Berechtigungskonzept: Die datenschutzrechtlichen Grundlagen

Fachbeitrag

Obwohl es eigentlich mittlerweile eine Selbstverständlichkeit sein sollte, scheint die Notwendigkeit von einem angemessenen Berechtigungskonzept bei IT-Anwendungen mit personenbezogenen Daten in der Praxis immer noch nicht überall angekommen zu sein. Grund genug für uns, die rechtlichen Grundlagen an dieser Stelle noch einmal zusammenzufassen.

Klassische Ausgangslage

Ein Dauerbrenner in der täglichen Praxis des Datenschutzbeauftragten sind folgende oder ähnliche Anfragen von Beschäftigten oder des Betriebsrats:

„Alle Kollegen haben Zugriff auf meine gebuchten Projektstunden im System XY. Ist das datenschutzkonform?“

oder:

„Auf unserem Google Drive liegen ohne Zugangsbeschränkungen Mitarbeiterdaten zur Planung von Schulungen, aus denen sich auch ergibt, ob die Mitarbeiter in Teil- oder Vollzeit arbeiten und in welcher Gehaltstufe sie angesiedelt sind, ist das datenschutzrechtlich ok?“

Die Fragen können jeweils mit einem klaren „Nein“ beantwortet werden. Trotzdem ist das Problembewusstsein dafür, vor allem auch bei internationalen Konzernen, deren IT-Landschaft und Prozesse zentral von der Konzernmutter im nichteuropäischen Ausland gesteuert werden, oft nicht vorhanden.

Berechtigungskonzept: Rechtliche Grundlagen

Sobald allerdings personenbezogene Daten in IT-Anwendungen gespeichert werden, gibt es rechtliche Verpflichtungen, den Zugriff auf diese in angemessener Weise zu beschränken.

Grundsätze und Sicherheit der Datenverarbeitung

Die nächste Frage kommt dann in der Regel von den Verantwortlichen aus der IT- oder Compliance Abteilung des Konzerns:

„Mit welcher rechtlichen Begründung ist hier von einer Unzulässigkeit auszugehen?“

Selbst von einem europäischen Konzerndatenschutzbeauftragten kam schon die Frage, ob sich dies aus deutschem Recht ergäbe. Die rechtlichen Grundlagen ergeben sich aber (auch) aus europäischem Datenschutzrecht, nämlich der Datenschutz-Grundverordnung (DSGVO). Insbesondere die Art. 5 Abs. 1 f) (Grundsätze der Datenverarbeitung) und Art. 32 Abs. 1 b) DSGVO (Sicherheit der Verarbeitung) besagen, dass der Verantwortliche technische und organisatorische Maßnahmen zu treffen hat, welche u.a. die Vertraulichkeit und Integrität von personenbezogenen Daten sicherstellen. Zu solchen Maßnahmen zählt eben in erster Linie eine angemessene Zugriffsbeschränkung auf personenbezogene Daten in Form eines Berechtigungskonzepts.

Verbot mit Erlaubnisvorbehalt

Nun könnte der datenschutzrechtlich eher großzügig eingestellte Compliance-Verantwortliche eines US-Konzerns ja die Ansicht vertreten, dass etwa gebuchte Projektstunden eines Mitarbeiters an sich noch keine vertraulichen Daten wären. Sicherlich dürften hier keine Schreibrechte eingeräumt werden, aber die alleinige Sichtbarkeit sei doch kein Problem. Dieses oder ähnliche Argumente können gut mit einer weiteren rechtlichen Begründung für ein Berechtigungskonzept entkräftet werden, nämlich dem Verbot mit Erlaubnisvorbehalt.

Für jegliche Datenverarbeitung muss demnach eine rechtliche Grundlage vorliegen. Unter den Begriff der Verarbeitung fällt gem. Art. 4 Nr. 2 DSGVO auch das reine Auslesen oder Abfragen von Daten. Die Mitarbeiterdatenverarbeitung richtet sich in Deutschland in erster Linie nach § 26 Abs. 1 BDSG und in europäischen Ländern ohne spezielle nationale Regelung nach Art. 6 Abs. 1 b) DSGVO. Gemäß beiden Regelungen dürfen Mitarbeiterdaten nur dann z.B. ausgelesen oder abgefragt werden, wenn dies zur Durchführung des Beschäftigungsverhältnisses bzw. Arbeitsvertrags erforderlich ist. Es ist aber sicherlich nicht zur Durchführung des Arbeitsvertrages eines Beschäftigten erforderlich, dass alle Kollegen sehen, wie oft und wie lange dieser im Rahmen eines Projekts gearbeitet hat. Demnach erfolgen ohne Berechtigungskonzept potentiell laufend Datenverarbeitungstätigkeiten ohne Rechtsgrundlage, welche die betroffenen Mitarbeiter in Ihrem Persönlichkeitsrecht verletzen.

