Zu den Grundsätzen der Datenverarbeitung gehört u. a. der Grundsatz der Integrität und Vertraulichkeit (Artt. 5 Abs. 1 lit. f, 32 Abs. 1 lit. b DSGVO). Dieser besagt, dass personenbezogene Daten so verarbeitet werden müssen, dass ihre Integrität und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Unter Unbefugten sind in diesem Zusammenhang nicht nur Außenstehende zu verstehen, sondern auch Personen innerhalb des Unternehmens. Denn nicht jeder Beschäftigte im Unternehmen benötigt z. B. Einsicht in Personaldaten, Kundendaten oder Daten sonstiger Personen.
Um den Grundsatz der Integrität und Vertraulichkeit gewährleisten zu können, ist ein Handeln durch den Verantwortlichen selbst erforderlich, indem dieser auch innerhalb seines Unternehmens geeignete technische und organisatorische Maßnahmen (TOM) einführt. Eine solche Maßnahme ist die Beschränkung des Zugriffs auf personenbezogenen Daten auf die Personen, die diesen Zugriff zur Wahrnehmung ihrer Aufgaben zwingend benötigen. Diese Vorgehensweise wird auch „Need-to-know-Prinzip“ genannt.
Rollen- und Berechtigungskonzepte
Nach diesem Prinzip sollten Verantwortliche umfassende Rollen-/Berechtigungskonzepte innerhalb ihres Unternehmens einführen, um den Zugriff Unberechtigter zu verhindern. Hierfür empfiehlt es sich, ein differenziertes Zugriffs- und Berechtigungskonzept für jede einzelne Abteilung zu erstellen, einschließlich des Systems, welches einen tätigkeitsbezogenen Zugriff auf die dort verarbeiteten personenbezogenen Daten sicherstellt. Welcher Beschäftigte sodann wirklich Zugriff auf die Daten erhält, wird am Need-to-know-Prinzip gemessen. Demnach sollten grundsätzlich nur diejenigen Personen auf bestimmte personenbezogene Daten (z. B. Kundendaten, Daten anderer Mitarbeiter, Daten aus einer Videoüberwachung etc.) zugreifen können, die diese in ihrer Funktion und für die Durchführung ihrer beruflichen Tätigkeit zwingend benötigen.
Auch wenn eine Person grundsätzlich Zugriff auf Daten oder Informationen einer Ebene hat, verbietet das Need-to-know-Prinzip den Zugriff, wenn die Informationen nicht unmittelbar für die Erfüllung einer konkreten Aufgabe benötigt werden. Das bedeutet bspw. auch, dass die Vergabe von Zugriffsrechten nur aufgrund einer Hierarchiestufe gerade nicht mit dem Need-to-know-Prinzip vereinbar ist, wenn der jeweils nächsthöhere Mitarbeitende diese personenbezogenen Daten zur Durchführung seiner Tätigkeit nicht benötigt. Es empfiehlt sich daher einen genauen Blick auf die jeweiligen Stellen- und Funktionsbeschreibung zu werfen.
Darüber hinaus kann durch ein umfassendes Berechtigungskonzept auch sichergestellt werden, wer bspw. dazu berechtigt ist, personenbezogene Daten zu lesen, zu ändern oder auch zu löschen. Je umfangreicher ein Datenverarbeitungsprogramm ist und je sensibler die dort verarbeiteten personenbezogenen Daten sind, desto genauer und differenzierter, aber auch strenger sollte ein Zugriffs- und Berechtigungskonzept anhand der Maßstäbe des Need-to-know-Prinzips ausfallen.
Vergessen Sie nicht, Vertreter zu benennen!
Ein Zugriffs- und Berechtigungskonzept nach dem Need-to-know-Prinzip sollte auch Vertretungsregelungen enthalten; denn das Mitarbeitende für längere Zeit abwesend sind, ist keine Seltenheit. Auch für die Vertretungsregelungen gilt es, zwischen den einzelnen Berechtigungsfunktionen (lesen, ändern, löschen) zu unterscheiden. Im Falle von Vertretungsregelungen ist darauf zu achten, dass grundsätzlich nur solche Personen als Vertreter ausgewählt werden können, die der gleichen Gesellschaft sowie Abteilung angehören und rechtssicher auf gleicher Ebene tätig sind. Darüber hinaus sollte die vertretende Person dazu befähigt sein, die Tätigkeiten, die sie in der Abwesenheit ihrer Kollegin bzw. ihres Kollegen übernimmt, ausführen zu können (fachliche Kompetenz).
Besondere Vorsicht im Vertretungsfall ist bei Vorgesetzten geboten, da diese aufgrund ihrer Stellung bereits deutlich mehr Einsichtsrechte innehaben als Mitarbeitende ohne Personalverantwortung. Hier ist es empfehlenswert, dass Vorgesetzte nur Stellvertreter wählen, die entweder auf gleicher Ebene oder bestenfalls auf der nächsthöheren Ebene angesiedelt sind. Zusätzlich ist auch hier wieder zu berücksichtigen, dass der nächsthöhere Vorgesetzte nur auf die personenbezogenen Daten Zugriff hat, die er während seiner Funktion als Stellvertreter zwingend benötigt. Bestenfalls wird die Stellvertreterwahl durch technische Maßnahmen im System selbst sichergestellt.
Zu guter Letzt muss auch in einem Rollen- und Berechtigungskonzept stets geprüft werden, ob die Vorgaben des Need-to-know-Prinzips ggf. nach gewisser Zeit wegfallen. Dies könnte bspw. dadurch geschehen, dass Mitarbeitende die Stelle wechseln oder mit anderen Aufgaben betraut werden. Hier sind den jeweiligen Mitarbeitenden die Zugriffsrechte unmittelbar zu entziehen.
Fazit
Verantwortliche sollten streng darauf achten, dass ihre Beschäftigten nur Zugang zu den personenbezogenen Daten erlangen können, die für die Erfüllung ihrer Aufgaben auch zwingend erforderlich sind. Das Need-to-know-Prinzip ist die optimale Handlungsmaxime, um die Integrität und Vertraulichkeit personenbezogener Daten im Unternehmen sicherzustellen und damit diese Anforderung aus der DSGVO umzusetzen.