Ob Plage oder nicht, mag jeder für sich entscheiden. Das Berechtigungskonzept, also die schriftliche Fixierung, in welcher Funktion wer Zugangs-berechtigung zu welchen Daten mit Personenbezug hat, ist grundsätzlich unentbehrlich.
Die Einsicht ist nicht weit verbreitet.
Und ja, die Verpflichtung zur Erstellung eines solchen Konzeptes ergibt sich sowohl aus der DSGVO (Datenschutz-Grundverordnung), als auch aus dem BDSG (Bundesdatenschutz-Gesetz):
Wichtigster Punkt: Die Verarbeitung personenbezogener Daten ist nun einmal grundsätzlich verboten; und selbst wenn diese erlaubt ist, sind Regeln wie die Grundsätze der Datenverarbeitung (Art. 5 DSGVO) einzuhalten und ist die Sicherheit der Verarbeitung zu gewährleisten (Art. 32 DSGVO). Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zum Schutz von Integrität und – in diesem Zusammenhang nun besonders wichtig – Vertraulichkeit der Daten zu ergreifen. Eine der logischen Folgen: Aufs absolut Notwendigste beschränkte Zugriffsmöglichkeiten.
Jeder darf nur Zugriff auf diejenigen Daten haben, die er zur Erledigung der ihm zugewiesenen Aufgaben benötigt, auf neu-deutsch Need-to-know-Prinzip.
Wesentliche Regelungspunkte eines solchen Konzepts sind:
Dokumentation mit differenzierten Rechten wie Lesen, Verändern oder Löschen von Daten (mit Vertretungsregelungen) und zwar nach Rollen und namentlich benannten Personen
Prozess und Verantwortlichkeit zur Vergabe, Erweiterung, Beschränkung und Entzug von Rechten (mit Kommunikationsweg)
Verfahren, z.B. bei Bewerbung, Neueinstellung, Abteilungswechsel oder Ausscheiden eines Mitarbeiters
Nach wohl als vorherrschend anzusehender Auffassung kann das Fehlen eines Berechtigungskonzepts zu einem meldepflichtigen Datenschutzvorfall führen. Unter einer in der Vorschrift genannten „Verletzung des Schutzes personenbezogener Daten“ fällt eben auch der Zugang von Unberechtigten zu personenbezogenen Daten, also eine Verletzung der Vertraulichkeit. Im Falle von sensiblen HR-(Personal-) Daten kann dies zur Verpflichtung zur Meldung bei der Aufsichtsbehörde führen. In jedem Fall muss eine Prüfung und Dokumentation des Vorfalls erfolgen, die den Verantwortlichen Zeit und Geld kostet.