Wie Identitäts- und Zugriffsmanagement dazu beiträgt, die Datenschutzanforderungen der DSGVO zu erfüllen

Die Verhinderung von Datenschutzverletzungen und Missbrauch personenbezogener Daten ist das Hauptziel der DSGVO und des IAM.

In einem früheren Blogpost (in Englisch) habe ich erörtert, wie Identity and Access Management (IAM) bei der Einhaltung der DSGVO helfen kann. Diesmal möchte ich etwas genauer darauf eingehen, wie IAM einige der spezifischen Datenschutzanforderungen innerhalb der neuen Vorschriften der Europäischen Union (EU) erfüllt.

Die DSGVO hat die Art und Weise verändert, wie Unternehmen mit europäischen Kunden, Mitarbeitern oder Partnern mit den von ihnen gespeicherten personenbezogenen Daten umgehen müssen. Es ist wichtig, dass alle Informationen, die eine Person identifizieren können, geschützt sind: von ihren persönlichen Informationen und Adressdaten über ihre Bankkonten und Krankenakten bis hin zu ihren politischen Ansichten und ihrem Webverhalten. Einen umfangreichen Überblick über die DSGVO erhalten Sie hier.

Die Vermeidung von Datenschutzverletzungen und der Missbrauch personenbezogener Daten stehen dabei im Mittelpunkt. Daher ist es überraschend, dass diese Vorschrift IAM zu keinem Zeitpunkt einbezogen hat. Doch zu Recht werden Datenschutzverletzungen von der Öffentlichkeit am ehesten wahrgenommen. In diesem Zusammenhang würde ich sagen, dass Equifax die zweifelhafte Ehre hat, den weltweit wohl bekanntesten Datenverstoß zu erleiden. Das Unternehmen musste zu Beginn dieses Jahres zugeben, dass bei 99 Prozent der betroffenen Kunden die Sozialversicherungsdaten veröffentlicht wurden (in Englisch). Laut dem Identity Theft Resource Center gab es 2017 allein in den USA ein Rekordhoch für gemeldete Datenschutzverletzungen. (in Englisch) Im Vergleich zu 2016 stieg es um 44,7 Prozent.

Die wesentlich höheren Geldbußen, welche die EU aufgrund der DSGVO verhängt, entsprechen nun diesem wachsenden Risiko für die Datensicherheit. Berichte deuten darauf hin, dass Google und Facebook bereits mit Bußgeldern von 9,3 Milliarden Dollar rechnen müssen. (in Englisch) Eine starke IAM-Strategie und -Plattform wird unerlässlich, um die Einhaltung der DSGVO-Vorschriften zu gewährleisten. Die Funktionen dieser Plattform müssen über das traditionelle Identitätsmanagement hinausgehen. In der Vergangenheit konnten Unternehmen eine IAM-Strategie entwickeln, die auf Prävention basiert. Erkennung und Behebung sind ebenso wichtig geworden, wenn nicht sogar wichtiger, da die Zahl der Datenschutzverletzungen zunimmt und ebenso der Umfang und die Vielfalt der Cybersicherheitsbedrohungen.

Wie kann IAM Ihnen also dabei helfen, die Datenschutzanforderungen der DSGVO zu erfüllen? Hier sind einige der wichtigsten Beispiele:

Verarbeitung personenbezogener Daten

Die DSGVO legt strenge Anforderungen an die Verarbeitung personenbezogener Daten fest und fordert einen „Schutz vor unbefugter und rechtswidriger Verarbeitung“. Eine zentralisierte und einheitliche IAM-Plattform ist in der Tat der einzige Weg, dies durch Multifaktor-Authentifizierung und Zugriffsrichtlinien zu erreichen. Nur so können Sie sicherstellen, dass ausschließlich autorisierte Benutzer auf bestimmte Ressourcen zugreifen können. Es kann sinnvoll sein, eine rollenbasierte Authentifizierung für Mitarbeiter in Betracht zu ziehen, um Ihre interne Zugriffskontrolle zu vereinfachen und zu stärken. Denken Sie auch an weitere Bereiche: Die IAM-Plattform erfordert eine kombinierte Authentifizierung, so dass der autorisierte Zugang für Partner und Zeitarbeiter schnell gewährt und auch widerrufen werden kann.

Sicherheit der Verarbeitung

Artikel 32 (in Englisch) der DSGVO legt die Sicherheitsbestimmungen bei der Verarbeitung personenbezogener Daten fest. Dazu gehört auch die Sicherstellung der Vertraulichkeit und Integrität der Verarbeitung sowie die Möglichkeit, den Zugang nach einem Sicherheitsverstoß schnell wiederherzustellen. Man muss beweisen, dass man die Möglichkeit hat, dies zu tun und dass man es tatsächlich tut. IAM reduziert das Risiko von Datenverlust und unbefugtem Zugriff. Es beschränkt den Zugang zu den Unternehmensnetzwerken und schützt die Identität sowohl der betroffenen Person als auch des Systembenutzers. Darüber hinaus ermöglicht IAM die rechtzeitige Wiederherstellung von Systemen. So kann schnell festgestellt werden, welche personenbezogenen Daten von einer Sicherheitsverletzung betroffen sind.

