Berechtigungskonzept

Beginnen wir mit einer kleinen Quiz-Frage: Was haben das Berechtigungskonzept und das Löschkonzept gemeinsam? Die Antwort: Keine der beiden werden explizit in der DSGVO erwähnt.

Auch wenn die Datenschutzaufsichtsbehörden bisher scheinbar noch kein besonderes Augenmerk auf Berechtigungskonzepte legen, bildet ein Berechtigungskonzept dennoch einen wichtigen Teil der Grundlage eines guten Datenschutz-Management-Systems.

Was ist ein Berechtigungskonzept i. S. d. DSGVO?

Eine tatsächlich offizielle Begriffserklärung gibt es nicht. Allerdings weist die DSGVO an verschiedenen Stellen beispielsweise darauf hin, dass nur befugte Personen Zugriff auf und Zugang zu personenbezogene Daten haben dürfen. Wie also kontrolliert ein Verantwortlicher dies? Indem er Berechtigungen vergibt. Normalerweise sollte es hierzu ein Konzept, also das Berechtigungskonzept geben. So weiß dann der Administrator bzw. die Person, die die Berechtigungen vergibt, wer welche Berechtigungen erhalten muss anhand der jeweiligen Aufgaben in der Einrichtung. Kurz: Ein Berechtigungskonzept hält fest, wer wen welche Berechtigungen zu welchem Zeitpunkt erteilt bzw. entzieht und wie diese Handlung, also beispielsweise bei Bescheid einer Einstellung einer Person, ausgelöst wird.

Das Berechtigungskonzept und die DSGVO

Wie schon in der Einleitung erwähnt, nennt die DSGVO ein etwaiges Berechtigungskonzept nicht explizit. Sie deutet darauf hin:

Art. 4 Nr. 12 DSGVO

Art. 4 Nr. 12 DSGVO erklärt eigentlich den Begriff einer Verletzung des Schutzes personenbezogener Daten. Dabei wird allerdings schon der unbefugte Zugang zu personenbezogenen Daten erwähnt. Wie kann dieser unbefugte Zugang definiert werden? Mithilfe eines Berechtigungskonzeptes.

Art. 5 Abs. 1 lit. f) DSGVO

Auch hier in Art. 5 Abs. 1 lit. f) verweist die DSGVO wieder auf eine unbefugte Verarbeitung von personenbezogenen Daten. Um eine eventuell unbefugte Verarbeitung feststellen zu können, bedarf es ein Berechtigungskonzept.

Art. 25 Abs. 2 DSGVO

Der Fokus von Art. 25 Abs. 2 DSGVO liegt auf dem Datenschutz durch datenschutzfreundliche Voreinstellungen.  Dabei findet auch Erwähnung, dass personenbezogenen Daten durch Voreinstellungen nicht einer unbestimmten Anzahl natürlicher Personen zugänglich zu machen sind. Dies bedeutet, dass ein Verantwortlicher festzulegen hat, wer denn nun eigentlich berechtigt ist, auf diese Daten zuzugreifen. Dies ist in einem Berechtigungskonzept zu dokumentieren.

Art. 32 Abs. 1 lit. b) DSGVO

Indirekt angesprochen wird das Berechtigungskonzept auch in Art. 32 Abs. 1 lit. b) DSGVO. Denn hier legt die DSGVO fest, dass ein Verantwortlicher geeignete technische und organisatorische Maßnahmen ergreifen muss, um u. a. die Vertraulichkeit sicherstellen zu können. Dies kann ein Verantwortlicher auch erreichen, indem er festlegt, wer Zugriff zu diesen Daten besitzen darf. Dies hält er in einem Berechtigungskonzept fest.

Inhalt eines Berechtigungskonzeptes

Kurz ausgedrückt muss ein Berechtigungskonzept eindeutig darlegen, wer welche Berechtigungen für welche Rolle benötigt und demnach welchen Zutritt, Zugang und Zugriff erhält. Festzulegen ist auch, wer dies bestimmt und wer es wann umsetzt. Die Gliederung eines Berechtigungskonzeptes kann also wie folgt aussehen:

Einleitung

Hier kann der Ersteller beschreiben, was der Zweck des Berechtigungskonzeptes ist und wer der Verantwortliche dafür ist.

Geltungsbereich

Ein Verantwortlicher kann sich hier die Frage stellen, ob sich das Berechtigungskonzept beispielsweise ausschließlich auf den digitalen Bereich bezieht und er ein separates Berechtigungskonzept für die analoge Verarbeitung personenbezogener Daten erstellt. Möglicherweise entscheidet er auch, alle Bereiche in einem Dokument zusammenzufassen.

