Einer der Grundsätze der Datenschutz-Grundverordnung (DSGVO) ist die Forderung nach Vertraulichkeit und Integrität der Daten. Dies bedeutet, dass prinzipiell nur berechtigte Personen Daten einsehen, bzw. verändern dürfen. Im Rahmen der Anwendungen, die in einem Unternehmen verwendet werden, bedeutet das den Einsatz eines Systems zur Benutzeridentifizierung und darauf aufsetzenden Anwendungsberechtigungen. Im Fall des Systems „Dateiablage“, auf einem Fileserver, können das beispielsweise Berechtigungsgruppen, auf Ebene des Betriebssystems sein, dessen Mitglied der Benutzer ist.
Folgendes Beispiel aus der Praxis soll die Gefahren eines zu wenig durchdachten Berechtigungskonzepts verdeutlichen:
Frau X arbeitet schon seit längerer Zeit im Unternehmen. Sie hat in dieser Zeit viele Abteilungen durchlaufen und auch die eine oder andere Vertretung im Fall von Urlaub, Karenz oder längeren Krankenständen von KollegInnen übernommen. Als sie in den Ruhestand geht, wird Herr Z als neuer Mitarbeiter aufgenommen. Seine Berechtigungen werden von Frau X kopiert, denn er soll auf den ersten Blick die gleichen Tätigkeiten ausführen, für die Frau X verantwortlich war. Überrascht stellt man dann fest, dass Herr Z über Rechte verfügt, die fast an die der Geschäftsführung und der System-Administration heranreichen…
Um derartige Situationen zu vermeiden sollten also einige Grundregeln beachtet werden:
Informieren Sie sich auf der Website zu unseren DSGVO-Packages.
Arbeitet seit mehr als 25 Jahren im IT-Bereich, davon die meiste Zeit im Bereich von Datenverarbeitungslösungen für Rechtsberufe, Direkt-Marketing und CRM und beschäftigt sich seit vielen Jahren mit allen Aspekten des Datenschutzes. Er ist Co-Founder der data.mill GmbH aus Salzburg, die unter anderem Kunden wie die BMW Group, RICOH, Physiotherm oder Atomic berät und betreut.