Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Pexels, Pixabay
Tipps zum VVT: Wie Sie ein Berechtigungskonzept erstellen
Ein Berechtigungskonzept definiert die Zugangsregeln sowie die Zugriffsrechte und Bearbeitungsmöglichkeiten von Daten bzw. Systemen/Systemeinstellungen und Ressourcen. Das Prinzip des Berechtigungskonzepts ist vor allem aus der Unternehmensorganisation und der IT-Sicherheit bekannt.
Administrator:innen haben als „Herrscher:innen über die Systeme“ umfassende Rechte, gefolgt von der Geschäftsführung, leitenden Angestellten und Abteilungen (z. B. Personal und Buchhaltung). Diese müssen – je nach Position – jeweils mit gesonderten Rechten und Zugriffmöglichkeiten auf geschützte separate Bereiche ausgestattet werden. Auch der Datenschutz stellt besondere Anforderungen an Berechtigungskonzepte, die potenziell ergänzende Restriktionen darstellen.
Ein umfassendes Berechtigungskonzept unterstützt die Unternehmensorganisation, schützt Systeme und Daten vor Veränderung oder Zerstörung und stellt die rechtmäßige Verarbeitung unternehmensrelevanter und personenbezogener Daten sicher. Daher ist eine fachübergreifende Zusammenarbeit bei der Aufstellung und Pflege des Berechtigungskonzepts für jede Organisation unerlässlich. Wie genau das Berechtigungskonzept aussieht, hängt dabei stark von der Organisation und den jeweiligen Strukturen und individuellen Anforderungen ab.
Doch warum ist ein Berechtigungskonzept überhaupt notwendig? Und wie funktionieren der Aufbau und die Einbindung in das Verzeichnis von Verarbeitungstätigkeiten (VVT)?
Was ist ein Berechtigungskonzept?
Ein Berechtigungskonzept ist einerseits aus unternehmerischen Gründen zur Wahrung von Betriebsinterna, andererseits aus Sicht des Datenschutzes ein wesentlicher Bestandteil der technischen und organisatorischen Maßnahmen, mit denen Sie als Verantwortliche sowohl Unternehmensdaten als auch personenbezogene Daten schützen. Das primäre Ziel des Konzepts: Sicherstellung der datenschutzkonformen Verarbeitung in der Organisation und Schutz der Daten bzw. Systeme und Programme vor dem Zugriff Unberechtigter.
Oberste Regel des Datenschutzes bei der Definition der Zugriffsberechtigungen ist das sog. „Need-to-know-Prinzip“. Das heißt, Zugriff auf die personenbezogenen Daten und Verarbeitungssysteme erhalten nur die Personen, die organisatorisch am Prozess beteiligt sind. Dabei wird auch unterschieden, welcher Art die Zugriffsberechtigung (Lese, Schreib- und Löschrechte) sein muss.
Alle definierten Zugriffsberechtigungen sowie ergänzende technische und organisatorische Sicherheitsmaßnahmen werden im Berechtigungskonzept schriftlich festgehalten. Dabei muss auch definiert werden, aus welchen Gründen und inwieweit die Protokollierung der einzelnen Zugriffe zu Nachweiszwecken dokumentiert werden müssen.
Tipp: Damit Sie nicht bei jeder Person von Neuem entscheiden müssen, welche Berechtigungen sie bekommen soll, empfiehlt es sich stattdessen, zusammenfassende Rollen und/oder Mitarbeitendengruppen zu definieren, die den Funktionen und Prozessen in der Organisation entsprechen. So können Mitarbeitende mit deckungsgleichen Aufgaben (z. B. Buchhaltung, Vertrieb, Personalwesen) oder Funktionen mit gleichen Zugriffsberechtigungen ausgestattet werden. Dadurch wird Ihr Berechtigungskonzept deutlich übersichtlicher und neue Mitarbeitende müssen Sie lediglich der entsprechenden Rolle zuordnen.
