Berechtigungskonzept im Datenschutz: Der Schutz Ihrer Daten über Zugriffsbeschränkungen

Der Schutz (personenbezogener) Daten ist wichtiger denn je. Ebenso wie Sie in Ihrem Privatleben Ihre Daten schützen, ist dies auch in Ihrer Organisation von großer Bedeutung. Nicht zuletzt sind Sie durch die Regelungen der DSGVO zu Schutzmaßnahmen verpflichtet. Dazu zählen u.a. Berechtigungskonzepte. Diese regeln die Befugnis zu Datenzugriffen und schützen damit Ihre Unternehmensdaten vor Unbefugten. Wir erklären Ihnen das Berechtigungskonzept, seinen Inhalt und die Bedeutung dahinter genauer und informieren Sie über die Folgen eines fehlenden Konzeptes.

DSGVO konformer Datenschutz: Berechtigungskonzept

Art. 5 Abs. 1 der Datenschutzgrundverordnung (DSGVO) und § 64 Abs. 3 Nr. 5 des Bundesdatenschutzgesetzes in der seit dem 25.05.2018 geltenden Fassung (BDSG-neu) schreiben die Vertraulichkeit und Integrität personenbezogener Daten vor. Durch Art. 32 Abs. 1b) DSGVO sind Organisationen durch technische und organisatorische Maßnahmen dazu angehalten, eine sichere Datenverarbeitung zu garantieren. Dazu gehören auch Zugriffskontrollen und der eingeschränkte Zugang bestimmter Personengruppen zu bestimmten (personenbezogenen) Daten. Diese werden in einem Berechtigungskonzept zusammengefasst.

Was ist ein Berechtigungskonzept?

Hinter dem sogenannten Berechtigungskonzept steht ein Dokument in schriftlicher oder digitaler Form innerhalb einer Organisation, welches die Zugriffsbefugnisse dokumentiert. Es wird genauestens abgegrenzt, welche Zugriffe für welche Personengruppen erlaubt sind und welche nicht.
Innerhalb einer Organisation müssen Sie das Konzept nachweisen können, um der Rechenschafts- und Nachweispflicht gemäß Art. 5 Abs. 2 DSGVO nachzukommen.

In 6 Schritten zum Berechtigungskonzept für Ihre Organisation

  1. Nutzer, Geräte und Anwendungen erfassen
    Zunächst werden alle Benutzer innerhalb der Organisation erfasst. Dafür können Sie Mitarbeiter- und Projektlisten hinzuziehen. Sind externe Dienstleister auf Daten der organisationseigenen IT-Systeme angewiesen, müssen auch diese berücksichtigt werden. Zudem werden alle Geräte und Anwendungen aufgelistet.
  2. Digitale Identitäten
    Jedem Benutzer, jedem Gerät und jeder Anwendung wird eine digitale Identität zugeteilt, der anschließend die Zugriffsrechte zugeordnet werden. Eine eindeutige Identifikation ist hierbei grundlegend für den Datenschutz.
  3. Zugriffsrechte definieren
    Im Anschluss werden die Zugriffsrechte definiert. Jedem zuvor dokumentierten Nutzer und Gerät wird eines oder mehrere der folgenden Rechte zugeordnet:

    • Keine Berechtigung
    • Leserecht
    • Schreibrecht bzw. Recht zum Erstellen von Daten
    • Änderungsrecht
    • Löschrecht: Das Löschrecht wird je nach Konzept in das Änderungsrecht

    integriert.
    Die Zugriffe werden auf Betriebssystem- oder Anwendungsebene definiert, können aber sogar bis zur Menüebene reichen.
    Die Zuordnung ist auch in entgegengesetzter Richtung möglich, indem jeder Anwendung eine Liste an zugelassenen Nutzern zugewiesen wird.
    Alle Zugriffsrechte sollten nach dem „Need-to-know“-Prinzip verteilt werden. Die dahinterstehende Idee ist, dass die Zugriffsrechte grundsätzlich nur auf den Tätigkeitsbereich und die Erforderlichkeit für die Arbeit des System-Nutzers beschränkt werden. Wichtig ist hierbei ein ausgewogenes Konzept aus Beschränkungen und Erlaubnissen. Bei zu vielen Beschränkungen wird die Produktivität der Organisation gehemmt, bei zu wenigen, wird der Datenschutz gefährdet.

