Das Berechtigungskonzept nach dem „Need-to-know-Prinzip”

PrintMailRate-it

veröffentlicht am 30. November 2023


Bei der Verarbeitung personenbezogener Daten innerhalb einer IT-Anwendung hat der Verantwortliche ein Berechtigungskonzept nach dem sog. „Need-to-know-Prinzip” einzurichten. Need-to-know-Prinzip bedeutet, dass Benutzer nur auf diejenigen personenbezogenen Daten Zugriff haben dürfen, die für die Erfüllung ihrer Aufgaben unbedingt erforderlich sind.

Die Notwendigkeit eines angemessenen Berechtigungskonzeptes bei der Verwendung von IT-Anwendungen sollte mittlerweile allgemein bekannt sein, jedoch zeigen sich in der Praxis häufig noch deutliche Defizite, was die datenschutzrechtliche Ausgestaltung von Berechtigungskonzepten angeht. Aus diesem Grund möchten wir die wesentlichen Anforderungen in diesem Kontext kurz zusammenfassen.

Werden personenbezogene Daten innerhalb einer IT-Anwendung verarbeitet, muss der Verantwortliche sicherstellen, dass der Zugriff auf diese Daten angemessen beschränkt wird. Diese Anforderung ergibt sich unmittelbar aus einer der Kernvorschriften der DSGVO, nämlich dem Grundsatz der Datenminimierung in Art. 5 Abs. 1 lit. c) DSGVO, und hat daher innerhalb der datenschutzrechtlichen Anforderungen einen sehr hohen Stellenwert. Gemäß Art. 32 DSGVO hat der Verantwortliche hierfür technische und organisatorische Maßnahmen zu etablieren, die u.a. die Vertraulichkeit und Integrität (Art. 32 Abs. 1 lit. b DSGVO) von personenbezogenen Daten gewährleisten. Zu diesen Maßnahmen zählt primär die Einführung eines angemessenen Berechtigungskonzeptes.

Für die datenschutzkonforme Gestaltung eines Berechtigungskonzeptes ist das sog. „Need-to-know-Prinzip“ entscheidend. Das bedeutet konkret, Benutzer dürfen nur auf diejenigen personenbezogenen Daten Zugriff haben, die für die Erfüllung ihrer Aufgaben unbedingt erforderlich sind. Aus datenschutzrechtlicher Sicht sollte ein Berechtigungskonzept u.a. folgende Aspekte berücksichtigen:

  • Definition eines Rollen- und Rechtekonzepts: Das Berechtigungskonzept sollte klare Definitionen von Benutzerrollen und den entsprechenden Zugriffsrechten enthalten. Diese Rollen sollten auf den individuellen Aufgaben und Verantwortlichkeiten der Nutzer basieren. So wird sichergestellt, dass jeder Nutzer nur die Berechtigungen hat, die für die Erfüllung seiner Aufgaben notwendig sind.
  • Zuordnung der Benutzer zu einzelnen Rollen: Eine Herleitung, warum welcher Nutzer welcher Benutzerrolle zugeordnet wurde und warum der Nutzer die ihm zugedachten Rechte benötigt, sollte nachvollziehbar beschrieben werden.
  • Differenzierte Zugriffskontrollen: Das Berechtigungskonzept sollte differenzierte Zugriffskontrollen implementieren. Dies kann beinhalten, dass bestimmte Benutzer nur Lesezugriff auf Daten haben, während andere auch Schreibrechte besitzen. Zudem sollte der Zugriff auf besonders sensible Daten strenger kontrolliert werden.
  • Dokumentation: Berechtigungen und Zugriffe sollten nachvollziehbar dokumentiert werden, um der Nachweis- und Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO nachzukommen.
  • Regelmäßige Überprüfungen: Das Berechtigungskonzept sollte regelmäßige proaktive Überprüfungen der bestehenden Nutzerberechtigungen beinhalten. Dies dient dazu, sicherzustellen, dass die gewährten Zugriffe immer noch den aktuellen Anforderungen und Zuständigkeiten entsprechen. Zudem sollten Prozesse etabliert werden, wie mit Neueinstellungen oder dem Ausscheiden von Mitarbeitern umzugehen ist.

Neben den genannten rein datenschutzrechtlichen Anforderungen an ein Berechtigungskonzept dient dieses auch weiteren Zwecken wie der Sicherstellung von Vertraulichkeit und Integrität der Daten und der Abwehr gegen Sicherheitsrisiken, wie bspw. Cyberangriffen.


Die Branchenexperten für die Gesundheits- und Sozialwirtschaft bei Rödl & Partner unterstützen im Bedarfsfall passgenau und pragmatisch bei der Erstellung und Umsetzung geeigneter Rollen- und Berechtigungskonzepte.

Hier finden Sie mehr Artikel aus der Rubrik „Datenschutzthema des Monats” »


AUTORIN

Denise Klante

FOLGEN SIE UNS!

Linkedin Banner

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu