Berechtigungskonzept

Personendaten dürfen soweit bearbeitet werden, als es zur Erfüllung der Aufgabe erforderlich ist. In einem Spital, in einer grossen Dienststelle wie der Kantonspolizei, der Sozialhilfe oder der IV-Stelle ist es deshalb unzulässig, wenn alle Mitarbeitenden auf alle Daten über die Klientinnen und Klienten zugreifen können.

Ausgangslage

Überraschung Noch immer sind zahlreiche Dateneigner überrascht, wenn ihnen aufgezeigt wird, wer alles in welchem Umfang auf «ihre» Daten zugreifen kann. Ihre Verantwortung für den datenschutzkonformen Umgang mit «ihren» Daten ist den wenigsten Dateneignern bewusst – kein Wunder, denn in der Regel stehen bei Informatikprojekten die fachlichen Aspekte im Vordergrund: Sicherheitsüberlegungen werden häufig auf die lange Bank geschoben, nur am Rande oder gar nicht berücksichtigt. Das hat auch zur Folge, dass die Frage, wer zu welchem Zeitpunkt und zu welchem Zweck auf welche Information zugreifen darf, in vielen Fällen nicht oder zu spät gestellt wird.

Kosten Dabei sollten gerade Fragen zur Sicherheit, zu welchen u.a. auch eine angemessene Zugriffsteuerung gehört, und dem zuverlässigen Betrieb einer Informatiklösung bereits zu Beginn eines Projektes grundlegend geklärt sein, im Verlauf des Projektes konkretisiert werden und im «laufenden Betrieb» nur verifiziert und nötigenfalls verbessert werden. Diverse Aspekte der Sicherheit haben eine Gemeinsamkeit: Ein umfassendes «Nachrüsten» der Sicherheitsmechanismen hat meist massive Kostenfolgen oder ist gar unmöglich.

Nutzen Von allfälligen Kostenfolgen bei Informatikprojekten abgesehen: Muss man sich diese Überlegungen wirklich machen, auch bei bereits bestehenden und schon etablierten Informatiksystemen? «Es ging doch bisher auch ohne», die Nutzung dieser Informatiksysteme funktioniert weitestgehend. Wieso sollte man nun plötzlich anfangen, Zuständigkeiten in sogenannten Berechtigungskonzepten zu definieren?
 

nach oben

Vom warum...

Differenzierung Je komplexer die Aufgaben der Dienststellen bzw. die unterstützenden Informatiksysteme werden und je umfangreicher und vernetzter die Daten, welche zur Erfüllung dieser Aufgaben benötigt werden, umso schwieriger lässt sich die Frage nach den Zuständigkeiten und nach der Verantwortung für die einzelnen Datenbearbeitungen beantworten. Wer benötigt welche Daten für welche Aufgabenerfüllung? Und wer trägt letztendlich die Verantwortung für die Datenbearbeitungsvorgänge innerhalb der Dienststellen? In der Regel wird die Frage nach dem «wer benötigt die Daten wozu» ganz allgemein beantwortet: Die jeweilige Dienststelle bearbeitet ausschliesslich die Informationen, für deren Bearbeitung sie eine gesetzliche Grundlage hat. Da muss doch nicht wirklich noch weiter, d.h. nach einzelnen Mitarbeiterinnen und Mitarbeitern oder Funktionen innerhalb der Organisation differenziert werden. Oder etwa doch?

Arbeitsinstrument Überlegungen dazu, wer zu welchem Zweck auf welche Daten zugreifen darf, lohnen sich durchaus, wenn daraus ein sorgfältig durchdachtes sogenanntes Berechtigungskonzept als Arbeitsinstrument resultiert: Für die Mitarbeiterinnen und Mitarbeiter hat das Berechtigungskonzept den Vorteil, dass Unklarheiten vermieden und Kompetenzen geklärt werden können. Die Frage, ob jemand auf bestimmte Daten zugreifen darf, wurde bereits im Vorfeld (nämlich bei der Ausarbeitung des Berechtigungskonzepts) geklärt. Den Verantwortlichen, d.h. den jeweiligen Vorgesetzten oder gar den Dateneignern, zeigt das Berechtigungskonzept klar auf, wer wofür zuständig ist, und erlaubt damit eine sorgfältige und zielgerichtete Kontrolle der Datenbearbeitungsvorgänge – Verantwortung kann letztendlich nur wahrgenommen werden, wenn überhaupt bekannt ist, wofür man die Verantwortung trägt.

Gesetzliche Vorgaben Dass die Frage nach der Verantwortung für das Bearbeiten von Personendaten nicht völlig aus der Luft gegriffen ist, zeigt im Übrigen ein Blick ins Gesetz: § 9 IDG hält fest, dass ein öffentliches Organ nur jene Personendaten bearbeiten darf, welche es zur Aufgabenerfüllung (im Falle besonderer Personendaten: zwingend) benötigt. Rechtmässigkeit und Verhältnismässigkeit sind hier die Stichworte, welche es zu beachten gilt. § 6 IDG wiederum hält fest, dass die Verantwortung für den Umgang mit Informationen von demjenigen öffentlichen Organ getragen wird, welches die Informationen zur Erfüllung seiner gesetzlichen Aufgaben bearbeitet – eine Verantwortung, welche beispielsweise auch für die Informationssicherheit übernommen werden muss (§ 8 IDG). Bei den Anforderungen an die Systeme gilt es ausserdem zu beachten, dass durch angemessene Massnahmen die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit, Zurechenbarkeit und Nachvollziehbarkeit (§ 8 Abs. 2 IDG) gewährleistet werden müssen. Die Steuerung der Zugriffe stellt für einige dieser Schutzziele eine zentrale Massnahme dar. Gerade die Angaben in § 8 IDG zur Informationssicherheit beziehen sich nicht ausschliesslich auf den Datenschutz, diese sind für jegliche Bearbeitung von Informationen einzuhalten.

nach oben

...zum wie

Begriff des Berechtigungskonzepts Was ist also unter einem Berechtigungs-konzept zu verstehen? Die Terminologie ist oftmals uneinheitlich, überschneidet sich und lässt regelmässig auch grosse Interpretationsspielräume: So kann beispielsweise das Berechtigungskonzept als ein Bestandteil eines Identity and Access Management (IAM) verstanden werden. Wie auch immer das Konzept genannt und wo auch immer es eingeordnet werden soll – das Berechtigungskonzept, wie es im vorliegenden Fall interpretiert werden soll, muss einen Soll-Zustand skizzieren. Enthalten sein sollen die Voraussetzungen, Grundsätze, Regeln und Prozesse für eine sichere und gesetzeskonforme Steuerung der Zugriffe auf Systeme und der damit verarbeiteten Informationen.

Abstraktion Generell muss der Fachbereich in die Lage versetzt werden, seine Verantwortung bei der Umsetzung, dem späteren Betrieb und der Kontrolle der effektiven Berechtigungen wahrzunehmen. Das bedingt unter anderem, dass eine Abstraktionsebene («Flughöhe») gefunden werden muss, welche für die Umsetzung klar genug ist und den Fachbereich vor unnötigen Details «schützt». Es wird dem Fachbereich nicht möglich sein, mit Listen von mehreren hundert Einträgen, welche die Zugriffe auf einzelne Informationsinhalte aufzeigen und im schlechtesten Fall technische Bezeichnungen enthalten, die Korrektheit zu verifizieren.

Verschiedene Blickwinkel Ausserdem erscheint es nicht sinnvoll, ein Berechtigungskonzept ausschliesslich aus dem «Blickwinkel» Datenschutz zu erstellen. Auch Aspekte der Finanzen (ordnungsgemässe Rechnungslegung), der öffentlichen Sicherheit oder der Sicherheit Einzelner, der freien Meinungs- und Willensbildung der öffentlichen Organe, der Behinderung der Durchführung konkreter behördlicher Massnahmen o.a. können einen Einfluss auf den «Schutzbedarf» der Informationen haben.

Pflege Neben den effektiven Zugriffsberechtigungen ist auch den Prozessen für das Zuteilen, Anpassen und Entziehen von Berechtigungen eine wichtige Bedeutung beizumessen. Gerade bei Systemen mit «sensitiven» Informationen erscheint es zweckmässig, in einem klar definierten Prozess regelmässig zu überprüfen, ob das Berechtigungskonzept noch korrekt ist und die zugewiesenen Zugriffsberechtigungen den aktuellen Aufgabenverteilungen immer noch entsprechen. Diese Überprüfung obliegt dem Fachbereich und muss ebenfalls nachvollziehbar, d.h. protokolliert sein.
 

nach oben

Detail-Überlegungen

Schutzbedarfsanalyse Die treibenden Faktoren bei der Gestaltung des Berechtigungskonzepts sind zweifelsohne der Schutzbedarf, die Grösse der Datensammlung und die Anzahl der Benutzer, welche diese Informationen bearbeiten. So erscheint es für ein System, auf welches fünf Benutzer Zugriff haben, nicht zweckmässig, ein umfassendes Berechtigungskonzept zu erstellen. Die weiteren Massnahmen zum Schutz der Informationen müssen selbstverständlich (abhängig vom Schutzbedarf, Bedrohungen und Schwachstellen) auch in einem System mit wenigen Benutzern berücksichtigt werden.

Need-to-Know-Prinzip Ein wichtiger Grundsatz bei der Steuerung der Zugriffs-rechte ist die Überlegung, dass jeder Benutzer (und auch jeder Administrator etc.) nur auf jene Datenbestände zugreifen und jene Programme ausführen können soll, die er für seine Arbeit (Aufgabe) auch wirklich benötigt (das «Need-to-Know-Prinzip»).
Regeln und Ausnahmen Sinnvoll erscheint es, mittels genereller Regeln (beispielsweise mit Rollenkonzepten) die Berechtigungen zu gruppieren und die Benutzer den vordefinierten Gruppen zuzuordnen. In vielen Fällen werden so jedoch nicht alle Berechtigungen vergeben werden können. Es wird immer wieder Fälle geben, bei welchen Mitarbeitende zeitlich beschränkt (Projekte, Stellvertretung usw.) oder unbeschränkt Aufgaben übernehmen, welche mit den definierten Gruppen nicht abgebildet werden können. Hier ist es wichtig, dass das Benutzerkonzept die Mechanismen und Regeln für diese Fälle ebenfalls definiert.
Organisationsmanagement Je komplexer die Struktur einer Dienststelle oder Abteilung, umso wichtiger wird auch die Verwaltung der Organisationszugehörigkeit der Mitarbeitenden. Wird diese Information zuverlässig bearbeitet, kann sie für die Zuweisung oder Verifizierung von Berechtigungen wertvolle Dienste leisten: Sie kann für Mechanismen bei (automatisierten) Stellvertretungsregeln verwendet werden, kann die Basis darstellen für «prozessabhängige» Zuweisung von Zugriffsrechten (Zuweisung zu einer Gruppe/Abteilung satt Einzelperson) oder kann die Kontrolle der aktuellen Berechtigungen für Linienvorgesetzte vereinfachen.

Kontrollen als flankierende Massnahmen Unter Umständen ist eine angemessene Steuerung von Zugriffsrechten schlicht nicht möglich. In der Folge kann beispielsweise eine Benutzerin massiv mehr Daten einsehen, als sie für die Erfüllung ihrer Aufgabe benötigt. Die Zugriffe der Benutzerin auf die Daten müssen in solchen Fällen zwingend protokolliert und kontrolliert werden. Eine solche Auswertung sollte mit der Hilfe von Stichproben und somit nach einem definierten Auswahlverfahren erfolgen. Die so ausgewählten Stichproben müssen in der Folge mit den durchgeführten Aufgaben der Benutzerin verglichen werden. Diese Prüfung muss durch den Fachbereich erfolgen und muss ebenfalls nachvollziehbar sein. Das Protokollieren und Auswerten muss als ergänzende Massnahme zur Steuerung der Zugriffe und nicht als Ersatz betrachtet werden.
 

nach oben

In der Praxis

Beispiel Klinikinformationssystem Versuchen wir, die Frage des Berechti-gungskonzepts am Beispiel eines Klinikinformationssystems (KIS) eines Spitals mit verschiedenen Kliniken zu illustrieren. Es leuchtet unschwer ein, dass nicht alle Mitarbeitenden in einem solchen Spital zur Erfüllung ihrer Aufgaben unbeschränkt lange auf alle Daten aller Patientinnen und Patienten zugreifen können müssen.

Differenzierungsmöglichkeiten Eine Differenzierung könnte beispielsweise nach verschiedenen Kriterien erfolgen:
— nach der organisatorischen Untereinheit, also nach Klinik oder Abteilung (Chi-rurgie, Orthopädie, Innere Medizin, Onkologie, Gynäkologie, Zytologie-Labor usw.);
— nach der Funktion der Mitarbeitenden (ärztliches Personal, Pflegepersonal, Laborpersonal, Administrativpersonal usw.);
— nach der Phase, in welcher die Datenbearbeitung stattfindet (Patientenaufnahme, stationäre Behandlung, vielleicht auch Operation, Rechnungsstellung, abgeschlossene Behandlung usw.);
— nach der Art der Daten (Administrativdaten, medizinische Daten aus dem aktu-ellen Behandlungskontext, Pflegeanweisungen im aktuellen Behandlungskontext, medizinische Daten aus früheren Behandlungen, Aufenthaltsdaten , Labordaten usw.);
— nach der Zeitdauer seit einem Eintrag.

Aufgabenerfüllung im Fokus Das Berechtigungskonzept könnte danach bei-spielsweise so ausgestaltet sein, dass der Mitarbeiter in der Patientenaufnahme (im stationären Bereich) auf die Administrativdaten und Aufenthaltsdaten aller Patientinnen und Patienten greifen kann, die in den letzten zehn Jahren im Spital (in allen Kliniken) stationär behandelt worden sind – nicht aber auf irgendwelche medizinischen Daten. Das ärztliche Personal der Chirurgie kann beispielsweise auf die Daten der Patientinnen und Patienten greifen, die zurzeit in der Chirurgie-Klinik liegen oder innerhalb des letzten Jahres dort gelegen haben – auf die Daten, die in der Chirurgie angefallen sind, nicht aber standardmässig auf Daten aus anderen Kliniken und nicht auf die Rechnungsdaten. Das Pflegepersonal der Inneren Medizin kann zum Beispiel auf die Pflegeanweisungen bezüglich der Patientinnen und Patienten in der Inneren Medizin im aktuellen Behandlungskontext greifen, das Laborpersonal nur auf Labordaten.

Begründung Die Festlegung der Zugriffsberechtigungen ergibt sich primär aus dem Aufgabengebiet: Daraus ergibt sich die Begründung für die Gewährung und Einschränkung von Zugriffsrechten. Welche Daten benötigt die Oberärztin der Orthopädie-Klinik, damit sie ihre Aufgabe erfüllen kann, welche der Pfleger in der Intensivstation? In einem grossen Spital sind wohl feinere Einteilungen möglich, weil auch die Organisation feiner unterteilt sein dürfte. Dass bei bestimmten Funktionen engere Zugriffsberechtigungen möglich sind als bei anderen, ist nachvollziehbar: Der Narkosearzt oder die Röntgenärztin dürften Patientinnen und Patienten aus verschiedenen Kliniken behandeln. Der Orthopäde ist wohl auf Patientinnen und Patienten aus der Orthopädie beschränkt und braucht wohl weniger Daten von früheren Aufenthalten im HNO-Bereich. Die Oberärztin der Inneren Medizin hingegen ist für die Behandlung ihrer Patientinnen und Patienten möglicherweise auf deren Daten angewiesen ist, die bei früheren Aufenthalten in anderen Kliniken eingetragen worden sind. Selbstverständlich kann nicht der Datenschutzbeauftragte abstrakt das Berechtigungskonzept erstellen – er kann es höchstens plausibilisieren, indem er die Begründungen für die gewährten Berechtigungen hinterfragt.

