Was ist ein Berechtigungskonzept?
Berechtigungskonzepte sind notwendig, aber problematisch.
Nur wenn es für Ihren Arbeitsplatz ein genau definiertes Anwendungsprofil mit den entsprechenden Berechtigungen gibt, können Sie datenschutzkonform arbeiten. Doch bei aller Sicherheit, die Berechtigungskonzepte bieten, bringen sie auch Probleme mit sich:
Dass einmal vergebene Berechtigungen nicht zurückgenommen werden, wenn ein Mitarbeiter andere Aufgaben erhält, ist ein Standardproblem in vielen Unternehmen. Die Folge ist, dass immer größere Gruppen unberechtigten Zugriff auf schützenswerte Daten haben. Im schlimmsten Fall hat niemand mehr den Überblick.
Damit die vorgeschriebene Datenminimierung eingehalten wird, müssen die Berechtigungen ständig gepflegt werden!
Die korrekte Vorgehensweise wäre wie folgt: Ein Mitarbeiter wechselt beispielsweise von der Kundenbetreuung, wo er auf die wichtigsten Kundendaten zugreifen konnte, in die Personalabteilung. In der Personalabteilung muss ihm natürlich der Zugriff auf die Personaldaten gewährt werden. Gleichzeitig muss ihm aber die Berechtigung entzogen werden, auf Kundendaten zuzugreifen, da diese nicht mehr benötigt werden.
Der Zugriff auf konkrete personenbezogenen Daten darf nur Personen möglich sein, die diese Daten für Ihre aktuellen Aufgaben benötigen!
