Kostenloser Download:Muster für die Dokumentation der Vergabe von Zutritts- und Zugriffsberechtigungen

Datei-Typ Microsoft Word
Version 1.0 (Changelog)
Aktualisiert -
Sprachen Deutsch
Bewertungen
[23 Bewertung(en)/ratings]

Alle Datenschutz-Themen

  • Der betriebliche Datenschutzbeauftragte

  • Grundsätze der DSGVO

  • Verzeichnis von Verarbeitungs­tätigkeiten

  • Datenschutz­folgen­abschätzung (DSFA)

  • Auftragsverarbeitung

  • Betroffenenrechte

  • Datenschutzaudit

  • Aufsichtsbehörden

  • Datenpanne / Datenschutznotfall

  • Beschäftigten­datenschutz

  • Datenschutz im Marketing

  • Technischer Datenschutz

  • Datentransfer

Ein wesentlicher Bestandteil eines funktionierenden Datenschutz-Systems ist eine sinnvolle Organisation der Zutritts- und Zugriffsberechtigungen. Bevor man detaillierte Schutzmechanismen innerhalb des Verarbeitungsprozesses von personenbezogenen Daten etabliert, sollte eindeutig geregelt werden, auf welchem Weg jemand überhaupt die Möglichkeit erhält, die Bereiche zu betreten, in denen personenbezogene Daten verarbeitet werden und welche Zugriffsrechte er bekommt. Mit der Vorlage der activeMind AG können Sie die Rechtevergabe Zutritt und Zugriff koordinieren.

Die Gestaltung einer durchdachten Zutritts- und Zugriffskontrolle steht deswegen auch gleich zu Beginn der sogenannten Acht Gebote des Datenschutzes, die sich aus dem Bundesdatenschutzgesetz (BDSG) ergeben. Dabei muss zunächst definiert werden, welches die Bereiche sind, in denen personenbezogene Daten zugänglich sind und ein Kontrollmechanismus etabliert werden, der dem ermittelten Schutzbedarf des jeweiligen Bereichs entspricht.

Der ordnungsgemäße Ablauf der Berechtigungsvergabe kann durch einen Laufzettel gelenkt und gleichzeitig dokumentiert werden. Wir haben für Sie eine Vorlage eines solchen Dokuments erstellt, das Sie an die Gegebenheiten in Ihrer Organisation anpassen können.

Aspekte von Zutritts- & Zugriffsrechten

Kontrollmechanismen & Berechtigungsvergabe

Noch so wohlüberlegte Schutzvorkehrungen sind jedoch nutzlos, wenn die Vergabe der Berechtigungen mangelhaft geregelt ist: Die Sicherheitsmechanismen können technisch einwandfrei funktionieren – wenn jedoch die Berechtigungen sorglos vergeben werden, können trotzdem Unbefugte Zutritt zu Anlagen erhalten, mit denen schutzbedürftige Informationen verarbeitet werden und der Zweck der Zutrittskontrolle wird somit nicht erfüllt.

Deshalb ist eine eindeutige Regelung der Vergabe von Berechtigungen notwendig. Ausgangspunkt dafür ist die Überlegung, welche Personen Zutritts- und Zugriffsberechtigungen zu diesen Bereichen benötigen. Ausschließlich diesen sollte die Berechtigung erteilt werden. Die Rechte sollten sich nach Möglichkeit auf den tatsächlich erforderlichen Zeitumfang (beispielsweise nur zu den allgemeinen Geschäftszeiten) beschränken.

Rollen und Verantwortlichkeiten

Innerhalb des Berechtigungsprozesses ist die Definition von Verantwortlichkeiten notwendig. So muss geregelt sein, wie ermittelt wird, wer für einen bestimmten Antragsteller festlegt, welche Berechtigungen dieser benötigt. Beispielsweise kann der Ablauf der Berechtigungsvergabe damit beginnen, dass die Personalabteilung den zuständigen Vorgesetzten des Antragstellers ermittelt. Dieser nimmt in der Regel die Rolle des Genehmigers ein.

Die Umsetzung der genehmigten Anfrage wird durch den Berechtigungsadministrator organisiert. In größeren Organisationen kann sich seine Aufgabe darauf konzentrieren, die erforderlichen Freigaben zu erteilen und die zuständigen Verwalter für die unterschiedlichen Bereiche anzuweisen. Die letztendliche Ausgabe der entsprechend präparierten Zutrittsmedien kann dann durch deren jeweiligen Verwalter erfolgen.

Der Prozess der geregelten Berechtigungsvergabe wird vervollständigt durch eine neutrale Kontrollinstanz, die nicht anderweitig in den Prozess der Berechtigungsvergabe involviert ist. Ihre Aufgabe ist es, durch Stichproben zu ermitteln, ob der Berechtigungsprozess in der Praxis ordnungsgemäß umgesetzt wird, ob gewährleistet ist, dass die Abläufe laufend an die aktuellen Gegebenheiten angepasst werden und ob eine nachvollziehbare Dokumentation erfolgt.

Geregelter Ablauf von Rechteerteilung und -entzug

Der Prozess der Berechtigungsvergabe wird ergänzt durch Regelungen für die Rücknahme und Änderung von Zutrittsrechten. Ähnliche Abläufe wie für die Erteilung der Berechtigung müssen auch für deren Rücknahme etabliert werden. Durch eine regelmäßige Revision sollte sichergestellt werden, dass falsch vergebene oder nicht mehr aktuelle Berechtigungen zeitnah bearbeitet werden können.

Sie wollen den Datenschutz lieber in professionelle Hände legen? Dann bestellen Sie uns jetzt zum Festpreis als externen Datenschutzbeauftragten!

Changelog