Wieso ein Berechtigungskonzept?
Es gibt eine Vielzahl an Gründen, warum Sie auf ein Berechtigungskonzept setzen sollten. Der wohl wichtigste: Sie sind rechtlich dazu verpflichtet. Wenn Sie personenbezogene Daten verarbeiten – und das tun die meisten Organisationen – sind Sie gemäß der Datenschutzgrundverordnung (DSGVO) verpflichtet, bei der Verarbeitung der personenbezogenen Daten die Grundsätze des Datenschutzes einzuhalten.
Diese Anforderungen ergeben sich zum einen aus Art. 5 DSGVO. Hier wird u. a. der Grundsatz der Vertraulichkeit und Integrität aufgeführt. Dazu gehört auch der Schutz vor unbefugten Zugriffen – und zwar nicht nur durch Externe, sondern auch Interne. Zusätzlich ergibt sich aus Art. 5 Abs. 2 DSGVO eine Rechenschafts- und Nachweispflicht der für die Verarbeitung der personenbezogenen Daten Verantwortlichen. D. h. Sie müssen belegen, dass Sie die Grundsätze (wie zum Beispiel Rechtmäßigkeit, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) bei der Verarbeitung personenbezogener Daten einhalten.
Gemäß Art. 32 Abs. 1 DSGVO sind Sie zudem verpflichtet, geeignete, dem Risiko angemessene technische und organisatorische Maßnahmen zu treffen, um die in Art. 5 geforderte Vertraulichkeit und Integrität etc. in Bezug auf die Datenverarbeitung sicherzustellen. Ein Berechtigungskonzept fällt im Sinne einer Zugriffs- und Zugangskontrolle unter diese technischen und organisatorischen Maßnahmen und stellt eine praxistaugliche Umsetzungsmöglichkeit dar. Gleichzeitig können Sie das Risiko von Datenpannen und teuren Bußgeldern reduzieren.
Neben den rechtlichen Anforderungen, gibt es aber auch ganz praktische Gründe, warum Sie ein Berechtigungskonzept aufsetzen sollten. Zum einen vereinfacht es die unternehmensinterne Organisation und Kommunikation. Zum anderen können Sie Zugriffe auf Daten einfacher überwachen. Bei einem rollenbasierten Berechtigungskonzept ist zudem die Vergabe von Zugriffsberechtigungen, wenn z. B. neue Mitarbeitende eingestellt werden, einfacher. Ist das Konzept einmal ausgearbeitet, sparen Sie wertvolle Zeit bei On- und Off-Boarding-Prozessen.
Schritt für Schritt zum Berechtigungskonzept
1. Bildung von Identitäten und Rollen
Im ersten Schritt identifizieren Sie die unterschiedlichen Aufgaben und Funktionen der einzelnen Mitarbeitenden anhand der Prozesse in Ihrer Organisation. Prüfen Sie, inwieweit die daraus resultierenden digitalen „Identitäten“ individuell oder gleichartig sind. Bilden Sie Gruppen von Personen, die aufgrund ihrer Aufgaben auf die gleichen Systeme, Anwendungen und Daten zugreifen müssen und insofern mit gleichen Berechtigungen auszustatten sind, und entwickeln Sie auf dieser Basis die einzelnen Rollen.
Eine Rolle ist dabei nicht dasselbe wie eine Identität. Die Identität ist individuell für die jeweiligen Mitarbeitenden und bezieht sich z. B. auf den „Benutzernamen“ oder eine ID-Nummer der Person, die protokolliert wird, damit nachvollziehbar bleibt, wer (als Person) wann auf was zugegriffen hat. Rollen sind für die Organisation individuell definierte Kategorien und fassen mehrere Identitäten mit den gleichen Berechtigungen zusammen. Die Identitäten sind hingegen die tatsächlichen Personen und Geräte.