Einwilligung nach Kenntnisnahme

Die DSGVO verlangt, dass die Zustimmung „freiwillig erteilt, konkret, informiert und unmissverständlich“ (in Englisch) sein muss. Dies hat erhebliche Auswirkungen auf IAM, da die meisten Einwilligungen für einen Kunden – insbesondere für Online-Dienste – über seine Benutzerprofile verwaltet werden. Die IAM-Plattform sollte folgende Aspekte abdecken: Aufzeichnung der erteilten Einwilligungen, die Möglichkeit für die betroffene Person, eine oder alle Einwilligungen zu widerrufen – entweder selbst oder auf Anfrage – und eine Prüfstelle für alle erteilten und widerrufenen Einwilligungen.

Verringerung der Datenmenge

Einer der grundlegenden Gesichtspunkte der DSGVO ist der Gedanke der Datenminimierung. (in Englisch) Sie sollten nicht mehr Daten besitzen, als Sie für die Durchführung der jeweiligen Verarbeitungsschritte benötigen. Mit IAM haben Sie die zentrale Kontrolle über alle Zugangs- und Berechtigungsdaten Ihrer Mitarbeiter, Kunden und Partner. So kann nicht nur bestimmt werden, wie lange der Zugriff gewährt wird, sondern auch, wie lange diese Informationen gespeichert werden müssen. Damit ist eine rechtzeitige und rechtmäßige Löschung von Benutzerkontendaten möglich. „Ghost Accounts“ sind eine der größten Schwachstellen im System und dienen als Hintertür für Hacker. IAM kann dazu beitragen, dieses Cybersicherheitsrisiko zu reduzieren und gleichzeitig die Anforderungen an die Datenminimierung zu erfüllen.

Cloud-Services

Wie in vielen Bereichen der DSGVO herrscht Unklarheit darüber, wie Unternehmen Cloud Services einsetzen und gleichzeitig konform sein können. Der Code of Practice for Cloud Computing (in Englisch) der Arbeitsgruppe nach Artikel 29 der EU ist am ehesten verbindlich, aber eben nur am ehesten. Die DSGVO ändert jedoch die Art und Weise, wie Unternehmen mit Cloud-Anbietern zusammenarbeiten müssen, da die Anbieter nun für die Verarbeitung verantwortlich sind. Untersuchungen zeigen, dass ein durchschnittliches europäisches Unternehmen 608 Cloud-Anwendungen einsetzt. Das bedeutet, dass die korrekte Einhaltung der Cloud-Compliance von größter Bedeutung ist. Ohne IAM ist es nicht möglich, die Cloud-Services konform zu verwalten.  So erfordert beispielsweise die Integration von lokalen mit Cloud-basierten Arbeiten die Angabe der persönlichen Daten der Benutzer: Personenbezogene Daten, Berechtigungen, Gruppenmitgliedschaften usw. müssen sicher und konform mit der gewählten Cloud-Plattform geteilt werden.

Die DSGVO empfiehlt, dass die Cloud Services durch neue vertragliche Vereinbarungen abgesichert werden sollten. IAM wird gewährleisten müssen, dass dies ordnungsgemäß umgesetzt wird.

Identitätsmanagement

IAM liefert auch wertvolle Informationen darüber, wie Mitarbeiter und Kunden auf Anwendungen zugegriffen haben: wer hat sich wann angemeldet und welche Daten hat er abgerufen? Dies kann nicht nur die Sicherheit, sondern auch den Benutzerkomfort erhöhen. IAM-Plattformen bieten Tools und Prozesse für eine reibungslose Multifaktor-Authentifizierung sowie Self-Service-Funktionen, mit denen Anwender ihre eigenen Zugangsinformationen verwalten können. So wird sichergestellt, dass unternehmensinterne Richtlinien und externe Vorschriften – wie beispielsweise die DSGVO – stets eingehalten werden.

Wenn Sie mehr darüber erfahren möchten, wie eine kluge IAM-Strategie Ihnen helfen kann, die Datenschutzanforderungen der DSGVO einzuhalten, füllen Sie bitte das kleine Formular rechts unten neben diesem Blogpost aus.

Dieser Artikel wurde aus dem Englischen übersetzt.

John Notman

John ist Director of Product Marketing bei OpenText für die kürzlich erworbene Identity Platform. Er hatte bereits mehrere Marketingfunktionen in verschiedenen B2B-Unternehmen inne, insbesondere im Bereich Supply Chain des Einzelhandels.

Weitere Artikel, die sie interessieren könnten

Schreibe einen Kommentar

Schaltfläche "Zurück zum Anfang"