29. Oktober 2024

Das Berechtigungskonzept für Ihren Verband

Berechtigungskonzepte sind ein wichtiger Bestandteil der technischen und organisatorischen Maßnahmen, mit denen Sie Ihrer Rechenschaftspflicht nachkommen können. Einmal etabliert, fungieren sie als Nachweis, erleichtern On- und Off-Boarding-Prozesse und halten Ihr VVT übersichtlich. Im aktuellen Datenschutz-Infobrief erfahren Sie, wie Sie das Thema in Ihrem Verein oder Verband umsetzen können.

Was ist ein Berechtigungskonzept?

Ein Berechtigungskonzept definiert die Zugangsregeln sowie die Zugriffsrechte und Bearbeitungsmöglichkeiten von Daten bzw. Systemen/Systemeinstellungen und Ressourcen. Das Prinzip des Berechtigungskonzepts ist vor allem aus der Unternehmensorganisation und der IT-Sicherheit bekannt.

Ein Berechtigungskonzept ist einerseits aus unternehmerischen Gründen zur Wahrung von Betriebsinterna, andererseits aus Sicht des Datenschutzes ein wesentlicher Bestandteil der technischen und organisatorischen Maßnahmen, mit denen Sie als Verantwortliche sowohl Unternehmensdaten als auch personenbezogene Daten schützen. Das primäre Ziel des Konzepts: Sicherstellung der datenschutzkonformen Verarbeitung in der Organisation und Schutz der Daten bzw. Systeme und Programme vor dem Zugriff Unberechtigter. Daher ist eine fachübergreifende Zusammenarbeit bei der Aufstellung und Pflege des Berechtigungskonzepts für jede Organisation unerlässlich. Wie genau das Berechtigungskonzept aussieht, hängt dabei stark von der Organisation und den jeweiligen Strukturen und individuellen Anforderungen ab.

Oberste Regel des Datenschutzes bei der Definition der Zugriffsberechtigungen ist das sog. „Need-to-know-Prinzip“. Das heißt, Zugriff auf die personenbezogenen Daten und Verarbeitungssysteme erhalten nur die Personen, die organisatorisch am Prozess beteiligt sind. Dabei wird auch unterschieden, welcher Art die Zugriffsberechtigung (Lese, Schreib- und Löschrechte) sein muss.

Alle definierten Zugriffsberechtigungen sowie ergänzende technische und organisatorische Sicherheitsmaßnahmen werden im Berechtigungskonzept schriftlich festgehalten. Dabei muss auch definiert werden, aus welchen Gründen und inwieweit die Protokollierung der einzelnen Zugriffe zu Nachweiszwecken dokumentiert werden müssen.

Tipp: Damit Sie nicht bei jeder Person von Neuem entscheiden müssen, welche Berechtigungen sie bekommen soll, empfiehlt es sich stattdessen, zusammenfassende Rollen und / oder Mitarbeitendengruppen zu definieren, die den Funktionen und Prozessen in der Organisation entsprechen. So können Mitarbeitende mit deckungsgleichen Aufgaben (z. B. Buchhaltung, Vertrieb, Personalwesen) oder Funktionen mit gleichen Zugriffsberechtigungen ausgestattet werden. Dadurch wird Ihr Berechtigungskonzept deutlich übersichtlicher und neue Mitarbeitende müssen Sie lediglich der entsprechenden Rolle zuordnen.

Wieso ein Berechtigungskonzept?

Es gibt eine Vielzahl an Gründen, warum Sie auf ein Berechtigungskonzept setzen sollten. Der wohl wichtigste: Sie sind rechtlich dazu verpflichtet. Wenn Sie personenbezogene Daten verarbeiten – und das tun die meisten Organisationen – sind sie gemäß der Datenschutzgrundverordnung (DSGVO) verpflichtet, bei der Verarbeitung der personenbezogenen Daten die Grundsätze des Datenschutzes einzuhalten.

Diese Anforderungen ergeben sich zum einen aus Art. 5 DSGVO. Hier wird u. a. der Grundsatz der Vertraulichkeit und Integrität aufgeführt. Dazu gehört auch der Schutz vor unbefugten Zugriffen – und zwar nicht nur durch Externe, sondern auch Interne. Zusätzlich ergibt sich aus Art. 5 Abs. 2 DSGVO eine Rechenschafts- und Nachweispflicht der für die Verarbeitung der personenbezogenen Daten Verantwortlichen. D. h. Sie müssen belegen, dass Sie die Grundsätze (wie zum Beispiel Rechtmäßigkeit, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) bei der Verarbeitung personenbezogener Daten einhalten.

Gemäß Art. 32 Abs. 1 DSGVO sind Sie zudem verpflichtet, geeignete, dem Risiko angemessene technische und organisatorische Maßnahmen zu treffen, um die in Art. 5 geforderte Vertraulichkeit und Integrität etc. in Bezug auf die Datenverarbeitung sicherzustellen. Ein Berechtigungskonzept fällt im Sinne einer Zugriffs- und Zugangskontrolle unter diese technischen und organisatorischen Maßnahmen und stellt eine praxistaugliche Umsetzungsmöglichkeit dar. Gleichzeitig können Sie das Risiko von Datenschutzverletzungen und teuren Bußgeldern reduzieren.

Neben den rechtlichen Anforderungen, gibt es aber auch ganz praktische Gründe, warum Sie ein Berechtigungskonzept aufsetzen sollten. Zum einen vereinfacht es die unternehmensinterne Organisation und Kommunikation. Zum anderen können Sie Zugriffe auf Daten einfacher überwachen. Bei einem rollenbasierten Berechtigungskonzept ist zudem die Vergabe von Zugriffsberechtigungen, wenn z. B. neue Mitarbeitende eingestellt werden, einfacher.

