Rollen- & Rechtekonzepte: Wer darf auf Daten zugreifen?
Was macht ein gutes Rollenkonzept aus und welche technischen und organisatorischen Maßnahmen sind in deinem Unternehmen erforderlich, um es umzusetzen?
Ob im neuen Startup oder im internationalen Unternehmen – werden personenbezogene Daten gespeichert und verarbeitet, stellt sich schnell die Frage: Wer darf eigentlich was?
Genau an dieser Stelle kommt das Rollen- und Berechtigungsmanagement ins Spiel. Was auf den ersten Blick simpel klingt, ist in Wahrheit die Stütze jeder sicheren und datenschutzkonformen Organisation.
Im Folgenden geben wir dir einen Überblick über technische und organisatorische Maßnahmen, was ein durchdachtes Rollenkonzept ausmacht und wie du durch einfache Maßnahmen mehr Vertrauen in dein Unternehmen schaffst.
Technische und organisatorische Maßnahmen
Um zu verstehen, warum ein durchdachtes Rollenkonzept unverzichtbar ist, müssen zunächst die datenschutzrechtlichen Vorgaben in Bezug auf technische und organisatorische Maßnahmen (TOM) näher beleuchtet werden. Art. 32 Abs. 1 DSGVO bestimmt, dass „unter Berücksichtigung des Stands der Technik […] geeignete technische und organisatorische Maßnahmen [getroffen werden müssen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.
Die TOM dienen dem Zweck, einen ausreichenden Schutz aller im Unternehmen verarbeiteten und gespeicherten personenbezogenen Daten unter Berücksichtigung potenzieller Risiken zu gewährleisten. Neben den in der DSGVO aufgeführten TOM, wie der Pseudonymisierung und Verschlüsselung personenbezogener Daten beispielsweise, stellt ein durchdachtes Rollenkonzept eine zentrale Maßnahme dar.
Berechtigungs- und Rollenkonzepte
Ein Berechtigungskonzept stellt ein grundlegendes Regelwerk dar, das definiert, wie Identitäten in einem IT-System erstellt sowie Rollen und Zugriffsrechte vergeben werden. Ziel ist es, sicherzustellen, dass Benutzer*innen ausschließlich die Rollen erhalten, die ihren tatsächlichen Aufgaben entsprechen, und dass diesen Rollen nur jene Rechte und Ressourcen zugewiesen werden, die für die Aufgabenerfüllung erforderlich sind.
Ein solches Konzept schützt die Kunden- und Mitarbeiterdaten vor unbefugtem Zugriff sowie Mitarbeitende vor unbeabsichtigten Fehlhandlungen. Zur Umsetzung eines durchdachten Berechtigungsmanagements sollte das jeweilige Rollenkonzept außerdem im Rahmen einer Unternehmensrichtlinie verschriftlicht werden.
Vorschlag für die praktische Umsetzung
Bevor eine IT-Ressource z. B. in Betrieb genommen wird, sollte eine verantwortliche Person, sowie eine oder mehrere Administratoren bestimmt werden. Die verantwortliche Person legt in Absprache mit den Administratoren fest, in welchem Umfang Nutzer*innen Zugriff erhalten.
Dabei wird das Need-to-know-Prinzip angewendet: Nutzer*innen erhalten nur die Rechte, die für ihre Aufgaben erforderlich sind. Zusätzliche oder reduzierte Rechte müssen von der verantwortlichen Person begründet und mit den Administratoren abgestimmt werden. Darüber hinaus sollten Administratoren verpflichtet werden, alle Änderungen an Berechtigungen und Benutzergruppen zu dokumentieren, um Transparenz und Nachvollziehbarkeit zu gewährleisten.
Passwortvorgaben
Neben einem durchdachten und dokumentierten Rollenkonzept ist es außerdem essenziell, Regelungen zur Passworterstellung anzulegen. Die Passwortvorgaben sollten dabei eine Mindestlänge von 8 Zeichen vorschreiben, wobei das Passwort zusätzlich aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss.
Außerdem sollten unberechtigte Zugriffsversuche auf IT-Ressourcen so beschränkt werden, dass bei mehrfachen Zugriffen mit falschen Zugangsdaten eine (temporäre) Sperrung des jeweiligen Accounts erfolgt. Nur durch derartige Passwortregelungen kann auch das durchdachte Rollenkonzept vor Zugriffen von außen geschützt werden.
Kontrolle der Zugangsberechtigung
Grundsätzlich sollten die verantwortlichen Personen in regelmäßigen Abständen – mindestens jedoch einmal jährlich – überprüfen, ob die Berechtigungen der Benutzer*innen noch bestehen müssen und dem „Least Privilege“-Prinzip entsprechen. Unter diesem Prinzip versteht man den Grundsatz, dass jede*r nur die Berechtigungen erhalten soll, die zwingend notwendig sind, um Aufgaben zu erledigen.
Ein oft zu wenig beachtetes Problem stellt zudem die Handhabung der Zugriffsrechte von ehemaligen Mitarbeiter*innen dar. Sollten Mitarbeiter*innen dein Unternehmen verlassen, muss sichergestellt werden, dass kein Zugriff auf etwaige personenbezogene Daten mehr besteht.
Unser Tipp
Zusammenfassend lässt sich festhalten, dass jedes Unternehmen nicht nur vor unberechtigten Datenzugriffen von außen, sondern auch von innen geschützt werden muss.
Bei Datenpannen reichen die Folgen von finanziellen Bußgeldern und Schadensersatzforderungen bis hin zu Imageverlust und Vertrauensverlust.
Ein durchdachtes Berechtigungsmanagement kann davor schützen und sollte in jedem Unternehmen umgesetzt und dokumentiert werden.
10.06.25
