Ein Berechtigungskonzept ist ein genau definiertes Regelwerk. In diesem sind die Zugriffsrechte auf die Daten und Funktionen eines IT-Systems festgeschrieben. Weiterhin werden im Allgemeinen auch die einzelnen Prozesse beschrieben, die zur Umsetzung des Berechtigungskonzeptes notwendig sind. Dies betrifft zum Beispiel das Anlegen und Löschen von Benutzern und die Vorgaben für die Passworterstellung.
Die Bedeutung eines Berechtigungskonzeptes
Viele Unternehmen schützen ihre IT-Systeme bereits sehr gut gegen unberechtigte Zugriffe von außen. Firewalls und Intrusion-Detection-Systeme tragen ihren Teil zu einer sicheren IT-Landschaft bei. Dagegen werden die Gefahren für die Datensicherheit aus dem Inneren des Unternehmens oftmals unterschätzt. An dieser Stelle fügt sich das Berechtigungskonzept in die Sicherheitsarchitektur des Unternehmens ein. Denn im Idealfall sollten nur die Mitarbeiter Zugriff auf bestimmte Daten erhalten, die diese für ihre Arbeit benötigen.
Grundsätzlich ist ein Berechtigungskonzept das Resultat individueller Planung. Sind die festgelegten Regeln zu strikt, kann dies zu einer Einschränkung der Produktivität führen. Sind die Vorgaben des Konzeptes jedoch nicht strikt genug, kann das zu Problemen mit der Datensicherheit führen.
Grundkonzept und Rolle
In einem Grundkonzept wird festgehalten, auf welche Ressourcen von welchen Nutzern zugegriffen werden darf. Zugleich findet sich hier auch die Art des Zugriffes wieder. So kann bestimmten Nutzern beispielsweise das Lesen eines Datensatzes erlaubt sein, nicht jedoch, diesen zu verändern. Aufgrund der Vielzahl von möglichen Kombinationen aus Nutzern, Ressourcen und Rechten kann eine solche Art der Konzeptionierung sehr schnell unübersichtlich werden.
Um die Übersichtlichkeit und eine einfache Verwaltung der Zugriffsrechte zu gewährleisten, werden nun Rollen definiert. Diese bilden eine genau festgeschriebene Gruppe von Berechtigungen, die einem Benutzer zugeordnet werden können. Im Ergebnis erhält der Benutzer dann nur noch Zugang zu den Daten, die er für die Erfüllung seiner Tätigkeiten benötigt.
Die Bedeutung des Berechtigungskonzepts aus Sicht der DSGVO
Bisher galt bei der Ausgestaltung eines Berechtigungskonzeptes häufig folgender Grundsatz: Personen sollen nur auf Daten zugreifen können, die für ihre Einsichtnahme bestimmt sind. Im Umkehrschluss dürfen sie keinen Zugriff auf Daten haben, die nicht für sie bestimmt sind. Mit Umsetzung der DSGVO ändert sich dies. Ein entsprechendes Konzept muss nun um dem Grundsatz der Zweckgebundenheit erweitert werden. Dies bedeutet, dass ein Mitarbeiter lediglich auf die Daten zugreifen darf, die er für die Ausführung seiner Tätigkeit und zu dem Zweck der ursprünglichen Datenerfassung unbedingt benötigt.
Hinzu kommt die Dokumentationspflicht. Jedes Unternehmen muss künftig nicht nur das Berechtigungskonzept festhalten, sondern auch dessen konkrete Umsetzung nachweisbar dokumentieren.
Als konkretes Anwendungsbeispiel sollten z.B. keine Dateien mit personenbezogenen Daten als Anhang per E-Mail verschickt werden. Stattdessen sollten diese Dateien in durch das Berechtigungskonzept geschützte Ordner auf dem Server abgelegt werden. Im Anschluss kann dann der Freigabelink an die entsprechenden Kollegen per Mail verschickt werden.
Weiterführende Literatur:
- https://www.datenschutz-notizen.de/fehlendes-berec…
- https://erp-news.info/augen-auf-bei-der-omnichanne…
Rechtlicher Hinweis:
Die kostenlosen und frei zugänglichen Inhalte dieser Webseite wurden mit größtmöglicher Sorgfalt erstellt. Wir weisen jedoch ausdrücklich darauf hin, dass wir keine Gewähr oder sonstige Verantwortung für die Richtigkeit, Aktualität oder Vollständigkeit der auf dieser Webseite bereitgestellten journalistischen Ratgeber und Informationen übernehmen.
Die Inhalte auf dieser Webseite dienen weder als rechtliche Beratung für Ihr Unternehmen, auf die Sie sich bei der Einhaltung der gesetzlichen Regelungen zum Datenschutz – insbesondere der DSGVO – stützen können noch können sie eine individuelle Rechtsberatung ersetzen.
Durch den Aufruf dieser kostenlosen und frei zugänglichen Inhalte kommt darüber hinaus mangels eines entsprechenden Rechtsbindungswillens unsererseits keinerlei Vertragsverhältnis zwischen uns und Ihnen als Nutzer der Webseite zustande.