Zugangskontrolle

Auch: IT-Zugangskontrolle · Systemzugangskontrolle

Die Zugangskontrolle stellt sicher, dass unbefugte Personen keine IT-Systeme (Computer, Netzwerke, Software, Cloud-Dienste) des Maklerbüros nutzen können. Sie ist eine der klassischen technisch-organisatorischen Maßnahmen (TOM) im Sinne des Datenschutzrechts und betrifft die Absicherung der Systeme, nicht der Räumlichkeiten.

Ausführliche Erklärung

Im Rahmen der nach Art. 32 DSGVO geforderten technisch-organisatorischen Maßnahmen wird traditionell (angelehnt an das frühere BDSG-Kontrollkatalog-Schema) zwischen Zutritts-, Zugangs- und Zugriffskontrolle unterschieden – ein Begriffstrio, das in Datenschutzkonzepten und Auftragsverarbeitungsverträgen von Maklerbüros regelmäßig abgefragt wird:

  • Zugangskontrolle = Verhinderung der Nutzung von IT-Systemen durch Unbefugte (z. B. durch Passwörter, Zwei-Faktor-Authentifizierung, Bildschirmsperren, Verschlüsselung von Endgeräten).
  • Abzugrenzen von der Zutrittskontrolle (physischer Zugang zu Räumen, siehe Zutrittskontrolle) und der Zugriffskontrolle (Berechtigungen innerhalb des Systems, siehe Zugriffskontrolle).

Typische Maßnahmen der Zugangskontrolle im Maklerbüro:

  • Authentifizierung: Individuelle Benutzerkonten mit starken Passwörtern und, wo möglich, Zwei-Faktor-Authentifizierung (2FA) für CRM-System, E-Mail-Postfach und Cloud-Speicher.
  • Automatische Sperre: Bildschirmsperre nach kurzer Inaktivität, insbesondere auf mobilen Geräten (Laptops, Tablets für Exposé-Präsentationen bei Besichtigungen).
  • Geräteverschlüsselung: Festplattenverschlüsselung von Notebooks und Diensthandys, damit bei Diebstahl oder Verlust kein unbefugter Zugriff auf Kunden- und Objektdaten möglich ist.
  • VPN und Netzwerksicherheit: Absicherung von Fernzugriffen (Homeoffice, Außendienst) über VPN-Verbindungen und Firewalls.
  • Protokollierung fehlgeschlagener Anmeldeversuche: Zur Erkennung von Angriffsversuchen (Brute-Force).
  • Dokumentation im TOM-Katalog: Die Maßnahmen zur Zugangskontrolle sind Teil des Datenschutz-Management-Systems und müssen im Verzeichnis von Verarbeitungstätigkeiten bzw. im Auftragsverarbeitungsvertrag mit IT-Dienstleistern dokumentiert werden.

Für Makler ist die Zugangskontrolle besonders relevant, weil in CRM-Systemen und E-Mail-Postfächern hochsensible Daten liegen (Bonitätsunterlagen, Ausweiskopien, Finanzierungsdaten), deren unbefugter Zugriff meldepflichtige Datenschutzverletzungen auslösen kann.

Beispiel aus der Praxis

Ein Maklerbüro führt für alle Mitarbeiter individuelle Logins für das CRM-System ein, aktiviert eine Zwei-Faktor-Authentifizierung für den E-Mail-Zugang und lässt Laptops nach fünf Minuten Inaktivität automatisch sperren. Diese Maßnahmen dokumentiert es im TOM-Anhang des Auftragsverarbeitungsvertrags mit seinem CRM-Anbieter als Nachweis der Zugangskontrolle.

Rechtsgrundlage

  • Art. 32 DSGVO – Pflicht zu angemessenen technischen und organisatorischen Maßnahmen, u. a. zur Sicherstellung der Vertraulichkeit und Integrität von Verarbeitungssystemen; die Zugangskontrolle konkretisiert diese Anforderung in gängigen TOM-Katalogen.

Verwandte Begriffe