Gratis
1. Juni 2018 - DSGVO und digitale Identitäten

Umsetzung der DSGVO: Identitätsmanagement ist entscheidend

Drucken

Auf der European Identity & Cloud Conference 2018 wurden Lösungen und Funktionen für den Schutz und die Verwaltung digitaler Identitäten vorgestellt. Die Datenschutz-Grundverordnung (DSGVO) war zentrales Thema. Denn ohne Schutz der Identitäten gibt es keinen Datenschutz.

Identitätsmanagement Bei der EIC 2018 ging es um den Schutz und die Verwaltung digitaler Identitäten im Rahmen der DSGVO (Bild: NicoElNino / iStock / Thinkstock)

DSGVO bleibt zentrales Thema

Die European Identity & Cloud Conference (EIC) 2018 fand Mitte Mai statt und damit kurz vor dem 25. Mai 2018. Der Tag, ab dem die Datenschutz-Grundverordnung (DSGVO / GDPR) unmittelbar gilt und anzuwenden ist.

Wer vermutet, dass sich diese Konferenz zu den Themen Identitätsmanagement, digitale Identitäten und Cloud Computing nicht mehr mit der DSGVO befasste, irrt sich. Tatsächlich gehörte die DSGVO zu den Top-Themen auf der Agenda.

Mit dem 25. Mai 2018 endet zwar die Übergangsfrist, doch die Zeit der DSGVO-Compliance beginnt damit.

Gespräche mit Anbietern und Dienstleistern für IAM (Identity and Access Management) machten deutlich, dass diese weitere Projekte zur Umsetzung und Einhaltung der DSGVO erwarten.

Besonders das Thema der informierten und dokumentierten Einwilligung, das Thema Consent Management, ist zentraler Bereich für weitere Projekte. Aber auch die Absicherung von Identitäten durch Mehr-Faktor-Authentifizierung (MFA) und die Kontrolle der Berechtigungen waren vorherrschende Inhalte.

Umsetzung der DSGVO weist Lücken auf

Der Anbieter iWelcome präsentierte auf der EIC seine aktuelle Studie „The State of GDPR-Readiness in Europe“. Die Studienergebnisse zeigen deutlich, dass weitere Anstrengungen bei der Umsetzung der DSGVO nötig sind:

  • 73 Prozent der befragten Unternehmen führten Bereiche an, in denen sie die Datenschutz-Grundverordnung noch nicht (abschließend) umgesetzt haben.
  • Gerade im Bereich der Einwilligung ergab die Studie Nachholbedarf: Mehr als 20 Prozent der Unternehmen weisen weder bei der Registrierung von Nutzern noch in ihrer Datenschutzerklärung darauf hin, dass die Einwilligung widerrufen werden kann. Mehr als 55 Prozent weisen nicht auf das Recht auf Vergessenwerden hin, weniger als 15 Prozent informieren über Speicher- und Löschfristen.
  • Fast 44 Prozent haben ihre Registrierungsformulare noch nicht auf Datenschutzprinzipien wie Privacy by Default und Datenminimierung hin angepasst.

IAM-Lösungen helfen bei Consent Management

Verschiedene Aussteller auf der EIC adressierten das Problem der Einwilligung, darunter iWelcome und Gigya.

CIAM-Datenmodell von iWelcome

iWelcome nutzt ein CIAM-Datenmodell (Costumer Identity and Access Management), das Präferenz-, Interessen- und Profilinformationen speichert. Dabei verwendet der Anbieter in seiner Lösung Metadaten, um Nutzereinwilligungen zu speichern und zu verwalten.

Über die iWelcome-Schnittstellen lassen sich diese Metadaten in Business Intelligence-, Marketing- und Reporting-Tools übertragen, um beispielsweise Berichte über den Einwilligungsstatus zu generieren.

Nutzer erhalten eine einheitliche Ansicht und Kontrolle über ihre Zustimmungen und ihre damit verbundenen Betroffenenrechte ausüben. Konkret ist es zum Beispiel möglich, gespeicherte persönliche Daten einzusehen und diese zu exportieren.

Darüber hinaus haben Anwender die Möglichkeit, in einem Self-Service-Dienst ihre Konten zu sperren und ihre persönlichen Daten im rechtlichen Rahmen zu löschen.

SAP Hybris Consent und SAP Hybris Identity von Gigya

Der zu SAP gehörende Anbieter Gigya stellte SAP Hybris Consent und SAP Hybris Identity vor. Auch diese Lösungen ermöglichen die Verwaltung der Kundenpräferenzen und Einwilligungen durch den Nutzer selbst (Self-Service Preference Center).

Zu den Funktionen der Gigya-Lösung gehören

  • Workflows, um Nutzungsbedingungen und Datenschutzrichtlinien zu präsentieren und die Einwilligungen der Kunden zu Marketingkommunikation und sonstigen erlaubnisbasierten Marketingaktivitäten einzuholen
  • Verwaltung der Versionskontrolle für Präferenzen- und Einwilligungs-Datensätze während des gesamten Kundenlebenszyklus mit automatisierter Aufforderung zur erneuten Erteilung von Einwilligungen, wenn sich Bedingungen, Richtlinien und Geschäftsstrategien ändern.

Datenschutz erfordert Identitätsschutz

Erfahrungsgemäß schrecken viele Unternehmen davor zurück, IAM-Lösungen einzuführen oder bestehende Lösungen zum Identitätsmanagement anzupassen. Doch der Aufwand lohnt sich nicht nur, weil sich das Thema Einwilligung darüber in weiten Teilen oder ganz lösen lässt.

Zum Datenschutz gehört Identitätsschutz dazu, denn Personen werden durch digitale Identitäten repräsentiert. Mit digitalen Identitäten von Personen können personenbezogene Daten verknüpft sein, und selbst digitale Identitäten von Geräten und Maschinen lassen Rückschlüsse auf Personen zu.

Nicht zuletzt ermöglichen unzureichend geschützte digitale Identitäten den Diebstahl und Missbrauch von Daten, durch Übernahme und Vortäuschung von Identitäten.

Deshalb wird die DSGVO weiterhin Thema bei IAM bleiben. Und nicht nur dort, sondern bei allen Geschäftsprozessen und Verfahren.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, IT-Analyst und IT-Fachjournalist.