Üblicherweise sind es Dutzende von Benutzern, die in Unternehmen auf personenbezogene Daten zugreifen – häufig zeitgleich und von unterschiedlichen Standorten aus. Sie erfassen, speichern, löschen, übermitteln und verändern diese Daten oder fragen sie einfach nur ab.

Unternehmer:innen stellt das vor die Herausforderung, geeignete Maßnahmen zum Datenschutz zu ergreifen. Die sollten nicht nur gut verständlich und leicht nachprüfbar sein, sondern obendrein flexibel genug, um sie bei organisatorischen oder personellen Veränderungen im Unternehmen einfach anzupassen. Mit einem Berechtigungskonzept gelingt das mit Sicherheit.

 

Richtig mit Daten umzugehen und sie zu schützen ist gerade für Unternehmen sehr wichtig, um Kunden Sicherheit zu bieten.
Inhalt

Was ist ein Berechtigungskonzept?

Ein Berechtigungskonzept legt genau fest, wer im Unternehmen personenbezogene Daten sehen und bearbeiten darf. Es enthält konkrete Zugriffsberechtigungen für jeden einzelnen Datenverarbeiter – das können Mitarbeitende, Geräte oder Anwendungen sein.

Mit einem Berechtigungskonzept stellen Unternehmen sicher, dass ausschließlich befugte Personen und Programme auf die von ihnen erfassten und genutzten personenbezogenen Daten Zugriff haben.

Um den Datenschutzvorschriften zu genügen, müssen die Berechtigungen auf das notwendige Minimum beschränkt sein. Dadurch ist gewährleistet, dass ausschließlich erforderliche Datenverarbeitungsvorgänge stattfinden. Die erteilten Zugriffsberechtigungen sollten schriftlich dokumentiert und regelmäßig aktualisiert werden, um Veränderungen im Unternehmen korrekt abzubilden.

Berechtigungskonzept – wieso braucht man das?

Ein Berechtigungskonzept ist eine rechtliche Verpflichtung: Die Datenschutzgrundverordnung (DSGVO) stellt besondere Anforderungen an Sicherheit und Integrität von verarbeiteten personenbezogenen Daten. Ein Berechtigungskonzept gehört demnach zu den wesentlichen technisch-organisatorischen Maßnahmen im Sinne von Artikel 32 der DSGVO.

Mit einem Berechtigungskonzept für die Zugriffskontrolle erfüllen Unternehmer:innen gleichzeitig ihre Rechenschafts- und Nachweispflicht für den Datenschutz. Ein solches Konzept muss sowohl für analoge Daten in Papierform als auch für digitale Daten gelten.

Die Zugriffsberechtigungen sollten für alle Mitarbeitenden, Geräte und eingesetzten Anwendungen innerhalb des Firmennetzwerks dokumentiert werden. Verstöße gegen diese Vorgaben können mit hohen Bußgeldern geahndet werden.

Erhöhen Sie die Sicherheit Ihrer Daten durch eine strukturierte Zugriffskontrolle der Daten.

Berechtigungskonzept: Das gehört hinein

Aus dem Berechtigungskonzept muss hervorgehen, welche Personen und Programme im Unternehmen Zugriff auf welche Art von personenbezogenen Daten haben. Ein Berechtigungskonzept legt demnach fest,

  • welcher Benutzer
  • auf welche Daten
  • in welchem Umfang Zugriff hat.

Vergeben werden können zum Beispiel Leserechte, Schreibrechte, Änderungsrechte oder Löschrechte. In einem Berechtigungskonzept müssen daher zunächst alle Nutzer, Geräte und Anwendungen erfasst werden, die mit personenbezogenen Daten umgehen. Sie bekommen dann verschiedene Zugriffsrechte, um ihre Aufgaben erfüllen zu können.

Das Berechtigungskonzept sollte einerseits möglichst flexibel und andererseits einfach verständlich sein. Es muss gewährleisten, dass Datenschutzbestimmungen eingehalten werden, darf dabei aber Geschäftsabläufe und Produktivität des Unternehmens nicht einschränken.

Achtung: Auf personenbezogene Daten können nicht nur Personen zugreifen – auch von ihnen eingesetzte Anwendungen und sogar Geräte greifen bei automatisierten Verarbeitungsprozessen unter Umständen auf diese Daten zu. Deshalb muss ein Berechtigungskonzept mobile oder private Endgeräte einschließen, die Mitarbeitende möglicherweise im Homeoffice nutzen.

CRM für den Mittelstand Berechtigungskonzept nach DSGVO

Das DSGVO-konforme CRM ermöglicht die Verteilung von Rechten und Rollen, das Ihnen das Strukturieren der Zugriffsrechte von Mitarbeitenden, Geräten oder Anwendungen erleichtert.

CRM mit Berechtigungskonzept

Zugriffsrechte und Rollenverteilung

Jeder Nutzer im Firmennetzwerk – das können Menschen, Geräte oder Anwendungen sein – erhält eine individuelle digitale Identität, um Datenverarbeitungsvorgänge nachverfolgen zu können. Dieser Identität wird im Berechtigungskonzept jeweils eine Zugriffsberechtigung zugeteilt. Die grundlegendsten Berechtigungen könnten so aussehen:

  • Vollzugriff: Der Nutzer hat sämtliche Befugnisse für die Verwendung und Löschung personenbezogener Daten
  • Datenbearbeitung: Der Nutzer darf Daten verwenden, anpassen, verändern oder verknüpfen
  • Datenerfassung: Der Nutzer darf Daten erheben, organisieren und speichern
  • Datenabfrage: Der Nutzer kann nur Informationen einsehen
  • Kein Zugriff: Der Nutzer hat keinerlei Zugang zu personenbezogenen Daten

Während in kleineren Betrieben eine direkte Zuteilung der Zugriffsrechte für jeden Nutzer sicherlich möglich ist, ergibt sich bei mehreren Dutzend Angestellten und einer Vielzahl an unterschiedlichen Berechtigungen schnell eine große, unübersichtliche Berechtigungstabelle. In diesem Fall ist es ratsam, mit verschiedenen Rollen zu arbeiten, um die Vergabe der Zugriffsberechtigungen einfacher zu organisieren.

