Die Zugriffskontrolle nach Nr. 3 der Anlage zu § 9 BDSG soll das EDV-System und die in diesem gespeicherten Daten vor dem Zugriff und der Nutzung durch unbefugte Personen schützen. Insbesondere durch die Verwendung anspruchsvoller Passwörter wird verhindet, das in das Datenverarbeitungssytem eingedrungen werden kann.
Der Zugriff auf die gespeicherten personenbezogenen Daten wird beispielsweise über die Vergabe von Zugriffsrechten kontrolliert. Anders als bei der Zugangskontrolle, wird mit der Zugriffskontrolle kontrolliert, wer berechtigter Weise auf die gespeicherten Daten zugegriffen, sie bearbeitet oder gar gelöscht hat. Die Zugriffskontrolle bewirkt zudem, dass der einzelne Sachbearbeiter nur auf den für die Erfüllung seiner Aufgaben erforderlichen Datensatz zugreifen kann. Als Maßnahmen der Zugriffskontrollen wird vorgeschlagen:
- Bestandskontrolle
- Mehraugenprinzip
- kontrollierte Vernichtung
- Bennenung eines Datenträgerbeauftragten
- funktionelle Zuornung einzelner Datenendgeräte
- automatische Prüfung der Zugriffsberechtigung
- Protokollierung der Systemnuntzung
