Berechtigungskonzepte bei IT-Anwendungen

Die Datenschutzgrundverordnung (DSGVO) ist seit über einem Jahr in Kraft. Gleichwohl gibt es in vielen Unternehmen kein angemessenes Berechtigungskonzept für IT-Anwendungen mit personenbezogenen Daten. Aus diesem Grund möchten wir uns in unserem heutigen Blog mit den rechtlichen Grundlagen solcher Berechtigungskonzepte befassen.

In dem Moment, in dem personenbezogene Daten in IT-Anwendungen gespeichert werden, besteht für Unternehmen die Verpflichtung, den Zugriff auf diese Daten in angemessener Weise zu beschränken. Eine IT-Anwendung ist - grob gesagt - jede Software, in der personenbezogene Daten gespeichert werden, wie beispielsweise Verwaltungs- und Anwendungsprogramme, aber auch Cloudspeicher, in denen Daten abgelegt werden.

Hierzu regelt die DSGVO in den Art. 5 f und Art. 32 Abs. 1 b, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen muss, welche die Vertraulichkeit und Integrität von personenbezogenen Daten sicherstellen. Hinzu kommt, dass für jegliche Datenverarbeitung eine rechtliche Grundlage vorliegen muss. Unter den Begriff der Datenverarbeitung fallen nach Art. 4 Ziff. 2 DSGVO auch das reine Auslesen und Abfragen von Daten. § 26 BDSG regelt ergänzend dazu, dass Mitarbeiterdaten nur dann ausgelesen oder abgefragt werden dürfen, wenn dies zur Durchführung des Beschäftigungsverhältnisses bzw. des Arbeitsvertrags erforderlich ist. Auf dieser Basis darf natürlich die Lohnbuchhaltung Überstunden oder krankheitsbedingte Fehlzeiten auslesen bzw. abfragen, um eben die arbeitsvertragliche Pflicht zur Berechnung von Lohn- und/oder Ausgleichsansprüchen nachzukommen. Es ist aber sicherlich nicht erforderlich, dass Kollegen die jeweiligen Überstunden oder Fehlzeiten des anderen Kollegen einsehen können. Soweit dies in der IT-Anwendung möglich wäre, erfolgen solche Datenverarbeitungen ohne rechtliche Grundlagen, greifen daher in die Persönlichkeitsrechte des anderen Kollegen ein und sind als Datenschutzverletzung zu werten.

Für IT-Anwendungen sollte man daher unter anderem in einem Berechtigungskonzept angemessene Zugriffsbeschränkungen regeln, um entsprechende Datenverstöße zu vermeiden.

In solch einem Berechtigungskonzept wird üblicherweise dokumentiert, welcher Mitarbeiter Lese-, Änderungs- oder Löschungsrechte erhält und wer die jeweiligen Mitarbeiter vertritt. Ferner sollten dort Prozesse und Verantwortlichkeiten zur Vergabe, Erweiterung, Beschränkung und Entzug dieser Rechte sowie die Kommunikationswege geregelt werden. Schließlich sollten Verfahren für den Fall von Abteilungswechseln, Neueinstellungen und dem Ausscheiden von Mitarbeitern definiert werden.

Natürlich können neben dem Berechtigungskonzept noch weitere Maßnahmen im Unternehmen erforderlich sein, um beispielsweise zu verhindern, dass das Berechtigungskonzept durch Ausdrucken oder sonstige technische Mittel umgangen wird. Auch insoweit sollten natürlich Prozesse und Sicherheitsmaßnahmen ergriffen werden, damit die Vertraulichkeit und Integrität der Daten umfassend gewährleistet wird.

Sollten Sie Fragen rund um das Thema „Berechtigungskonzept“ haben, können Sie sich jederzeit gerne an uns wenden. Wir helfen Ihnen gerne weiter.