Unterschiedliche Rollen für verschiedene Berechtigungen erleichtern Ihnen den Arbeitsalltag.

Für ein rollenbasiertes Berechtigungskonzept legt man zunächst verschiedene Rollen wie beispielsweise Projektleitung, Portfoliomanagement, Systemadministration, Sachbearbeitung oder Kundenservice an. Diesen Rollen erteilt man anschließend die notwendigen Zugriffsberechtigungen. Indem man allen Nutzern danach eine oder mehrere Rollen gibt, erhalten sie ihre Berechtigungen indirekt über ihre Rollen.

Jedem Einzelnen eigene Zugriffsrechte manuell zuzuweisen, ist damit nicht mehr erforderlich. Ein Rollenkonzept bedeutet eine große Vereinfachung: Möchte man allen Projektleitern die Berechtigung zum Verändern von Projekten geben, dann definiert man mit der Rolle „Projektleitung“ verknüpfte Zugriffsrechte entsprechend.

Alle Nutzer mit dieser Rolle haben dann sofort die veränderte Berechtigung. Wird eine Projektleiterin neu eingestellt, wird ihre individuelle digitale Identität dieser Rolle zugeordnet. Dadurch verfügt sie automatisch über dieselben Befugnisse zum Verarbeiten personenbezogener Daten.

So geht’s: Schritt für Schritt zum Berechtigungskonzept

Ein Berechtigungskonzept dokumentiert, wie Angestellte, Geräte und Anwendungen personenbezogene Daten verarbeiten dürfen. Es muss sich an konkreten Tätigkeiten und Geschäftsabläufen orientieren und hängt somit stark von Struktur und Größe des Unternehmens ab.

Um ein Berechtigungskonzept anzulegen, das den Datenschutzbestimmungen entspricht, sollten zunächst alle Identitäten und Rollen abgebildet werden. Danach werden Zugriffsrechte definiert und schließlich ein Überprüfungsverfahren implementiert.

Dies sind die wesentlichen Schritte im Detail:

1. Liste erstellen

Machen Sie eine Aufstellung sämtlicher Personen, die in Ihrem Unternehmen personenbezogene Daten verarbeiten dürfen – Angestellte und externe Dienstleister.

Erweitern Sie diese Liste um alle genutzten Geräte und Anwendungen. Binden Sie unbedingt die IT-Abteilung ein, um einen vollständigen Überblick über genutzte Software, Netzwerke oder Cloud-Anwendungen zu haben. Denken Sie auch an private Endgeräte Ihrer Mitarbeitenden.

2. Identitäten und Rollen zuweisen

Jeder Nutzer bekommt nun eine individuelle digitale Identität, um Zugriffe auf personenbezogene Daten stets eindeutig zuordnen zu können. Überlegen Sie sich für Identitäten mit gleichen Befugnissen oder gleicher Position, zum Beispiel innerhalb einer Abteilung, eine übergeordnete Rolle.

Mit einer solchen Rollenstruktur fassen Sie die Identitäten von mehreren Mitarbeitenden, Anwendungen oder Geräten zusammen, die dieselben Berechtigungen erhalten sollen.

3. Sinnvolle Rechte vergeben

Definieren Sie exakt, welche Zugriffe einzelne Rollen auf die personenbezogenen Daten in Ihrem Unternehmen ausüben dürfen und welche nicht. Dafür müssen Sie sich genau überlegen, ob und welche Daten durch welche Identität oder Rolle gelöscht, geändert, eingesehen oder nicht einmal aufgerufen werden dürfen.

Jede Rolle sollte nur die zwingend nötigen Rechte zugewiesen bekommen. Bei Bedarf vergeben Sie zeitlich befristete Zugriffe.

4. Überprüfung einrichten

Etablieren Sie ein Verfahren, um Rollen und Zugriffsrechte regelmäßig auf ihre Aktualität zu kontrollieren. Bei Veränderungen im Unternehmen muss ein Berechtigungskonzept schnell an die neue Situation angepasst werden können.

Bestimmen Sie, wer diese Überprüfungen vornimmt und in welchen Abständen dies geschehen soll. In einer Checkliste können Sie außerdem festhalten, welche Berechtigungen entzogen werden müssen, wenn Mitarbeitende das Unternehmen verlassen. Sie gehört ebenfalls ins Berechtigungskonzept.

Wie ein CRM-System die Vergabe von Rechten und Rollen vereinfacht, haben wir in einer ausführlichen Anleitung beschrieben.

Fazit

Aus einem Berechtigungskonzept muss ersichtlich sein, welche Zugriffe auf personenbezogene Daten erlaubt sind und welche nicht. Selbst wenn eine umfassende Rechtevergabe vielleicht „einfacher“ erscheint: Ein solches Vorgehen entspricht nicht den gesetzlichen Anforderungen.

Wer sich für ein Berechtigungskonzept auf Rollenbasis entscheidet, hat es beim Strukturieren der Zugriffsrechte von Mitarbeitenden, Geräten oder Anwendungen leichter. Bestimmte Rechte müssen nämlich nicht mehr einzeln den Nutzern zugeteilt werden, sondern werden mit den Rollen gebündelt. Für kleinere Betriebe lässt sich ein solches Berechtigungskonzept gut selbst realisieren.

CRM-System einrichten
Prozessoptimierung