Berechtigungskonzept physischer Zutritt
Berechtigungskonzept nach DSGVO: Digitale und physische Zutrittskontrolle gehören zusammen
Wenn von einem Berechtigungskonzept die Rede ist, denken die meisten an digitale Zugriffsrechte: Wer darf welche Dateien lesen, bearbeiten oder löschen? Doch die DSGVO verlangt mehr. Auf der Sitzung des GDD-ERFA-Kreises München am 20. März 2026 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) klargestellt, dass ein vollständiges Berechtigungskonzept auch die physische Dimension umfasst – und dass pauschale Vorgaben dabei nicht möglich sind.
Nach Art. 24 DS-GVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen umzusetzen. Dabei sind Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Das BayLDA stellt klar: Darunter fällt auch ein physisches Berechtigungskonzept.
Je nach Sensibilität der verarbeiteten Daten kann es erforderlich sein, den Zugriff auf physische Datenträger, Aktenschränke oder gesicherte Räume auf bestimmte Personen zu beschränken. Das kann etwa dadurch umgesetzt werden, dass nur einem definierten Personenkreis ein Schlüssel für einen Schrank zur Verfügung gestellt wird. Konkrete Anforderungen lassen sich nicht pauschal benennen, da sie stets vom Einzelfall abhängen – insbesondere von der Sensibilität der Daten und den damit verbundenen Risiken.
Was gehört konkret in ein physisches Berechtigungskonzept?
Ein physisches Berechtigungskonzept kann je nach Betrieb und Risikolage unter anderem folgende Fragen regeln: Wer hat Zutritt zu Räumen, in denen personenbezogene Daten verarbeitet oder gespeichert werden? Wer ist berechtigt, Aktenschränke oder Datentresore zu öffnen? Wer darf physische Unterlagen ergänzen, entnehmen oder vernichten? Wie wird der Schlüssel- oder Chipkartenvergabe dokumentiert und kontrolliert? Die Detailtiefe dieser Regelungen richtet sich nach dem jeweiligen Schutzbedarf der verarbeiteten Daten.
Unsere Empfehlungen
Unternehmen und KMU
Erweitern Sie Ihr bestehendes Berechtigungskonzept um eine physische Komponente, falls das noch nicht geschehen ist. Starten Sie mit einer Bestandsaufnahme: Wo werden personenbezogene Daten physisch aufbewahrt, und wer hat derzeit Zugang dazu? Regeln Sie Zugriffsrechte schriftlich, dokumentieren Sie die Schlüsselvergabe und überprüfen Sie diese regelmäßig. Passen Sie den Umfang des Konzepts an die Sensibilität der Daten an: Für besonders schützenswerte Unterlagen wie Personalakten oder Patientendaten gelten höhere Anforderungen als für allgemeine Geschäftskorrespondenz.
Behörden und öffentliche Stellen
Öffentliche Stellen verarbeiten häufig besonders sensible Daten und sind auf Nachweis ihrer Schutzmaßnahmen angewiesen. Stellen Sie sicher, dass Ihr Sicherheitskonzept die physische Zutrittskontrolle explizit adressiert und dokumentiert. Stimmen Sie dies mit Ihrer Datenschutzbeauftragten oder Ihrem Datenschutzbeauftragten sowie der IT-Sicherheitsverantwortlichen Person ab.
Gesundheitseinrichtungen
In Krankenhäusern, Arztpraxen und Pflegeeinrichtungen werden regelmäßig Gesundheitsdaten nach Art. 9 DS-GVO in Papierform aufbewahrt. Hier sind die Anforderungen an die physische Zutrittskontrolle besonders hoch. Stellen Sie sicher, dass Patientenakten nur für autorisierte Personen zugänglich sind, und regeln Sie die Vernichtung physischer Unterlagen über zertifizierte Dienstleister.
Kanzleien und Freiberufler
Mandantenakten in Papierform unterliegen nicht nur dem Datenschutz, sondern auch der anwaltlichen Verschwiegenheit. Ein physisches Berechtigungskonzept ist hier doppelt relevant. Regeln Sie schriftlich, wer Zugang zu Aktenschränken und Archivräumen hat, und stellen Sie sicher, dass ausgeschiedene Mitarbeitende keinen weiteren Zugriff haben.
Quelle: Bayerisches Landesamt für Datenschutzaufsicht
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Art. 17 DS-GVO – Recht auf Löschung (Recht auf Vergessenwerden)
- Meldung von Datenschutzverletzungen nach Art. 33 DS-GVO
- Nachweis der Datenlöschung – So dokumentieren Sie korrekt
- Datenschutzrisiko E-Mails – Was Unternehmen wissen müssen
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking – Blickschutz hilft
Dieser Absatz enthält Affiliatelinks/Werbelinks