Nr. 14.4 – Zugriffskontrolle
(Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

Kriterium

Schutzklasse 1
(1) Der Cloud-Anbieter stellt durch TOM sicher, dass Berechtigte nur im Rahmen ihrer Berechtigungen auf personenbezogene Daten zugreifen können und schließt unbefugte Einwirkungen auf Datenverarbeitungsvorgänge aus. Dies gilt auch für Sicherungskopien, soweit sie personenbezogene Daten enthalten.
(2) Der Cloud-Anbieter überprüft die Erforderlichkeit der Berechtigungen für den Zugriff auf personenbezogene Daten in regelmäßigen Abständen auf Aktualität und Angemessenheit und aktualisiert sie bei Bedarf.
(3) Zugriffe auf personenbezogene Daten sind zu kontrollieren.
(4) Die TOM sind geeignet, um im Regelfall den Zugriff auf Daten durch Unbefugte aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter auszuschließen. Gegen vorsätzliche Eingriffe besteht ein Mindestschutz, der diese erschwert.
(5) Der Cloud-Anbieter schützt Zugriffe von Befugten über das Internet durch eine Zwei Faktor-Authentifizierung.
Schutzklasse 2
(6) Die Kriterien von Schutzklasse 1 sind erfüllt.
(7) Gegen zu erwartenden vorsätzlichen unbefugten Zugriff ist ein Schutz vorzusehen, der zu erwartende Zugriffsversuche hinreichend sicher ausschließt. Die TOM gewährleisten einen hinreichenden Schutz gegen bekannte Angriffsszenarien und stellen einen unberechtigten Zugriff im Regelfall nachträglich fest.

Erläuterung

Es wird auf die Erläuterungen in Nr. 2.4 verwiesen.

Umsetzungshinweis

Die Umsetzungshinweise unter Nr. 2.4 sind anwendbar.

Nachweis

Für den Nachweis der Zugriffskontrolle gelten die Ausführungen in Nr. 2.4 analog.