Datenschutz-, Berechtigungs- und Sicherheitskonzepte

Mit der Verbreitung von neuen Technologien bei der Informationsgewinnung und -weitergabe ergeben sich zunehmend Gefahren des Datenmissbrauchs, welche häufig in der Verletzung von Persönlichkeitsrechten der betroffenen Personen enden.

Zur Unterstreichung der Bedeutung der Informationstechnologie und gleichzeitigen Gewährleistung der Sicherheit von beteiligten Personen, ist die Einhaltung der Gesetze und Vorschriften des Bundesdatenschutzgesetzes (BDSG) zwingend erforderlich.

Wesentliche Maßnahmen in diesem Zusammenhang sind:

    • Nutzung von externer Beratung in Datenschutzfragen und zur Bedarfsanalyse
    • Bestellung eines internen oder externen Datenschutzbeauftragten
    • Durchführung von Datenschutz-Audits
    • Unterstützung von Fachseiten bei der Erstellung von Datenschutz-, Berechtigungs– und Sicherheitskonzepten
    • Unterstützung von Fachseiten durch Datenschutz-Vorbewertungen von Aktivitäten
    • Unterstützung von IT-Einheiten bei der Ausgestaltung von Datenschutzkonzepten sowie bei der Umsetzung
    • Unterstützung in IT-Projekten zu Datenschutz- und Security-Compliance
    • Abstimmungen mit dem zentralen Datenschutzbereich und zur internen Priorisierung / Risikobetrachtung
    • Überprüfung der Organisation von Datenschutzstrukturen
    • Schulungen von Mitarbeitern und Datenschutzbeauftragten

Berechtigungskonzepte

Zu den Anforderungen an die Erstellung von Berechtigungskonzepten bzgl. der Vergabe von Rollen und Berechtigungen in IT-Systemen gehören z.B.:

    • Rollen und Berechtigungen müssen das „Need-to-know-Prinzip“ umsetzen.
    • Rollen und Berechtigungen müssen das Prinzip der minimalen Rechtevergabe („Least privilege principle“) umsetzen.
    • Rollen und Berechtigungen müssen das Prinzip der Gewaltenteilung („Segregation of duties“) umsetzen.
    • Die aus den Geschäftsprozessen abgeleiteten Rollen SOLLTEN im Berechtigungskonzept weiter differenziert werden, um jeder Rolle möglichst spezifische Zugriffsrechte zuordnen zu können.
    • Für jede Rolle müssen mindestens die eindeutige Bezeichnung, eine Beschreibung der Aufgaben, Rechte und Pflichten im Kontext der Anwendung und die Zuordnung der hierfür notwendigen Funktionen zur Rolle spezifiziert sein
    • Neben den Benutzer-Rollen müssen die administrativen/betrieblichen Rollen des IT-Systems spezifiziert und beschrieben sein.
    • Rollen und Berechtigungen müssen für jede Systemumgebung (Produktiv-, Entwicklungs-, und Abnahmeumgebung) unabhängig und individuell zugeordnet werden.