12. Oktober 2009 - Datenschutz-Organisation

Welche Übersichten benötigt der DSB? (Teil 2)

Neben den amtlichen Formblattmustern für die gesetzlich vorgesehenen Übersichten sollte der Datenschutzbeauftragte weitere Informationsdatenbanken zur unternehmenseigenen Datenverarbeitung und zum Thema „Datenschutz“ führen. Welche Übersichten neben dem Verzeichnis der automatisierten Abrufverfahren, dem internen Verfahrensverzeichnis und dem Softwareregister noch wichtig und nützlich sind, lesen Sie hier.

praktische-ubersichten-fur-den-dsb-teil-2.jpeg
Neben den gesetzlich geforderten Übersichten sollte jeder DSB eigene Übersichten führen (Bild: Thinkstock)

(4) Verzeichnis der Benutzerrollen und User-Kataster

Dieses Verzeichnis dient zur Dokumentation aller Rollen für Benutzerberechtigungen pro Verfahren oder bei bestimmten Systemfunktionen verfahrensübergreifend. In manchen Unternehmen ist wegen der Vielzahl der Benutzer ein umfassendes Verzeichnis über alle Benutzerberechtigungen mengenmäßig an einer Stelle nicht mehr zu handhaben.

So empfiehlt es sich, jedem Anwender durch die Benutzerverwaltung die benötigten Rollen zuzuordnen. Die Zuordnung einer Rolle muss schriftlich durch einen dafür Verantwortlichen beantragt oder aufgehoben werden. Auch diese Verwaltungsdaten sind in die Dokumentation mit zu übernehmen.

Die Dokumentation einer Benutzerrolle sollte folgende Informationen enthalten:

  • Verfahren
  • Bezeichnung der Rolle
  • Privilegien der Rolle
  • Gültigkeitsdatum
  • Versionsnummer (Änderungen)
  • Berechtigung für die Ausführung folgender Transaktionen/Programmschritte/Programme
  • Anordnung durch (Name, Datum)
  • Erledigung durch (Name, Datum)
  • Änderung/Aufhebung der Rolle durch (Name, Datum)
  • Anordnung durch (Name, Datum)
  • Erledigung durch (Name, Datum)
  • Fundstelle für weitere Informationen über die Art der Rolle (Dokumentation)

Sortierfolge dieser Informationen: Alphabetisch nach dem Verfahrensnamen.

Zum 1. Teil der Reihe

Zugriffsprofil

Bei einer überschaubaren Mitarbeiteranzahl kann eine Zusammenstellung der Zugriffsprofile aller Mitarbeiter für die Kontrolle des Zugriffsschutzes von Vorteil sein. Diese Dokumentation unterstützt die Revisionsfähigkeit insoweit, als beliebig viele Zugriffsprofile eines Benutzers aus der Vergangenheit gespeichert werden können. Die Dokumentation sollte jeweils mit dem aktuellen oder dem zuletzt gültigen Zugriffsprofil (für ausgeschiedene Mitarbeiter) beginnen.

Die Dokumentation eines Benutzerzugriffsprofils sollte folgende Informationen enthalten:

  • Name (Vorname, Abteilung, Erreichbarkeit)
  • Verfahren
  • Zugelassene Rollen
  • Anordnung (Datum, durch)
  • Änderung/Entzug der Zugriffsberechtigungen (Rollen)
  • Anordnung (Datum, durch)
  • Gültigkeitsdatum
  • Version

Sortierfolge: Alphabetisch nach dem Namen, wobei die Zugriffsberechtigungen für weitere Verfahren anzufügen sind.

(5) Verzeichnis über die Fälle von Auftragsdatenverarbeitung (Servicekataster)

Der Datenschutzbeauftragte kann die Überwachung der Einhaltung der Vorgaben aus dem Datenschutzgesetz bei den diversen Fällen der Auftragsdatenverarbeitung nur dann zuverlässig wahrnehmen, wenn er über Art und Umfang aller externen Serviceleistungen unterrichtet ist.

Die Dokumentation einer Auftragsdatenverarbeitung sollte folgende Informationen enthalten:

  • Ordnungsmerkmal
  • Vertragsgegenstand
  • Auftragnehmer(Name, Anschrift, Ansprechpartner)
  • Vertragsdatum
  • Besonders vereinbarte Sicherheitsmaßnahmen
  • Höhe der vereinbarten Vertragsstrafe
  • Eventuelle Unterauftragnehmer (Name, Anschrift)
  • Auftragsumfang
  • Besondere Sicherheitsmaßnahmen
  • Vertragsdatum
  • Letzte Überprüfung der Zuverlässigkeit
  • Ergebnis und Fundstelle des Prüfungsberichts (Name des Überprüfenden, Datum)

(6) Problemregister

Im Problemregister (nach der Art der FAQ) sollten interne Datenschutzbeauftragte alle Probleme dokumentieren, die bei der Kontrolle der Einhaltung von Datenschutz- und Datensicherheitsmaßnahmen sowie sonstige im laufenden Betrieb aufgetretenen sind.

Drei Bereiche

Jedes Beispiel kann in einen Sachbereich eingeordnet werden. Das heißt, es werden drei Bereiche gebildet:

  • rechtlicher Bereich
  • organisatorischer Bereich
  • technischer Bereich

Prüfungsbemerkungen der Aufsichtsbehörde

Diese Art des Problemmanagements eignet sich natürlich auch, um die Prüfungsbemerkungen der Aufsichtsbehörde zu dokumentieren und die Mangelerledigung zu überwachen.

Formblattmuster für alle erwähnten Übersichten finden Sie im Word-Format im Werk „Datenschutz online„.

Dr. Horst G. Abel
Dr. Abel ist seit 2002 selbstständiger Unternehmensberater für Datenschutz und Datensicherheit.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln