Zugriffsrechte und der Datenschutz

DSGVO bei Berechtigungen richtig umsetzen

| Autor / Redakteur: Martin Schwer / Peter Schmitz

Nur wenige Admins und Compliance-Beauftragte können sagen, wer in ihren Unternehmen welche Rechte hat und warum diese konkret benötigt werden.
Nur wenige Admins und Compliance-Beauftragte können sagen, wer in ihren Unternehmen welche Rechte hat und warum diese konkret benötigt werden. (Bild: Pixabay / CC0)

Die DSGVO wirkt sich auf viele Bereiche der IT-Infrastruktur aus, auch auf die Vergabe von Berechtigungen. Seit dem 25. Mai drohen Unternehmen empfindliche Strafen bei unberechtigten Zugriffen auf personenbezogene Daten. Um diese auszuschließen, braucht es eine sinnvolle Verknüpfung der vergebenen Zugriffsrechte zu Nutzern und Daten.

Eigentlich klingt die Frage ganz einfach: Wer hat warum welche Berechtigungen wofür? Doch nur wenige Systemadministratoren oder Compliance-Beauftragte können belastbare Antworten darauf geben. So legt zum Beispiel Windows technisch gesehen Nutzergruppen an, jedoch keine Einzeluser. Auch gestaltet es sich höchst aufwändig, die verlangten Informationen etwa aus NTFS, ACLs, Zugriffsmasken, Gruppen- und Einzelberechtigungen zusammenzutragen. Zumal die Berechtigungsstrukturen meist organisch mit den Veränderungen der IT-Infrastruktur gewachsen sind. Dazu kommt, dass personelle Veränderungen oft ohne Kenntnis der Administratoren erfolgen, die entsprechenden Anpassungen der Zugriffsrechte daher gar nicht erfolgen können. Derartige Lücken und Fehler sind seit dem 25. Mai 2018 jedoch strafbewehrt.

Missverständnisse zur Einwilligung ausräumen!

Aktuelle Entwicklungen zur DSGVO im August

Missverständnisse zur Einwilligung ausräumen!

24.08.18 - Viele Probleme bei der Umsetzung der Datenschutz-Grundverordnung entstehen dadurch, dass Vorgaben falsch interpretiert werden. Die Aufsichtsbehörden unternehmen einiges an Anstrengungen, um für die notwendige Klarheit zu sorgen. Prominente Beispiele sind die Notwendigkeit der Einwilligung und die Regelung von Auftragsverarbeitungen. lesen

Strenge rechtliche Vorgaben

Die neue Datenschutz Grundverordnung (DSVGO) schreibt vor, dass Unternehmen die „geeigneten technischen und organisatorischen Maßnahmen“ treffen müssen, um personenbezogene Daten vor unbefugten Zugriffen zu schützen. Betroffen davon sind sehr viele der üblicherweise gespeicherten Informationen, schließlich enthält fast jedes Filesystem sensible Personal-, Finanz-, Produkt- und Kundendaten. Daher müssen die Verantwortlichen gewährleisten, dass nur berechtigte Nutzer Zugriff erhalten und sie müssen die Einhaltung dieser Regeln auch nachweisen. So braucht es eine plausible Antwort auf die eingangs gestellte Frage. Lässt sich diese nicht geben, droht die DSGVO mit empfindlichen Bußgeldern. Dabei ist die Verordnung weitreichend, nach derzeitiger Auffassung gehören die Rechte zum Beispiel auch bei Abteilungswechseln auf den Prüfstand. Entsprechende Änderungen müssen unmittelbar wirksam werden und Unternehmen müssen diesen Zustand nachweisen.

Artikel 5 DSGVO, Ziffer 1 f:
Personenbezogene Daten müssen (...) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Überblick schaffen

Dieser Nachweis gelingt nur dann, wenn Unternehmen die vorhandenen Informationen zu den Nutzern auf der einen und den Daten auf der anderen Seite verknüpfen. Sie müssen also analysieren, welcher Mitarbeiter welche Rechte auf welche Daten besitzt. Besteht Klarheit über die aktuellen Zugriffsrechte, lässt sich im zweiten Schritt auch die Datensicherheit garantieren. Diese Verknüpfung leistet zum Beispiel die Software ERAM von Tools4ever. Viele Lösungen kommen zudem ohne eine Migration der Systeme aus und halten damit die Kosten im Zaum. Wichtig ist es, dass die Verantwortlichen einen Überblick über alle Berechtigungen der Nutzer im Filesystem erhalten und die Administratoren detaillierte Reports erstellen sowie die Systeme überwachen können. Das Risiko einer Datenschutzverletzung im Sinne der DSGVO sinkt damit erheblich. Oftmals lassen sich die existierenden Verantwortlichkeiten durch Self-Service-Workflows exakt abbilden, indem anstatt der IT-Abteilung die Dateneigentümer für die Rechtevergabe zuständig sind.

Über den Autor: Martin Schwer ist PR-Journalist aus Köln.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45457903 / Compliance und Datenschutz )