Wer sich mit dem Thema Datenschutz befasst muss natürlich auch ein Berechtigungskonzept erstellen. Dies ist ein wichtiger Bestandteil der technisch und organisatorischen Maßnahmen eines Unternehmens.

Die Pflicht ein Berechtigungskonzept einzuführen ist, ergibt sich aus Art. 5 Abs. 1 lit. f, 24, 32 DSGVO. Die Pflicht des DSB zur Beratung und Überwachung ergibt sich aus Art. 39 DSGVO.

 

Wie schreibt man ein Berechtigungskonzept?

Ein Berechtigungskonzept sollte sich an Gegebenheiten im Betrieb orientieren und dort alle Berechtigungen und Rollen abbilden. Das Vorgehen ist dabei oft von der Struktur der Organisation abhängig. Grundsätzlich sollten zuerst alle Identitäten und Rollen abgebildet werden.

 

Was muss ein Berechtigungskonzept enthalten?

Das Berechtigungskonzept muss abbilden, welche Zugriffe im Datenschutz jeweils erlaubt sind und welche nicht. Ist das Berechtigungskonzept zu strikt, hemmt es die Produktivität. Ist es zu lasch, sind die Daten in Gefahr.

Speziell im Bezug auf dem Datenschutz sollte festgehalten werden welche Zugriffe gerade nicht zugelassen werden dürfen. In dem Berechtigungskonzept werden wie z.B. Leserechte, Schreibrechte, Löschrechte und/oder Änderungsrechte festgehalten und sollten auch regelmäßig überprüft werden.

Das Berechtigungskonzept muss abbilden, welche Zugriffe im Datenschutz jeweils erlaubt sind und welche nicht. Ist das Berechtigungskonzept zu strikt, hemmt es die Produktivität. Ist es zu lasch, sind die Daten in Gefahr.

Wir empfehlen bei der Umsetzung immer die Aufteilung nach Rollen.

Was ist ein Rollen und Berechtigungskonzept?

Anhand der Rollen kann man die Berechtigungen wunderbar abbilden. In der Informationssicherheit geht es vorrangig um den Schutz der innerbetrieblichen Daten. Zur Strukturierung werden daher Rollen- und Berechtigungskonzepte eingesetzt. In diesen können komplexe Berechtigungsstrukturen und detaillierte organisatorische Abläufe festgehalten werden.

 

Wir empfehlen auch ein einheitliches Vorgehen für das „Onboarding“ neuer Mitarbeiter festzuhalten, sowie ein Vorgehen wenn ein Mitarbeiter das Unternehmen wieder verlässt.

 

Eine weitere Inspirierende Quelle zu diesem Thema findet ihr hier:

Berechtigungskonzept: Schritt für Schritt umgesetzt (datenschutz-praxis.de)

Daraus können Sie eine gute Schritt für Schritt Anleitung für ihr eigenes Berechtigungskonzept erstellen.

 

Anbei noch ein schöner Beitrag zum verwalten von Benutzerrechte aus der Sicht des IT-Administrators

Serie – Teil 4: Rechte, Benutzer und Rollen | 8S IT-Sicherheit (8s-itsicherheit.com)

 

Ich habe einen tollen Beitrag zum Thema Berechtigungskonzept gefunden, auf den ich gerne verweisen möchte:

Berechtigungskonzept nach der DSGVO

 

 

 

Categories:

Tags:

No responses yet

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.