Die Vergabe und Kontrolle von Zugriffsberechtigungen ist ein zentrales Element des Datenschutzes in sozialwirtschaftlichen Einrichtungen, da sie unmittelbar darüber entscheidet, wer auf personenbezogene Daten zugreifen darf und wer nicht. Der Zugriff auf Daten muss nach den Grundsätzen der Vertraulichkeit, Integrität und Zweckbindung organisiert sein, wie sie in Art. 5 Abs. 1 DSGVO geregelt sind. Nur Personen, die für die jeweilige Aufgabe zwingend auf bestimmte Informationen angewiesen sind, dürfen diese einsehen oder verarbeiten. Es handelt sich hierbei um das sogenannte Need-to-know-Prinzip, das bedeutet, dass nicht jeder Mitarbeitende pauschal Zugriff auf alle Daten haben darf, sondern nur auf diejenigen, die für die eigene Tätigkeit erforderlich sind. In der Praxis betrifft das unter anderem die elektronische Klientenakte, das Personalverwaltungssystem, die Dokumentation im Rahmen von Hilfen zur Erziehung oder medizinische Unterlagen in Pflegeeinrichtungen.

Die Vergabe von Zugriffsrechten muss dokumentiert, regelmäßig überprüft und nachvollziehbar organisiert sein. Verantwortlich hierfür ist die Leitung der Einrichtung, die sicherzustellen hat, dass technische und organisatorische Maßnahmen zum Schutz der Daten gemäß Art. 32 DSGVO umgesetzt werden. Dazu zählt insbesondere die Einrichtung eines Berechtigungskonzepts, das in Form eines verbindlichen Verfahrensplans festlegt, wie Rollen definiert, Zugriffsrechte vergeben, geändert oder entzogen werden. Ein häufiges Problem in der Praxis ist, dass einmal eingeräumte Berechtigungen nicht angepasst werden, etwa wenn Mitarbeitende die Abteilung wechseln oder aus dem Unternehmen ausscheiden. In solchen Fällen bleiben oft unnötige oder unzulässige Zugriffsmöglichkeiten bestehen, was ein erhebliches Datenschutzrisiko darstellt und zu meldepflichtigen Vorfällen führen kann.

Auch öffentliche Träger machen in diesem Bereich immer wieder gravierende Fehler. So kommt es vor, dass Verwaltungsmitarbeitende auf komplette elektronische Fallakten Zugriff haben, obwohl sie lediglich für Abrechnungsaufgaben zuständig sind. In anderen Fällen erhalten Dritte – etwa Honorarkräfte oder Praktikantinnen – Zugriff auf Systeme, ohne dass vorher geprüft wurde, ob und in welchem Umfang dies überhaupt datenschutzrechtlich zulässig ist. Solche Missstände zeigen, dass das Thema Zugriffsberechtigung in vielen Organisationen noch immer unterschätzt wird. Ein weiteres Problem liegt in der unzureichenden Absicherung technischer Systeme, etwa wenn Mitarbeitende ihre Zugangsdaten nicht geheim halten, Kennwörter zu schwach sind oder Computerarbeitsplätze unbeaufsichtigt bleiben.

Die Einrichtung eines effektiven Berechtigungskonzepts ist daher zwingend erforderlich, um den Anforderungen der DSGVO gerecht zu werden. Dieses Konzept sollte unter anderem festlegen, wer für die Vergabe der Rechte zuständig ist, wie neue Berechtigungen beantragt werden, wann Rechte automatisch entzogen werden und wie regelmäßig überprüft wird, ob die Rechte noch aktuell sind. Darüber hinaus sollten alle Mitarbeitenden über die datenschutzrechtlichen Grundlagen der Zugriffsvergabe informiert und regelmäßig geschult werden. Die IJOS Datenschutzmanagement-Software (DSM) unterstützt Einrichtungen dabei, Berechtigungskonzepte zu dokumentieren, Rollenprofile zu hinterlegen und Zugriffsverläufe zu analysieren. Auf diese Weise kann jederzeit nachgewiesen werden, wer wann auf welche Daten Zugriff hatte und ob dieser Zugriff gerechtfertigt war.

In bestimmten Fällen, etwa bei umfangreichen Verarbeitungstätigkeiten mit besonders sensiblen Daten oder automatisierten Zugriffssystemen, kann auch eine Datenschutz-Folgenabschätzung erforderlich sein. Die IJOS DSM enthält hierfür ein eigenes Modul, das Verantwortliche bei der Risikoanalyse und der Bewertung von technischen Maßnahmen unterstützt. Eine datenschutzkonforme Zugriffsregelung ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, der technische, organisatorische und menschliche Aspekte miteinander verbindet. Nur wer diesen Prozess konsequent umsetzt, schützt nicht nur die Daten der Betroffenen, sondern auch die eigene Organisation vor Haftungsrisiken, Imageschäden und aufsichtsbehördlichen Sanktionen.