Tipp: Niemand muss das Rad neu erfinden. Greifen Sie also beim Aufbau bzw. der Anpassung und Überprüfung des Berechtigungskonzepts auf das Know-how und die Dokumentation Ihrer IT-Abteilung zurück. Diese sollte zumindest eine dokumentierte Übersicht über die aktuell angelegten Benutzer:innen sowie verwendete Programme und Hardware haben.
2. Zuordnung der Zugriffsrechte zu den gebildeten Identitäten
Im zweiten Schritt definieren Sie, welche Rollen welche Daten löschen, verändern oder nur lesen dürfen. Dazu werfen Sie auch einen Blick auf Ihre aktuellen Verarbeitungsprozesse. Hier sollten Sie überlegen, wie diese sinnvoll nach dem Grundsatz der Notwendigkeit eingeschränkt werden können.
3. Darstellung im VVT
Wenn Sie Ihr Berechtigungskonzept erstellt und technisch umgesetzt haben, dokumentieren Sie die einzelnen Rollen und Berechtigungen in Ihrem VVT. Welche an der Verarbeitung beteiligten Gruppen haben welchen Zugriff? Welche Rollen verarbeiten welche Daten zu welchen Zwecken?
Um Ihr VVT übersichtlich zu halten, sollten Sie an dieser Stelle mit Verweisen auf das Berechtigungskonzept arbeiten, da sich dieses konstant ändert. Verweisen Sie aus dem VVT daher auf den Ablageort des aktuellen Berechtigungskonzepts in Ihrem Dokumentenmanagement. So haben Sie keine doppelten Informationsbestände und müssen nicht an zwei Stellen pflegen, wenn Mitarbeitende hinzukommen oder wechseln oder neue Hardware angeschafft wird.
4. Implementierung eines Überprüfungsverfahrens
Für die datenschutzkonforme Umsetzung des Berechtigungskonzepts ist es entscheidend, dass Sie die dazu notwendigen Prozesse definieren und die verantwortlichen Mitarbeitenden kommunizieren: Dazu gehört auch die Beschreibung des Ablaufs, wenn eine neue Identität für neue Mitarbeitende angelegt wird und wie damit umzugehen ist, wenn Mitarbeitende die Organisation verlassen.
Tipp: Erstellen Sie Checklisten für die einzelnen Fälle. Diese können dann von den jeweiligen Verantwortlichen einfach abgearbeitet werden und Sie haben zugleich entsprechende Belege, dass die Prozesse auch tatsächlich umgesetzt wurden.
5. Überprüfung auf Aktualität und Sicherheit
Berechtigungskonzepte haben nur einen Sinn, wenn sie aktuell gehalten werden. Daher sollten Sie die gebildeten Rollen und Benutzergruppen regelmäßig auf Aktualität und Richtigkeit und Angemessenheit überprüfen. Definieren Sie dafür regelmäßige Überprüfungsintervalle und die Verantwortlichen, die die Überprüfung durchführen sollen.
Fazit
Berechtigungskonzepte sind ein wichtiger Bestandteil der technischen und organisatorischen Maßnahmen, mit denen Sie Ihrer Rechenschaftspflicht nachkommen können. Einmal etabliert, fungieren sie als Nachweis, erleichtern On- und Off-Boarding-Prozesse und halten Ihr VVT übersichtlich.
Zuvor in unserer Reihe rund ums VVT: "Tipps zum VVT: Warum Sie ein VVT im weiteren Sinne führen sollten"
Wir unterstützen Sie!
Sie haben Fragen zu datenschutzkonformen Berechtigungskonzepten oder benötigen Unterstützung bei der Erstellung und Implementierung?
Quellen
DSGVO-Vorlagen (o. J.): „Das Berechtigungskonzept nach DSGVO“, https://dsgvo-vorlagen.de/das-berechtigungskonzept-nach-dsgvo, letzter Zugriff am 24. Februar 2022.