Zugriffsberechtigungskonzept

Im Zusammenhang mit dem Datenschutz ergeben sich häufig auch eine Reihe von W-Fragen. Wie diese: Wer darf was von wem wann wie lange und warum sehen? Die Antworten stehen im Zugriffsberechtigungskonzept.

Nachfolgend liest du eine Kurzfassung, die dir den Einstieg ins Zugriffsberechtigungskonzept erleichtern soll. Eine längere Fassung kannst du beim drkserver-Team bekommen. Schreib dazu eine Mail mit dem Betreff "Zugriffsberechtigungskonzept" an support(at)drkserver(dot)org.

Anlegen von Mitgliedsakten

In der Mitgliederverwaltung des drkservers wird für jede Person eine Akte angelegt. Das Anlegen von Parallel- oder Testakten ist grundsätzlich nicht vorgesehen und nicht zulässig. Für Schulungs-und Testzwecke werden von berechtigten Personen gesonderte Datenbanken genutzt.

Eine Ausnahme stellen Personen dar, die auf LV-Ebene Benutzerrechte (hier v. a. Rechte für Administratorinnen und Administratoren) haben. Deren Rechte werden in eine Sonderakte (z. B. „ad.nachname“) angelegt. Somit wird ausgeschlossen, dass ein/e Administrator/in eines KVs oder OVs auf die Akte und die damit verbundenen Rechte einer LV-Administratorin oder eines LV-Administrators zugreifen kann, der oder die weitere Mitwirkungen auf KV-/OV-Ebene besitzt.

Musterrollen und deren Bearbeitung

Vor und bei den ersten Schritten hat dem drkserver ein Gremium geholfen. Das hießt Bundestagung drkserver. Sie hat 13 Musterrollen definiert. Im Zugriffsberechtigungskonzept wird eine Empfehlung ausgesprochen, für welche Tätigkeit welche Rolle vergeben werden soll. Die Musterrollen können durch die Administratorinnen und Administratoren für die jeweilige Verbandstufe bei Bedarf ausschließlich den Zugriff beschränkend bearbeitet werden. Diese Maßnahmen sollten dokumentiert werden (Name der Rolle, Rechte, Verwendungszweck). (Einen Vorschlag hierzu gibt es in der Langfassung.)

Vergabe von Benutzerrechten

Der Zugriff auf die Datenbank des drkservers wird durch ein Rollen- und Rechtesystem reglementiert. Dadurch wird sichergestellt, dass nur berechtigte Personen Daten einsehen können. Bei der Vergabe von Rollen ist darauf zu achten, dass eine Nutzerin oder ein Nutzer nur Daten einsehen darf, die zur Erfüllung ihrer/seiner Funktion erforderlich sind. Mehr dazu liest du unter Punkt 2.2 des Zugriffsberechtigungskonzeptes. Verändert sich die Aufgabe oder Funktion eines Nutzers oder einer Nutzerin, müssen die Zugriffsrechte angepasst werden.

Administratorinnen und Administratoren

Die Vergabe von Rollen und Rechten wird durch Administratorinnen und Administratoren vorgenommen. Das Präsidium, der Vorstand bzw. die Geschäftsführung ernennt und widerruft Administratorinnen und Administratoren schriftlich. Davon sollte die nächsthöhere Verbandsstufe jeweils formlos in Kenntnis gesetzt werden.

Dokumentation der Rollen- und Rechtevergabe

Die Vergabe von Zugriffsberechtigungen muss nachvollziehbar und aktuell sein. Es wird empfohlen, dies regelmäßig durch den/die Datenschutzbeauftragte/n der jeweiligen Gliederung oder in dessen/deren Auftrag durch eine/n zuständige/n Administrator/in prüfen zu lassen. Mehr dazu im Zugriffsberechtigungskonzept, Punkte 4 und 5.2.