Nr. 14.2 – Sicherheitsbereich und Zutrittskontrolle
(Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

Kriterium

Schutzklasse 1
(1) Der Cloud-Anbieter sichert Räume und Anlagen gegen Schädigung durch Naturereignisse und verwehrt Unbefugten den Zutritt zu Räumen und Datenverarbeitungsanlagen, um unbefugte Kenntnisnahmen personenbezogener Daten und Einwirkungsmöglichkeiten auf die Datenverarbeitungsanlagen auszuschließen. Die TOM müssen geeignet sein, um im Regelfall den Zutritt Unbefugter aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder fahrlässiger Handlungen Dritter auszuschließen. Gegen vorsätzliche Eingriffe ist ein Mindestschutz vorzusehen, der diese erschwert.
(2) Der Cloud-Anbieter überprüft die Erforderlichkeit der Berechtigungen für den Zutritt zu Räumen und Anlagen in regelmäßigen Abständen auf Aktualität und Angemessenheit und aktualisiert sie bei Bedarf.
Schutzklasse 2
(3) Die Kriterien von Schutzklasse 1 sind erfüllt.
(4) Zusätzlich ergreift der Cloud-Anbieter geeignete Maßnahmen, um Schädigungen nicht nur durch Naturereignisse, sondern auch durch fahrlässige Handlungen Befugter ausschließen. Der Zutritt ist vor vorsätzlichen Handlungen Unbefugter hinreichend sicher geschützt, was Schutz gegen Zutrittsversuche durch bekannte Angriffsszenarien, Täuschung und Gewalt einschließt.
(5) Alle unbefugten Zutritte und Zutrittsversuche sind nachträglich feststellbar.

Erläuterung

Es wird auf die Erläuterungen in Nr. 2.2 verwiesen.

Umsetzungshinweis

Die Umsetzungshinweise unter Nr. 2.2 sind anwendbar.

Nachweis

Für den Zutrittsschutz zu Räumlichkeiten und Anlagen gelten die Ausführungen in Nr. 2.2 analog.