DSGVO mit Customer Identity & Access Management umsetzen

LinkedInXingPocketWhatsAppFlipboard

Viele technische Anforderungen der neuen EU-Datenschutzgrundverordnung erscheinen Unternehmen auch jetzt nach deren Inkrafttreten schwer umsetzbar. Ein Überblick, welche das sind und wie Customer Identity & Access Management (Customer-IAM oder CIAM) den Weg zur Compliance ebnet.

Seit dem 25. Mai 2018 kommt die neue EU-Datenschutzgrundverordnung (DSGVO) zur Anwendung. Sie gibt vor, wie Organisationen rund um den Globus mit personenbezogenen Daten von EU-Bürgern umzugehen haben und sieht empfindliche Strafen vor: Wer seine Verpflichtungen nicht erfüllt, riskiert ein Bußgeld von bis zu vier Prozent des weltweit erzielten Jahresumsatzes oder von 20 Millionen Euro.

Anzeige

Die Artikel der Grundverordnung legen im Wesentlichen fest, wie Daten gesammelt, gespeichert, abgerufen, verändert, transportiert, gesichert und gelöscht werden. Zum einen geben sie betroffenen Personen erweiterte Mitsprachemöglichkeiten an die Hand, was mit ihren personenbezogenen Daten geschieht. Zum anderen benötigt der Verantwortliche eine dokumentierte Einwilligung der betroffenen Person zur Erhebung, Speicherung und Verwendung der Daten. Gleichzeitig muss er alle personenbezogenen Daten je nach Eintrittswahrscheinlichkeit und Schwere des Risikos durch geeignete technische und organisatorische Maßnahmen sichern.

Der Teufel liegt im Detail: Was Unternehmen die größten Kopfschmerzen bereitet

Die Hauptprobleme, mit denen sich Unternehmen auf dem Weg zur Compliance herumschlagen, sind:

  • Unzureichende Einwilligung der betroffenen Personen: Das bisher geforderte Basisniveau bei der Einwilligung zur Datennutzung, darunter etwa das Opt-out-Verfahren, reicht gemäß der Bestimmungen der DSGVO nicht mehr aus.
     
  • Datensilos: Personenbezogene Daten sind oftmals über mehrere Systeme hinweg gespeichert – beispielsweise für die Analyse, Auftragsverwaltung oder das CRM. Dies erschwert die Einhaltung der DSGVO-Anforderungen wie Datenzugriff und -übertragbarkeit erheblich.
     
  • Fehlende Data Governance: Datenzugriffsprozesse müssen über zentralisierte Datenzugriffsrichtlinien App für App durchgesetzt werden. Diese Richtlinien sollen die Einwilligung, Datenschutzpräferenzen und Unternehmensanforderungen gleichermaßen berücksichtigen.
     
  • Mangelhafte Anwendungssicherheit: Persönliche Kundendaten, die fragmentiert und auf Datenebene ungesichert sind, sind anfällig für Datenschutzverletzungen.
     
  • Eingeschränkter Self-Service-Zugang: Kunden müssen in der Lage sein, ihre Profile und Präferenzen selbst zu verwalten – und zwar über alle Kanäle und Endgeräte.

So hilft CIAM, DSGVO-konform zu arbeiten

Eine robuste Customer Identity & Access Management (Customer-IAM oder CIAM)-Lösung löst viele dieser unüberwindbar scheinenden Probleme auf einen Streich:

  • Einheitliche Kundenprofile (entsprechend der Artikel 15, 16, 17, 20, 25): CIAM synchronisiert und konsolidiert Datensilos mit Instrumenten wie Echtzeit- oder geplante bidirektionale Synchronisation, der Möglichkeit, Datenschemata abzubilden, der Unterstützung von mehreren Verbindungsmethoden/Protokollen sowie integrierter Redundanz, Failover und Load-Balancing.
     
  • Einfache Erfassung und Verwaltung von Einwilligungen (Artikel 7, 8, 9): CIAM erleichtert die Erfassung von Einwilligungen über mehrere Kanäle und erlaubt es, nach bestimmten Attributen zu suchen. CIAM-Lösungen ermöglichen zudem, die Einwilligungserfassung auf Grundlage von geografischen, geschäftlichen, branchenspezifischen oder anderen Richtlinien verbindlich durchzusetzen. Viele Systeme unterstützen darüber hinaus die Transaktionseinwilligung und -freigabe. Dies ist ein wichtiger Anwendungsfall für die Multi-Faktor-Authentifizierung (MFA). Nicht zuletzt bietet CIAM dem Kunden die Möglichkeit, seine Einwilligung jederzeit zu widerrufen.
     
  • Selbstverwaltete Kundenprofile (Artikel 15, 16): CIAM-Lösungen räumen Kunden die Möglichkeit ein, ihre Daten über vorgefertigte Benutzeroberflächen und APIs einzusehen, zu bearbeiten und ihre Präferenzen über alle Kanäle und Geräte hinweg geltend zu machen.
     
  • Data Access Governance (Artikel 32): CIAM bietet eine feinkörnige Attribute-by-Attribute-Kontrolle, so dass interne und externe Anwendungen nur auf die jeweils benötigte Teilmenge der Identitätsattribute zugreifen können.
     
  • Globale Namensraumkontrolle (Artikel 25): CIAM-Lösungen ebnen den Weg zu “Data Residency”, indem Daten per Proxy-Server an den richtigen Ort weitergeleitet werden. Zudem können Daten partiell synchronisiert und gegebenenfalls Teilkopien der Daten gepflegt werden. Auf Basis von Richtlinien lassen sich auch die Daten steuern, die Anwendungen auf Attribute-by-Attribute-Ebene erhalten können.
     
  • Sichere Kundendaten (Adressen Artikel 32): CIAM umfasst zahlreiche zentralisierte Sicherheitsfunktionen auf Datenebene, einschließlich Datenverschlüsselung in jedem Zustand (Ruhezustand, in Bewegung und im Einsatz), Zugriff auf Aufzeichnungsbeschränkungen, manipulationssichere Protokollierung, aktive und passive Warnmeldungen, Integration mit Überwachungstools von Drittanbietern und vieles mehr.

Auf diese Weise hilft eine geeignete CIAM-Lösung, viele technische Anforderungen der DSGVO praktisch umzusetzen. Und sie geht über die Anforderungen der Grundverordnung sogar hinaus, um sichere, komfortable und personalisierte Kundenerlebnisse zu schaffen – die Basis für Vertrauen und Loyalität.

www.pingidentity.com/de
 


Anzeige

Weitere Artikel

Identity & Access Management
Schalke 04 nur bei Passwörtern ganz vorne dabei
Identity & Access Management
OT und IoT: Neuausrichtung des Privileged Access Managements nötig
Cyber & Cloud Security
Identity Management Day 2024: Authentizität und Sicherheit beachten
Business Software
Microsoft Surface Pro 10 for Business unterstützt YubiKey-Authentifizierung
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.