In § 9 BDSG macht der Gesetzgeber deutlich, dass er unter einem funktionierenden Datenschutz neben der Befolgung der datenschutzrechtlichen Vorschriften insbesondere die Datensicherheit versteht. In der Anlage zu § 9 BDSG hat er acht Regeln der Datensicherheit aufgestellt, die bei der innerbetrieblichen automatisierten Datenverarbeitung zwingend zu beachten sind.
Gelegeheit schafft Datendiebe. Die in Nr. 1 der Anlage zu § 9 BDSG vorgesehene Zutrittskontrolle verlangt daher, dass Datenverarbeitungsanlagen präventiv vor dem körperlichen Zutritt unbefugter Personen geschützt werden. Zur Umsetzung der der Zugangskontrolle im Unternehmen werden unterschiedliche Maßnahmen vorgeschlagen:
Die Zugangskontrolle nach Nr. 2 der Anlage zu § 9 BDSG verhindert die unbefugte Nutzung des EDV-Systems. Es schützt die Daten also ebenso, wie die Zutrittskontrolle vor unberechtigten Dritten.
Die Zugriffskontrolle nach Nr. 3 der Anlage zu § 9 BDSG soll das EDV-System und die in diesem gespeicherten Daten vor dem Zugriff und der Nutzung durch unbefugte Personen schützen. Insbesondere durch die Verwendung anspruchsvoller Passwörter wird verhindet, das in das Datenverarbeitungssytem eingedrungen werden kann.
Die Weitergabekontrolle nach Nr. 4 der Anlage zu § 9 BDSG stellt eine erweiterte Zugangkontrolle dar und schützt vor dem unbefugten Lesen, Kopieren, Verändern oder Entfernen personenbezogener Daten, wenn diese Übertragen oder Transportiert werden. Zudem umfasst die Weitergabekontrolle die Feststellung, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen der Datenübertragung vorgesehen ist. Die Weitergabekontrolle stellt sich also als der Zugangs- und Zugriffskontrolle übergeordnete Sicherungsmaßenahme dar.
