Als erstes der acht Gebote der IT-Sicherheit ist die Zutrittskontrolle auch Bestandteil der technischen und organisatorischen Maßnahmen (TOM) eines Unternehmens. (Manche sprechen auch von den zehn Geboten der IT-Sicherheit.) Mit der Zutrittskontrolle erfüllen Sie die Anforderungen an Datensicherheit und Datenschutz. Es geht um das Schutzziel Vertraulichkeit.
Es geht damit also um Maßnahmen die verhindern, dass unberechtigte Personen Bereiche, Grundstücke, Gebäude, Gebäudeteile oder Räume betreten.
Aus einem anderen Blickwinkel betrachtet kann man auch sagen, dass durch die Anwendung der Zutrittskontrolle nur berechtigten Personen Zutritt zu Datenverarbeitungsanlagen, oder Bereichen, in denen diese aufgestellt sind, gewährt wird. Es handelt sich übrigens tatsächlich um den physischen Zutritt, also das körperliche Herantreten an Datenverarbeitungsanlagen.
Unberechtigte dürfen keinen räumlichen Zugriff auf Anlagen haben, mit denen personenbezogene Daten verarbeitet werden.
Das gleiche gilt natürlich auch für analoge Daten (z.B. Akten mit personenbezogenen Daten).
Zutrittskonzept
Wer berechtigt, oder unberechtigt ist, steht in einem Zutrittskonzept.
Wie immer sollten Sie all das zur Nachweisbarkeit dokumentieren. Schreiben Sie dazu einfach auf, wie Sie den Zutritt von Unberechtigten verhindern. (technische und organisatorische Maßnahmen)
Bereiche des Zutritts
Diese Regeln bestimmen also Bereiche des Zutritts in denen unberechtigte Personen sich nicht aufhalten dürfen. Risikobasiert wenn man so will.
Die Maßnahmen der Zutrittskontrolle beginnen an der Grundstücksgrenze und / oder dem Eingang (Türe) des Unternehmens.
Zutrittsbereiche aus Datenschutzsicht sind alle Bereich, in denen personenbezogene Daten verarbeitet werden. Dazu zählen beispielsweise:
- Bürogebäude
- Personalabteilung
- Serverräume
- Büroräume
- Archivräume
- usw.
Umsetzen der Zutrittskontrolle
Das Umsetzen der Zutrittskontrolle ist eigentlich gar nicht so schwer. Wenn Sie wissen, welche Daten sich in einem Raum befinden, und wer diese personenbezogenen Daten verarbeiten darf, haben Sie im Prinzip schon die halbe Arbeit gemacht.
Zur Nachvollziehbarkeit der Zutrittsberechtigung müssen Sie als nächstes Regeln erstellen. Wie hoch der Schutz sein muss hängt wie immer vom Schutzbedarf der Daten ab. Je nach Art der personenbezogenen Daten kann der Schutz unterschiedlich ausfallen. Wichtig ist in diesem Zusammenhang der Begriff der Angemessenheit oder Geeignetheit.
Wichtig ist, dass Sie alles entsprechend dokumentieren – für die Nachweisbarkeit.
Einige Beispiele zur Verdeutlichung:
Den Zutritt kontrollieren Sie, beispielsweise
- mit abschließbaren Türen (Schlösser die auch benutzt werden)
- Zutritt nur für bestimmte Personen (mit Schlüssel) zu bestimmten Bereichen
- durch Verhindern des Betretens von Sicherheitsbereichen (durch Wachschutz)
- Kontrolle des Eingangs zum Betriebsgelände (Pförtner)
Das bedeutet nicht, dass jedes Unternehmen einen Wachschutz mit Schäferhund benötigt. Generell sind die Maßnahmen immer abhängig von der Notwendigkeit und Wirksamkeit in der Gesamtheit, bzw. Kombination. (Es nützt nichts, wenn man zwar Schlösser hat, aber niemand wusste, dass man abschließen sollte.)
Änderungen der Zutrittsregelung
Änderungen der Zutrittsregelung nehmen Sie üblicherweise im erwähnten Zutrittskonzept vor. Die Maßnahmen richten sich nach den verarbeiteten Daten, dem Risiko und anderen Gegebenheiten wie Umgebung oder Räume / Gebäude. Wenn Sie hier also maßgebliche Veränderungen durchführen, überdenken Sie auch den Zutritt entsprechend.
