Berechtigungskonzept im Datenschutz: Der Schutz Ihrer Daten über Zugriffsbeschränkungen

Art. 5 Abs. 1 der Datenschutzgrundverordnung (DSGVO) und § 64 Abs. 3 Nr. 5 des Bundesdatenschutzgesetzes in der seit dem 25.05.2018 geltenden Fassung (BDSG-neu) schreiben die Vertraulichkeit und Integrität personenbezogener Daten vor. Durch Art. 32 Abs. 1b) DSGVO sind Organisationen durch technische und organisatorische Maßnahmen dazu angehalten, eine sichere Datenverarbeitung zu garantieren. Dazu gehören auch Zugriffskontrollen und der eingeschränkte Zugang bestimmter Personengruppen zu bestimmten (personenbezogenen) Daten. Diese werden in einem Berechtigungskonzept zusammengefasst.

Hinter dem sogenannten Berechtigungskonzept steht ein Dokument in schriftlicher oder digitaler Form innerhalb einer Organisation, welches die Zugriffsbefugnisse dokumentiert. Es wird genauestens abgegrenzt, welche Zugriffe für welche Personengruppen erlaubt sind und welche nicht. Innerhalb einer Organisation müssen Sie das Konzept nachweisen können, um der Rechenschafts- und Nachweispflicht gemäß Art. 5 Abs. 2 DSGVO nachzukommen.

1. Nutzer, Geräte und Anwendungen erfassen
   Zunächst werden alle Benutzer innerhalb der Organisation erfasst. Dafür können Sie Mitarbeiter- und Projektlisten hinzuziehen. Sind externe Dienstleister auf Daten der organisationseigenen IT-Systeme angewiesen, müssen auch diese berücksichtigt werden. Zudem werden alle Geräte und Anwendungen aufgelistet.
2. Digitale Identitäten
   Jedem Benutzer, jedem Gerät und jeder Anwendung wird eine digitale Identität zugeteilt, der anschließend die Zugriffsrechte zugeordnet werden. Eine eindeutige Identifikation ist hierbei grundlegend für den Datenschutz.
3. Zugriffsrechte definieren
   Im Anschluss werden die Zugriffsrechte definiert. Jedem zuvor dokumentierten Nutzer und Gerät wird eines oder mehrere der folgenden Rechte zugeordnet:
   Keine Berechtigung
   Leserecht
   Schreibrecht bzw. Recht zum Erstellen von Daten
   Änderungsrecht
   Löschrecht (das Löschrecht wird je nach Konzept in das Änderungsrecht integriert)
   Die Zugriffe werden auf Betriebssystem- oder Anwendungsebene definiert, können aber sogar bis zur Menüebene reichen.
   Die Zuordnung ist auch in entgegengesetzter Richtung möglich, indem jeder Anwendung eine Liste an zugelassenen Nutzern zugewiesen wird.
   Alle Zugriffsrechte sollten nach dem „Need-to-know“-Prinzip verteilt werden. Die dahinterstehende Idee ist, dass die Zugriffsrechte grundsätzlich nur auf den Tätigkeitsbereich und die Erforderlichkeit für die Arbeit des System-Nutzers beschränkt werden. Wichtig ist hierbei ein ausgewogenes Konzept aus Beschränkungen und Erlaubnissen. Bei zu vielen Beschränkungen wird die Produktivität der Organisation gehemmt, bei zu wenigen, wird der Datenschutz gefährdet.
4. Rollenkonzepte für die Zugriffsrechte definieren
   Um nicht jedem Nutzer manuell einzelne Zugriffsrechte erteilen zu müssen, bietet sich die Erstellung von Rollenkonzepten an. Dabei werden Personengruppen bzw. mehrere System-Nutzer in Rollen zusammengefasst, z.B. bekommen alle Mitarbeiter der Buchhaltung ein und dieselbe Rolle zugeordnet. Kommt ein neuer Mitarbeiter in das Unternehmen, ist der Administrationsaufwand gering, da dieser einfach einer Rolle zugeordnet wird.
5. Audit und Aktualisierungen
   Ebenfalls wird in das Berechtigungskonzept ein Überblick über die Kontrollmaßnahmen integriert, die erfolgen sollen, um das Konzept stets aktuell zu halten. Dazu bietet sich ein regelmäßiger Soll-/Ist-Vergleich an, der beispielsweise im Rahmen eines jährlichen Datenschutzaudits stattfinden kann. Soll stellt den zuvor im Konzept definierten Zustand dar, die Ist-Situation den aktuellen Zustand aus dem System. Mit diesem Vergleich können Abweichungen festgestellt und dokumentiert werden. Je nach Art der Abweichung werden diese anschließend im Soll-Konzept aktualisiert oder im Ist-Standard des Systems angeglichen.
   Beispielsweise muss bei einem unternehmensinternen Abteilungswechsel auf den Entzug der Rechte der vorherigen Abteilungen geachtet werden. Gleiches gilt für die Zugriffsrechte von Azubis. Da diese während ihrer Ausbildung mehrere Abteilungen durchlaufen, ist darauf zu achten, diese beim Abteilungswechsel oder einer späteren Übernahme lediglich mit Rechten gemäß „Need-to-know“-Prinzip auszustatten. Gleiches gilt beim Off-Boarding von Mitarbeitern, vor allem bei Konzepten wie „Bring your own device“.
6. Sonstige Inhalte erfassen
   Weiterhin sind sicherheitsrelevante Systemeinstellungen in dem Berechtigungskonzept festzuhalten. Dazu zählen u.a. Passwortrestriktionen. Legen Sie die Passwortlänge und -komplexität fest, bestimmen Sie, ob und wann Passwörter ablaufen und ob sie für eine Neuverwendung gesperrt sind.
   Ebenfalls müssen gewisse Abläufe beschrieben werden, wie z.B. Benutzer angelegt oder Rollen zugewiesen werden. Dazu sind die jeweils verantwortlichen Personen für diese Tätigkeitsbereiche anzugeben. Wer beispielsweise für die Beantragung zu kontaktieren ist, wer die Genehmigung verwaltet und wer für die Umsetzung verantwortlich ist. Eine Art Stellenbeschreibung definiert, wer die Administration der Benutzer und Rollen innehält und wer Data Owner ist.
   Für den Notfall haben sollten Sie in Ihr Berechtigungskonzept zudem ein Notfallbenutzerkonzept integrieren. Hierbei wird angegeben, wer im Falle eines Notfalls, Zugriff auf welche Funktionen hat. Auch hier sind detailliert alle Abläufe und Informationen bezüglich Beantragung, Start, Entzug und dem Notfalluser anzugeben.

