Eine – derzeit noch nicht rechtskräftige – jüngere Entscheidung der portugiesischen Aufsichtsbehörde verdeutlicht einmal mehr die Bedeutung des Vorliegens eines Rechte- und Rollenkonzepts. Die Aufsichtsbehörde hat Ende 2018 dem Krankenhaus Barreiro Montijo in Barreiro Nahe Lissabon eine Verwaltungsstrafe von gesamt EUR 400.000 auferlegt. Konkret hatte ein Kreis von 9 nichtmedizinischen Mitarbeitern des Krankenhauses über einen „Technikerzugang“ im System Zugriff auf Patientendaten, welche nur von den behandelnden Ärzten hätten eingesehen werden dürfen. Zudem gab es gesamt 958 aktive Ärztezugänge im System, aber nur 296 aktive Ärzte im Krankenhaus. Die portugiesische Aufsichtsbehörde sah durch diese Missstände die Grundsätze Integrität und Vertraulichkeit (Schutz vor unbefugter und unrechtmäßiger Verarbeitung; Schutz vor Verlust, Vernichtung, Veränderung von Daten) und Datenminimierung (Verarbeitung lediglich der zur Zweckerzielung notwendigen Daten, Beschränkung des Umfangs der Verarbeitung) verletzt, zudem sah sie die Anforderungen des Art. 32 DSGVO (Datensicherheit) aufseiten des Verantwortlichen als nicht umgesetzt und entschied sich für Sanktionen in Form von Geldbußen für die Verstöße, welche sich auf gesamt EUR 400.000 summieren.
Hätte sich das Krankenhaus in ausreichendem Maß Gedanken über notwendige Berechtigungsumfänge der Mitarbeiter/Dienstnehmer - einem sogenannten Berechtigungs- und Rollenkonzept - gemacht, und hätte es Berechtigungen entsprechend den Aufgaben der Mitarbeiter zugeteilt und aktuell gehalten, wäre unbefugten Personen wohl kein Zugriff auf Patientendaten möglich gewesen und es wäre auch keine so große Diskrepanz im Verhältnis aktiver Nutzerkonten zur Anzahl an Mitarbeitern entstanden. Die hohe Geldstrafe hätte durchaus vermieden werden können.
Was gilt es beim Berechtigungsmanagement zu beachten? Berechtigungen für Datenzugriffe in sämtlichen Anwendungen und Systemen sollten immer nur auf „need-to-know“ Basis erteilt werden, den einzelnen Mitarbeitern oder Mitarbeitern mit gleicher Aufgabe (sog. Rollen) sollten nur der Zugriff auf diejenigen personenbezogenen Daten ermöglicht werden, die diese für die Erfüllung ihrer Aufgaben auch unbedingt benötigen. Die Verteilung der Rollen und Berechtigungen sollte aus Nachweisgründen immer schriftlich dokumentiert werden. Es sollte auch definiert werden, wie weit die einzelnen Berechtigungen im Detail reichen (Daten lesen/Daten erfassen/Daten ändern und löschen). Sinnvoll ist auch zu dokumentieren, wer in welchem Umfang Rechte erteilen darf/soll und wie die Prozesse hierfür aussehen (Vieraugenprinzip, etc.) Zuletzt sollte die Auseinandersetzung mit Berechtigungen eine fortlaufende Aufgabe für den Verantwortlichen sein, Augenmerk sollte immer auf Aktualität gelegt werden - so sind etwa nicht mehr benötigte Profile zu löschen bzw. zu deaktivieren.
Ein Rechte- und Rollenkonzept sollte im Sinne der Herstellung eines risikoangemessenen Schutzniveaus jedes von der DSGVO betroffene Unternehmen/jede Organisation/jeder Verein erstellen und umsetzen, unabhängig von der Größe. Besondere Bedeutung kommt dem Ganzen natürlich zu, wenn man Verarbeitungstätigkeiten durchführen muss, die ein höheres Risiko für Betroffene darstellen (z.B. umfassende Verarbeitung von Gesundheitsdaten). Gewährt man allen Mitarbeitern ohne Unterscheidung Zugriff auf alle Daten, gelangt man schnell zu Verstößen der DSGVO, was empfindlich teuer werden kann.
