Dieser Grundsatz will sicherstellen, dass personenbezogene Daten nur jenen Personen zugänglich sind, die diese Infos wirklich benötigen – „need-to-know“, um den vom Betroffenen gewünschten Zweck zu erfüllen. Im Umkehrschluss bedeutet dies, dass andere Mitarbeiter keinen Zugang zu den Daten haben dürfen. So soll vermieden werden, dass Unbefugte die Daten einsehen können. Um diesen Sachverhalt zu veranschaulichen, hier zwei Beispiele:
- Jedes Unternehmen, das Angestellte beschäftigt, führt für alle Arbeitnehmer eine eigene Personalakte. Darin werden viele teils sensible Informationen über den Angestellten gesammelt. Es muss daher sichergestellt werden, dass der Kreis der zugriffsberechtigten Mitarbeiter extrem klein gehalten und auf das absolut notwendige Maß beschränkt wird.
- Bei Unternehmen, die Name, Anschrift und ggf. weitere Informationen von Kunden in Ihrem CRM-System erfassen, sieht es ähnlich aus. Auch hier gilt: Es dürfen nur jene Mitarbeiter zu den Datensätzen der Kunden Zugang haben, die diese Kunden-Infos zur Erfüllung Ihrer alltäglichen Arbeit im Unternehmen benötigen. Sofern also bspw. ein Mitarbeiter des Personalwesens in seinem Tagesgeschäft nicht auf die Kundendaten zugreifen muss, um seine Aufgabe als Personaler zu erfüllen, darf er keinen Zugang zu den Kundendaten haben.
Aktuelles Beispiel legt vermeidbaren Verstoß gegen „need-to-know-Prinzip“ offen
Ein aktuelles Urteil des Landgerichtes Flensburg bestätigt das. In diesem Fall verklagte ein Chefarzt ein Krankenhaus, weil es bzgl. der Patientenakte des Chefarztes gegen das „need-to-know“-Prinzip verstoßen hatte. Der Chefarzt wurde selbst wegen eines Herzinfarktes in dem Krankenhaus behandelt und fragte sich im Anschluss, welche Personen denn alles Einsicht in seine Patientenakte hatten. Es stellte sich heraus, dass während seiner Behandlung mehrere Mitarbeiter auf seine Patientenakte Zugriff nahmen, die dazu nicht berechtigt waren.
Das Urteil vom des LG Flensburg vom 19.11.2021 hat das Aktenzeichen Az. 3 O 227/19.
Lösung: Führen Sie ein Berechtigungskonzept
Als Unternehmen muss man sich frühzeitig die Frage stellen, wie es sich vermeiden lässt, dass unberechtigte Mitarbeiter auf Daten z.B. von Kunden zugreifen können. Hier ist es unerlässlich ein sinnvoll strukturiertes Berechtigungskonzept auszuarbeiten. Dieses dient gerade dazu, Berechtigungen zu definieren und zu verwalten. Im ersten Schritt sollten Unternehmen sich überlegen, welche Rollen im Unternehmen vorkommen, um diesen Rollen sodann Stellenbeschreibungen zuzuordnen. Davon ausgehend können die erforderlichen Datenablagen, Datensätze und der Berechtigungsstatus vergeben werden.
Aus diesem grundsätzlichen Berechtigungskonzept kann die IT dann sinnvolle Rollen und Zugriffsrechte in den jeweils genutzten Softwareprogrammen und Tools hinterlegen. So kann sichergestellt werden, dass die definierten Rollen auch in der Praxis gelebt werden.
Wichtig ist natürlich, das Berechtigungskonzept stets zu aktualisieren, z.B. wenn ein Mitarbeiterwechsel erfolgt. Auch hier ist wieder die IT gefragt, die dann die entsprechenden Berechtigungen der ausscheidenden Mitarbeiter entzieht und neu eintretenden Mitarbeitern erteilt. Aber nicht nur beim Ausscheiden oder Eintreten eines Mitarbeiters sind die Berechtigungen zu prüfen und aktualisieren, auch ein Wechsel der Position in einem Unternehmen kann zu anderen Berechtigungen führen.
Unternehmen sollten die Einhaltung der Umsetzung des Berechtigungskonzepts in der Praxis regelmäßig kontrollieren, um Datenschutzverstöße zu vermeiden.
Suchen Sie einen Datenschutzbeauftragten, der Sie auch zu diesem Thema berät? Schreiben Sie uns unter: info@sidit.de
[…] empfahlen wir – nach dem „need-to-know-Prinzip“ – den Zugriff auf personenbezogenen Daten auf Personen zu beschränken, die diesen Zugriff […]