Unbefugte nicht mit Daten in Berührung kommen zu lassen, beginnt damit, die Anlagen, mit denen diese Daten verarbeitet werden, räumlich nicht frei zugänglich zu machen. Im Datenschutz wird dies als „Zutrittskontrolle“ bezeichnet. Diese wird primär durch die ausreichende Sicherung von Gebäuden und Räumen umgesetzt – aber nicht nur.

Die acht Gebote des Datenschutzes

Für Organisationen, die personenbezogene Daten verarbeiten oder nutzen, schreibt das Bundesdatenschutzgesetz (BDSG) konkrete Schutzmaßnahmen vor. Diese, als die „acht Gebote des Datenschutzes“ bekannten Regelungen (Anlage zu § 9, Satz 1), führen als ersten Punkt die Zutrittskontrolle auf.

Was bedeutet Zutrittskontrolle?

Aufgabe der Zutrittskontrolle ist es, zu verhindern, dass sich Unbefugte den Anlagen der Datenverarbeitung nähern. Dies hat sowohl auf der Umsetzungsebene als auch auf der organisatorischen Ebene, beispielsweise durch die Erstellung von dokumentierten Zutrittsregelungen, zu geschehen.

Wie wirksam dieser Zutrittsschutz sein muss, ist stets individuell zu bestimmen. Es kann hier, abhängig vom Schutzbedarf der Daten, große Unterschiede geben. Zumindest aber IT-Räume, in denen zentral Datenverarbeitungsanlagen untergebracht sind, sollten dauerhaft verschlossen und nur bestimmten Personen zugänglich sein. Ist der Schutzbedarf höher, wird man über eine Protokollierung des Zutritts nachdenken müssen.

Zutrittskontrolle beginnt an der Grundstücksgrenze

Im Grunde beginnt die Zutrittskontrolle an der Grundstücksgrenze, spätestens an der Eingangstür. Im günstigsten Fall ist bereits hier kein ungehinderter Zutritt möglich. Soll dieser möglich sein, dürfen sich im „Publikumsbereich“ aber dann keine ungesicherten EDV-Anlagen befinden.

Auch innerhalb der Einrichtung sollten „Sicherheitszonen“ eingerichtet werden. Neben den allgemeinen Büro- oder Arbeitsflächen gibt es schließlich Bereiche, in denen erhöhte Schutzanforderungen bestehen. Solche Bereiche sollten auch Mitarbeitern, soweit sie nicht entsprechende Aufgaben wahrnehmen, nicht unkontrolliert zugänglich sein.

Sicherung zu unterschiedlichen Tageszeiten

Beim Zutrittsschutz werden regelmäßig auch zeitabhängige Unterschiede bestehen. Besteht ein zentraler Eingang, wird eine Eingangstür zu Zeiten, in denen sich im Empfangsbereich dauernd Mitarbeiter aufhalten, nicht zwingend verschlossen gehalten werden müssen. Außerhalb der Geschäftszeiten dürfte das jedoch ganz anders zu beurteilen sein. Ist der Schutzbedarf der Daten entsprechend hoch, wird der eigenen Sorgfaltspflichten eventuell nur noch genügt, wenn auch Alarmanlagen mit Aufschaltung auf einen Sicherheitsdienst existieren.

Fazit: Die Zutrittskontrolle braucht System

Stets sollten Regelungen aufgestellt werden, wie mit Besuchern und Externen umzugehen ist. Zentral wäre hier eine Bestimmung, alle nicht dem Unternehmen angehörigen Personen in nicht-öffentlichen Bereichen generell zu begleiten.

Wie aufgezeigt wurde, ist es für Unternehmen zur Erreichung eines angemessenen Datenschutzniveaus unerlässlich, eine gut geplante und dokumentierte Zutrittskontrolle zu etablieren. Zudem sollte sie mit einer ebenso sorgfältig umgesetzten Zugangskontrolle und Zugriffskontrolle einhergehen.

Bitte bewerten Sie diese Inhalte!
[10 Bewertung(en)/ratings]