Im Berechtigungskonzept müssen alle Schnittstellen erfasst werden, die mit personenbezogenen Daten in Kontakt kommen können. Darunter fallen: 

• Alle Personen, die als mögliche Benutzer in Prozesse der HR eingebunden sind, in denen personenbezogene Daten eine Rolle spielen können. Darunter fallen nicht nur alle Mitarbeiter der Personalabteilung, sondern zum Beispiel auch Mitarbeiter anderer Abteilungen, die in den Recruiting-Prozess involviert sind, oder aus anderen Gründen Zugriff auf personenbezogene Mitarbeiterdaten haben könnten. 

• Alle Software-Anwendungen, die bei der Bearbeitung personenbezogener Mitarbeiterdaten im Unternehmen genutzt werden. 

• Alle Geräte, über die aus dem Büro oder dem Homeoffice auf personenbezogene Mitarbeiterdaten zugegriffen werden können. Dazu zählen alle infrage kommenden PCs, Laptops, Tablets und Smartphones.

Anschließend bekommen alle identifizierten Benutzer, Anwendungen und Geräte eine individuelle sogenannte „digitale Identität“ zugewiesen, über die sie jederzeit im Berechtigungskonzept identifiziert werden können.

In diesem Schritt wird festgelegt, welche Arten des Zugriffs auf personenbezogene Daten im Rahmen des Berechtigungskonzeptes vergeben werden. Die Zugriffsrechte richten sich nach den Anforderungen des Unternehmens beim Umgang mit personenbezogenen Daten. Typische Zugriffsrechte sind:

• Kein Zugriff: Das gilt nicht nur für alle Mitarbeitenden, die nicht in die Personalprozesse involviert sind, sondern kann eventuell auch auf Identitäten zutreffen, die an diesen Prozessen mitwirken, wie Praktikanten oder Mitarbeitende, die an Bewerbungsgesprächen teilnehmen, oder wenn Geräte von der Nutzung ausgeschlossen werden sollen – wie private Computer im Homeoffice. 

• Abfrage von Daten: Dieses Zugriffsrecht beschränkt sich lediglich auf das Lesen bzw. Auslesen personenbezogener Daten. 

• Erstellung von Daten: Unter dieses Recht fallen Identitäten, die einen Schreibzugriff auf eine Datenbank haben und zum Beispiel neue Datensätze anlegen können. 
• Änderung von Daten: Im Gegensatz zum einfachen Schreibrecht beinhaltet das Änderungsrecht die Option, bereits angelegte Datensätze zu überschreiben. 
• Löschung von Daten: Das Änderungsrecht kann gegebenenfalls durch ein Löschrecht ergänzt werden, das sich auf die explizite Löschung einzelner Datenfelder oder eines kompletten Datensatzes bezieht. 
• Daten-Vollzugriff: Als gesondertes Zugriffsrecht lässt sich ein Vollzugriff definieren, der alle technisch möglichen Änderungen an Datensätzen erlaubt.

Mit diesem Schritt werden die identifizierten Identitäten in Rollen zusammengefasst, um die Verwaltung des Berechtigungskonzeptes in Zukunft zu vereinfachen. Die Aufgabe besteht an diesem Punkt darin, einheitliche Handlungsrollen zu benennen, die der Logik der Zugriffsberechtigungen im Unternehmen entsprechen.

Mögliche Rollen für ein Berechtigungskonzept in der HR-Abteilung sind zum Beispiel Sachbearbeitung im Personalwesen, Lohnbuchhaltung, Leitung HR, externe Beratung, Abteilungsleitung oder Geschäftsführung.

Bei diesem Schritt identifizieren Sie, ob die Einteilung der Identitäten zu Rollen aufgeht – was sich daran erkennen lässt, dass sich alle Identitäten zu einer Rolle mit den richtigen Zugriffsrechten zuordnen lassen. 

Gibt es dabei Probleme, müssen Sie die Clusterung von Identitäten zu Rollen so verändern, dass es aufgeht. Das kann zum Beispiel dadurch geschehen, indem Sie eine Rolle, deren Identitäten nicht mit den Zugriffsrechten übereinstimmen, in zwei neue Rollen aufteilen.