Berechtigungskonzept DSGVO

Datenschutz verstehen – Berechtigungskonzept

Im Zusammenhang mit der neuen europäischen Datenschutz-Grundverordnung (DSGVO) ist oft die Rede von sog. Konzepten, die für viele Aufgabenbereiche des Datenschutzes erforderlich sind. Besondere Priorität genießen in diesem Zusammenhang sog. Löschkonzepte. Zu den essentiellen Konzepten für die Einhaltung des Datenschutz gehören darüber hinaus auch Berechtigungskonzepte. Erst durch ein ausreichendes Berechtigungskonzept ist sichergestellt, dass unbefugte Personen keinen Zugang zu personenbezogenen Daten erhalten. Somit ist ist ein Berechtigungskonzept eine wesentliche  technisch-organisatorische Maßnahme i.S.v. Art. 32 DSGVO. In unserem Blogbeitrag erfahren Sie, was ein Berechtigungskonzept ist und welche Merkmale in jedem Berechtigungskonzept enthalten sein sollten.

 

Was ist ein Berechtigungskonzept? 

Ein Berechtigungskonzept ist ein wichtiges Schriftstück bzw. digitales Dokument innerhalb einer Organisation eines Verantwortlichen, um erlaubte Zugriffe auf Daten zu dokumentieren und klarzustellen, welche Zugriffe gerade nicht erlaubt sein. Aus dem Berechtigungskonzept muss sich ergeben, welche Personen bzw. Personengruppen und Abteilungen Zugriff auf welche Art von personenbezogenen Daten haben. Nur auf diese Weise kann eine effektive Zugangs- und Zugriffskontrolle gewährleistet werden. Auch wenn aktuelle Trends wie Big Data, Internet of Things oder Cloud-Dienste die Erstellung und fortlaufende Aktualisierung eines Berechtigungskonzepts erschweren, ist es aufgrund der Entwicklung von dynamischen und agilen Prozessen rund um die Verarbeitung von personenbezogenen Daten (z.B. Bring your own device, Wechsel von Rollen für Programme, Onboarding von neuen Mitarbeitern und Offboarding von ehemaligen Mitarbeitern) umso wichtiger, ein umfassendes und nachweisbares Berechtigungskonzept zu erstellen, damit unbefugte Personen keinen unberechtigten Zugang zu personenbezogenen Daten erhalten können.

 

Was sollte in einem Berechtigungskonzept geregelt sein?

Aus dem Berechtigungskonzept muss sich ergeben, welche Zugriffe auf personenbezogene Daten erlaubt sind und welche Zugriffe gerade nicht zugelassen werden dürfen. Dabei muss das ideale Gleichgewicht zwischen Beschränkung und Erlaubnis von Zugriffen erreicht werden, damit das Berechtigungskonzept auf der einen Seite nicht die Produktivität und die Wirtschaftsabläufe eines Unternehmens einschränkt, auf der anderen Seite aber auch gleichzeitig den Datenschutz effektiv einhält, damit keine Datenschutzverstöße entstehen können. Keine bzw. nicht ausreichende Berechtigungskonzepte sorgen dafür, dass die Zugangs- und Zugriffskontrolle i.S.v. Art. 32 DSGVO, § 64 Abs. 1 Nr. 1, Nr. 5 BDSG-neu nur erschwert bis gar nicht erfolgen kann. Auch auf die Zutrittskontrolle hat ein Berechtigungskonzept einen enorme Wirkung.

 

Wie sollte ein Berechtigungskonzept erstellt werden?

Alle Geräte, Nutzer und Anwendungen müssen erfasst werden und anschließend werden sog. digitale Identitäten, die später regelmäßig geprüft werden, gebildet sowie verschiedene Zugriffsrechte definiert, wie z.B. Leserechte, Schreibrechte, Löschrechte und/oder Änderungsrechte. Wichtig sind ferner Rollenkonzepte und regelmäßige Auditierungen. Darüber hinaus muss sichergestellt sein, dass in einem Berechtigungskonzept alle derzeit stattfindenden Verarbeitungen von personenbezogenen Daten berücksichtigt werden. Entscheidend ist, dass das Berechtigungskonzept nachweisbar ist, weshalb wir empfehlen, dieses in einem schriftlichen oder digitalen Dokument anzulegen, um stets der Nachweispflicht (vgl. Art. 5 Abs. 2 DSGVO) nachkommen zu können.

 

Welche Folgen können fehlende Berechtigungskonzepte nach sich ziehen?

Verstöße gegen die Vorgaben für ein Berechtigungskonzept i.S.v. Art. 32 DSGVO und gem. Art. 5 DSGVO können mit Bußgeldern in Höhe von bis zu 10 bzw. 20 Mio. Euro oder von bis 2 bzw. 4 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 und Abs. 5 DSGVO, geahndet werden.

Kontaktieren Sie die Experten von Keyed, um gemeinsam Berechtigungskonzepte für die Verarbeitungen von personenbezogenen Daten in Ihrem Unternehmen zu entwickeln und unbefugten Personen auf diese Weise den unberechtigten Zugang zu verweigern. Hierdurch minimieren Sie nicht nur das Risiko von empfindlichen Bußgeldern nach der DSGVO, sondern auch von möglichen Datenpannen i.S.v. Art. 33 DSGVO. 

Der externe Datenschutzbeauftragte koordiniert und entwickelt in enger Absprache mit den jeweiligen Ansprechpartnerinnen und Ansprechpartnern Ihres Unternehmens sowie der IT-Leitung und der IT-Systemadministration Berechtigungskonzepte. Die Berechtigungskonzepte müssen für analoge personenbezogene Daten in Papierform als auch für digitale personenbezogene Daten gelten. Die Zugangs- und Zugriffsberechtigungen innerhalb des Firmennetzwerks für alle eingesetzten Anwendungen sollten schriftlich dokumentiert werden.

Autor

Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN