Datenzugriff berechtigt oder unberechtigt?

Datenschutz, Teil 8
login
Ob jemand auf bestimmte personenbezogene Daten zugreifen darf, hängt nicht allein von den Daten, sondern maßgeblich von der Berechtigung des Zugreifers ab. Welche Kriterien führen zu einer Entscheidung über die Zugriffsberechtigung? Der achte Teil unserer Datenschutz-Serie.

Es ist ganz selbstverständlich, eine Eintrittskarte vorzuzeigen, um ein Konzert besuchen zu dürfen. Oder einen Chip einzustecken oder einen Code einzutippen, um Zugang in einen sensiblen Bereich zu bekommen. Das, was wir aus dem täglichen Leben kennen, hat im Bereich Datenschutz eine noch viel höhere Bedeutung.

Auch Datenschutz erfordert das Einrichten von konkreten Maßnahmen in bestimmten Bereichen. Das Bundesdatenschutzgesetz (BDSG) benennt in §9 und der Anlage zu §9 die einzelnen Teilbereiche ganz konkret, für die jedes Unternehmen seine „technischen und organisatorischen Maßnahmen (TOM)“ definieren und umsetzen soll. In früheren Monitor-Beiträgen haben wir die Bereiche Zutrittskontrolle (direkt zum Beitrag: “Konkrete Datenschutz-Maßnahmen ergreifen” ) und Zugangskontrolle (direkt zum Beitrag: “Risiken bewerten und Datenschutz-Maßnahmen ergreifen”) analysiert und mögliche Maßnahmen diskutiert.

Der nächste konkrete Kontrollbereich in der Anlage zu §9 BDSG, für die Maßnahmen zu definieren sind, ist die Zugriffskontrolle. Sie ist da um…

…zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Zugriff bedeutet:

Der oder die Angestellte oder freie Mitarbeiter befinden sich bereits im Gebäude, im Serverraum oder im Büroraum und sitzen vor einem Rechner, Laptop oder Smartphone und nutzen ihre persönlichen Zugangsdaten, um über die installierten Programme auf Daten zuzugreifen. Wie bereits bei der Zugangskontrolle ausgeführt, gibt es neben der beschriebenen physikalischen Variante auch noch die virtuelle Version. Alle nachfolgenden Erläuterungen und Fragestellungen sind jedoch unabhängig von der Art des Zugangs zum „Rechner“. Aus der Forderung aus dem BDSG §9 und Anlage zur Zugriffskontrolle ergeben sich sehr unterschiedliche Fragestellungen:

  • Welche Zugriffsberechtigungen gibt es im Unternehmen?
  • Wie werden diese Zugriffsberechtigungen den einzelnen Mitarbeitern zugeordnet?
  • Wie können die Berechtigungen überprüft werden?
  • Welche Sondersituationen kann es geben, in denen festgelegte Zugriffsrechte flexibler gehandhabt werden müssen? Und wie kann auch in diesen Situationen der Datenschutz gewahrt bleiben?
  • Wie können unbefugte Zugriffe verhindert werden?

1) Welche Zugriffsberechtigungen gibt es im Unternehmen?

Grundsätzlich unterscheidet man mindestens drei Zugriffsberechtigungen:

  • Lesend
  • Schreibend
  • Löschend

Beim schreibenden Zugriff kann es auch noch eine weitere Unterteilung geben. Zum Beispiel Datensatz anlegen und Datensatz verändern. Außerdem kann es notwendig sein, die Berechtigung auf Datenfeld-Ebene zu vergeben: Bestimmte Felder dürfen verändert werden und andere Felder nur gelesen werden. In noch sensibleren Unternehmensbereichen kann es auch vorkommen, dass manche Felder manchen Benutzern nicht einmal angezeigt werden dürfen oder das beispielsweise die Daten von Herrn Maier sichtbar und bearbeitbar sind, die Daten von Frau Müller aber nicht, weil Frau Müller einen bestimmten Status hat.

Meistens muss pro Datenverarbeitungssystem separat festgelegt sein, welche Zugriffsberechtigungen es gibt.

2) Wie werden diese Zugriffsberechtigungen den einzelnen Mitarbeitern zugeordnet?

Sehr empfehlenswert ist es, bei der Definition der Zugriffsberechtigungen bestimmte Rollen zu unterscheiden und nicht den einzelnen Mitarbeiter zu betrachten. Es gibt dann z.B. eine Rolle „Administrator“, eine andere Rolle „Sachbearbeiter“ und eine Rolle „Info-Stelle“. Die Komplexität der Datenverarbeitungssysteme und auch in gewisser Weise die Größe des Unternehmens sind entscheidende Faktoren, wie viele unterschiedliche Rollen im Unternehmen und pro Datenverarbeitungssystem definiert werden.

Für jede Rolle wird festgelegt, welche Zugriffsberechtigung(en) für die Arbeit in dieser Rolle notwendig sind. Diese Festlegungen sind zu treffen, ohne darüber nachzudenken, wie diese Berechtigungen im System abgebildet werden können oder ob zum Beispiel jeder einfach alles sehen und tun dürfte. Denn solch eine offene und einfache Regelung widerspräche dem zweiten Teil der Forderung aus §9 BDSG und der Anlage zu §9.

