was ist ein berechtigungskonzept?
Darf Mareen eigentlich die Urlaubsanträge von Martin sehen? Der spontane Umgang mit personenbezogenen Daten im Unternehmen ist nicht mehr zeitgemäß, denn die DSGVO schiebt dem Ganzen den Riegel vor. Proaktives Vorgehen in gefragt.
Mal eben einen Urlaubskalender in der Cloud erstellen, in dem für alle Mitarbeitenden einsehbar die Sommerurlaube einer Abteilung eingetragen werden? Die DSGVO schiebt solch einem spontanen Umgang mit personenbezogenen Daten im Unternehmen weitgehend einen Riegel vor. Vielmehr sind Unternehmen dazu verpflichtet, beim Datenschutz proaktiv vorzugehen: Sie müssen interne Geschäftsprozesse, die DSGVO-relevante Mitarbeiterdaten betreffen, bereits im Vorfeld so einrichten, dass ein DSGVO-konformer Umgang mit diesen Daten gewährleistet wird. Eine zentrale Rolle fällt dabei dem Berechtigungskonzept zu.
Hintergrund: Ein wichtiger Grundsatz der DSGVO ist das „Need-to-know“-Prinzip. Es besagt, dass personenbezogene Daten in einem Unternehmen nicht nur zweckgebunden erhoben werden dürfen, sondern auch nur von jenen Mitarbeitern eingesehen werden sollen, die sie für die Erledigung einer Aufgabe auch wirklich benötigen.
Mit Blick auf das zuvor angeführte Beispiel bedeutet das: Auf einen Urlaubskalender, in dem die Urlaubszeiten einer Abteilung eingetragen wurden, dürften im Rahmen der DSGVO zum Beispiel die Abteilungsleiterin und eine zuständige Sachbearbeiterin aus der HR zugreifen. Beliebige Mitarbeitende einer Abteilung, die einen Link zu der Ressource auf dem Server haben, müssen hingegen – ohne zusätzliche Betriebsvereinbarungen – davon ausgeschlossen werden.
Mit einem Berechtigungskonzept werden Zuständigkeiten dieser Art innerhalb eines Unternehmens strukturiert und festgehalten. Das Berechtigungskonzept legt für alle personengebundenen Daten genau fest, wer in einer Organisation in welchem Prozessschritt Zugang zu diesen Daten haben darf. Es zielt also darauf ab, den Zugriff auf personengebundene Daten auf die befugten Mitarbeitenden und notwendigen Arbeitsprozesse zu beschränken.
vorteile eines rollenbasierten berechtigungskonzeptes
Die vermeintlich einfachste Lösung zur Erstellung eines Berechtigungskonzeptes könnte darin bestehen, für alle Mitarbeitenden genau festzulegen, welchen Zugang zu personenbezogenen Daten sie jeweils haben sollen. In der Praxis würde das jedoch bedeuten, für jeden einzelnen Mitarbeiter eine genaue Beschreibung seiner Zugriffsrechte vorzunehmen.
Um das zu vereinfachen, hat es sich in der Betriebspraxis durchgesetzt, im Berechtigungskonzept ein Set an Rollen zu definieren, die den entsprechenden Mitarbeitenden zugewiesen werden. Diese Rollen orientieren sich an den Funktionen und Prozessen, die für das Berechtigungskonzept eine Rolle spielen.
demo anfragen zum produkt
