In unseren vergangenen Beiträgen haben wir Ihnen bereits die rechtlichen Grundlagen der Datenschutzgrundverordnung (DSGVO) vorgestellt. Nun wird in dieser Reihe mit der Umsetzung in Office 365 auch der Schritt in die Praxis gelingen.
Teil 2: Berechtigungen und Protokollierung
Damit die Verarbeitung personenbezogener Daten nur autorisierten Personenkreisen zugänglich ist, vergeben Sie Berechtigungen für Personengruppen entsprechend der Positionen in Ihrem Unternehmen. Dazu besteht die Möglichkeit, sich an vorgegebenen Rollen zu orientieren oder eigene Regeln zu implementieren. Die so festgelegten Bedingungen sollten sich an der „Zweckbindung“ (vgl. Art. 5 Abs. 1b) orientieren, damit Mitarbeiter nicht absichtlich oder aus Versehen unberechtigten Zugang zu personenbezogenen Daten erhalten und damit potenziell entweder zu Sicherheitsrisiken oder gesetzeswidrigen Verarbeitungen führen. Bestimmten Nutzergruppen können dann zu vorher klassifizierten Daten eingeschränkte Rechte gewährt werden, die lediglich einen Lesezugriff, aber keine Bearbeitung ermöglichen. Der Zugang kann aber auch vollständig verwehrt werden.
Am meisten sorgen sich viele Geschäftsführer – oder zumindest ihre Administratoren – vor den Nachweispflichten (vgl. Art. 24 Abs. 1-3), die bei jedem Verarbeitungsvorgang (Vgl. Art. 4 Abs. 2) anfallen. Das Gesetz verlangt, dass alle Prozesse, bei denen personenbezogene Daten verarbeitet werden dokumentiert und protokolliert werden. Darunter fallen auch alltägliche Aktionen wie das Abspeichern oder das Hinzufügen eines Datensatzes in eine Datenbank. Immer wenn ein Mitarbeiter also eine Datei, die personenbezogene Daten enthält, öffnet und bearbeitet, dann muss ein Protokolleintrag mit den jeweiligen Aktionen angelegt werden. Wenn diese Nachweise nicht programmiert erfolgen, dann erhalten Ihre Mitarbeiter einen zusätzlichen Aufgabenberg, der händisch kaum zu bewältigen ist. In Office 365 können diese Dokumentationen jedoch automatisiert im Hintergrund ablaufen, ohne dass Ihre Mitarbeiter dafür auch nur einen Klick tätigen müssen. In der Überwachungsprotokollsuche haben die Administratoren dann ein Werkzeug zur Auswertung und Analyse der Tätigkeiten, die automatisch protokolliert werden.
Haftungsausschluss
Dieser Beitrag dient der Darstellung technischer Lösungsmöglichkeiten, er berührt aber auch juristische Problemstellungen. Es stellt ausdrücklich keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.
Die im Rahmen dieses Beitrags zur Verfügung gestellten Informationen halten wir nach Möglichkeit vollständig und aktuell. Wir können jedoch keinerlei Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen geben.
Der Beitrag kann jederzeit und ohne vorherige Ankündigung geändert, ergänzt oder gelöscht werden.
Falls der Beitrag direkte oder indirekte Links auf die Onlineangebote Dritter enthält, so übernehmen wir weder eine Verantwortung für den Inhalt dieser Angebote, noch für deren Richtigkeit, Aktualität oder Vollständigkeit. Wir haben keinerlei Einfluss auf den Inhalt oder die Gestaltung der Onlineangebote Dritter, daher liegt die Verantwortung für den Inhalt eines solchen Angebots stets bei dessen Betreiber bzw. Anbieter.
Views: 284