Das Datenschutzgesetz wird immer umfassender. Wissen wir noch was wir für unsere tägliche Arbeit benötigen oder suchen wir uns die Informationen einfach selber zusammen?
Ihr wisst auf was ich hinaus möchte. Genau – das Need-to-Know Prinzip. Dasjenige Prinzip, dass der Schlüssel ist zur Gewährleistung der Integrität und Vertraulichkeit innerhalb eines Unternehmens. Was bedeutet das?
Der Grundsatz zur Datenbearbeitung gehört zu den Grundsätzen der Integrität und Vertraulichkeit, welche auch im Datenschutzgesetz geregelt sind. Dabei wird genannt, dass personenbezogene Daten nur bearbeitet werden dürfen, wenn die Integrität und Vertraulichkeit gewährleistet ist. Dabei gilt es zu bedenken, dass unbefugte keinen Zugriff auf Daten erhalten, welche sie für ihre tägliche Arbeit gar nicht benötigen. Ich spreche hier also von unbefugtem Zugriff innerhalb des Unternehmens, nicht nur von Ausserhalb. Beispielsweise macht es keinen Sinn, dass Mitarbeiter:innen, welche ausserhalb des Human Ressource Management (HR) arbeiten, Zugriff auf Personaldaten erhalten. Das Unternehmen muss also entsprechend Handeln und geeignete technische und organisatorische Massnahmen (TOM’s) errichten um die Integrität und Vertraulichkeit der Daten zu gewährleisten.
Berechtigungskonzepte wozu?
Nach diesem sogenannten Need-to-know Prinzip heisst es also Berechtigungskonzepte zu erstellen. Wofür sind den die Berechtigungskonzepte? Mittels den Berechtigungskonzepten kann für jedes System pro Organisation (Abteilung) definiert werden, welche Zugriffe die jeweiligen Mitarbeiter:innen für ihre tägliche Arbeit benötigen. Jede Organisation erhält somit das Minimum an Zugriff das benötigt wird um ihre Arbeiten auszuführen (tätigkeitsbezogener Zugriff). Somit schützen wir personenbezogene Daten von unbefugten Zugriffen. Nicht nur das, wir können damit auch definieren welche Mitarbeiter:innen personenbezogene Daten bearbeiten, lesen oder löschen können. Je mehr personenbezogene Daten in einem System vorhanden sind, desto detaillierter sollte der differenzierungsgrad sein bei der Berechtigungserstellung und umso eingeschränkter der «Teilnehmerkreis».
Datendemokratie
Nun aber möchte ich noch ein neuer Begriff in die Runde werfen. Was ist mit Datendemokratie. Der heutige Trend liegt darin, dass jedes Unternehmen eine Datenstrategie entwickeln möchte und hierbei sicherlich zumindest einmal über den Begriff Datendemokratie stolpern wird. Nun, Datendemokratie bedeutet, Daten untereinander zu teilen oder wie es auch unter Google «Datendemokratie Definition» zu finden ist:
„Der Begriff Datendemokratie soll implizieren, dass möglichst viele Mitarbeiter die Autorität und die Fähigkeit bekommen, auf Unternehmensdaten zuzugreifen, sie zu verstehen und wertschöpfend nutzen zu können“.
Wir sollen also als Unternehmen unsere Mitarbeiter:innen Selbstvertrauen schenken und sie dazu befähigen sich selber aus den Systemen diejenigen Informationen herauszusuchen die sie benötigen? Ich lasse das hier mal so stehen. Was denkt ihr darüber?
FAZIT
Als Unternehmensführer würde ich also darauf achten, dass meine Mitarbeiter:innen nur Zugriff auf personenbezogene Daten erhalten, wenn sie diesen auch für ihre tägliche Arbeit benötigen. Das Need-to-know Prinzip ist hierbei genau das, was benötigt wird um zumindest ein Teil des DSG (Integrität und Vertraulichkeit) umzusetzen, dass mit der Datendemokratie überlegen wir uns wohl noch ein wenig. Weitere Recherchen könnten uns sicherlich noch auf eine interessante Fährte führen. 😉