kostenlos starten

Zugriffskontrolle DSGVO: Technische Maßnahmen nach Art. 32

Zugriffskontrolle ist eine der zentralen technischen und organisatorischen Maßnahmen (TOM), die Art. 32 DSGVO von Unternehmen verlangt. Sie regelt, wer auf personenbezogene Daten zugreifen darf — und stellt sicher, dass nur berechtigte Personen Zugang erhalten. Fehlt eine funktionierende Zugriffskontrolle, drohen empfindliche Bußgelder und Haftungsrisiken.

In diesem Praxis-Guide erfahren Sie, welche technischen und organisatorischen Maßnahmen die DSGVO für die Zugriffskontrolle verlangt, welche konkreten Maßnahmen Sie umsetzen müssen und welche Konsequenzen bei fehlender Kontrolle drohen.

Eine Übersicht über alle TOM finden Sie in unserem Hauptartikel: Technische und organisatorische Maßnahmen — Übersicht.

Was ist Zugriffskontrolle nach der DSGVO?

Gemäß Art. 32 Abs. 1 lit. b DSGVO müssen Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um die „dauerhafte Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung zu gewährleisten“.

Zugriffskontrolle ist dabei der Mechanismus, der sicherstellt, dass nur autorisierte Personen Zugang zu personenbezogenen Daten haben. Sie schützt die Vertraulichkeit und Integrität von Daten und ist damit eine unverzichtbare TOM nach Art. 32 DSGVO.

Der Begriff „Zugriffskontrolle“ umfasst dabei sowohl die logische Zugriffskontrolle (Zugang zu Systemen und Daten) als auch die physische Zutrittskontrolle (Zugang zu Räumlichkeiten). Dieser Artikel konzentriert sich auf die logische Zugriffskontrolle — zur physischen Sicherheit lesen Sie unseren Artikel Zutrittskontrolle nach DSGVO.

Technische Maßnahmen der Zugriffskontrolle

Die DSGVO gibt keinen abschließenden Maßnahmen-Katalog vor, sondern verlangt „geeignete“ Maßnahmen. Die Angemessenheit bemisst sich nach dem Stand der Technik, den Implementierungskosten und dem Risiko der Verarbeitung (Art. 32 Abs. 1 DSGVO). Folgende technische Maßnahmen gelten als Best Practice:

  1. Starke Passwortrichtlinien: Mindestlänge, Komplexitätsanforderungen und regelmäßige Wechselpflicht. Passwörter müssen verschlüsselt gespeichert werden (nie im Klartext).
  2. Zwei-Faktor-Authentifizierung (2FA): Besonders für Systeme mit sensiblen Daten oder Remote-Zugriff. Kombiniert „etwas das Sie wissen“ (Passwort) mit „etwas das Sie haben“ (Token, App) oder „etwas das Sie sind“ (Biometrie).
  3. Rollenbasierte Zugriffsrechte (RBAC): Zugriffsrechte werden nicht einzeln vergeben, sondern über Rollen gebündelt. Ein Mitarbeiter aus dem Marketing hat keinen Zugriff auf Buchhaltungsdaten — und umgekehrt.
  4. Protokollierung (Logging): Alle Zugriffe auf personenbezogene Daten werden protokolliert. Bei einem Vorfall können Sie nachvollziehen, wer wann auf welche Daten zugegriffen hat.
  5. Session-Timeouts: Automatisches Ausloggen nach Inaktivität verhindert unbefugten Zugriff auf ungesperrte Arbeitsplätze.
  6. Verschlüsselung bei der Übertragung: Alle Übertragungen von personenbezogenen Daten müssen verschlüsselt erfolgen (TLS/SSL). Mehr zur Verschlüsselung als TOM: Verschlüsselung nach DSGVO.

Organisatorische Maßnahmen

Technische Maßnahmen allein reichen nicht. Die DSGVO fordert ausdrücklich technische und organisatorische Maßnahmen. Folgende organisatorische Maßnahmen sind für die Zugriffskontrolle essenziell:

  • Berechtigungskonzept: Ein schriftliches Dokument, das beschreibt, wer auf welche Daten in welchem System zugreifen darf. Das Konzept muss aktuell gehalten werden — besonders bei Mitarbeiteraustritt und Abteilungswechseln.
  • Need-to-know-Prinzip: Mitarbeiter erhalten nur Zugriff auf Daten, die sie für ihre Arbeit tatsächlich benötigen. Möglichst granulare Zugriffsrechte statt pauschaler Freigaben.
  • Prozesse bei Austritt und Versetzung: Bei Kündigung oder Versetzung müssen Zugriffsrechte sofort angepasst oder entzogen werden. Ein definierter Offboarding-Prozess ist Pflicht.
  • Regelmäßige Überprüfung: Zugriffsrechte müssen in festgelegten Intervallen überprüft werden. Veraltete Accounts und überdimensionierte Rechte sind ein häufiges Sicherheitsrisiko.
  • Datenschutz-Schulungen: Mitarbeiter müssen über die Bedeutung der Zugriffskontrolle geschult werden. Mehr dazu: Datenschutz-Schulung als TOM.

Konsequenzen bei fehlender Zugriffskontrolle

Fehlende oder mangelhafte Zugriffskontrolle ist eine der häufigsten Ursachen für Datenschutzverletzungen. Die Konsequenzen sind erheblich:

Das Verwaltungsgericht Wiesbaden hat in einem vielbeachteten Verfahren (Az. 6 K 398/19.WI) bestätigt, dass Unternehmen ihren Beschäftigten durch geeignete technische und organisatorische Maßnahmen den unbefugten Zugriff auf personenbezogene Daten verwehren müssen. Fehlende Zugriffsbeschränkungen wurden als Verstoß gegen Art. 32 DSGVO gewertet.

