GDPR: Praktische Tipps zur Compliance

COMPLIANCEDieser Artikel betrachtet die Datenschutz-Grundverordnung (General Data Protection Regulation GDPR) aus der Sicht des Identity und Access Managements (IAM) und erläutert, wo IAM helfen kann, sich dem Sinn und der in der Verordnung liegenden Absicht anzunähern.

GDPR, eine kleine Auffrischung

Bevor wir mehr ins Detail gehen wollen wir sicherstellen, dass Sie mit den Inhalten der GDPR vertraut sind. Einige Details finden Sie im angesprochenen Blog und auch die sehr ausführliche Zusammenfassung der IAPP bietet sich zur Lektüre an.

Anzeige

Eine aktuelle Studie von Trend Micro hat nämlich gezeigt:

  • 20 % der IT-Entscheider im Vereinigten Königreich kennen die GDPR nicht
  • 29 % gingen davon aus, dass die GDPR für ihr Unternehmen nicht gilt

Das sind einigermaßen beunruhigende Zahlen. Wenn Ihr Unternehmen personenbezogene Daten verarbeitet, das heißt, wenn Sie Kunden haben, müssen Sie auch einen Blick auf die GDPR werfen. Es wäre nicht schlecht, eine ähnliche Umfrage bei IT-Entscheidern von Unternehmen außerhalb der EU durchzuführen, da die GDPR für alle Unternehmen gelten wird, die a) EU-Bürgern Waren oder Dienstleistungen anbieten oder b) das Verhalten von EU-Bürgern überwachen.

Kommen wir zu den praktischen Beispielen für einige der wichtigsten Ziele der GDPR. Der überwiegende Teil der GDPR bezieht sich auf Verfahren und Vereinbarungen. Aber Technologien zur Informationssicherheit spielen eine gewichtige Rolle wenn Unternehmen die Verordnung einhalten wollen. Die Verordnung ist lang, sie ist kompliziert, und niemand weiß bisher, wie die Klauseln tatsächlich vor Gericht interpretiert werden. Unsere Vorschläge richten sich an Unternehmen und Personen, die allgemein mit dem Thema Datenschutz zu tun haben. Man muss nicht aus der EU sein, um von diesen Tipps zu profitieren. Ein Unternehmen kann sich durchaus einen Wettbewerbsvorteil verschaffen oder Compliance erlangen, unabhängig vom Standort. Wir werden versuchen, einige der Vorteile von IAM auf die zentralen Themen der GDPR zu beziehen.

Konsolidierung

Im Laufe der Jahre sind wir Kunden begegnet, die mehrere Datenbanken betrieben und die Kundendaten an verschiedenen Orten gespeichert, bearbeitet und verwaltet haben. Bei allen hat der Übergang zu einem harmonisierten und einheitlichen Ansatz bei externen Identitäten zu teils erheblichen Kosteneinsparungen geführt. So konnten Unternehmen die Support- und Wartungskosten für verschiedene Systeme reduzieren und damit die Verwaltungsaufgaben vereinfachen.

Ein Beispiel:
Ein großer internationaler Anbieter, der in unterschiedlichen Branchen tätig ist und mehrere Marken innehat. Er bietet Dienstleistungen und Waren an, und zum Portfolio gehören Lebensmittelgeschäfte, Hotels und Restaurants, Autowerkstätten und Tankstellen, Baumärkte, Catering-Unternehmen und so weiter. Einige davon sind unter einer einheitlichen Marke tätig, einige andere sind im Laufe der Jahre durch Übernahmen oder aus anderen Gründen unter einer anderen Dachmarke zusammengefasst worden. Viele der betreffenden Branchen verfügen über eigene Online-Dienste.

Die GDPR umreißt einige der Themen, die sich auf die Konsolidierung von Benutzerdaten beziehen. Wenn wir das obige Beispiel verwenden und bedenken, dass die datenverarbeitende Stelle die Unternehmenseinheit ist, die alle diese Marken und Branchen betreibt, entstehen deutliche Vorteile durch die Konsolidierung der Benutzerdaten.

Recht auf Löschung

Das Recht auf Löschung ist eines der einfachsten zu wählenden Themen. Wenn Sie Ihre Benutzerdaten konsolidiert haben, ist es einfacher, die Forderung des Endnutzers zu erfüllen, seine Daten zu löschen.

Benutzerkontrolle über eigene Daten

Die Kontrolle über die eigenen Daten war bereits in der vorherigen Richtlinie formuliert worden, wird aber zunehmend wichtiger. Ohne Konsolidierung und ein einheitliches Identity und Access Management müssten die Endbenutzer ihre eigenen Daten bei jedem Online-Dienst separat registrieren und verwalten. Das führt beim Kunden leicht zu Frustration. Im Sinne der GDPR wäre es besser wenn es nur einen einzigen Ort gibt, an dem die betreffenden Benutzer ihre Daten verifizieren und verwalten.

Datenportabilität

Wollen Benutzer den Anbieter wechseln und ihre Daten mitnehmen, wird das ungleich einfacher, wenn die Daten bereits konsolidiert sind. Datenportabilität gehört ebenfalls zu den Anforderungen der GDPR.

Intelligentes Identity-Single-Sign-On und Federation

Einer der Bereiche, wo sich leistungsfähige Produkte von Identitätsanbietern hervor tun, ist die Autorisierung. In einer normalen Umgebung betreiben Unternehmen, wie der zuvor genannte Anbieter, verschiedene Online-Dienste für ihre Kunden. Diese sollten mit dem zentralen Identitätsanbieter verbunden sein. Das optimale Szenario wäre dabei natürlich, wenn sich der Endbenutzer nicht mehrmals einloggen müsste, sondern dass er sich in Single-Sign-on-Weise zwischen den Diensten hin- und herbewegen kann. Der Identitätsanbieter übernimmt dabei drei verschiedene Bereiche:

1) Er muss sich um die Authentifizierung der Endnutzer (Betroffene) kümmern
Je nach Art und Zweck des betreffenden Online-Dienstes lassen sich unterschiedliche Authentifizierungsmethoden implementieren. Ein Log-in auf einer Shop-Site kann niedrigeres Level of Assurance (LoA)-Verfahren verwenden als beispielsweise eine Website für Online-Banking.

