Die acht goldenen Regeln der Anlage zu § 9 BDSG (Teil 2)

Nr. 1 - Zutrittskontrolle

Die Zutrittskontrolle verlangt Maßnahmen, die Unbefugten den körperlichen Zutritt zu Datenverarbeitungsanlagen, mit den personenbezogene Daten verarbeitet werden, verwehren. Es soll also verhindert werden, dass unbefugte Personen überhaupt die Möglichkeit des Zugriffs auf Datenverarbeitungsanlagen haben. Die Zutrittskontrolle soll aber nicht nur einen unbefugten Zugriff auf Daten, sondern auch eine Zerstörung von EDV-Anlagen verhindern.

Die Zutrittsberechtigungen sind daher immer genau festzulegen und zu dokumentieren. Dies gilt insbesondere auch für unternehmensfremde Personen wie Wartungstechniker (Fußnote) oder das Reinigungspersonal. Zur Zutrittskontrolle gehören aber auch alle Maßnahmen, die ein gewaltsames Eindringen verhindern.

Eine effektive Zutrittskontrolle ist in der Regel nur durch eine Kombination von verschiedenen ineinandergreifenden Maßnahmen möglich. Solche Maßnahmen könnten unter anderen sein:

• Fenstervergitterungen oder Sicherheitsfolien
• Alarmanlagen
• Videoüberwachung (Fußnote)
• Einrichtung verschiedener Sicherheitszonen mit verschiedenen Zutrittsberechtigungen
• Restriktive Schlüsselregelungen
• Mitarbeiterausweise und das sichtbar Tragen derselben
• Physische Gerätesicherungen (Fußnote)
• Organisatorische Trennung von zugriffsberechtigten Personen
• Besucheraufenthalte nur mit Begleitpersonen
• Sichtkontrollen und Gästelisten am Empfang/Pförtner

Nr. 2 - Zugangskontrolle

In Abgrenzung zur „räumlichen“ Zutrittskontrolle sollen Maßnahmen der Zugangskontrolle die Benutzung von Datenverarbeitungsanlagen durch unbefugte Personen verhindern. Es muss hier eine Identifikation der Nutzer und Prüfung der Berechtigungen erfolgen um eine unzulässige Kenntnisnahme oder gar eine Änderung von personenbezogenen Daten zu verhindern.

Mögliche Maßnahmen der Zugangskontrolle sind beispielsweise:

• Anlegung einer zentralen Benutzerverwaltung
• Einrichtung verschiedener Berechtigungsstufen und Zuteilung derselben auf die Nutzer
• Einrichtung von Verfahren zur Identifizierung des Nutzers
• Zentral überwachte Passwortvergabe mit entsprechenden Anforderungen an die Komplexität des Passwortes und die Häufigkeit der Änderung desselben
• Aufzeichnung aller Zugriffsversuche
• Sperren von Arbeitsplätzen und/oder Benutzernamen bei fehlerhaften Zugriffsversuchen
• Verwendung eines Virtual Private Networks (Fußnote)
• Verschlüsselung von Daten und Festplatten

Für die Zugangskontrolle gibt es auch Empfehlungen des Bundesbeauftragten für den Datenschutz welche auf der Internetseite http://www.bfdi.bund.de abrufbar sind.

Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.

Mehr Beiträge zum Thema finden Sie unter: