Einen weiteren Baustein des Standard-Datenschutzmodells SDM-V2.0b hat jetzt der Arbeitskreis Technik der Datenschutzbeaufragten des Bundes und der Länder verabschiedet. Es handelt sich um den Baustein „Zugriff auf Daten, Systeme und Prozesse regeln“.
Er ist mit 23 Seiten der bislang umfangreichste Teil der SDM-Reihe und behandelt das anspruchsvolle Problem, die Zweckbindung einer Verarbeitungstätigkeit sicherzustellen, ausgehend von den einzelnen Prozessen und Rollen im Kontext einer Verarbeitungstätigkeit (Geschäftsprozess, Fachverfahren) bis zu den technischen Zugriffsrechten an Daten, Dateien, Verzeichnissen, IT-Systemen oder Prozessen.
Ein „fachliches Rollen- und Zuständigkeitkonzept“ (RZK) wird von einem „technischen Rollen und Berechtigungskonzept“ (RBK) unterschieden. Der Verantwortliche muss Verarbeitungsvorgänge in einem fachlichen Rollen- und Zuständigkeitskonzept für Geschäftsprozesse (RZK) festlegen und diese in einem technischen Rollen- und Berechtigungskonzept für Systeme und Dienste (RBK) abbilden.
Im RZK müssen die Verarbeitungsvorgänge mit ihren Aktivitäten, aus denen sich die Verarbeitungstätigkeit zusammensetzen, die Funktionen und Aufgaben, bspw. geordnet nach Organisationseinheiten (z. B. Abteilungen, Referate) sowie innerhalb dieser, und für die Erledigung von Aufgaben die Prozessrollen mit ihren Zuständigkeiten definiert und dokumentiert werden. Dabei sollte auf übliche, branchentypische Rollenbezeichnungen („Sachbearbeitung“, „Leitung Personalverwaltung“, „Administration Betriebssysteme“ usw.) zurückgegriffen werden.
Im RBK müssen die Benutzerrollen mit ihren Berechtigungen und die entsprechende technische Abbildung in den Systemen und Diensten definiert sowie dokumentiert werden. Zur Differenzierung von Verantwortlichkeit und Zuständigkeiten wird die Nutzung der RACI- bzw. RASCI-Methode empfohlen, die sich zur Analyse und Darstellung von Verantwortlichkeiten bewährt hat.
Damit stehen insgesamt neun Bausteine zur Umsetzung der operativen Anforderungen der DSGVO zur Verfügung, die unter den deutschen Datenschutzaufsichtsbehörden abgestimmt sind. Der Baustein ist auf der Webseite des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern veröffentlicht.