Chefredakteur

Kategorien

    Stichwort des Monats: Berechtigungskonzept


    Das Berechtigungskonzept ist das Tool, mit dem sichergestellt wird, dass nur die Personen auf personenbezogene Daten zugreifen können, die diese personenbezogenen Daten für ihre konkrete berufliche Aufgabe im Unternehmen oder in der Behörde benötigen. Es muss vermieden werden, dass Unbefugte auf Daten Zugriff nehmen. So hatte im Fall des Landesarbeitsgerichts Berlin-Brandenburg (10 Sa 192/16) eine Mitarbeiterin der Meldestelle auf Einwohnermeldedaten – unzulässig – für private Zwecke zugegriffen (www.siehe.eu/da553).

    Umsetzung

    Jedes Berechtigungskonzept beruht auf der Idee, den allgemeinen Zugriff auf Daten zu blockieren und nur nach einer Authentifizierung den Zugriff auf bestimmte Daten zu erlauben. Dazu muss jedem Mitarbeiter ein Account zugeordnet sein. Mit diesem Account meldet sich der Mitarbeiter sodann beim Betriebssystem oder einer konkreten Datenbank an. Den jeweiligen Accounts – und damit den jeweiligen Mitarbeitern – werden unter diesen Accountnamen dann bestimmte Zugriffsrechte zugeteilt. So kann beispielsweise allen Mitarbeiter der lesende Zugriff auf jeweils ihre Zeiten im Zeiterfassungssystem eingeräumt werden. Schreiben können sollen die Mitarbeiter nicht, um nicht unbefugt ihre zeitliche Anwesenheit ändern zu können. Für die Mitarbeiter in der Personalverwaltung kann sodann der lesende Zugriff auf die Zeiten aller Mitarbeiter gegeben werden. Immer gibt es auch noch eine Stelle im Unternehmen, die für den Betrieb der jeweiligen Anwendung, wie hier der Zeiterfassung, technisch verantwortlich ist. Dieser Administrator hat typischerweise alle Rechte, also vollen Zugriff mit Änderungsmöglichkeit.

    Rollenberechtigung

    Bei großen Unternehmen und Behörden würde es einen großen Aufwand machen, für jeden Mitarbeiter einzeln Berechtigungen zu vergeben. Da viele Mitarbeiter ähnliche Tätigkeiten ausüben und in Gruppen zusammengefasst werden können, vollzieht man diese fachliche Einteilung bei den Zugriffsrechten nach. Mitarbeiter werden dann je nach Abteilung mit bestimmten pauschalierten Zugriffsrechten (beispielsweise Personalleiter, Personalsachbearbeiter, Service Personal) versehen.

    Sicherheit

    Die Datensicherheit bei Berechtigungen setzt voraus, dass erstens die Authentifizierung hinreichend sicher ist (zum Beispiel Passwort-, Token-Authentifizierung). Zweitens muss das Berechtigungskonzept regelmäßig auf sachliche Richtigkeit (Wandel der Organisation, Stellenwechsel) und Funktionsfähigkeit kontrolliert werden. Schließlich müssen drittens die Zugriffsprotokolle geprüft werden, um etwaige Überschreitungen der Berechtigungen zu verhindern.

    Aufgabe des Datenschutzbeauftragten

    Der Datenschutzbeauftragte muss sich die Zugriffsberechtigungskonzepte aushändigen lassen ( § 4g Abs. 2 Satz 1 BDSG ) und Prüfungen vornehmen.

    (Philipp Kramer, Chefredakteur Datenschutz-Berater)

    Der Beitrag stammt aus der aktuellen Ausgabe des Datenschutz-Berater. Hier gelangen Sie zur kompletten Ausgabe.


    Top