  4. Rollenkonzepte für die Zugriffsrechte definieren
    Um nicht jedem Nutzer manuell einzelne Zugriffsrechte erteilen zu müssen, bietet sich die Erstellung von Rollenkonzepten an. Dabei werden Personengruppen bzw. mehrere System-Nutzer in Rollen zusammengefasst, z.B. bekommen alle Mitarbeiter der Buchhaltung ein und dieselbe Rolle zugeordnet. Kommt ein neuer Mitarbeiter in das Unternehmen, ist der Administrationsaufwand gering, da dieser einfach einer Rolle zugeordnet wird.
  5. Audit und Aktualisierungen
    Ebenfalls wird in das Berechtigungskonzept ein Überblick über die Kontrollmaßnahmen integriert, die erfolgen sollen, um das Konzept stets aktuell zu halten. Dazu bietet sich ein regelmäßiger Soll-/Ist-Vergleich an. Soll stellt den zuvor im Konzept definierten Zustand dar, die Ist-Situation den aktuellen Zustand aus dem System. Mit diesem Vergleich können Abweichungen festgestellt und dokumentiert werden. Je nach Art der Abweichung werden diese anschließend im Soll-Konzept aktualisiert oder im Ist-Standard des Systems angeglichen.
    Beispielsweise muss bei einem unternehmensinternen Abteilungswechsel auf den Entzug der Rechte der vorherigen Abteilungen geachtet werden. Gleiches gilt für die Zugriffsrechte von Azubis. Da diese während ihrer Ausbildung mehrere Abteilungen durchlaufen, ist darauf zu achten, diese beim Abteilungswechsel oder einer späteren Übernahme lediglich mit Rechten gemäß „Need-to-know“-Prinzip auszustatten. Gleiches gilt beim Off-Boarding von Mitarbeitern, vor allem bei Konzepten wie „Bring your own device“.
  6. Sonstige Inhalte erfassen
    Weiterhin sind sicherheitsrelevante Systemeinstellungen in dem Berechtigungskonzept festzuhalten. Dazu zählen u.a. Passwortrestriktionen. Legen Sie die Passwortlänge und -komplexität fest, bestimmen Sie, ob und wann Passwörter ablaufen und ob sie für eine Neuverwendung gesperrt sind.
    Ebenfalls müssen gewisse Abläufe beschrieben werden, wie z.B. Benutzer angelegt oder Rollen zugewiesen werden. Dazu sind die jeweils verantwortlichen Personen für diese Tätigkeitsbereiche anzugeben. Wer beispielsweise für die Beantragung zu kontaktieren ist, wer die Genehmigung verwaltet und wer für die Umsetzung verantwortlich ist. Eine Art Stellenbeschreibung definiert, wer die Administration der Benutzer und Rollen innehält und wer Data Owner ist.
    Für den Notfall haben sollten Sie in Ihr Berechtigungskonzept zudem ein Notfallbenutzerkonzept integrieren. Hierbei wird angegeben, wer im Falle eines Notfalls, Zugriff auf welche Funktionen hat. Auch hier sind detailliert alle Abläufe und Informationen bezüglich Beantragung, Start, Entzug und dem Notfalluser anzugeben.

Vorteile eines Berechtigungskonzepts

Sie sind nicht nur rechtlich dazu angehalten, geeignete Maßnahmen zum Schutz der Daten zu treffen, sondern können darüber hinaus von zahlreichen Vorteilen des Berechtigungskonzepts profitieren:

  • Zugriffs- und Datenverarbeitungskontrollen: Durch regelmäßige Kontrollen, die das Berechtigungskonzept vorschreibt, überwachen Sie die Zugriffe auf die Daten Ihrer Organisation und können alle Datenverarbeitungsvorgänge nachverfolgen.
  • Vereinfachte Organisation und Zeitersparnis: Durch Rollenkonzepte vereinfachen Sie den zeitlichen und administrativen Aufwand des Berechtigungsmanagements. Neuen Mitarbeitern wird eine zuvor definierte Rolle zugewiesen, sodass der Prozess der Berechtigungsadministration innerhalb kürzester Zeit erfolgen kann.
  • Unternehmensinterne Organisation vereinfachen: Ein ungeplanter Mitarbeiterausfall lässt sich reibungslos von einem anderen Mitarbeiter abdecken, wenn mehreren Personen einer Abteilung die gleiche Rolle zugewiesen ist.
  • Schutz der Daten: Durch die Zugriffsregularien minimieren Sie die Gefahren eines Datenmissbrauchs von innen heraus, indem jeder Benutzer nur die für seine Arbeit notwenigen Prozesse erhält.

Welche Folgen hat ein fehlendes Berechtigungskonzept?

Werden personenbezogene Daten innerhalb der IT-Anwendungen einer Organisation verarbeitet und gespeichert, entstehen die zuvor erläuterten rechtliche Verpflichtungen, diese in gewissem Maße zu schützen. Dazu gehört die Einschränkung von Zugriffen darauf. Bei Verstößen gegen die Vorgaben für Berechtigungskonzepte nach Art. 32 DSGVO und Art. 5 DSGVO drohen laut Art. 83 Abs. 4 und Abs. 5 DSGVO hohe Bußgelder bis hin zu 20 Mio. Euro oder bis 4 Prozent des erzielten Jahresumsatzes.

Können Sie den Schutz der personenbezogenen Daten Ihres Unternehmens nicht gewährleisten, liegt im schlimmsten Fall ein meldepflichtiger Datenschutzvorfall nach Art. 33 DSGVO vor. Haben beispielsweise alle Mitarbeiter des Unternehmens Zugriff auf vertrauliche Daten der Personalabteilung, ist dies sanktionier- und im schlimmsten Fall unter Umständen sogar strafbar.

Unabhängig von der rechtlichen Verpflichtung entstehen unübersichtliche Zugriffslagen, in denen Daten unbemerkt verwendet oder missbraucht werden, beispielsweise indem ehemalige Mitarbeiter sensible Daten zum neuen Arbeitsgeber mitnehmen.

Hilfe im Datenschutz-Dschungel

Wir von datenzeit unterstützen Sie gern beim Erstellen von regelkonformen Datenschutzkonzepten individuell auf Ihr Unternehmen angepasst. Wir beraten Sie zu notwendigen Maßnahmen und stehen Ihnen bei Fragen jederzeit zur Verfügung. Gehen Sie beim Datenschutz auf Nummer sicher und kontaktieren Sie uns.