Sie sind nicht nur rechtlich dazu angehalten, geeignete Maßnahmen zum Schutz der Daten zu treffen, sondern können darüber hinaus von zahlreichen Vorteilen des Berechtigungskonzepts profitieren:

• Zugriffs- und Datenverarbeitungskontrollen: Durch regelmäßige Kontrollen, die das Berechtigungskonzept vorschreibt, überwachen Sie die Zugriffe auf die Daten Ihrer Organisation und können alle Datenverarbeitungsvorgänge nachverfolgen.
• Vereinfachte Organisation und Zeitersparnis: Durch Rollenkonzepte vereinfachen Sie den zeitlichen und administrativen Aufwand des Berechtigungsmanagements. Neuen Mitarbeitern wird eine zuvor definierte Rolle zugewiesen, sodass der Prozess der Berechtigungsadministration innerhalb kürzester Zeit erfolgen kann.
• Unternehmensinterne Organisation vereinfachen: Ein ungeplanter Mitarbeiterausfall lässt sich reibungslos von einem anderen Mitarbeiter abdecken, wenn mehreren Personen einer Abteilung die gleiche Rolle zugewiesen ist.
• Schutz der Daten: Durch die Zugriffsregularien minimieren Sie die Gefahren eines Datenmissbrauchs von innen heraus, indem jeder Benutzer nur die für seine Arbeit notwenigen Prozesse erhält.

Werden personenbezogene Daten innerhalb der IT-Anwendungen einer Organisation verarbeitet und gespeichert, entstehen die zuvor erläuterten rechtliche Verpflichtungen, diese in gewissem Maße zu schützen. Dazu gehört die Einschränkung von Zugriffen darauf.

Können Sie den Schutz der personenbezogenen Daten Ihres Unternehmens nicht gewährleisten, liegt im schlimmsten Fall ein meldepflichtiger Datenschutzvorfall nach Art. 33 DSGVO vor. Haben beispielsweise alle Mitarbeiter des Unternehmens Zugriff auf vertrauliche Daten der Personalabteilung, ist dies sanktionier- und im schlimmsten Fall unter Umständen sogar strafbar.

Unabhängig von der rechtlichen Verpflichtung entstehen unübersichtliche Zugriffslagen, in denen Daten unbemerkt verwendet oder missbraucht werden, beispielsweise indem ehemalige Mitarbeiter sensible Daten zum neuen Arbeitsgeber mitnehmen.

Wir von datenzeit unterstützen Sie gern beim Erstellen von regelkonformen Datenschutzkonzepten individuell auf Ihr Unternehmen angepasst. Wir beraten Sie zu notwendigen Maßnahmen und stehen Ihnen bei Fragen jederzeit zur Verfügung. Gehen Sie beim Datenschutz auf Nummer sicher und kontaktieren Sie uns.