Datenschutz verstehen – Berechtigungskonzept
Im Zusammenhang mit der europäischen Datenschutz-Grundverordnung (DSGVO) müssen viele Abläufe sehr detailliert dokumentiert werden. In vielen Fällen bedarf es dafür ganz konkrete Konzepte. Besondere Priorität genießen in diesem Zusammenhang sog. Löschkonzepte. Zu den essentiellen Konzepten für die Einhaltung des Datenschutzes gehören darüber hinaus auch Berechtigungskonzepte. Erst durch ein ausreichendes Berechtigungskonzept ist sichergestellt, dass unbefugte Personen keinen Zugang zu personenbezogenen Daten erhalten. Somit ist ein Berechtigungskonzept eine wesentliche technisch-organisatorische Maßnahme i.S.v. Art. 32 DSGVO. In unserem Blogbeitrag erfahren Sie, was ein Berechtigungskonzept ist und welche Merkmale in jedem Berechtigungskonzept enthalten sein sollten.
Was ist ein Berechtigungskonzept?
Ein Berechtigungskonzept ist ein wichtiges Schriftstück bzw. digitales Dokument innerhalb einer Organisation eines Verantwortlichen, um erlaubte Zugriffe auf Daten zu dokumentieren und klarzustellen, welche Zugriffe gerade nicht erlaubt sind. Aus dem Berechtigungskonzept muss sich ergeben, welche Personen bzw. Personengruppen und Abteilungen Zugriff auf welche Art von personenbezogenen Daten haben. Nur auf diese Weise kann eine effektive Zugangs- und Zugriffskontrolle gewährleistet werden. Auch wenn aktuelle Trends wie Big Data, Internet of Things oder Cloud-Dienste die Erstellung und fortlaufende Aktualisierung eines Berechtigungskonzepts erschweren, ist es aufgrund der Entwicklung von dynamischen und agilen Prozessen rund um die Verarbeitung von personenbezogenen Daten (z.B. Bring your own device, Wechsel von Rollen für Programme, Onboarding von neuen Mitarbeitern und Offboarding von ehemaligen Mitarbeitern) umso wichtiger, ein umfassendes und nachweisbares Berechtigungskonzept zu erstellen, damit unbefugte Personen keinen unberechtigten Zugang zu personenbezogenen Daten erhalten können.
Was sollte in einem Berechtigungskonzept geregelt sein?
Aus dem Berechtigungskonzept muss sich ergeben, welche Zugriffe auf personenbezogene Daten erlaubt sind und welche Zugriffe gerade nicht gestattet werden dürfen. Dabei muss das ideale Gleichgewicht zwischen Beschränkung und Erlaubnis von Zugriffen erreicht werden, damit das Berechtigungskonzept auf der einen Seite nicht die Produktivität und die Wirtschaftsabläufe eines Unternehmens einschränkt, auf der anderen Seite aber auch gleichzeitig den Datenschutz effektiv einhält, damit keine Datenschutzverstöße entstehen können. Keine bzw. nicht ausreichende Berechtigungskonzepte sorgen dafür, dass die Zugangs- und Zugriffskontrolle i.S.v. Art. 32 DSGVO, § 64 Abs. 1 Nr. 1, Nr. 5 BDSG-neu nur erschwert bis gar nicht erfolgen kann. Auch auf die Zutrittskontrolle hat ein Berechtigungskonzept eine enorme Wirkung.
Was ist bei der Erstellung eines Berechtigungskonzeptes zu beachten?
Um ein schlüssiges und vollumfängliches Berechtigungskonzept zu erstellen, empfiehlt es sich, die folgenden Schritte abzuarbeiten. So kann sichergestellt werden, dass das generierte Dokument den hohen Datenschutzstandards gerecht wird.
1. Alle notwendigen Informationen zusammentragen
Der wichtigste und gleichzeitig der schwierigste Teil bei der Erstellung eines Berechtigungskonzeptes ist das Zusammentragen aller notwendigen Informationen. Hierbei geht es vorrangig um Informationen zu den Nutzern, also um ihre Aufgaben und Rollen, sowie Informationen zu eingesetzten Geräten oder Anwendungen. An dieser Stelle ist es wichtig auch an jene Personen zu denken, die zwar einen Zugriff bekommen, aber keine Mitarbeiter sind, z.B. im Falle von externen Dienstleistern.
Eine Reihe von Dokumenten kann bei der Zusammenstellung der Informationen helfen. Dazu gehören z.B. Stellenprofile, Organigramme, Mitarbeiterlisten, Hardware-Listen und Software-Listen.
2. Abbildung digitaler Identitäten
Um die Übersichtlichkeit und Verständlichkeit des Berechtigungskonzeptes zu gewährleisten, werden sogenannte digitale Identitäten vergeben. Diese müssen so ausgestaltet sein, dass sich jedes Gerät, jede Person und jede Anwendung zweifelsfrei und sicher identifizieren lassen, so dass eine präzise Zuordnung von Berechtigungen möglich ist.
3. Definition der Zugriffsrechte
Bei der Definition der Zugriffsrechte handelt es sich um den Kern eines Berechtigungskonzeptes. Es reicht nicht aus, nur festzulegen, ob ein Zugriff gewährt oder verweigert wird. Stattdessen sollten die Zugriffsrechte wie folgt definiert werden:
- keine Berechtigung (kein Erstellen, lesen oder ändern von Daten)
- Leserecht (Daten können ausschließlich gelesen werden)
- Schreibrecht (Neue Daten können erfasst werden, es können aber keine bestehenden gelöscht oder geändert werden)
- Änderungsrecht (Daten können erfasst, bearbeitet und gelöscht werden)
- Vollzugriff (Es besteht ein vollständiger Zugriff auf die Daten inklusive aller Änderungsrechte).