In der Einrichtung verantwortliche Personen

Hier können die Personen Erwähnung finden, die für die Umsetzung des Berechtigungskonzeptes verantwortlich sind. Es wird schriftlich festgehalten, wer allgemein festlegt, welchem Beschäftigten welche Rechte zuzuteilen sind. Die Person – wahrscheinlich meistens der Administrator – und Vertreter, die dies umsetzen, sind zu nennen.

Berechtigungen

In diesem Bereich kann eine Einrichtung beschreiben, welche Gruppen von Beschäftigten in der Einrichtung existieren, nach denen die Rechtevergabe sich richten kann. Folglich wird hieran ersichtlich, nach welchen Kriterien welcher Beschäftigte Zutritts-, Zugangs-, Zugriffs-, Änderungsrechte etc. erhält. Möglicherweise findet hier auch ein etwaiges Active Directory o. Ä. Erwähnung. Vielleicht bietet es sich auch an, Rechte in Abhängigkeit von Projekten zu vergeben. Hier kann ein Verantwortlicher auch festhalten, wann er Rechte vergibt und zu welchem Zeitpunkt er sie entzieht sowie die Kontrolle der Einhaltung des Berechtigungskonzeptes und wie genau er diese gestaltet.

Mitarbeiterliste

Ein Verantwortlicher kann sich dafür entscheiden, alle Beschäftigten in der Einrichtung aufzulisten oder auch auf ein Organigramm verweisen. Anhand eines Organigramms lassen sich eventuell Berechtigungsgruppen erkennen.

Stellenprofile

Hier besteht die Möglichkeit, zu beschreiben, welcher Stelle in der Einrichtung welche Aufgaben zugeteilt sind. Daran lässt sich auch erkennen, welche Berechtigungen vonnöten sind.

Hard-, Software-, Ordner- und Netzwerklisten

Hilfreich kann es auch sein, zu vermerken, welche Hard- und Software vorhanden ist. So lässt sich erkennen, wen welche Geräte zugeteilt sind und wer welche Berechtigungen hat. Nicht jeder Beschäftigte benötigt schließlich Zugang zum Server. Hier kommt auch das eventuell berühmte Beispiel des Personalordners ins Spiel: Zu diesem Ordner benötigen nur die Personen im Unternehmen Zugriff, die in der Personalabteilung tätig sind.

Prozesse

Bei der Wahl der Darstellung werden auch hier keine Grenzen gesetzt. Hier kann ein Verantwortlicher auf andere Dokumente verweisen, in denen Prozesse eventuell schon dargestellt sind. Er kann sich auch dafür entscheiden, Prozessabbildungen einzubauen. Mögliche Darstellungen können sich auf den Lebenszyklus von Berechtigungen von Vergabe bis Entzug beziehen.

Diese Gliederungsliste ist bei weitem nicht abschließend. Ein Verantwortlicher kann Berechtigungen selbst noch weiter unterteilen in administrative, permanente, temporäre, Basisberechtigungen etc. Er kann sich auch dafür entscheiden, das Berechtigungskonzept in Abhängigkeit der Datenart aufzubauen. Bei der Erstellung eines Berechtigungskonzeptes setzt der Gesetzgeber dem Verantwortlichen keine Grenzen.

Bisherige Bußgelder

Auch wenn die Überprüfung des Vorhandenseins eines Berechtigungskonzeptes bisher noch nicht Priorität bei den Datenschutzaufsichtsbehörden zu haben scheint, sind aufgrund fehlender Berechtigungskonzepte schon Bußgelder verhängt worden. So wurde gegen das Haga Krankenhaus in Den Haag ein Bußgeld von EUR 460.000 verhängt, weil ein Berechtigungskonzept fehlte (Link). In Portugal traf es ebenfalls ein Krankenhaus, das Centro Hospitalar Barreiro Montijo. Die portugiesische Aufsichtsbehörde verhängte hier ein Bußgeld in Höhe von EUR 400.000 (Link). Der Grund war hier wohl auch das fehlende Berechtigungskonzept.

Die gerade genannten Bußgeldhöhen sind beispielhaft. Die Höhe ist sicherlich auch dadurch verschuldet, dass in Krankenhäusern personenbezogene Daten besonderer Kategorien gemäß Art. 9 Abs. 1 DSGVO verarbeitet werden.

Fazit

Es ist ein Bestandteil eines Datenschutz-Management-Systems. Dazu etwas erfahren kann ein Verantwortlicher jedoch an keiner Stelle in der DSGVO.

Wir beschäftigen uns fortwährend und ständig mit dem Datenschutz. So haben wir einen Überblick darüber, welche Dokumente zu einem Datenschutz-Management-System gehören und können Sie dazu beraten. Kontaktieren Sie uns gern dazu noch heute. Wir erstellen gern ein unverbindliches Angebot, um Sie zum Datenschutz zu unterstützen,