Datenschutz_3_Schlösser__pixabay_-_madartzgraphics_.png Foto: pixabay

Sie befinden sich hier:

  1. Support & Service
  2. Service
  3. Datenschutz
  4. Das Zugriffsberechtigungskonzept

Zugriffsberechtigungskonzept

Sebastian Driemer

Dein Ansprechpartner für

Schulungen
Datenschutz
Öffentlichkeitsarbeit

Tel.: 030/85 40 45 43
Mail: support@drkserver.org

Im Zusammenhang mit dem Datenschutz ergeben sich häufig auch eine Reihe von W-Fragen. Wie diese: Wer darf was von wem wann wie lange und warum sehen? Die Antworten stehen im Zugriffsberechtigungskonzept.

Die offizielle Langfassung findest du im drkserver-Handbuch zum Nachlesen und als pdf zum Herunterladen.

Nachfolgend liest du eine Kurzfassung, die dir den Einstieg ins Zugriffsberechtigungskonzept erleichtern soll. Sie ist kein Ersatz für die offizielle Version.

Anlegen von Mitgliedsakten

In der Mitgliederverwaltung des drkservers wird für jede Person eine Akte angelegt. Das Anlegen von Parallel- oder Testakten ist grundsätzlich nicht vorgesehen und nicht zulässig. Für Schulungs-und Testzwecke werden von berechtigten Personen gesonderte Datenbanken genutzt.

Eine Ausnahme stellen Personen dar, die auf LV-Ebene Benutzerrechte (hier v. a. Rechte für Administratorinnen und Administratoren) haben. Deren Rechte werden in eine Sonderakte (z. B. „ad.nachname“) angelegt. Somit wird ausgeschlossen, dass ein/e Administrator/in eines KVs oder OVs auf die Akte und die damit verbundenen Rechte einer LV-Administratorin oder eines LV-Administrators zugreifen kann, der oder die weitere Mitwirkungen auf KV-/OV-Ebene besitzt.

Musterrollen und deren Bearbeitung

Die Bundestagung drkserver hat 13 Musterrollen definiert. Im Zugriffsberechtigungskonzept wird eine Empfehlung ausgesprochen, für welche Tätigkeit welche Rolle vergeben werden soll. Die Musterrollen können durch die Administratorinnen und Administratoren für die jeweilige Verbandstufe bei Bedarf ausschließlich den Zugriff beschränkend bearbeitet werden. Diese Maßnahmen sollten dokumentiert werden (Name der Rolle, Rechte, Verwendungszweck). (Einen Vorschlag hierzu gibt es in der Langfassung.)

Vergabe von Benutzerrechten

Der Zugriff auf die Datenbank des drkservers wird durch ein Rollen- und Rechtesystem reglementiert. Dadurch wird sichergestellt, dass nur berechtigte Personen Daten einsehen können. Bei der Vergabe von Rollen ist darauf zu achten, dass eine Nutzerin oder ein Nutzer nur Daten einsehen darf, die zur Erfüllung ihrer/seiner Funktion erforderlich sind. Mehr dazu liest du unter Punkt 2.2 des Zugriffsberechtigungskonzeptes. Verändert sich die Aufgabe oder Funktion eines Nutzers oder einer Nutzerin, müssen die Zugriffsrechte angepasst werden.

Administratorinnen und Administratoren

Die Vergabe von Rollen und Rechten wird durch Administratorinnen und Administratoren vorgenommen. Das Präsidium, der Vorstand bzw. die Geschäftsführung ernennt und widerruft Administratorinnen und Administratoren schriftlich. Eine entsprechende Vorlage ist Teil des Zugriffsberechtigungskonzeptes und kann auf Anfrage von LV oder drkserver-Team zur Verfügung gestellt werden. Das drkserver-Team wird über die Ernennung/den Widerruf in Kenntnis gesetzt, bei Administratorinnen und Administratoren von Kreisverbänden zusätzlich der LV.

Dokumentation der Rollen- und Rechtevergabe

Die Vergabe von Zugriffsberechtigungen muss nachvollziehbar und aktuell sein. Es wird empfohlen, dies regelmäßig durch den/die Datenschutzbeauftragte/n der jeweiligen Gliederung oder in dessen/deren Auftrag durch eine/n zuständige/n Administrator/in prüfen zu lassen. Mehr dazu im Zugriffsberechtigungskonzept, Punkte 4 und 5.2.