Bei Vergabe der verschiedenen Berechtigungen sollte stets nach dem sogenannten “Need-to-know”-Prinzip vorgegangen werden. Das Prinzip zielt darauf ab, dass eine Person, ein Gerät oder eine Anwendung so wenig Berechtigungen wie möglich, aber so viele Berechtigungen wie nötig erhält.
4. Einbindung von Rollenkonzepten
Aufgrund der Menge an beinhalteten Informationen besteht die Gefahr, dass ein Berechtigungskonzept schnell unübersichtlich wird und sodann auch an Nutzen verliert. Um dem entgegenzuwirken, kann es sinnvoll sein, sogenannte Rollenkonzepte miteinzubeziehen. Es geht dabei darum, dass mehrere Personen, die dieselben Aufgaben haben, auch dieselben Berechtigungen benötigen. Anstatt also für jede Person die Berechtigungen erneut zu definieren, wird einmalig die entsprechende Rolle mit den notwendigen Berechtigungen definiert. Die Personen werden daraufhin nur noch den Rollen zugeordnet und erhalten dann alle, der Rolle zugeteilten, Berechtigungen.
Beim Einsatz von Rollenkonzepten ist es wichtig darauf zu achten, dass es keine Widersprüche in den Berechtigungen gibt, besonders, wenn eine Person mehreren Rollen gleichzeitig zugeordnet wird. Die Rollen sind regelmäßig auf die Aktualität zu überprüfen, um auch dort dem “Need-to-know”-Prinzip nachzukommen.
5. Überprüfung und Auditierung
Bei einem Berechtigungskonzept handelt es sich nicht um ein Dokument, das nur einmalig erstellt wird. Vielmehr gilt es, das Konzept stetig zu überprüfen und anzupassen, so dass auch wirklich der aktuelle Zustand im Unternehmen widergespiegelt wird. Auditierungen sollten in regelmäßigen Abständen erfolgen. Entscheidend ist außerdem, dass das Berechtigungskonzept nachweisbar ist, weshalb wir empfehlen, dieses in einem schriftlichen oder digitalen Dokument anzulegen, um stets der Nachweispflicht (vgl. Art. 5 Abs. 2 DSGVO) nachkommen zu können.
Welche Vorteile hat ein Berechtigungskonzept?
- Ein vollständiges und aktuelles Berechtigungskonzept wirkt sich positiv und vereinfachend auf die unternehmensinterne Organisation und Kommunikation aus.
- Ein Berechtigungskonzept kann ergänzend zum Verzeichnis der Verarbeitungen einen Überblick über alle Datenverarbeitungen im Unternehmen geben.
- Nachweis über Einhaltung des “Need-to-know”- Prinzips.
- Datenpannen und Datenmissbrauch, sowie daraus resultierende Reputationsschäden können vermieden werden.
Welche Folgen können fehlende Berechtigungskonzepte nach sich ziehen?
Verstöße gegen die Vorgaben für ein Berechtigungskonzept i.S.v. Art. 32 DSGVO und gem. Art. 5 DSGVO können mit Bußgeldern in Höhe von bis zu 10 bzw. 20 Mio. Euro oder von bis 2 bzw. 4 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 und Abs. 5 DSGVO geahndet werden.
Kontaktieren Sie die Experten von Keyed, um gemeinsam Berechtigungskonzepte für die Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen zu entwickeln und unbefugten Personen auf diese Weise den unberechtigten Zugang zu verweigern. Hierdurch minimieren Sie nicht nur das Risiko von empfindlichen Bußgeldern nach der DSGVO, sondern auch von möglichen Datenpannen i.S.v. Art. 33 DSGVO.
Der externe Datenschutzbeauftragte koordiniert und entwickelt in enger Absprache mit den jeweiligen Ansprechpartnerinnen und Ansprechpartnern Ihres Unternehmens sowie der IT-Leitung und der IT-Systemadministration Berechtigungskonzepte. Die Berechtigungskonzepte müssen sowohl für analoge, personenbezogene Daten in Papierform als auch für digitale personenbezogene Daten gelten. Die Zugangs- und Zugriffsberechtigungen innerhalb des Firmennetzwerks für alle eingesetzten Anwendungen sollten schriftlich dokumentiert werden.
FAQ
Ein Berechtigungskonzept ist ein internes Dokument, das alle Datenzugriffe im Unternehmen regelt, verschiedene Zugriffsrechte definiert und so unter anderem die Einhaltung des “Need-to-know”- Prinzips sicherstellt.
Konkret beinhaltet das Konzept die verschiedenen Zugriffsstufen, definiert die sogenannten digitalen Identitäten und macht deutlich, welchen Personen, Geräten oder Anwendungen welche Zugriffe gewährt wurden.
Ein Berechtigungskonzept sollte grundsätzlich in jedem Unternehmen vorhanden sein. Besonders bei digitalen Diensten ist ein aktuelles Berechtigungskonzept unerlässlich.
Wenn ein Berechtigungskonzept einmal umfänglich erstellt worden ist, besteht weniger der Bedarf, das Konzept vollkommen neu zu erstellen, sondern vielmehr die Aufgabe, das Konzept aktuell zu halten. Ergänzend sind regelmäßige Auditierungen durchzuführen. Maßgebliche Änderungen können sich durch neue Verarbeitungstätigkeiten oder neue Rollen im Unternehmen ergeben.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.