Diese Richtlinie erläutert, wie Nutzereinwilligungen und Autorisierungen eingeholt, dokumentiert und durchgesetzt werden müssen, um einen rechtmäßigen und verantwortungsvollen Zugriff in organisatorischen Umgebungen sicherzustellen.
Zweck dieser Richtlinie ist es, die Grundsätze für die Nutzereinwilligung und Autorisierung beim Zugriff auf Systeme, Daten und digitale Ressourcen festzulegen. Sie gilt für Mitarbeitende, Administratoren, Auftragnehmer und alle sonstigen autorisierten Nutzer.
Einwilligung und Autorisierung sind voneinander getrennte Konzepte. Beide müssen vorhanden sein, sofern dies gesetzlich oder durch interne Governance-Vorgaben erforderlich ist.
Einwilligung bezeichnet die informierte, freiwillige und ausdrückliche Zustimmung eines Nutzers oder einer betroffenen Person, Zugriffe oder Verarbeitungstätigkeiten zuzulassen.
Autorisierung bezeichnet technische und administrative Kontrollen, die festlegen, welche Handlungen ein authentifizierter Nutzer ausführen darf.
Eine Einwilligung gewährt keinen uneingeschränkten Zugriff. Autorisierungen müssen stets auf definierte Rollen und legitime Zwecke beschränkt sein.
Administratorrechte, Überwachungsfunktionen und der Zugriff auf sensible Systeme erfordern eine zusätzliche Begründung, Dokumentation und angemessene Kontrolle.
Organisationen sind dafür verantwortlich, Nutzereinwilligungen einzuholen, bevor Zugriffe, Überwachungen oder Datenverarbeitungen aktiviert werden, sofern dies gesetzlich erforderlich ist.
Die Einwilligung muss klar, dokumentiert und in einer Weise kommuniziert werden, die für Nutzer verständlich ist. Implizite oder versteckte Einwilligungsmechanismen dürfen nicht verwendet werden, wenn eine ausdrückliche Einwilligung erforderlich ist.
Zugriffe dürfen nur auf Grundlage definierter Rollen, Verantwortlichkeiten und betrieblicher Erfordernisse gewährt werden. Das Prinzip der minimalen Rechtevergabe ist jederzeit anzuwenden.
Autorisierungen müssen regelmäßig überprüft und unverzüglich angepasst werden, wenn sich Rollen ändern oder Zugriffe nicht mehr erforderlich sind.
Entscheidungen zu Einwilligung und Autorisierung müssen so dokumentiert werden, dass interne Prüfungen, Audits und behördliche Anfragen unterstützt werden.
Aufzeichnungen müssen belegen, wann eine Einwilligung erteilt wurde, welcher Zugriff autorisiert war und wer diesen genehmigt hat.
Die Verantwortung für die Einholung von Einwilligungen, die Definition von Autorisierungsregeln und die Durchsetzung von Zugriffskontrollen liegt vollständig bei der Organisation. Verstöße gegen diese Richtlinie können zur Sperrung von Zugriffsrechten oder zu internen Disziplinarmaßnahmen führen.