2) Er muss den richtigen Satz Identitätsattribute des Users an den Online-Dienst senden
Je nach der Art des Online-Dienstes, variieren die benötigten Attribute. Der Identitätsanbieter kümmert sich darum, dass der erforderliche Mindestsatz an den Online-Dienst gesendet wird und nicht der ganze Katalog von möglicherweise verfügbaren Attributen. Dies ist besonders wichtig, wenn die Identität die Grenzen des EWR überschreitet. Der Satz von Identitätsattributen kann auch Informationen enthalten, denen der Benutzer zur Profilerstellung widersprochen hat – dies kann der Betroffene gemäß der GDPR jederzeit tun; auch dann, wenn er vorher seine ausdrückliche Zustimmung gegeben hat.

3) Er muss das neue, von der GDPR eingeführte, Konzept der Pseudonymisierung erleichtern
Auch wenn der Identitätsanbieter Zugang zu Benutzerdaten im Klartext-/identifizierbaren Format haben kann, was in vielen Fällen erforderlich ist, kann eine Autorisierungsrichtlinie erstellt werden, bei der der Identitätsanbieter dafür sorgt, dass die Datenattribute “verschlüsselt” werden, damit die verschickten Daten als nicht identifizierbar erachtet werden.

“Ja, ich stimme zu”

Die neue Verordnung erfordert in bestimmten Fällen die eindeutige Zustimmung der User. Die Definition eindeutig ist allerdings quasi ein wenig zweideutig. In bestimmten Fällen ist die ausdrückliche Zustimmung erforderlich. Hier kommt die Rolle der Familie ins Spiel. Bei manchen Fragen im Zusammenhang mit Kindern ist die Zustimmung eines Elternteils erforderlich und in einigen Fällen sollte die Familie gerade nicht einbezogen werden. Die Quintessenz ist, dass Zustimmung in der Verordnung auftaucht und Sie überlegen sollten, wie Sie sie umsetzen wollen und wie Sie die Endbenutzer ihre Zustimmungen verwalten lassen.

Self-Service-Schnittstellen

Über Self-Service-Schnittstellen können Benutzer ihre Identitätsattribute sowie die von ihnen gegebenen Einwilligungen verwalten. Wenn Unternehmen absolut sicher sein müssen, dass eine eindeutige Zustimmung gegeben wurde, können IAM-Produkte eingesetzt werden, um den Endbenutzer zu stoppen, z.B. während des Federation-Prozesses, wenn sie von einem Dienst/einer Domäne zu einem/einer anderen wechseln und ihre Identitätsattribute ihnen folgen.

Benutzerorientierte Federation

Die sogenannte “User Driven Federation (benutzerorientierte Federation)” (UDF) ist eine Technologie, die verwendet wird, um zwei oder mehr unterschiedliche Identitäten zu kombinieren. Ein Beispiel ist es, eine Identität der sozialen Medien mit der vorhandenen Anbieteridentität zu kombinieren und dem Endbenutzer eine sehr bequeme Möglichkeit an die Hand zu geben, mit den sozialen Identitäten Zugang zu einem Dienst zu erhalten. Während des Verbindungsaufbaus können Benutzer gestoppt werden, und sie müssen für diesen speziellen Vorgang ihre Zustimmung erteilen (die sie später widerrufen können, wenn sie dies wünschen).

IAM-Produkte zur Verwaltung der Autorisierung

IAM-Produkte wie die CustomerID-Tools von GlobalSign verwalten Autorisierung oder Zustimmung. In einer Familiensituation kann sich ein Elternteil einfach in das Verwaltungsportal einloggen und seinen Kindern die Autorisierung geben. Aber noch viel besser passt dieser Ansatz in eine B2B-Umgebung, innerhalb derer Kunden von Online-Dienstanbietern ihre Autorisierungen selbst verwalten können. Ein Vorgesetzter kann einen Mitarbeiter autorisieren, Zugang zum Dienst des Anbieters in einer bestimmten Rolle zu haben. Wenn der Mitarbeiter diese Verantwortung akzeptiert, loggt er sich in das CustomerID-Portal ein und akzeptiert diese Autorisierung ausdrücklich – alle Aktionen hinterlassen eine Spur in den Protokollen. Diese Autorisierungen kann entweder der Mitarbeiter, der Vorgesetzte oder der Anbieter selbst widerrufen. Mit der CustomerID können die Zugangsberechtigung und die Daten an eine im CRM gespeicherte Vertragsinformation gebunden werden. Wenn der Vertrag ausläuft, können Zugangsberechtigungen und die Daten gegebenenfalls gelöscht werden.

Die GDPR ist nicht die einzige regulatorische Änderung, auf die Unternehmen achten müssen. Die Richtlinie über Zahlungsdienste 2 kann ihr operatives Geschäft betreffen, eIDAS schafft ein Rahmenwerk für grenzüberschreitende digitale Identitäten und für die neue Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie) werden jetzt Stellungnahmen eingeholt. Identity und Access Management kann einem Unternehmen dabei helfen, bestimmte Teile dieser Vorschriften zu erfüllen. Kontaktieren Sie uns, um mehr zu erfahren.

Petteri-IhalainenPetteri Ihalainen, GlobalSign
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.