Die Aufsichtsbehörden können gemäß Art. 83 Abs. 4 lit. a DSGVO bei Verstößen gegen Art. 32 DSGVO Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängen. Praxisbeispiele aus den letzten Jahren zeigen, dass Behörden bei unzureichender Zugriffskontrolle aktiv einschreiten.

Zugriffskontrolle dokumentieren

Im Rahmen der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO müssen Sie nachweisen können, dass Sie geeignete Maßnahmen getroffen haben. Das bedeutet konkret:

  • Berechtigungskonzept schriftlich dokumentieren
  • Technische Maßnahmen im Verarbeitungsverzeichnis (VVT) nach Art. 30 DSGVO beschreiben
  • Änderungen an Zugriffsrechten protokollieren
  • Regelmäßige Überprüfungen dokumentieren

PLANIT PRIMA unterstützt Sie bei der Dokumentation Ihrer TOM und der Verwaltung Ihres Berechtigungskonzepts. Jetzt mehr über PLANIT PRIMA erfahren.

Häufige Fragen

Was verlangt Art. 32 DSGVO zur Zugriffskontrolle?

Art. 32 Abs. 1 lit. b DSGVO fordert Maßnahmen zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Systemen. Zugriffskontrolle ist die zentrale Maßnahme zum Schutz der Vertraulichkeit: Nur autorisierte Personen dürfen auf personenbezogene Daten zugreifen. Die Maßnahmen müssen dem Stand der Technik und dem Risiko der Verarbeitung entsprechen.

Was ist ein Berechtigungskonzept?

Ein Berechtigungskonzept ist ein schriftliches Dokument, das für jedes IT-System und jede Datenbank festlegt, welche Mitarbeiter (oder Rollen) auf welche Daten zugreifen dürfen. Es ist die organisatorische Grundlage für die technische Umsetzung von Zugriffsrechten und Pflichtbestandteil einer datenschutzkonformen IT-Infrastruktur.

Muss ich Zugriffsrechte dokumentieren?

Ja. Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verlangt, dass Sie die Einhaltung der DSGVO-Grundsätze nachweisen können. Dazu gehört die Dokumentation Ihrer TOM, einschließlich des Berechtigungskonzepts. Im Falle einer Datenpanne oder einer Aufsichtsbehörden-Prüfung müssen Sie die ergriffenen Maßnahmen belegen können.

Was passiert bei unzureichender Zugriffskontrolle?

Unzureichende Zugriffskontrolle ist ein Verstoß gegen Art. 32 DSGVO und kann zu Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes führen (Art. 83 Abs. 4 DSGVO). Zusätzlich drohen Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO und Reputationsschäden.

Wie oft muss ich Zugriffsrechte überprüfen?

Die DSGVO gibt kein festes Intervall vor, sondern verlangt „geeignete“ Maßnahmen. Als Best Practice gilt eine jährliche Überprüfung aller Zugriffsrechte sowie eine anlassbezogene Überprüfung bei Personalveränderungen (Einstellung, Versetzung, Kündigung). Besonders kritische Systeme sollten häufiger geprüft werden.

Weiterführende Quellen

Weitere Beiträge

Zugriffskontrolle DSGVO: Technische Maßnahmen nach Art. 32

Zugriffskontrolle ist eine der zentralen technischen und organisatorischen Maßnahmen (TOM), die Art. 32 DSGVO

Wie verbindet man KI mit juristischen Daten? MCP einfach erklärt

Künstliche Intelligenz kann juristische Fragen beantworten. Aber ohne Zugriff auf geprüfte Daten bleibt sie

Warum Prompts allein nicht ausreichen

Viele glauben: Wenn die Antworten der KI nicht gut sind, liegt es am Prompt.

Was ist Grounding in der KI? Einfach erklärt

Kurz erklärt Künstliche Intelligenz liefert oft schnelle Antworten – aber nicht immer verlässliche. Grounding

KI ohne Grounding vs. mit Grounding: Ein Praxisvergleich

Die Theorie ist klar: KI macht Fehler im juristischen Kontext. Doch wie groß ist

TOM Cloud Computing: Datenschutz-Maßnahmen für Cloud-Dienste

Cloud-Dienste sind aus dem modernen Geschäftsleben nicht mehr wegzudenken. Doch wer personenbezogene Daten in

Betroffenenanfrage DSGVO: Fristen, Prozess und Pflichten für Unternehmen

Erhält Ihr Unternehmen eine Betroffenenanfrage nach der DSGVO, zählt jede Stunde. Art. 12 Abs.

Warum ChatGPT falsche juristische Antworten gibt – und wie man das verhindert

Das Problem betrifft nicht nur ChatGPT, sondern alle großen Sprachmodelle wie Claude oder Microsoft

Verjährung bei Datenschutzverletzungen: Fristen nach BGB und DSGVO

Unter Verjährung bei Datenschutzverletzungen versteht man den Zeitraum, nach dessen Ablauf Ansprüche aus einer

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
// PRIMA-Tour

Changelog

Downloads

Datenschutz-Management-Software

DSGVO Audit

DSGVO Audit Bericht

DSGVO Audit Software
DSGVO-Software
DSGVO-Tool

 

Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024