Datenschutz_3_Schlösser__pixabay_-_madartzgraphics_.png Foto: pixabay
Das ZugriffsberechtigungskonzeptDas Zugriffsberechtigungskonzept

Sie befinden sich hier:

  1. Support & Service
  2. Service
  3. Datenschutz
  4. Das Zugriffsberechtigungskonzept

Zugriffsberechtigungskonzept

Sebastian Driemer

Dein Ansprechpartner für

Schulungen
Datenschutz
Öffentlichkeitsarbeit

Tel.: 0251/9739-600
Mail: support@drkserver.org

Im Zusammenhang mit dem Datenschutz ergeben sich häufig auch eine Reihe von W-Fragen. Wie diese: Wer darf was von wem wann wie lange und warum sehen? Die Antworten stehen im Zugriffsberechtigungskonzept.

Die offizielle Langfassung findest du im drkserver-Handbuch zum Nachlesen und als pdf zum Herunterladen.

Nachfolgend liest du eine Kurzfassung, die dir den Einstieg ins Zugriffsberechtigungskonzept erleichtern soll. Sie ist kein Ersatz für die offizielle Version.

Anlegen von Mitgliedsakten

In der Mitgliederverwaltung des drkservers wird für jede Person eine Akte angelegt. Das Anlegen von Parallel- oder Testakten ist grundsätzlich nicht vorgesehen und zulässig. Für Schulungs-und Testzwecke werden von berechtigten Personen gesonderte Datenbanken genutzt. Eine Ausnahme stellen Personen dar, die auf LV-Ebene Benutzerrechte (hier v. a. Administrator*innenrechte) haben. Deren Rechte werden in eine Sonderakte (z. B. „ad.nachname“) angelegt. Somit wird ausgeschlossen, dass ein*e KV-/OV- Administrator*in auf die Akte und die damit verbundenen Rechte einer LV-Administratorin oder eines LV-Administrators zugreifen kann, der oder die weitere Mitwirkungen auf KV-/OV-Ebene besitzt.

Musterrollen und deren Bearbeitung

Die Bundestagung drkserver hat 13 Musterrollen definiert. Im Zugriffsberechtigungskonzept wird eine Empfehlung ausgesprochen, für welche Tätigkeit welche Rolle vergeben werden soll. Die Musterrollen können durch die Administrator*innen für die jeweilige Verbandstufe bei Bedarf ausschließlich den Zugriff beschränkend bearbeitet werden. Diese Maßnahmen sollten dokumentiert werden (Name der Rolle, Rechte, Verwendungszweck). (Einen Vorschlag hierzu gibt es in der Langfassung.)

Vergabe von Benutzerrechten

Der Zugriff auf die Datenbank des drkservers wird durch ein Rollen- und Rechtesystem reglementiert. Dadurch wird sichergestellt, dass nur berechtigte Personen Daten einsehen können. Bei der Vergabe von Rollen ist darauf zu achten, dass ein*e Nutzer*in nur Daten einsehen darf, die zur Erfüllung ihrer/seiner Funktion erforderlich sind (vgl. Punkt 2.2 des Zugriffsberechtigungskonzeptes). Verändert sich die Aufgabe oder Funktion eines Nutzers oder einer Nutzerin, müssen die Zugriffsrechte angepasst werden.

Administrator*innen

Die Vergabe von Rollen und Rechten wird durch Administrator*innen vorgenommen. Das Präsidium, der Vorstand bzw. die Geschäftsführung ernennt und widerruft Administrator*innen schriftlich. Eine entsprechende Vorlage ist Teil des Zugriffsberechtigungskonzeptes und kann auf Anfrage von LV oder Kompetenzzentrum drkserver zur Verfügung gestellt werden. Das Kompetenzzentrum wird über die Ernennung/den Widerruf in Kenntnis gesetzt, bei KV-Administrator*innen zusätzlich der LV.

Dokumentation der Rollen- und Rechtevergabe

Die Vergabe von Zugriffsberechtigungen muss nachvollziehbar und aktuell sein. Es wird empfohlen, dies regelmäßig durch den/die Datenschutzbeauftragte*n der jeweiligen Gliederung oder in dessen/deren Auftrag durch eine*n zuständige*n Administrator*in prüfen zu lassen (vgl. Punkte 4 und 5.2 des Zugriffsberechtigungskonzeptes).