Zugriffskontrolle

Der Grundsatz der Zugriffskontrolle besagt, dass der Zugriff nur auf solche » personenbezogene Daten gewährt werden darf, für die der Zugreifende die Befugnis zur Einsichtnahme und zur » Verarbeitung besitzt.

Diese Befugnis zum Zugriff kann sich zum Beispiel bei Mitarbeitern aus der innerbetrieblichen Organisation ergeben. Sie ist getrennt zu betrachten von » Zutrittskontrolle und » Zugangskontrolle.

Umgesetzt werden kann die Zugriffskontrolle im EDV-Bereich z.B. durch differenzierte Berechtigungen bei der Nutzung von Software.
Konkrete Beispiele wären etwa, dass Daten der Buchhaltung nur von ihr selbst, aber nicht von der Vertriebsabteilung eingesehen werden, oder dass die Sekretärin zwar den EDV-Terminkalender ihres Vorgesetzten einsehen darf, aber keine Termine löschen kann.

Rechtlich geregelt und gefordert wird die Zugriffskontrolle in den » technisch-organisatorischen Maßnahmen des » BDSG (Anlage zu § 9 BDSG, Nr. 3). In § 9 Satz 2 BDSG wird präzisiert, dass die Maßnahmen verhältnismäßig sein müssen, also in einem angemessenen Verhältnis zu ihrem jeweils angestrebten Schutzzweck stehen sollten.

Hinweis: Bei der datenschutzrechtlichen Überprüfung von Zugriffskontrollen hilft Ihnen die Software BDSG Basics.