Das Need-to-know-Prinzip: Datenschutz durch Berechtigungskonzepte
Jedes Unternehmen, das Angestellte beschäftigt, führt für alle Arbeitnehmer eine eigene Personalakte. Darin werden viele teils sensible Informationen über den Angestellten gesammelt. Es muss daher sichergestellt werden, dass der Kreis der zugriffsberechtigten Mitarbeiter extrem klein gehalten und auf das absolut notwendige Maß beschränkt wird.
Ebenso verhält es sich, wenn Unternehmen von ihren Kunden Namen, Anschrift und gegebenenfalls weitere Informationen in ihrem CRM-System erfassen. Auch dabei gilt: Es dürfen nur jene Mitarbeiter Zugang zu den Datensätzen der Kunden haben, die diese Kundeninformationen zur Erfüllung ihrer alltäglichen Arbeit im Unternehmen benötigen. Sofern beispielsweise ein Mitarbeiter des Personalwesens in seinem Tagesgeschäft nicht auf die Kundendaten zugreifen muss, um seine Aufgabe als Personaler zu erfüllen, darf er keinen Zugang zu den Kundendaten erhalten.
Hintergrund dieser beiden Beispiele ist das Need-to-know-Prinzip. Dieser Grundsatz will sicherstellen, dass personenbezogene Daten nur jenen Personen zugänglich gemacht werden, die diese Informationen wirklich benötigen, um den vom Betroffenen gewünschten Zweck zu erfüllen. Im Umkehrschluss bedeutet dies, dass andere Mitarbeiter keinen Zugang zu den Daten haben dürfen. So soll vermieden werden, dass Unbefugte die Daten einsehen können.
Aktuelles Beispiel: Vermeintlicher Verstoß gegen das Need-to-know-Prinzip
In einem Fall, der kürzlich vom Landgericht Flensburg entschieden wurde, hat ein Chefarzt gegen ein Krankenhaus geklagt, weil das Krankenhaus bezüglich der Patientenakte des Chefarztes gegen das Need-to-know-Prinzip verstoßen hatte. Der Chefarzt wurde selbst wegen eines Herzinfarktes in dem Krankenhaus behandelt und fragte sich im Anschluss, welche Personen denn alles Einsicht in seine Patientenakte hatten. Es stellte sich heraus, dass während seiner Behandlung mehrere Mitarbeiter auf seine Patientenakte zugriffen, die dazu nicht berechtigt waren.
Das Urteil des LG Flensburg vom 19. November 2021 hat das Aktenzeichen Az. 3 O 227/19.
Lösung: Implementierung eines Berechtigungskonzepts
Als Unternehmen muss man sich frühzeitig die Frage stellen, wie sich vermeiden lässt, dass unberechtigte Mitarbeiter auf Daten von zum Beispiel Kunden zugreifen können. Hier ist es unerlässlich, ein sinnvoll strukturiertes Berechtigungskonzept auszuarbeiten. Dieses dient gerade dazu, Berechtigungen zu definieren und zu verwalten.
Schritte zur Erstellung eines Berechtigungskonzepts:
- Rollenanalyse: Unternehmen sollten sich im ersten Schritt überlegen, welche Rollen im Unternehmen vorkommen.
- Stellenbeschreibungen: Diesen Rollen sind sodann Stellenbeschreibungen zuzuordnen.
- Datenzugriffsdefinition: Davon ausgehend können dann die erforderlichen Datenablagen, Datensätze und Berechtigungsstatus vergeben werden.
Aus diesem grundsätzlichen Berechtigungskonzept kann die IT dann sinnvolle Rollen und Zugriffsrechte in den jeweils genutzten Softwareprogrammen und Tools hinterlegen. So kann sichergestellt werden, dass die definierten Rollen auch in der Praxis gelebt werden.
Regelmäßige Aktualisierung und Kontrolle
Wichtig ist natürlich, das Berechtigungskonzept stets zu aktualisieren, zum Beispiel wenn ein Mitarbeiterwechsel erfolgt. Auch hier ist wieder die IT gefragt, die dann die entsprechenden Berechtigungen der ausscheidenden Mitarbeiter entzieht und neu eintretenden Mitarbeitern erteilt. Aber nicht nur beim Ausscheiden oder Eintreten eines Mitarbeiters sind die Berechtigungen zu prüfen und zu aktualisieren, auch ein Wechsel der Position in einem Unternehmen kann zu anderen Berechtigungen führen.
Unternehmen sollten die Einhaltung der Umsetzung des Berechtigungskonzepts in der Praxis regelmäßig kontrollieren, um Datenschutzverstöße zu vermeiden.
Suchen Sie einen Datenschutzbeauftragten, der Sie auch zu diesem Thema berät? Schreiben Sie uns unter: info@sidit.de
