Personenbezogene Daten der Beschäftigten müssen nicht nur vor Zugriff durch Außenstehende, sondern auch vor Zugriff durch Mitarbeitende, die sie nicht benötigen, geschützt werden. Dies führt häufig zu Problemen.
Im Laufe des Jahres 2023 hat sich die Datenschutzbehörde wiederholt mit der mangelhaften Sicherung von Personaldaten vor dem Zugriff durch unbefugte Mitarbeitende beschäftigt. Die personenbezogenen Daten der Beschäftigten wurden entweder bewusst in einer Form gespeichert bzw. intern veröffentlicht, dass unberechtigte Mitarbeitende auf diese Zugriffe nehmen konnten, oder Zugriffsmöglichkeiten wurden fahrlässig fehlerhaft eingerichtet und nicht im erforderlichen Maße beschränkt.
Nachdem entsprechendes Verhalten im Berichtszeitraum in drei Fällen zu Verwarnungen geführt hat und einen beträchtlichen Teil der Datenpannenmeldungen, Beschwerden und Beratungsanfragen im Bereich des Beschäftigtendatenschutzes ausmacht, soll hier noch einmal zusammenfassend dargestellt werden, welche Mitarbeitenden auf Personaldaten zugreifen dürfen und welche Maßnahmen getroffen werden müssen, um unbefugte Zugriffe zu vermeiden.
Personenbezogene Daten müssen nach Art. 5 Abs. 1 Buchst. c DSGVO dem Zweck angemessen und erheblich sowie auf das für die Zwecke der
Verarbeitung notwendige Maß beschränkt sein („Grundsatz der Datenminimierung“). Zudem verlangen die in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen für die Datenverarbeitung stets deren Erforderlichkeit. Hieraus folgt nicht nur, dass nicht mehr personenbezogene Daten erhoben werden dürfen, als zur Erreichung des vom Verantwortlichen verfolgten Zweck benötigt werden. Auch die Anzahl der Verarbeitungsvorgänge und die Zahl der verarbeitenden Personen muss auf das zum Erreichen des Zwecks notwendige Maß beschränkt werden. Daraus ergibt sich, dass nur die Beschäftigten auf personenbezogene Daten zugreifen dürfen, die diese zur Erledigung ihrer Aufgaben, und damit zum Erreichen des mit der Datenverarbeitung verfolgten Zwecks, benötigen („need to know“). Der Verantwortliche muss definieren, welche Rollen es für Tätigkeiten innerhalb von Geschäftsprozessen gibt, und daraus Umfänge von Berechtigungen (z. B. nur lesen/auch schreiben/auch löschen, Zugriff von extern ja/nein, Zugriff nur innerhalb eines Workflows an einem Schritt) ableiten und diese an entsprechende Mitarbeitende, die diese Rollen ausfüllen, zuweisen. Dies bedeutet, dass z. B. nicht das Teammitglied X zum Zugriff auf die Krankmeldungen der Beschäftigten berechtigt wird, sondern die Rolle „Bearbeitung Krankmeldungen Personalabteilung“. Diese Rolle wird dann X zugewiesen. Beispielhaft muss so überlegt werden, welche Mitarbeitende für welche Tätigkeiten, die eine Verarbeitung von bestimmten
Personaldaten verlangen, zuständig ist oder sind. Die Kenntnisnahme der Personaldaten durch andere Personen als die zuständige ist mangels Erforderlichkeit eine rechtswidrige Datenverarbeitung. Vor einer solchen Verarbeitung müssen die Daten gem. Art. 5 Abs. 1 Buchst. f DSGVO durch geeignete technische und organisatorische Maßnahmen („TOM“) angemessen geschützt werden (Grundsatz der „Integrität und Vertraulichkeit“). In diese Richtung weisen auch Art. 24, 25 und 32 DSGVO.
Nach Art. 32 Abs. 1 DSGVO treffen der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen schließen gegebenenfalls unter anderem die Fähigkeit ein, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. Bei der Frage, welche technischen und organisatorischen Maßnahmen zu treffen sind, hat der Verantwortliche kein Entschließungsermessen, jedoch im Rahmen der Vorgaben der DSGVO ein Auswahlermessen. Er hat so betreffend der durch die Verarbeitung entstehenden Risiken für die Rechte und Freiheiten betroffener Personen mit risikoadäquaten Maßnahmen ein angemessenes Schutzniveau zu treffen.
