Mit Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- sowie der Datentrennungs-Kontrolle kennt Paragraf 9 des Bundesdatenschutzgesetzes (BDSG) acht sogenannte technische und organisatorische Maßnahmen, die zu treffen sind, um den Datenschutz zu gewährleisten. Übergeordnetes Ziel ist die Datensicherheit, welche einen ergänzenden Aspekt des Datenschutzes darstellt. Allein schon die begriffliche Nähe der Worte Zutritts-, Zugangs- und Zugriffskontrolle legen einen definierten Blick und Obacht im täglichen Umgang nahe.
Zutrittskontrolle - "Draußen vor der Tür"
Zutrittskontrolle meint im Datenschutz, Maßnahmen zu ergreifen, die verhindern, dass unbefugte Personen den physikalischen Zutritt zu Datenverarbeitungsanlagen erhalten. Dazu zählen im weitesten Sinn Computer jeder Art - Server, PC, Notebook, Smartphone, Kopierer und andere Geräte, die sich zur Verarbeitung personenbezogener Daten eignen. Unbefugte Personen sind all jene, welche sich aufgrund der ihnen zugewiesenen Aufgaben nicht bei den entsprechenden Geräten aufhalten müssen.
Ziel ist es, die Möglichkeit unbefugter Kenntnis- oder Einflussnahme von vornherein auszuschließen. Die Schutzmaßnahmen sollen mit zunehmender Sensibilität der Daten entsprechend steigen. Maßnahmen im Rahmen der Zutrittskontrolle sind:
Empfang mit Personenkontrolle sowie das Tragen von Firmen-/ Besucherausweisen
Verschlossene Türen
Alarmanlage
Videoüberwachung und Wachdienst
Schlüssel- und Chipkartenregelung sowie biometrische Einlass-Systeme
Einbruchhemmende Fenster
Zugangskontrolle - "Nur für Befugte"
Die Zugangskontrolle verhindert die Nutzung der Datenverarbeitungsanlagen durch Unbefugte. Während die Zutrittskontrolle den physikalischen Zutritt verhindert, unterbindet die Zugangskontrolle die Nutzung des Systems. Dabei dürfen Unternehmen die Angreifbarkeit von außen via Datenverbindung (Internet) keinesfalls außer Acht lassen - ein bedeutendes Einfallstor für Cyberkriminelle und Datendiebe. Folgende Maßnahmen können ergriffen werden, um den unerlaubten Zugang zu personenbezogenen Daten zu verhindern:
Bildschirmschoner mit Passwortschutz
Passwortrichtlinie
Magnet- und Chipkarte
Benutzername und Passwort
PIN-Verfahren
Einsatz von Spamfilter und Virenscanner
Biometrische Verfahren
Zugriffskontrolle - "Deine, meine und unsere Daten"
Die Zugriffskontrolle stellt sicher, dass ausschließlich befugte Personen Zugriff auf personenbezogene Daten, Programme, und Dokumente erhalten. Die Berechtigung ergibt sich aus der Aufgabenzuweisung und der Organisation des Betriebes. Wichtig: Der Vorgesetzte eines befugten Mitarbeiters verfügt nicht automatisch über eine Zugriffsberechtigung. Ein unbefugtes Lesen, Kopieren, Verändern oder Löschen personenbezogener Daten während ihrer Verarbeitung, Nutzung oder Speicherung soll ausdrücklich verhindert werden.
Eine Zugriffsmatrix dokumentiert unter Zuhilfenahme eines Berechtigungskonzepts, welcher Mitarbeiter auf welche Daten und Programme Zugriff hat. Bei der Verwendung mobiler Datenträger und Endgeräte wie USB-Sticks, Notebooks oder Kameras verdient die Zugriffskontrolle erhöhte Aufmerksamkeit. Datensicherheit sollte hier auch durch den Einsatz eines entsprechenden Verschlüsselungsverfahrens sichergestellt werden. Maßnahmen der Zugriffskontrolle sind:
Erstellen eines Berechtigungskonzepts
Einrichten von Administratorenrechten
Verschlüsselung der Datenträger
Regelungen für den Gebrauch von mobilen Datenträgern und Endgeräten
Verschlüsselung des WLAN
Löschung wiederbeschreibbarer Datenträger und deren datenschutzkonforme Vernichtung
Letztendlich schließen Zutritts-, Zugangs- und Zugriffskontrolle jeweils nahtlos aneinander an. Im Einzelfall muss daher jedes Unternehmen prüfen, welche der einzelnen Maßnahmen zweckmäßig und umsetzbar sind. Nicht nur aufgrund der engen Begrifflichkeiten. Um kostspielige Missverständnisse in der Datensicherheit zu vermeiden, braucht es Sorgfalt und Expertise. Professioneller Datenschutz und Datensicherheit gehen Hand in Hand - zum Schutz vor Strafe und vor allem des eigenen Unternehmens. (bw)