Zugangskontrolle und Zutrittskontrolle wurden regelmäßig im Zusammenhang mit der Überprüfung der Datensicherheit in Unternehmen durcheinander gebracht. Der ein oder andere mag es als Haarspalterei ansehen, da man zu Räumen und Gebäuden Zugang als auch Zutritt gewähren kann. Bisher hat man im Datenschutzrecht aber sehr wohl zwischen Zugangskontrolle, dem Zugang zu Systemen und der Zutrittskontrolle dem Zugang zu Gebäuden unterschieden.

Mit der Neuordnung nach DSGVO entfällt diese Betrachtungsweise, weder die DSGVO noch das neue BDSG verwendet die Begrifflichkeit der Zutrittskontrolle weiterhin. Den § 64 BDSG hat man nun aber dahingehend erweitert, dass die Zugangskontrolle nun auch die Kontrolle der Zutritte erfasst, dort heißt es nun „Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte“.

In der Praxis bedeutet dies, dass bei der Überprüfung nun auch die Maßnahmen für die Zutrittskontrolle mit zu berücksichtigen sind. Hier macht es also Sinn, die benötigten Maßnahmenkataloge zur Prüfung zusammenzuführen. Bei der Umsetzung steht also immer der Schutz der Daten im Vordergrund und es gilt die Möglichkeiten eines externen Angreifers, egal ob digitaler Angriff oder physischer Angriff, zu verhindern.

Auch betriebliche Innentäter spielen dabei eine immer größere Rolle und kommen auch immer häufiger als Täter für unberechtigte Datenzugriffe in Frage. Serverräume, IT Verteilerräume und Etagen-Netzwerkverteiler sollten daher immer zu den kritischen Bereichen gezählt und abgesichert werden.

Zugangskontrolle, mit der Zielsetzung den unbefugten Zugang zu IT System zu verhindert, bedeutet nun also auch:

  • Zutrittskontrollsysteme mit Kartenleser
  • Dokumentation von Besucherzugängen
  • Einbruchmeldeanlagen mit Einbruch- und Öffnungsmeldern
  • Absicherung von Fenster, Türen, Räumen und IT-Racks
  • Videoüberwachung

Hinzu kommen die Bereiche wie: Firewalls, Zertifikate, Mehrfaktorauthentifizierung, ausreichende Verschlüsselung, Benutzerverwaltung, Virenscanner.