Lesezeit: 3 Min
Durch Berechtigungen personenbezogene Daten schützen
Um den Datenschutz nach Datenschutz-Grundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG) umzusetzen, müssen personenbezogene Daten auf unterschiedlichsten Ebenen geschützt werden. Dazu gehört auch, dass der Zugriff auf die verschiedenen Daten nur jenen vorbehalten sein darf, die diese auch nach den Vorgaben des Datenschutzes einsehen oder verarbeiten dürfen.
Berechtigungskonzepte und Zugriffskontrollen stellen dabei wichtige Tools für den Schutz von personenbezogenen Daten und Betroffenen im Sinne des Datenschutzes dar.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Zugriffkontrollen – Datenschutz intern und extern umsetzen
Um personenbezogene Daten vor unerlaubten Zugriffen zu schützen, müssen potenzielle Gefahrenstellen erkannt und eingeschränkt werden. Das betrifft auch den Zugriff auf personenbezogene Daten sowohl intern als auch extern.
Oft denken wir bei unerlaubten Zugriffen und Verarbeitungen von personenbezogenen Daten vor allem an Angriffe auf personenbezogene Daten von außerhalb des Unternehmens. Aber auch intern können personenbezogene Daten durch unautorisierte Zugriffe und Verarbeitungen ein Problem für den Datenschutz werden.
Nicht immer sind interne oder auch externe, unerlaubte Zugriffe auch feindlich oder mit einer schädlichen Absicht zu beurteilen. Trotzdem können sie einen Schaden für den Betroffenen herbeiführen und/oder eine meldepflichtige Datenpanne darstellen.
BLOG-TIPP: HACKERANGRIFFE UND DIE DS-GVO – WENN PERSONENBEZOGENE DATEN VERLOREN GEHEN
Unerlaubte Zugriffe verhindern
Da unerlaubte Zugriffe auf personenbezogene Daten in der Regel einen Datenschutzverstoß darstellen, gilt es diese zu verhindern. Darüber hinaus stellen unerlaubte Zugriffe auch weitergreifende Datenschutzprobleme dar. Daher sollten Zugriffskontrollen auch sicherstellen, dass die durch die DS-GVO geforderte Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme gegeben sind.
Zugriffkontrollen können auch durch eine Verschlüsselung sichergestellt werden und müssen die Risiken für den Betroffenen immer auch betrachten.
Interne und externe Angreifer abwehren
Neben den sogenannten Innentätern, welche eine große Gefahr für den Datenschutz darstellen und welche die Daten unerlaubt kopieren, verändern oder löschen, können auch Daten an externe herausgegeben werden, ohne dass ein Hackerangriff vorliegen muss. Zum Beispiel durch Anfragen per Telefon, bei denen der Anrufer als Betroffener nicht ausreichend identifiziert wird und somit an Daten gelangt, die er nicht erhalten dürfte.
Entsprechend müssen Anrufer oder Personen, die über andere Formen von Anfragen personenbezogene Daten abfragen, ausreichend und sicher identifiziert werden. Zum Schutz der personenbezogenen Daten gehören darüber hinaus auch entsprechende Sicherheitsvorkehrungen, die zur IT-Sicherheit gehören und Hackerangriffe abwehren.
Die Innentäter sollten durch Zugriffsrechte und entsprechende Zugriffsbeschränkungen vermieden werden.
BLOG-TIPP: AUSKUNFTSERSUCHEN – WIE KANN MAN DEN BETROFFENEN IDENTIFIZIEREN?
Datenschutz im Homeoffice und Zugriffsrechte
Zugriffsrechte gelten auch oder gerade bei den Themen Homeoffice, Hybrid Work und mobile Office. Gerade dort, wo personenbezogene Daten außerhalb des geschützten Büros verarbeitet werden, sollten die Mitarbeiter zusätzlich sensibilisiert werden im Umgang mit den Daten von Betroffenen, aber auch Zugriffsrechte ausreichend umgesetzt werden.
Entsprechende Konzepte der Zugriffsrechte müssen dabei erarbeitet werden und an die speziellen Ansprüche der externen Arbeit angepasst werden. Dabei sollten Standort, eventuell privat genutzte Endgeräte, Zugänge zum System und weitere Punkte beachtet werden.
BLOG-TIPP: WIE KANN IN NRW DER DATENSCHUTZ IM HOMEOFFICE SICHER UMGESETZT WERDEN?
Berechtigungs-Management einführen
Bei der zulässigen Verarbeitung von personenbezogenen Daten nach den Vorgaben des Datenschutzes, sollte man sich daher bei allen Abläufen auch die Fragen stellen: Wer hat in welchem Umfang Zugriff auf die personenbezogenen Daten? Hat diese Person überhaupt die Berechtigung, auf diese Daten zuzugreifen oder sie zu verarbeiten?
Dazu sollten in jedem Unternehmen und in jeder Organisation Berechtigungen für den Zugriff auf Daten eingeführt werden. Ein entsprechendes Berechtigungs-Management kann genutzt werden, um die Berechtigungen zu organisieren und an die berechtigten Personenkreise zu vergeben.
Berechtigungs-Management regelmäßig prüfen
Dabei hilft ein Berechtigungs-Management Berechtigungen zu vergeben und regelmäßig zu prüfen. Gerade die regelmäßige Prüfung und Aktualisierung der entsprechenden Zugriffsrechte ist eine wichtige Maßnahme für den Schutz von personenbezogenen Daten.
Fachleute empfehlen dabei das Zero-Trust-Konzept zur Vergabe der Berechtigungen zugrunde zu legen. Das bedeutet, das jeglicher Zugriff, auch durch Mitarbeiter, als Risiko betrachtet wird.
Gerade wenn es um den Datenschutz um die sichere Verarbeitung von personenbezogenen Daten geht, kann es sinnvoll sein, einen externen Datenschutzbeauftragten zur Beratung hinzuzuziehen. In vielen Fällen ist die Bestellung eines (externen) Datenschutzbeauftragten sogar verpflichtet.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.