x Hilfe schließen

DSGVO und Zugriffskontrolle – So vermeiden Sie hohe Bußgelder

DSGVO und Zugriffskontrolle – So vermeiden Sie hohe Bußgelder

Im Oktober 2018 wurde ein Krankenhaus in Portugal von der zuständigen Datenschutzaufsichtsbehörde mit einem Bußgeld in Höhe von 400.000 Euro bestraft, weil nicht nur Ärzte Zugriff auf Patientendaten hatten. Insbesondere vor dem Hintergrund, dass es sich nicht um eine Datenpanne handelte und kein Missbrauch nachgewiesen wurde, ist dies ein beachtlich hohes Bußgeld.

Über den Autor

Andreas Hessel ist als Chief Information Security Officer langjähriger Leiter des Bereiches Informationssicherheit und Risikomanagement einer namhaften Bank. Als freier Autor veröffentlicht er regelmäßig praxisorientierte Fachbücher zu den Themen Awareness, Datenschutz und Informationssicherheit und ist gefragter Referent in den Bereichen Datenschutz und Cybersecurity.

Dieses Bußgeld zeigt sehr deutlich, dass die Aufsichtsbehörden die Anforderungen der DSGVO in Hinblick auf die technischen und organisatorischen Sicherheitsmaßnahmen (TOM) des Artikels 32 sehr ernst nehmen.

In diesem aktuellen Fall gab es keine wirksame und sachgerechte Zugriffskontrolle auf die sensiblen personenbezogenen Daten der Patienten. Spätestens jetzt sollten alle Unternehmen prüfen, inwieweit ihre Verfahren den datenschutzrechtlichen Anforderungen entsprechen. Denn es ist zu erwarten, dass die deutschen Aufsichtsbehörden dem Beispiel der portugiesischen Kollegen folgen und auch Unternehmen in Deutschland prüfen. Wobei jeder Geschäftsführer sich bewusst machen sollte, dass die DSGVO nicht nur für Krankenhäuser gilt.

Zugriffskontrolle: Das fordert der Gesetzgeber

Art. 32 DSGVO

… geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

  • b. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen (TOM/Zugriffskontrolle),
  • d. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Berechtigungsmanagement).

400.000 Euro Bußgeld: Das sind die Hintergründe

In dem Krankenhaus haben die Aufsichtsbehörden festgestellt, dass Servicekräfte, IT-Mitarbeiter, Administratoren und Dienstleister uneingeschränkt auf Patientenakten zugreifen konnten. Insgesamt 985 Benutzer hatten die Rechte von Ärzteprofilen, obwohl in dem Krankenhaus lediglich 298 Ärzte arbeiteten. Die Verantwortlichen hatten dabei Nutzern mit der Rolle „Techniker“ in den IT-Systemen Rechte eingeräumt, die eigentlich nur für Ärzte vorgesehen waren. Die Rolle „Techniker“ wiederum war unter anderem IT-Dienstleistern und Technikern zugeordnet.

Laut Krankenhausverwaltung waren diese Rollen für technische Tests eingerichtet worden. Inwieweit diese Rechte tatsächlich erforderlich waren, konnte nicht festgestellt werden. Angesichts der Tatsache, dass knapp 700 Personen unberechtigterweise auf sensible Krankenakten zugreifen können, ist dies ein schwerwiegender Verstoß gegen das in der DSGVO und dem BDSG geforderte Minimalprinzip.

Minimalprinzip und Zugriffskontrolle: Das müssen Sie wissen

Eine Zugriffskontrolle muss sicherstellen, dass nur berechtigte Personen auf die personenbezogenen Daten zugreifen können und damit den Missbrauch von Daten verhindern. Wobei die Zugriffskontrolle technisch durch detaillierte Berechtigungen in IT-Systemen (Zugang zum PC) und der genutzten Software (Zugriff auf Daten der Buchhaltung usw.) umgesetzt wird. Jeder Nutzer erhält einen Nutzernamen (Account) und ein individuelles Passwort.

Mit Berechtigungen wird dann gesteuert, welche Nutzer auf welche Daten zugreifen dürfen und in welchem Umfang sie diese Daten verarbeiten (lesen, schreiben, löschen) dürfen. Berechtigungen haben einen Lebenszyklus. Sie werden erstellt, geändert und gelöscht. Die Verwaltung von Berechtigungen über den gesamten Lebenszyklus muss in einem Berechtigungsmanagement prozessual gesteuert und überprüft werden.

Wichtig: Grundsätzlich ist bei der Vergabe von Berechtigungen das Minimalprinzip („need to know“) anzuwenden. Jeder Benutzer darf nur die Berechtigungen erhalten, die er zur Erledigung seiner Aufgaben benötigt.

Berechtigungsmanagement: Das müssen Sie beachten

Berechtigungen müssen über ihren gesamten Lebenszyklus hinweg verwaltet werden. Dies ist ein fortlaufender Prozess, der zumindest die nachfolgenden Prozessschritte enthalten muss:

  1. Beantragung (Neu/Änderung/Löschung)
    Eine Berechtigung muss schriftlich bei einer Führungskraft beantragt werden.
  2. Prüfung
    Die Führungskraft prüft, ob die Berechtigung sachgerecht ist und nicht zu anderen Berechtigungen im Widerspruch steht.
  3. Genehmigung
    Die Führungskraft genehmigt die Berechtigung und leitet den Antrag an die IT weiter.
  4. Einrichtung (IT-Systeme)
    Die IT richtet die Berechtigung auf dem Zielsystem ein.
  5. Rezertifizierung
    Zumindest einmal jährlich (oder ggf. anlassbezogen auch öfter) erhalten die Führungskräfte von der IT eine Übersicht über alle eingerichteten Berechtigungen ihrer Abteilung. Die Führungskräfte prüfen, inwieweit die Berechtigungen den Anforderungen entsprechen, und leiten ggf. erforderliche Änderungen an die IT weiter.

Fazit

Ohne eine wirksame Zugriffskontrolle verstößt ein Unternehmen gegen Art. 32 lit. b, d und riskiert damit erhebliche Bußgelder. Dieses Risiko kann nur mit einem sachgerechten Berechtigungsmanagement oder Identity and Access Management (IAM) minimiert werden. Wobei dies keinen statischen Prozess oder Einmalaufwand darstellt. Die Vergabe, Änderung und Löschung von Berechtigungen muss fortlaufend überwacht werden.

Ebenso ist die Funktionsfähigkeit des gesamten Berechtigungsmanagements regelmäßig zu prüfen. Dies stellt hohe Anforderungen an die internen Verfahren und Kontrollprozesse. Es ist höchste Zeit, dass sich auch deutsche Unternehmen dieser Herausforderung stellen und ihre internen Verfahren überprüfen. Andernfalls sind Bußgelder oder Datenpannen vorprogrammiert.

Bildquelle: Fotolia | #193909614

Das könnte Sie auch interessieren:
© 2019 TeachToProtect