Im Oktober 2018 wurde ein Krankenhaus in Portugal von der zuständigen Datenschutzaufsichtsbehörde mit einem Bußgeld in Höhe von 400.000 EURbestraft, weil nicht nur Ärzte Zugriff auf Patientendaten hatten, sondern eine Vielzahl von Mitarbeitern und Dienstleistern, die keinen Zugriff benötigten. Als Datenschutzbeauftragter sollten Sie diesen Vorfall dazu nutzen Ihre Geschäftsleitung zu sensibilisieren und darauf hinzuwirken, dass in Ihrem Unternehmen ein sachgerechtes Berechtigungsmanagement etabliert wird. Denn Berechtigungen haben einen Lebenszyklus. Sie werden erstellt, geändert und gelöscht. Die Verwaltung von Berechtigungen über den gesamten Lebenszyklus, muss in einem Berechtigungsmanagement prozessual gesteuert und überprüft werden.
Wichtig:
Bei der Zugriffskontrolle geht es um Autorisierung, also um das Definieren und Verwalten spezifischer Rechte und Rollen mit unterschiedlichen Zugriffsrechten auf die jeweiligen Unternehmensdaten. In Rollen (Sachbearbeiter, Personalmitarbeiter usw.) werden Berechtigungen für einzelne Benutzergruppen zusammengefasst und festgelegt, wer mit welchen Rechten auf die jeweiligen Unternehmensdaten zugreifen darf.
Zugriffskontrolle. Das fordert die DSGVO.
- Art. 32 DSGVO
- ….. geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
- b. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; (TOM / Zugriffskontrolle)
- d. in Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (Berechtigungsmanagement)
Zugriffskontrolle. Das müssen Sie jetzt konkret prüfen.
Als Datenschutzbeauftragter sollten Sie mit der nachfolgenden Checkliste prüfen, ob es in Ihrem Unternehmen eine sachgerechte Zugriffskontrolle gibt.
Checkliste Zugriffskontrolle.
Zugriffskontrolle | Ja/Nein |
Besteht ein dokumentiertes Berechtigungsmanagement, in dem verbindlich geregelt ist, wie Berechtigungen beantragt, freigegeben, eingerichtet und wieder entzogen werden? Ist im Rahmen dieses Berechtigungsmanagements manipulationssicher nachweisbar, wer wann welche Berechtigungen innehatte? | |
Bestehen differenzierte Berechtigungen (z.B. für Lesen, Löschen, Ändern)? | |
Bestehen differenzierte Berechtigungen für Daten, Anwendungen und Betriebssystem? | |
Besteht eine funktionelle/personelle Trennung von Berechtigungsbewilligung (organisatorisch) und Berechtigungsvergabe (techn.)? | |
Liegt ein Konzept der Laufwerksnutzung und -zuordnung vor? | |
Liegt eine eindeutige Zuordnung zwischen jedem Datenträger (Laufwerk etc.) und einem Berechtigten vor (insb. bei Gruppenlaufwerken)? | |
Wird die Nutzung mobiler Datenträger auf bestimmte Personen beschränkt und wird die Nutzung protokolliert? | |
Ist die Wiederherstellung von Daten aus Backups (wer darf wann auf wessen Anforderung Backup-Daten einspielen?) in einem verbindlichen Verfahren geregelt? | |
Wird die Programm- und Dateibenutzung protokolliert und ausgewertet (Stichproben)? |
Wichtig:
Grundsätzlich ist bei der Vergabe von Berechtigungen das Minimalprinzip (Need to know) anzuwenden. Jeder Benutzer darf nur die Berechtigungen erhalten, die er zur Erledigung seiner Aufgaben benötigt.
Berechtigungsmanagement. Das müssen Sie beachten.
Berechtigungsmanagement ist ein fortlaufender Prozess, der zumindest die nachfolgenden Prozessschritte enthalten muss:
- Beantragung (Neu / Änderung / Löschung)
- Eine Berechtigung muss schriftlich bei einer Führungskraft beantragt werden.
- Prüfung
- Die Führungskraft prüft, ob die Berechtigung sachgerecht ist und nicht mit anderen Berechtigungen im Widerspruch steht.
- Genehmigung
- Die Führungskraft genehmigt die Berechtigung und leitet den Antrag an die IT weiter.
- Einrichtung (IT-Systeme)
- Die IT richtet die Berechtigung auf dem Zielsystem ein.
- Rezertifizierung
- Zumindest einmal jährlich (oder ggf. anlassbezogen auch öfter) muss geprüft werden, inwieweit die Berechtigungen den Anforderungen entsprechen.
Fazit:
Ohne eine wirksame Zugriffskontrolle verstößt ein Unternehmen gegen Art. 32 lit. b, d und riskiert damit erhebliche Bußgelder. Dieses Risiko kann nur mit einem sachgerechten Berechtigungsmanagement minimiert werden. Wobei dies nicht nur einen einmaligen Aufwand darstellt. Die Vergabe, Änderung und Löschung von Berechtigungen muss fortlaufend überwacht werden. Dies stellt hohe Anforderungen an die internen Verfahren und Kontrollprozesse. Es ist höchste Zeit, dass Sie ihre internen Verfahren als Datenschutzbeauftragter überprüfen. Andernfalls sind Bußgelder oder Datenpannen vorprogrammiert.