Anpassung an die Gegebenheiten Bei der Festlegung der Berechtigungen ist auch auf die konkreten Gegebenheiten Rücksicht zu nehmen. Wenn in einem kleineren Spital Chirurgie-Patientinnen und –Patienten regelmässig auch in der Inneren Medizin liegen, weil die Bettenstation der Chirurgie-Klinik voll belegt ist, dann kann die Steuerung der Zugriffsberechtigung logischerweise nicht streng dem «Ort» folgen, wo die Patientinnen und Patienten liegen. Das Kriterium der Klinik, in welcher jemand liegt, wäre hier nicht zweckdienlich; vielmehr ist in solchen Fällen durch andere Massnahmen sicherzustellen, dass die Berechtigung zum «Übergriff» kontrolliert wird, indem beispielsweise eine Meldung an eine Stelle geht, die dann nachprüft, ob der Patient in der Inneren Medizin, auf dessen Daten die Chirurgin zugegriffen hat, wirklich ein Chirurgie-Patient ist – oder andernfalls bestimmte Massnahmen ergreift.

Spezialfall Notfallstation Speziell zu regeln sind beispielsweise auch die Zugriffe in der Notfallstation: Wenn dort die Chirurgin Dienst leistet, behandelt sie natürlich auch Patientinnen und Patienten, die anschliessend in irgendeiner Klinik des Spitals weiterbehandelt werden. Ihre Funktion «Ärztin der Notfallstation» muss ihr dann möglicherweise auch erlauben, später nochmals auf die Patientendaten zu greifen, auch wenn diese inzwischen in einer anderen Klinik liegen.

VIP-Schaltung Auch Einschränkungen sind vorzusehen: Regelmässig muss ausgeschlossen werden, dass Mitarbeitende des Spitals auf die Daten über andere Mitarbeitende des Spitals greifen können – die Tatsache, dass eine Spitalmitarbeite-rin beispielsweise eine Schwangerschaftsunterbrechung hat vornehmen lassen, geht die Kolleginnen und Kollegen nichts an. Normalerweise wird dazu eine sog. «VIP-Schaltung» vorgesehen: Die Daten solcher Personen – wie eben auch von anderen exponierten Personen (VIPs) – können dann nur von speziell bezeichneten Funktionen angerufen werden, etwa nur von Chefärztinnen oder Chefärzten.

Umgang mit Widerständen Nicht selten stösst die Einführung eines wirksamen Berechtigungssystems auf Widerstände. «Wir können unsere Aufgabe nicht erfüllen, wenn wir nicht auf alle Daten zugreifen können», ist ein Argument, das in diesem Zusammenhang häufig zu hören ist. Hier hilft vielleicht ein taktisches Vorgehen weiter: Die Zugriffsmöglichkeiten bleiben vorderhand bestehen, aber es werden die Zugriffsprotokolle beispielsweise nach zwei Jahren ausgewertet – und wenn sich dann herausstellt, dass die entsprechende Funktion auf die «unverzichtbaren Daten» nie zugegriffen hat, dann kann man die Berechtigung entweder stillschweigend einschränken (und dann wohl auch konstatieren, dass niemand das bemerkt) oder mit diesen Zahlen gegenüber den Betroffenen belegen, dass es mit der «Unverzichtbarkeit» doch nicht so weit her ist.

Verantwortung Die Erstellung eines Berechtigungskonzepts verlangt eine sorgfältige Auseinandersetzung mit den Aufgaben, die ein öffentliches Organ zu erfüllen hat, und mit den Funktionen, welche die Mitarbeitenden dabei zu erfüllen haben. Ohne ein Berechtigungskonzept kann die Spital- oder Klinikleitung die Anforderung von § 6 IDG (Verantwortung) nicht erfüllen.
 

nach oben