Zugriffskontrolle – TOM und der Datenschutz Teil 3

von Cornelia Brinks

Heute setzt sich unsere Serie „TOM und der Datenschutz“ fort. Über die Zutrittskontrolle und die Zugangskontrolle konnten Sie bereits in unseren ersten beiden Teilen lesen. Heute informieren wir Sie über Maßnahmen, die im Rahmen der Zugriffskontrolle getroffen werden müssen.

Was regelt die Zugriffskontrolle?

Dem Gesetzeswortlaut der Anlage zu § 9 Satz 1 zufolge soll die Zugriffskontrolle gewährleisten, „dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können“.

Bei der Zugriffskontrolle geht es also darum, sicherzustellen, dass jeder Mitarbeiter im Rahmen seiner Tätigkeit nur auf solche Daten zugreifen kann, die er zur Erfüllung seiner Aufgaben tatsächlich benötigt (Need-to-know-Prinzip). Hierzu sind die Zugriffsmöglichkeiten durch die Vergabe von differenzierten Nutzungsberechtigungen zu steuern. Nicht nur das „Ob“ der Zugriffserfordernisse, sondern auch das „wie“ ist dabei maßgeblich. Häufig genügt zur Aufgabenerfüllung die bloße Kenntnis von Daten, so dass insoweit eine einfache Leseberechtigung ausreicht.

Die Zugriffskontrolle fordert aber auch, dass unberechtigte Zugriffe auf solche Daten ausgeschlossen sind, die möglicherweise nicht (mehr) über eine nutzerdefinierte Anwendung geschützt sind, wie beispielsweise ausgedruckte Daten, Daten auf Speichermedien oder Daten, die vernichtet werden sollen ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK