Nutzungsrechte zur Datenverarbeitung im Rahmen der DSGVO

Mrz 14, 2017 | 0 Kommentare

Die neue EU-Datenschutzgrundverordnung DSGVO bringt etliche neue Aspekte für Unternehmen mit. Die wichtigsten greifen wir regelmäßig heraus, um unsere Kunden gezielt zu informieren. Ein Beitrag in der Computerwoche* betrachtet aktuell den Aspekt der Compliance-Audits und -Nachweise, in deren Rahmen Unternehmen überdenken müssen, welchen Nutzern sie privilegierte Nutzungsrechte einräumen.

Jeder Mitarbeiter, der Zugriff auf Personendaten hat, ist im Rahmen der neuen Gesetzgebung verpflichtet, die Datenschutzbehörde zu informieren, wenn Entscheidungen oder Aktivitäten eine Verletzung der DSGVO darstellen. Die Datenschutzbehörde kann als Folge Einblick in Prozesse verlangen, die zuvor ausschließlich der Person vorbehalten waren, die mit der entsprechenden Arbeit betraut war. Das betrifft auch die Zusammenarbeit mit Partnern und Externen. Diese müssen daher in die eigenen Compliance-Strategien einbezogen werden, um den Schutz persönlicher Daten in Geschäftsprozessen sicherzustellen.

Das betrifft vor allen die Nutzungsrechte für personenbezogene Daten und deren Verarbeitung. Hier gilt es, zwischen beschränkten Nutzungsrechten und privilegierten Nutzern zu unterscheiden. Sowohl die Nutzungsrechte wie auch die privilegierten Nutzer werden bisher oft unzureichend verwaltet. Um die Compliance der neuen Gesetzgebung zu gewährleisten und Audits zu bestehen, müssen Unternehmen daher sicherstellen, dass die beschränkten Nutzungsrechte in jedem einzelnen Schritt eines Geschäftsprozesses gegeben sind.

Daraus ergibt sich für Unternehmen die folgende Herausforderung: SAP Systeme besitzen eine ausgereifte Beschränkung der Nutzungsrechte solange die personenbezogenen Daten in den Systemen verarbeitet werden. Sobald diese Daten exportiert werden, gibt es aber keine Möglichkeit, die Nutzungsrechte den Daten gleichsam mitzugeben. Nachdem ein privilegierter Nutzer mit beschränkten Nutzungsrechten die personenbezogenen Daten exportiert hat, stehen sie faktisch jedem Nutzer unbeschränkt zur Verfügung.

Hier sind Datenschutz Lösungen gefragt, damit Geschäftsprozesse, die einen Export der personenbezogenen Daten vorsehen, auch weiterhin in Übereinstimmung mit der neuen Gesetzgebung gelebt werden können. SECUDE bietet eine Lösung an, die die beschränkten Nutzungsrechte den exportierten personenbezogenen Daten mitgibt. Die in den SAP-Systemen definierten beschränkten Nutzungsrechte bleiben somit beim Export erhalten.

 

*http://www.computerwoche.de/a/folgen-der-dsgvo-fuer-unternehmen,3329998