Zutrittskontrolle
Auch: Physische Zutrittskontrolle · Raumzutrittskontrolle
Die Zutrittskontrolle verhindert, dass Unbefugte physischen Zutritt zu Büroräumen, Archiven oder Serverräumen erhalten, in denen Kunden- und Objektdaten verarbeitet oder aufbewahrt werden. Sie bildet neben Zugangs- und Zugriffskontrolle die dritte Säule des klassischen TOM-Kontrolltrios im Datenschutzrecht.
Ausführliche Erklärung
Für Maklerbüros betrifft die Zutrittskontrolle vor allem die physische Absicherung von Geschäftsräumen, in denen Papierakten (Kaufverträge, Selbstauskünfte, Bonitätsunterlagen, Ausweiskopien) sowie Server oder Netzwerktechnik aufbewahrt werden. Sie ist keine rein digitale, sondern primär bauliche/organisatorische Maßnahme.
Typische Maßnahmen:
- Zutrittsberechtigungssysteme: Schließanlagen mit Schlüssel- oder Chipkarten-Zutritt, Codeschlösser oder biometrische Systeme für Büroräume und insbesondere Archivräume.
- Abschließbare Aktenschränke: Papierunterlagen mit sensiblen Kundendaten (z. B. Kopien von Ausweisdokumenten, Gehaltsnachweisen, Grundbuchauszügen) sollten nicht frei zugänglich, sondern in abschließbaren Schränken aufbewahrt werden.
- Besucherregelung: Interessenten oder externe Handwerker im Büro sollten nicht unbeaufsichtigt Zugang zu Bereichen mit Kundenunterlagen haben ("Clean Desk Policy" – Unterlagen nicht offen liegen lassen).
- Serverraum-Absicherung: Falls das Büro eigene Server betreibt, sind diese in gesondert gesicherten, zutrittsbeschränkten Räumen unterzubringen.
- Homeoffice-Besonderheiten: Bei Mitarbeitern im Homeoffice gehört auch die sichere Aufbewahrung von Unterlagen und Geräten in der Wohnung zur Zutrittskontrolle im weiteren Sinne (z. B. abschließbares Arbeitszimmer, kein Zugriff durch Familienangehörige).
- Alarmanlagen und Videoüberwachung: Ergänzende Maßnahmen, wobei eine Videoüberwachung selbst wieder eigenen datenschutzrechtlichen Anforderungen unterliegt.
- Dokumentation: Wie bei Zugangs- und Zugriffskontrolle müssen die getroffenen Maßnahmen im TOM-Katalog des Datenschutzkonzepts dokumentiert werden, insbesondere gegenüber Auftraggebern und im Rahmen von Auftragsverarbeitungsverträgen.
Beispiel aus der Praxis
Ein Maklerbüro bewahrt abgeschlossene Kaufverträge und Bonitätsunterlagen in einem separaten Archivraum auf, der nur mit einer Chipkarte für Geschäftsführung und Backoffice zugänglich ist. Reinigungspersonal und externe Besucher erhalten keinen eigenständigen Zugang zu diesem Raum.
Rechtsgrundlage
- Art. 32 DSGVO – Pflicht zu geeigneten technischen und organisatorischen Maßnahmen, darunter die physische Sicherung von Räumlichkeiten, in denen personenbezogene Daten verarbeitet oder gelagert werden.