Die Datenschutz-Grundverordnung schreibt für die Verarbeitung personenbezogener Daten vor:
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sein. Außerdem müssen sie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden.
Dieses Prinzip der Datenminimierung gilt auch bei der Verarbeitung innerhalb des Unternehmens und wird in diesem Fall “Berechtigungskonzept” genannt.
Was ist ein Berechtigungskonzept?
Berechtigungskonzepte sind notwendig,
aber problematisch.
Damit die vorgeschriebene Datenminimierung eingehalten wird, müssen die Berechtigungen ständig gepflegt werden!
Sie können nur dann datenschutzkonform arbeiten, wenn es für Ihren Arbeitsplatz ein genau definiertes Anwendungsprofil mit den entsprechenden Berechtigungen gibt. Doch soviel Sicherheit Berechtigungskonzepte geben – sie bringen auch Probleme mit sich:
Ein Standardproblem in vielen Unternehmen ist, dass einmal erteilte Berechtigungen nicht wieder zurückgenommen werden, wenn ein Mitarbeiter andere Aufgaben erhält. Dadurch haben schließlich immer größere Gruppen unberechtigten Zugang zu schützenswerten Daten; und schlimmstenfalls hat darüber keiner mehr den Überblick.
Korrekt wäre folgendes Vorgehen: Ein Mitarbeiter wechselt beispielsweise vom Kundenservice, wo er Zugang zu den wichtigsten Kundendaten hatte, in die Personalabteilung. Dort muss er natürlich den Zugang zu den Personaldaten erhalten. Aber gleichzeitig muss ihm die Berechtigung, auf Kundendaten zugreifen zu können, entzogen werden, denn diese Daten benötigt er nicht mehr für seine Arbeit.