In der DSGVO der Grundsatz in Art. 5 Abs. 1 lit. f, 32 Abs. 1 lit. b geregelt.
Was bedeutet der Grundsatz?
Der Grundsatz besagt, dass personenbezogene Daten so verarbeitet werden müssen, dass ihre Integrität und Vertraulichkeit hinreichend gewährleistet ist – wozu insbesondere gehört, dass keine Unbefugten innerhalb oder außerhalb der Organisation Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.
Nicht jeder Mitarbeitende in der Organisation benötigt zur Erfüllung seiner Aufgaben zum Beispiel Einsicht in Personalakte, Kundendaten, Aufzeichnungen der Videoüberwachung oder Gesundheitsdaten!
Schlüssel zur Gewährleitung der Integrität und Vertraulichkeit innerhalb einer Organisation – das Rollen und Rechtekonzept
Um den Grundsatz gewährleisten zu können, ist ein Handeln durch den Verantwortlichen selbst erforderlich, indem dieser geeignete technische und organisatorische Maßnahmen (TOM) einführt.
Eine solche Maßnahme ist die Beschränkung des Zugriffs auf personenbezogene Daten für Personen, welche diesen Zugriff zur Aufgabenerfüllung benötigen.
Diese Vorgehensweise wird „Need-to-know-Prinzip“ genannt.
Es empfiehlt sich, ein differenziertes Rollen- und Berechtigungskonzept für alle Abteilungen innerhalb der Organisation zu erstellen, einschließlich des Systems, welche einen tätigkeitsbezogenen Zugriff auf die dort verarbeiteten personenbezogenen Daten sicherstellt.
(Negativ-)Beispiel: Zugriffsrechte werden auf Basis einer Hierarchiestufe vergeben.
Dies ist gerade nicht mit dem Need-to-know-Prinzip vereinbar, falls der jeweils nächsthöhere Mitarbeitende diese personenbezogenen Daten gar nicht zur Durchführung seiner Tätigkeit benötigt. Es empfiehlt sich daher, einen genauen Blick auf die Stellen- und Funktionsbeschreibung zu werfen. Lese-, Schreib-, Lösch- und Änderungsrechte sind im Berechtigungskonzept klar zu definieren.
Vergessen Sie nicht, Vertreter zu benennen!
Dass Mitarbeitende für eine längere Zeit abwesend sind, ist keine Seltenheit. Ein Zugriffs- und Berechtigungskonzept sollte auch Vertretungsreglungen mit angepassten Rechten enthalten. Auch für die Vertretungsreglungen gilt es zwischen den einzelnen Berechtigungsfunktionen (lesen, ändern, löschen) zu unterscheiden.
Es sollten Personen als Vertreter ausgewählt werden, welche derselben Abteilung oder Gesellschaft angehören und rechtssicher auf gleicher Ebene sind, wie der zu Vertretende. Auch die fachliche Kompetenz sollte gegeben sein.
Fazit
Das Need-to-know-Prinzip ist die optimale Handlungsmaxime, um die Integrität und Vertraulichkeit personenbezogener Daten im Unternehmen sicherzustellen und damit diese Anforderung aus der DSGVO umzusetzen.