Die Zugriffskontrolle – das dritte der acht Gebote des Datenschutzes

Ganz wesentlich für die Sicherheit von Informationen ist die Frage, wer auf diese zugreifen kann. Unter dem Begriff der „Zugriffskontrolle“ versteht der Datenschutz die Regelungen, die dafür sorgen sollen, dass nur Berechtigte Einblick in Daten erhalten und diese nur ihrer Berechtigung entsprechend nutzen können.

Die acht Gebote des Datenschutzes

Für Organisationen, die personenbezogene Daten verarbeiten oder nutzen, schreibt das Bundesdatenschutzgesetz (BDSG) konkrete Schutzmaßnahmen vor. Diese, als die „acht Gebote des Datenschutzes“ bekannten Regelungen (Anlage zu § 9, Satz 1), führen als dritten Punkt die Zugriffskontrolle auf.

Zugriffskontrolle nach dem Need-to-know-Prinzip

Zentral für die angemessene Umsetzung der Zugriffskontrolle ist die gesteuerte und vorhersehbare Vergabe von Nutzungsberechtigungen. Nur derjenige, der Daten tatsächlich für seine Tätigkeit benötigt, soll auch auf diese Informationen zugreifen können. Hierzu ist eine entsprechend differenzierte Berechtigungsvergabe nötig, die abstrakt geplant werden sollte. Die Erstellung eines schriftlichen „Berechtigungskonzepts“ wird hier selbstverständlich erwartet und ist daher dringend zu empfehlen.

Neben der Frage, ob ein Mitarbeiter überhaupt auf bestimmte Daten Zugriff haben soll, ist auch zu regeln, was er mit diesen Daten machen darf. Häufig benötigen Mitarbeiter vorhandene Daten nur zur Information und können ihre Aufgaben bereits mit einfacher Leseberechtigung nachkommen. Das Eingeben oder das Verändern von Daten sollte diesen Mitarbeitern dann nicht möglich sein.

Zugriffskontrolle betrifft nicht nur Daten in Systemen

Die Zugriffskontrolle beschränkt sich nicht auf Datenverarbeitungsanlagen. Offen liegengelassene Unterlagen können ebenso einen Datenschutzverstoß begründen, weshalb eine Regelung des „aufgeräumten Schreibtischs“ anzuraten ist (Clear-Desktop-Policy). Aus vergleichbaren Gründen sollten Abteilungen mit regelmäßig vertraulichen Unterlagen stets über einen eigenen Drucker verfügen, um nicht versehentlich andere Mitarbeiter über einen Gemeinschaftsdrucker mit nicht für sie bestimmten Ausdrucken in Kontakt kommen zu lassen.

Fazit: Zugriffskontrolle erfordert System

Wer im Unternehmen was mit welchen Informationen machen darf – egal ob auf Datenträgern oder Papier – ist eine Frage, die gut durchdachte Zugriffskontrolle regeln muss. Ein umfassendes Berechtigungskonzept hilft, den Überblick zu behalten und gesetzeskonform zu dokumentieren. Wird eine derart konzeptionierte Zugriffskontrolle begleitet von Zutrittskontrolle und Zugangskontrolle, kann ein angemessenes Datenschutzniveau im Unternehmen erreicht werden.