Wenn die Rollen-Definition abgeschlossen ist, werden die Mitarbeiter, die mit diesem System arbeiten sollen, besser gesagt ihre Zugangsaccounts einer Rolle zugeordnet. Es kann hierbei auch vorkommen, dass ein Mitarbeiter mehreren Rollen zugeordnet wird. Und jetzt wird auch klar, warum die Zugriffsberechtigungen nicht für jeden Mitarbeiter separat definiert werden sollten, sondern als Rollenberechtigungen abgebildet werden. Bei Veränderungen einem Mitarbeiter eine weitere Rollenberechtigung zu geben beziehungsweise eine vorhandene Rollenberechtigung zu entziehen, ist deutlich weniger aufwändig und leichter zu handhaben, als die vorhandenen Rechte durchzuprüfen, ob sie jetzt benötigt werden oder nicht. Außerdem lässt sich die Rollendefinition an einer Stelle an neue Gegebenheiten anpassen und alle Mitarbeiter mit dieser Rollenzuordnung erhalten automatisch die neuen Berechtigungen. Auch der Wechsel eines Mitarbeiters in einen neuen Arbeitsbereich lässt sich so einfach handhaben: alte Rollen entziehen, neue Rollen zuordnen.

3) Wie können die Berechtigungen überprüft werden?

Die beschriebenen Rollendefinitionen mit Festlegung der Berechtigungen und auch die Zuordnung zu Mitarbeitern werden auch als Berechtigungskonzept bezeichnet. Dieses Berechtigungskonzept muss maschinell umgesetzt werden, wenn es bei der Nutzung der Datenverarbeitungssysteme greifen soll. Die allermeisten Datenverarbeitungssysteme bringen ihre eigene Berechtigungsverwaltung mit, die dann am besten auch genutzt werden sollte. Das Fehlen einer derartigen Verwaltungskomponente kann auch ein starkes Kriterium bei der „Tauglichkeitsprüfung“ der Software sein. Anstelle der technischen Lösung eine organisatorische Regelung über Berechtigungen einzuführen, ist in den allermeisten Fällen zum Scheitern verurteilt.

Die Prüfung, ob der gerade angemeldete Benutzer auch die Berechtigung für die Art der Verarbeitung hat, die er gerade ausführen möchte, sollte bereits im Vorfeld der Aktion stattfinden. Einerseits ist es für den Mitarbeiter absolut ineffizient, wenn er erst beim Abspeichern erfährt, dass er hierfür keine Berechtigung hat. Andererseits kann es ansonsten auch sehr leicht dazu kommen, dass jemand Daten sieht, die er eigentlich nicht sehen dürfte, was wiederum ein klarer Datenschutzverstoß wäre.

4) Welche Sondersituationen kann es geben, in denen festgelegte Zugriffsrechte flexibler gehandhabt werden müssen? Und wie kann auch in diesen Situationen der Datenschutz gewahrt bleiben?

Die häufigsten Sondersituationen im Bereich Zugriffskontrolle sind:

  • Urlaubsvertretung
  • Krankheit des Mitarbeiters
  • Plötzliches Ausscheiden eines Mitarbeiters (z.B. Unfall oder gar Tod, fristlose Kündigung, ..)

Um den Datenschutz dennoch zu wahren, muss eine klare Vertreterregelung eingeführt sein. Diese Regelung sollte nicht nur umfassen, welcher Mitarbeiter von welchem anderen Mitarbeiter vertreten wird, sondern auch die konkrete Vorgehensweise beinhalten, wie der Vertreter die notwendigen Rechte bekommt, dass er für seinen Kollegen tatsächlich auch in Vertretung dessen Aufgaben erledigen kann. Die Benutzung des Accounts des Kollegen, den man vertritt, ist zwar eine mögliche, aber aus Datenschutz-Sicht eine schlechte Lösung. Besser ist, auch systemtechnisch als Vertreter aufzutreten und damit klarzustellen, dass man zwar mit seinen eigenen Zugangsdaten, aber eben doch als Vertreter des Kollegen arbeitet.

5) Wie können unbefugte Zugriffe verhindert werden?

Auf diese Frage gibt es einige sehr unterschiedliche Antworten. Hier ist eine kleine Auswahl:

  • Berechtigungskonzept ausarbeiten und einführen. Dazu gehört auch, dieses Konzept laufend an die Veränderungen im Unternehmen anzupassen.
  • Seine eigenen Zugangsdaten nicht weitergeben – auch nicht über den Zettel mit dem Passwort der unter der Schreibtischunterlage liegt.
  • Die bisher schon genannten Maßnahmen zur Zutritts- und Zugangs-Kontrolle umsetzen
  • Sensibel dafür sein, dass es auch Menschen gibt, die andere Interessen verfolgen, als man selbst.

Welches Berechtigungskonzept für das eigene Unternehmen am besten geeignet sind, ist ein ganz individuelles Thema. Der entscheidende Faktor ist auch hier wieder, dass sich der Unternehmer seiner Verantwortung bewusst ist, und ein Berechtigungskonzept erarbeiten lässt.

Kontakt:

Startklar – Rose MüllerBild Rose Mueller
Bei der Kelter 5
74321 Bietigheim-Bissingen

Telefon: 07142 3392343
Fax: 07142 9669588
Mobil: 01577 3366800
E-Mail: dsb@startklar-rosemueller.de
Web: www.startklar-rosemueller.de