Eingabekontrolle

Auch: Protokollierung von Dateneingaben · Änderungsprotokollierung

Die Eingabekontrolle stellt sicher, dass jede Eingabe, Änderung oder Löschung personenbezogener Daten in einem IT-System – etwa dem CRM eines Maklerbüros – nachträglich einer bestimmten Person und einem bestimmten Zeitpunkt zugeordnet werden kann. Sie zählt zu den klassischen technisch-organisatorischen Maßnahmen (TOM) der Datensicherheit.

Ausführliche Erklärung

Art. 32 DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau der Datenverarbeitung sicherzustellen. Die Eingabekontrolle ist eine der historisch aus dem BDSG übernommenen Kategorien solcher Maßnahmen und heute Teil der Nachweis- und Rechenschaftspflicht.

Für Maklerbüros bedeutet dies konkret:

  • Protokollierung im CRM: Jede Anlage, Änderung oder Löschung eines Datensatzes (z. B. Interessentenprofil, Bonitätsvermerk, Objektdaten mit Eigentümerangaben) sollte mit Benutzerkennung und Zeitstempel nachvollziehbar sein – idealerweise automatisiert durch das eingesetzte Softwaresystem.
  • Personalisierte Zugänge: Voraussetzung funktionierender Eingabekontrolle sind individuelle Benutzerkonten statt geteilter Sammel-Logins, da nur so eine Handlung eindeutig einer Person zugeordnet werden kann.
  • Zugriffs- und Berechtigungskonzept: Wer welche Datensätze einsehen, anlegen oder ändern darf, sollte rollenbasiert festgelegt sein (z. B. Auszubildende ohne Zugriff auf vollständige Bonitätsunterlagen).
  • Nachvollziehbarkeit bei Vorfällen: Bei Verdacht auf eine Datenschutzverletzung oder bei einer Betroffenenanfrage (z. B. "wer hat wann meine Daten geändert?") liefert die Eingabekontrolle die notwendige Aufklärungsgrundlage.

Fehlt eine funktionierende Eingabekontrolle vollständig – etwa weil mehrere Mitarbeiter dieselben Zugangsdaten zum CRM nutzen –, wird dies bei einer Prüfung durch die Aufsichtsbehörde regelmäßig als Verstoß gegen Art. 32 DSGVO gewertet, unabhängig davon, ob tatsächlich ein Schaden eingetreten ist.

Beispiel aus der Praxis

Ein Maklerbüro nutzt ein CRM-System, in dem jede Änderung an einem Interessentendatensatz automatisch mit Benutzername und Zeitstempel protokolliert wird. Als sich ein Interessent beschwert, seine Telefonnummer sei fälschlich geändert worden, kann das Büro anhand des Protokolls nachvollziehen, welcher Mitarbeiter wann die Änderung vorgenommen hat.

Rechtsgrundlage

  • Art. 32 DSGVO – Pflicht zu geeigneten technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit, einschließlich Nachvollziehbarkeit von Datenverarbeitungsvorgängen.

Verwandte Begriffe