Die acht goldenen Regeln der Anlage zu § 9 BDSG (Teil 2)
Nr. 1 - Zutrittskontrolle
Die Zutrittskontrolle verlangt Maßnahmen, die Unbefugten den körperlichen Zutritt zu Datenverarbeitungsanlagen, mit den personenbezogene Daten verarbeitet werden, verwehren. Es soll also verhindert werden, dass unbefugte Personen überhaupt die Möglichkeit des Zugriffs auf Datenverarbeitungsanlagen haben. Die Zutrittskontrolle soll aber nicht nur einen unbefugten Zugriff auf Daten, sondern auch eine Zerstörung von EDV-Anlagen verhindern.
Die Zutrittsberechtigungen sind daher immer genau festzulegen und zu dokumentieren. Dies gilt insbesondere auch für unternehmensfremde Personen wie Wartungstechniker (Fußnote) oder das Reinigungspersonal. Zur Zutrittskontrolle gehören aber auch alle Maßnahmen, die ein gewaltsames Eindringen verhindern.
Eine effektive Zutrittskontrolle ist in der Regel nur durch eine Kombination von verschiedenen ineinandergreifenden Maßnahmen möglich. Solche Maßnahmen könnten unter anderen sein:
- Fenstervergitterungen oder Sicherheitsfolien
- Alarmanlagen
- Videoüberwachung (Fußnote)
- Einrichtung verschiedener Sicherheitszonen mit verschiedenen Zutrittsberechtigungen
- Restriktive Schlüsselregelungen
- Mitarbeiterausweise und das sichtbar Tragen derselben
- Physische Gerätesicherungen (Fußnote)
- Organisatorische Trennung von zugriffsberechtigten Personen
- Besucheraufenthalte nur mit Begleitpersonen
- Sichtkontrollen und Gästelisten am Empfang/Pförtner
Nr. 2 - Zugangskontrolle
In Abgrenzung zur „räumlichen“ Zutrittskontrolle sollen Maßnahmen der Zugangskontrolle die Benutzung von Datenverarbeitungsanlagen durch unbefugte Personen verhindern. Es muss hier eine Identifikation der Nutzer und Prüfung der Berechtigungen erfolgen um eine unzulässige Kenntnisnahme oder gar eine Änderung von personenbezogenen Daten zu verhindern.
Mögliche Maßnahmen der Zugangskontrolle sind beispielsweise:
- Anlegung einer zentralen Benutzerverwaltung
- Einrichtung verschiedener Berechtigungsstufen und Zuteilung derselben auf die Nutzer
- Einrichtung von Verfahren zur Identifizierung des Nutzers
- Zentral überwachte Passwortvergabe mit entsprechenden Anforderungen an die Komplexität des Passwortes und die Häufigkeit der Änderung desselben
- Aufzeichnung aller Zugriffsversuche
- Sperren von Arbeitsplätzen und/oder Benutzernamen bei fehlerhaften Zugriffsversuchen
- Verwendung eines Virtual Private Networks (Fußnote)
- Verschlüsselung von Daten und Festplatten
Für die Zugangskontrolle gibt es auch Empfehlungen des Bundesbeauftragten für den Datenschutz welche auf der Internetseite http://www.bfdi.bund.de abrufbar sind.
Stand: 18.07.2007
Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.
Das Referat IT-Recht wird bei Brennecke Rechtsanwälte betreut von:
Tilo Schindele, Rechtsanwalt, Stuttgart
Rechtsanwalt Schindele begleitet IT-Projekte von der Vertragsgestaltung und Lastenheftdefinition über die Umsetzung bis hin zur Abnahme oder Gewährleistungs- und Rückabwicklungsfragen.
Tilo Schindele ist Dozent für IT-Recht und Datenschutz bei der DMA Deutsche Mittelstandsakademie.
Er bietet Seminare und Vorträge unter anderem zu folgenden Themen an:
- Praxistipps zum rechtssicheren Einsatz von E-Mails im Unternehmen
- Rechtssicherheit im Internet: - Praktische Rechtstipps für Unternehmer von AGB über Disclaimer und E-Mails bis zu web2.0
- Allgemeine Geschäftsbedingungen zu Vertragsschluss, Laufzeit und Umzug in Telekommunikationsverträgen
Kontaktieren Sie Rechtsanwalt Tilo Schindele unter:
Mail: tilo.schindele@brennecke-rechtsanwaelte.de
Telefon: 0721-20396-28
Mehr Beiträge zum Thema finden Sie unter:
Rechtsinfos/ DatenschutzrechtRechtsinfos/ Medienrecht
Rechtsinfos/ IT-Recht/ IT-Security/ Datenschutzrecht/ Bundesdatenschutzgesetz