unternehmens.

Zutrittsbereiche aus Datenschutzsicht können alle Bereich sein, in denen personenbezogene Daten verarbeitet werden:

  • Bürogebäude
  • Personalabteilung
  • Serverräume
  • Büroräume
  • Archivräume
  • usw.

Umsetzen der Zutrittskontrolle

Das Umsetzen der Zutrittskontrolle ist eigentlich gar nicht so schwer. Wenn man weiß, welche Daten sich in einem Raum befinden, und wer diese personenbezogenen Daten nutzen darf, hat man im Prinzip schon die halbe Arbeit gemacht.

Zur Nachvollziehbarkeit der Zutrittsberechtigung müssen dann Regeln erstellt werden. Es hängt wie immer vom Schutzbedarf der Daten ab, wie hoch der Schutz sein muss. Dieser kann unterschiedlich ausfallen.

Wichtig ist, dass alles entsprechend dokumentiert werden muss – für die Nachweisbarkeit.

Ein banales Beispiel zur Verdeutlichung: Der Zutritt kann kontrolliert werden, indem man beispielsweise

  • Türen mit Schlössern hat und diese auch benutzt
  • nur bestimmte Personen Schlüssel zu bestimmten Bereichen besitzen
  • ein Betreten von Sicherheitsbereichen durch Wachschutz verhindert wird
  • der Eingang zum Betriebsgelände durch einen Pförtner kontrolliert wird

Das bedeutet nicht, dass jedes Unternehmen einen Wachschutz mit Schäferhund benötigt. Die Maßnahmen sind immer abhängig von der Notwendigkeit und Wirksamkeit in der Gesamtheit, bzw. Kombination. (Es nützt nichts, wenn man zwar Schlösser hat, aber niemand wusste, dass man abschließen sollte.)

Änderungen der Zutrittsregelung

Änderungen der Zutrittsregelung werden üblicherweise im Zutrittskonzept vorgenommen. Die Maßnahmen richten sich nach den verarbeiteten Daten, dem Risiko und anderen Gegebenheiten wie Umgebung oder Räume / Gebäude.  Finden hier also maßgebliche Veränderungen statt, muss ein Zutritt auch entsprechend umfangreich neu gedacht werden.

Weitere Infos zur Zutrittskontrolle

Überblick
Zutrittskontrolle
Artikelname
Zutrittskontrolle
Beschreibung
Die Zutrittskontrolle ist das erste Gebot der Datensicherheit und regelt den physischen Zugriff auf Datenverarbeitungsanlagen. Unberechtigter Zugriff soll verhindert werden. Die Zutrittskontrolle muss im Rahmen des Datenschutzes entsprechend protokolliert und regelmäßig überprüft werden.
Autor
Publiziert von
DatenschutzFachmann.eu
Logo