Ist das Konzept einmal ausgearbeitet, sparen Sie wertvolle Zeit bei On- und Off-Boarding-Prozessen.

Schritt für Schritt zum Berechtigungskonzept

1. Bildung von Identitäten und Rollen

Im ersten Schritt identifizieren Sie die unterschiedlichen Aufgaben und Funktionen der einzelnen Mitarbeitenden anhand der Prozesse in Ihrer Organisation. Prüfen Sie, inwieweit die daraus resultierenden digitalen „Identitäten“ individuell oder gleichartig sind. Bilden Sie Gruppen von Personen, die aufgrund ihrer Aufgaben auf die gleichen Systeme, Anwendungen und Daten zugreifen müssen und insofern mit gleichen Berechtigungen auszustatten sind, und entwickeln Sie auf dieser Basis die einzelnen Rollen.

Eine Rolle ist dabei nicht dasselbe wie eine Identität. Die Identität ist individuell für die jeweiligen Mitarbeitenden und bezieht sich z. B. auf den „Benutzernamen“ oder eine ID-Nummer der Person, die protokolliert wird, damit nachvollziehbar bleibt, wer (als Person) wann auf was zugegriffen hat. Rollen sind für die Organisation individuell definierte Kategorien und fassen mehrere Identitäten mit den gleichen Berechtigungen zusammen. Die Identitäten sind hingegen die tatsächlichen Personen und Geräte.

Tipp: Niemand muss das Rad neu erfinden. Greifen Sie also beim Aufbau bzw. der Anpassung und Überprüfung des Berechtigungskonzepts auf das Know-how und die Dokumentation Ihrer IT-Abteilung zurück. Diese sollte zumindest eine dokumentierte Übersicht über die aktuell angelegten Benutzer:innen sowie verwendete Programme und Hardware haben.

2. Zuordnung der Zugriffsrechte zu den gebildeten Identitäten

Im zweiten Schritt definieren Sie, welche Rollen welche Daten löschen, verändern oder nur lesen dürfen. Dazu werfen Sie auch einen Blick auf Ihre aktuellen Verarbeitungsprozesse. Hier sollten Sie überlegen, wie diese sinnvoll nach dem Grundsatz der Notwendigkeit eingeschränkt werden können.

3. Dokumentation im Verzeichnis der Verarbeitungstätigkeiten (VVT)

Wenn Sie Ihr Berechtigungskonzept erstellt und technisch umgesetzt haben, dokumentieren Sie die einzelnen Rollen und Berechtigungen. Welche an der Verarbeitung beteiligten Gruppen haben welchen Zugriff? Welche Rollen verarbeiten welche Daten zu welchen Zwecken?

Um im VVT den Nachweis der Technisch Organisatorischen Maßnahmen (TOM) zu erbringen, sollten Sie an dieser Stelle mit Verweisen auf das Berechtigungskonzept arbeiten, da sich dieses konstant ändert. Verweisen Sie aus dem VVT daher auf den Ablageort des aktuellen Berechtigungskonzepts und die Dokumentation der Berechtigungen in Ihrem Dokumentenmanagement. So haben Sie keine doppelten Informationsbestände und müssen nicht an zwei Stellen pflegen, wenn Mitarbeitende hinzukommen oder wechseln oder neue Hardware angeschafft wird.

4. Implementierung eines Überprüfungsverfahrens

Für die datenschutzkonforme Umsetzung des Berechtigungskonzepts ist es entscheidend, dass Sie die dazu notwendigen Prozesse definieren und die verantwortlichen Mitarbeitenden kommunizieren: Dazu gehört auch die Beschreibung des Ablaufs, wenn eine neue Identität für neue Mitarbeitende angelegt wird und wie damit umzugehen ist, wenn Mitarbeitende ihre Rolle oder Funktion wechseln oder die Organisation verlassen.

Auch die Vergabe und der Entzug von Berechtigungen inklusive der regelmäßigen Kontrolle gehört zu den Prozessen. Jeder kennt das Beispiel von Auszubildenden, die im zweiten Ausbildungsjahr einen „Rundlauf“ durch die Abteilungen des Unternehmens macht, um Einblicke in andere Tätigkeiten zu bekommen. Bei jeder Hospitation wird ihm für die jeweilige Abteilung eine entsprechende Rolle zugeordnet. Wenn er dann “durch“ ist, hat er Zugriff auf fast alle Daten des Unternehmens, wenn es keine entsprechenden Regelungen gibt.

Tipp: Erstellen Sie Checklisten für die einzelnen Fälle. Diese können dann von den jeweiligen Verantwortlichen einfach abgearbeitet werden und Sie haben zugleich entsprechende Belege, dass die Prozesse auch tatsächlich umgesetzt wurden.

5. Überprüfung auf Aktualität und Sicherheit

Berechtigungskonzepte haben nur einen Sinn, wenn sie aktuell gehalten werden. Daher sollten Sie die gebildeten Rollen und Benutzergruppen regelmäßig auf Aktualität und Richtigkeit und Angemessenheit überprüfen. Definieren Sie dafür regelmäßige Überprüfungsintervalle und die Verantwortlichen, die die Überprüfung durchführen sollen.

Fazit

Quelle: Impulsbeitrag von Leonard Hüesker, Sachverständigenbüro Mülot, zum Thema Berechtigungskonzept: So gelingt die datenschutzkonforme Umsetzung“, Datenschutz-Infobrief Nr. 132 (September 2024). Ein Service des FA-Datenschutzportals.