Meldepflichtiger Datenschutzvorfall?

Im schlimmsten Fall führt das Fehlen eines Berechtigungskonzepts zu einem meldepflichtigen Datenschutzvorfall nach Art. 33 DSGVO. Unter einer in der Vorschrift genannten „Verletzung des Schutzes personenbezogener Daten“ fällt eben auch der Zugang von Unberechtigten zu personenbezogenen Daten, also eine Verletzung der Vertraulichkeit. Im Falle von sensiblen HR-Daten kann dies zu einer Meldepflicht führen, in jedem Fall muss aber eine Prüfung und Dokumentation des Vorfalls erfolgen, die den Verantwortlichen Zeit und Geld kostet.

Berechtigungskonzept nach dem sog. „Need-to-know-Prinzip“

Als letztes bekommt der Datenschutzbeauftragte regelmäßig die Frage gestellt:

„Wer darf denn dann alles Zugriff auf die Daten haben?“

Die Antwort: Jeder, der diesen Zugriff zur Erledigung seiner vom Arbeitgeber zugewiesenen Aufgaben benötigt (Need-to-know-Prinzip). Aus datenschutzrechtlicher Sicht ist deswegen immer dann, wenn personenbezogene Daten irgendwo gespeichert werden, ein dem Need-to-know-Prinzip folgendes Berechtigungskonzept zu implementieren.

Kernpunkte eines solchen Berechtigungskonzepts sind:

  • Dokumentation des Berechtigungskonzepts, mit differenzierten Rechten für Lesen, Verändern oder Löschen von Daten, inklusive Vertretungsregelungen.
  • Prozess und Verantwortlichkeit zur Vergabe, Erweiterung, Beschränkung und Entzug von Rechten. Festlegung des Kommunikationswegs.
  • Verfahren bei Abteilungswechsel, Neueinstellung oder Ausscheiden eines Mitarbeiter.

Daneben können natürlich noch weitere Maßnahmen notwendig sein, damit das Berechtigungskonzept nicht an anderer Stelle ausgehebelt wird. Immerhin werden Daten mitunter auch ausgedruckt bzw. es gibt technische Mittel ein Berechtigungskonzept zu umgehen. Auch diesbezüglich sollten natürlich Prozesse und Sicherheitsmaßnahmen im Unternehmen etabliert werden, die den gesamten Lebenszyklus der Daten umfassen, damit die die Vertraulichkeit und Integrität der Daten umfassend gewährleistet ist.

Das Thema ist für Sie oder in Ihrem Unternehmen relevant und Sie möchten Ihre Kompetenzen erweitern? Informieren Sie sich hier über unser Seminarangebot. Blogleser erhalten mit dem Code „DR. DATENSCHUTZ“ 15% Rabatt auf die Seminare, vorerst gültig bis zum 31.12.2019.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

3 Kommentare zu diesem Beitrag

  1. Würde das ggf. bedeuten, dass auf meinen Terminkalender wie z.B. Outlook nicht die ganze Firma Zugriff haben darf, weil ich dort natürlich meine Termine führe und auch Kundendaten dort stehen könnten? Die Informationen sind gleichfalls über ein CRM-System sichtbar und da lässt sich das nicht einmal ausblenden.

    • hier würde ich mal sagen einfach ja sagen. Welche Rechtsgrundlage sollte denn z.B. ein Mitarbeiter im Controlling / in der Haustechnik / in der Personalabteilung etc. zur Datenverarbeitung (Auslesen) von Kundendaten haben? Es gilt das Verbot mit Erlaubnisvorbehalt. Das CRM – System darf meiner Einschätzung nach auch nur von MA eingesehen werden können die diese Kundendaten zur Zweckerfüllung (über den der Kunde auch informiert werden muss) benötigen.

    • Pauschal und ohne Einzelfallprüfung ist diese Fragen nicht eindeutig zu beantworten, da dies von mehreren Faktoren abhängt, wie z.B. der Art der Informationen, sowie Größe und Organisationstruktur Ihrer Firma. Allerdings ist ein Zugriff auf den Kalender durch Vorgesetzte und Kollegen meistens aus betrieblichen Gründen sinnvoll und auch erforderlich, z.B. zur Organisation, Planung und Kommunikation innerhalb der Firma. Der Zugriff auf ein CRM-System sollte grundsätzlich nur eingeschränkt und für diejenigen Mitarbeiter möglich sein, die diesen Zugang zur Erfüllung Ihrer Aufgaben auch brauchen. Ausnahmen oder Rechtfertigungen können sich im Einzelfall immer ergeben, da der Aufwand für technische und organisatorische Maßnahme in angemessener Relation zur Schutzwürdigkeit der Daten stehen muss. Wenn vorhanden, ist der betriebliche Datenschutzbeauftragte der richtige Ansprechpartner für diese Fragen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.