Hierbei kann sich der Verantwortliche an etablierten Standards orientieren (z. B. ISO 31000 bezüglich Risikomanagement und Identifikation, Bewertung und Behandlung von Risiken; ISO 27000-Familie bzw. Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für Informationssicherheitsmanagementsysteme). Im BSI-Grundschutzkompendium sind in sogenannten IT-Grundschutz-Bausteinen Ergebnisse von durchgeführten Risikoanalysen für normale Schutzbedarfe beschrieben und entsprechende Anforderungen abgeleitet.
Mit dem Berechtigungsmanagement beschäftigt sich der Baustein „OPR 4 Identitäts- und Berechtigungsmanagement“. Ziel ist u. a., eine unzureichende Definition von Prozessen beim Identitäts- und Berechtigungsmanagement und eine ungeeignete Verwaltung von Zutritts-, Zugangs- und Zugriffsrechten, die zu einem Wildwuchs in der Rechtevergabe führt, zu vermeiden. Nach den dort aufgeführten Basis-Anforderungen muss geregelt werden, wie Benutzendenkennungen ein- zurichten und zu löschen sind, jede muss eindeutig einer Person zugeordnet werden können und längere Zeit inaktive Benutzendenkennungen sollten, und nicht benötigte, wie Gastkonten, müssen deaktiviert bzw. gelöscht werden. Benutzendenkennungen und Berechtigungen und Zutrittsberechtigungen und -mittel dürfen nur aufgrund des tatsächlichen Bedarfs und der Notwendigkeit zur Aufgabenerfüllung vergeben werden (Prinzip der geringsten Berechtigungen, Least-Privilege,
und Erforderlichkeitsprinzip, need-to-know). Alle Berechtigungen müssen über separate administrative Rollen eingerichtet werden. Bei personellen Veränderungen müssen die nicht mehr benötigten Benutzendenkennungen und Berechtigungen entfernt und Zugriffs- und Zutrittsberechtigungen und -mittel entzogen bzw. gesperrt werden. Beantragen Mitarbeitende Berechtigungen, die über den Standard hinausgehen, dürfen diese nur nach zusätzlicher Begründung und Prüfung vergeben werden. Es ist zu dokumentieren, welche Mitarbeitenden über welche Berechtigungen und Zutrittsmittel verfügen.
Die entsprechenden Aufzeichnungen sind regelmäßig darauf zu überprüfen, ob sie den tatsächlichen Stand der Rechtevergabe widerspiegeln und ob sie die betrieblichen Anforderungen korrekt abbilden. Der Zugriff auf IT-Systeme und Dienste muss durch eine angemessene Identifikation und Authentisierung der zugreifenden Benutzenden, Dienste oder IT-Systeme abgesichert sein, der Passwortgebrauch muss nach den näheren Vorgaben geregelt werden. Die Beschäftigten sollten über den korrekten Umgang mit Zugangsmitteln geschult werden.
Mit den Anforderungen an die Definition der Zuständigkeiten beschäftigt sich der Baustein ORP.2 Personal: Nach den dortigen Basis-Anforderungen müssen die Aufgaben und Zuständigkeiten von Mitarbeitenden in geeigneter Weise dokumentiert sein. Ihnen muss der rechtliche Rahmen ihrer Tätigkeit bekannt sein. Außerdem müssen alle Mitarbeitenden darauf hingewiesen werden, dass alle während der Arbeit erhaltenen Informationen ausschließlich zum internen Gebrauch bestimmt sind. Weiterhin muss es für alle wesentlichen Geschäftsprozesse praktikable Vertretungsregelungen geben und der Aufgabenumfang der Vertretung muss im Vorfeld klar definiert werden.
Wenn ein Verantwortlicher die Anforderungen des BSI bezüglich des Zugangs zu personenbezogenen Daten für den einschlägigen Schutzbedarf erfüllt, ist die Wahrscheinlichkeit hoch, dass unbefugte Zugriffe der Beschäftigten vermieden werden und den datenschutzrechtlichen Pflichten entsprochen werden. So kann die Umsetzung der von Art. 5 Abs. 1 Buchst. f DSGVO und Art. 32 Abs. 1 DSGVO verlangten TOM gewährleistet werden und aufsichtsbehördliche Verfahren und Maßnahmen können vermieden werden.
Fragen Sie sich, ob Sie als Unternehmen bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Quelle: LfDI BW
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks