Nach einer zweijährigen Übergangsfrist tritt am 25. Mai 2018 die Datenschutzgrundverordnung der EU (EU-DSGVO) in Kraft. Diese regelt den Umgang mit personenbezogenen Daten neu und sichert Bürgern in der EU mehr Kontrolle über ihre persönlichen Daten zu. Diese neuen, deutlich gestiegenen Anforderungen erfordern einen Wechsel von dezentralem Portal- und Anwendungsbasiertem Management von Kundendaten, hin zu einer zentralisierten Customer Identity und Access Management Plattform.
Warum gibt es die EU-DSGVO?
Die Datenschutzgrundverordnung (DSGVO), die international unter dem Begriff General Data Protection Regulation (GDPR) bekannt ist, hatte initial das Ziel, die verschiedenen, länderspezifischen Gesetze bezüglich Datenschutz in den EU-Mitgliedsstaaten zu harmonisieren. Die rasante Entwicklung und Ausbreitung neuer Technologien und die zunehmende Verbreitung Cloud-basierter Dienste haben gezeigt, dass der existierende rechtliche Rahmen nicht mehr ausreicht und aktualisiert werden muss. Als EU-Verordnung steht die EU-DSGVO über nationalen Regelungen und Vorschriften – diese müssen angepasst werden.
BDSG (Bundesdatenschutzgesetz) und DSGVO
Die Datenschutzgrundverordnung ist ein europäisches Gesetz und damit in der gesamten EU verpflichtend. Allerdings können die nationalen Legislativen einige Punkte der Verordnung ergänzen, konkretisieren und auf länderspezifische Besonderheiten anpassen („Öffnungsklausel“).
Das seither gültige, auf Deutschland beschränkte Bundesdatenschutzgesetz (BDSG) verliert durch die EU-DSGVO zwar am 25. Mai 2018 seine Gültigkeit, wird allerdings durch ein deutsches Anpassungsgesetz ergänzt bzw. ersetzt (BDSG-neu).
DSGVO stärkt die Rechte von Kunden
Verarbeitet ein Unternehmen „personenbezogene Daten“ (bspw. in Form einer Auftragsabwicklung, Mailings und sonstigen Anschreiben) muss darauf geachtet werden, dass bei der kompletten Verarbeitungskette die Datenschutzgrundverordnung lückenlos eingehalten wird. Dies setzt geeignete technische und organisatorische Möglichkeiten voraus, und ist in der Regel mit den seitherigen Verfahren und Systemen nicht umsetzbar.
Der Begriff „personenbezogene Daten“ ist dabei sehr umfassend definiert und beinhaltet sämtliche Identitäten in allen Systemen. Meldet sich bspw. ein Anwender auf einer Webseite für einen Newsletter an, muss ab diesem Zeitpunkt umfassend nachgewiesen werden können, wie diese (E-Mail-) Adresse in das Newsletter-System gelangt ist. An diesem trivialen Beispiel wird deutlich, wie umfassend und komplex diese neuen Anforderungen werden können.
Durch die DSGVO verfügen Kunden über deutlich mehr Rechte, als bei den seitherigen Datenschutzverordnungen in der Europäischen Union – inklusive dem bereits strengen deutschen BDSG. Nutzen Kunden verschiedene Kontaktpunkte („Touch Points“), um mit Unternehmen zu interagieren, müssen Kunden auch über die verschiedenen Touch Points jederzeit sicher und eindeutig identifiziert werden können. Die sichere Identifikation ist damit nicht nur aus Sicht einer möglichst optimalen Kundenerfahrung („Customer Journey“), sondern auch unter DSGVO-Gesichtspunkten entscheidend. Darüber hinaus ist die Einholung und Verwaltung der Nutzereinwilligungen („Opt-Ins“) an allen (!) Touch Points durch die DSGVO verpflichtend.
Dramatisch erhöht wurden die Strafen bei Nichteinhaltung der EU-DSGVO: Unternehmen drohen Geldbußen in Höhe von bis zu 20 Mio. Euro oder bis zu 4 % des jährlichen Gesamt- bzw. Konzernumsatzes – je nachdem, was höher ist.
Vorbei sind die Zeiten, in denen jede Anwendung, jedes System oder jedes Portal Benutzer in eigenen Directories verwaltet hat. Für Unternehmen mit hunderten von Anwendungen ist es unmöglich, die oben beschriebenen, massiv gestiegenen Anwendungen mit sinnvollem Aufwand selbst umzusetzen! Das effiziente Management von Kundenidentitäten sowie ihrer Einwilligungen (Opt-Ins) erfordert eine leistungsfähige Customer Identity und Access Management Plattform.
Zentrale Elemente der DSGVO
Es werden zahlreiche neue, strenge Regelungen eingeführt. Diese schreiben das „Einholen einer Einwilligung je Einsatzzweck“, die „zeitnahe Meldung bei Datenschutzverletzungen“, das „Recht auf Vergessenwerden“ u.v.a.m. zwingend vor. Zwar sind insbesondere für Unternehmen in Deutschland nicht alle Regelungen neu, aber in Summe steigen die Compliance-Anforderungen deutlich an.
Einholung einer gültigen Einwilligung
Gibt es keine andere rechtliche Grundlage bzgl. der Nutzung personenbezogener Daten (bspw. ein Vertrag), muss vor (!) der Verarbeitung die Einwilligung dazu eingeholt werden. Eine Einwilligung („Opt-In“) ist nur dann gültig, wenn sie freiwillig gegeben wurde, nachvollziehbar sowie eindeutig ist und wenn sie eine Aktion zur Bestätigung umfasst. Häufig werden zu diesem Zweck E-Mails mit anzuklickenden „Opt-In Bestätigungslinks“ verschickt. Sollen Daten für unterschiedliche Zwecke genutzt werden, muss die Einwilligung für jeden einzelnen Einsatzzweck vorliegen.
Unternehmen, die personenbezogene Daten speichern und verarbeiten, müssen den Zweck der geplanten Verarbeitung detaillierter als in der Vergangenheit angeben. Wichtig für Unternehmen ist, dass sie jederzeit lückenlos nachweisen können, wo, wann und wie ein Nutzer seine Einwilligung erteilt hat. Inklusive einem (technischen) Nachweis darüber, dass ein Nutzer tatsächlich seine Einwilligung gegeben hat.
Da Kundeninteraktionen fast immer über mehrere Touch Points hinweg stattfinden, kann dies Unternehmen schnell vor große Probleme stellen. Die Kenntnis der eindeutigen Identität eines Kunden sowie die Verwaltung seiner individuellen Präferenzen und Einwilligungen sind Voraussetzungen zur Erfüllung dieser Anforderungen. Wer die Identität seines Kunden nicht sicher kennt, wird die geforderten Nachweise nicht bringen können!
Was sind „personenbezogene Daten“?
Personenbezogene Daten umfassen alle Daten einer natürlichen Person, die es Unternehmen ermöglichen, diese Person sicher zu identifizieren. Eine Person kann anhand ihres Namens, ihrer Kundennummer, anhand von Vertragsnummern, Logins oder anderen Faktoren identifiziert werden. Diese Definition geht sehr viel weiter als alle bisherigen Definitionen in der EU. Sie beinhaltet auch alle Tracking-Informationen, welche die Identifizierung des jeweiligen Nutzers erlauben. Alle Daten, die mithilfe von Cookies gesammelt werden, sind als personenbezogene Informationen im Sinne der EU-DSGVO zu betrachten. Dies dürfte für alle Werbetreibenden, die ihre Kunden mittels Werbenetzwerken wie bspw. facebook oder Google AdWords ansprechen möchten, vor große Herausforderungen stellen. Insbesondere der Aspekt der „indirekten Identifizierung” spielt im Hinblick auf diese breite Definition eine wichtige Rolle.
Ernennung eines Datenschutzbeauftragten
Derzeit verfügen nur wenige Länder wie Deutschland über gesetzliche Vorschriften bezüglich Benennung eines Datenschutzbeauftragten (DPO – Data Protection Officer). Dies ändert sich durch die EU-DSGVO grundlegend. Unternehmen, die personenbezogene Daten sammeln und/oder verarbeiten sind verpflichtet, einen Data Protection Officer zu benennen. Ein DPO kann entweder ein Mitarbeiter des eigenen Unternehmens oder eines spezialisierten Dienstleisters sein.
Benachrichtigungen bei Datenschutzverletzungen
Ebenfalls völlig neu geregelt ist die Verpflichtung des DPOs, die zuständige Aufsichtsbehörde spätestens 72 Stunden nach Auftreten einer Datenschutzverletzung zu informieren. Sollte ein Verstoß gegen die EU-DSGVO Auswirkungen auf die Freiheiten und Rechte von Verbrauchern haben, müssen diese ebenfalls zeitnah informiert werden. Auch dies ist eine sehr deutliche Verschärfung der bestehenden deutschen Datenschutzgesetze.
Datenkontrolle und das „Recht auf Vergessenwerden“
Das Recht auf Vergessenwerden soll sicherstellen, dass digital verfügbare Informationen mit einem Personenbezug nicht dauerhaft zur Verfügung stehen und räumt Einzelpersonen das Recht ein, ihre personenbezogenen Daten unverzüglich löschen zu lassen.
Zur Ausübung dieses Rechts müssen allerdings bestimmte Voraussetzungen erfüllt sein, bspw. dass die personenbezogenen Daten nicht länger für den Einsatzzweck benötigt werden, für den sie gesammelt wurden. Allerdings kann das Recht auf Vergessenwerden auch verweigert werden: Wenn es noch eine bestehende Vertragsbeziehung gibt und das Unternehmen zur Erfüllung des Vertrags die Kundendaten benötigt.
Diese schwierige Interessensabwägung führt zu vielen Diskussionen und Gerichtsprozessen – Tendenz weiter steigend. Unternehmen müssen sich darauf vorbereiten, personenbezogene Daten auf Anfrage unverzüglich löschen zu können und den Nachweis darüber zu erbringen.
Auch über das Recht auf Vergessenwerden hinaus sind die neuen Verbraucherrechte viel weiter gefasst. Sie beinhalten auch das „Recht auf das Einfrieren der Datenverarbeitung“, was ebenfalls eine neue, relativ komplexe Anforderung darstellt.
Technische und betriebliche Sicherheitsmaßnahmen
Technische und betriebliche Sicherheitsmaßnahmen sollen insbesondere Zugangs- und Zugriffsrechte sowie die Kontrolle über die in Auftrag gegebene Datenverarbeitung beinhalten. Dies sind klassische Anwendungsgebiete von Customer Identity und Access Management Lösungen. Regelmäßige Audits können sicherstellen, dass die technischen und betrieblichen Sicherheitsmaßnahmen wirksam sind und unterstützen Unternehmen dabei, ihr Risiko bei der Verarbeitung personenbezogener Daten zu senken.
„Privacy by Default“ und „Privacy by Design“
Schließlich beschreibt die EU-DSGVO Anforderungen an „Privacy by Default” sowie an „Privacy by Design”. Privacy by Design hat das Ziel, Anwendungen so zu konzipieren, dass rechtliche Vorschriften sowie Kundeneinwilligungen flexibel überwacht und durchgesetzt werden können. Privacy by Design soll sicherstellen, dass etwaige Sicherheitsprobleme bereits beim Software-Design erkannt werden können.
Privacy by Default bedeutet, dass die gesetzlich geforderten Datenschutzeinstellungen bereits voreingestellt sind und nicht erst von Unternehmen nachträglich aktiviert werden müssen.
Die Datenschutzgrundverordnung der Europäischen Union führt signifikant strengere Richtlinien ein. Nicht alle sind neu, aber dennoch müssen Unternehmen, die personenbezogene Daten speichern und verarbeiten, ihren Umgang mit diesen Daten überdenken.
DSGVO und Customer Identity und Access Management
Der entscheidende Aspekt beim Umgang mit personenbezogenen Daten ist die Einwilligung in die Datennutzung. Anders als in den sozialen Medien propagiert reicht es nicht aus, lediglich eine IP-Adresse zu protokollieren. Der Anwender, der seine Einwilligung gibt (oder eben nicht), muss eindeutig und sicher identifizierbar sein. Demzufolge müssen die jeweiligen Einwilligungen exakt pro Anwender und Einsatzzweck aufgezeichnet werden. Unternehmen müssen in der Lage sein, schnell und nachvollziehbar angeben zu können, wo welche Daten gespeichert wurden und für welchen Einsatzzweck sie verwendet werden. Dazu werden flexible, leicht anpassbare Identifizierungs-Prozesse benötigt, die ein detailliertes Opt-In-/Opt-Out-Management inkl. rechtssicheren Reporting ermöglichen.
DSGVO braucht agiles Identity und Access Management
Personenbezogene Daten müssen auf Kundenwunsch zeitnah exportiert und weiterverarbeitet werden können. Ergänzend müssen Unternehmen in der Lage sein, über sämtliche im Unternehmen gespeicherte, personenbezogene Daten Auskunft geben zu können. Ohne eine unternehmensweit verfügbare, flexible Reporting-Schnittstelle ist dies schlicht nicht leistbar. Dem Trend zu Self-Service-Portalen folgend wird durch die EU-DSGVO angeregt, dass Nutzer die Möglichkeit bekommen sollen, ihre eigenen Daten jederzeit mittels Self-Service online ändern können.
Eine Customer Identity und Access Management Lösung muss in der Lage sein, sowohl die direkt im CIAM-System gespeicherten Daten als auch die Schlüssel/Verweise angebundener Anwendungen vollständig zu entfernen. Beim „Einfrieren“ werden die Daten zwar nicht gelöscht, aber der Zugriff darauf wird unterbunden. Unternehmen benötigen zwingend ein umfassendes System, zur Verwaltung aller Einwilligungen.
Ohne eine Customer Identity und Access Management Lösung können diese Anforderungen nicht sinnvoll umgesetzt werden!
DSGVO: Fazit und Ausblick
Nach einer zweijährigen Übergangszeit tritt die Datenschutzgrundverordnung der Europäischen Union am 25. Mai 2018 in Kraft. Diese Verordnung ersetzt bzw. ergänzt das bestehende Bundesdatenschutzgesetz und muss von allen Unternehmen erfüllt werden, die Daten von in der Europäischen Union lebenden Personen verarbeiten. Es werden völlig neue, sehr anspruchsvolle Anforderungen und Prozesse eingeführt. Diese erfordern sowohl eine bessere Kontrolle der Art und Weise, wie ein Unternehmen Kundenidentitäten verwaltet, als auch eine bessere Verwaltung von personenbezogenen Daten. Diese müssen auf Anfrage vollständig gelöscht werden, sofern ein Nutzer seine Einwilligung widerruft.
Frithard Meyer zu Uptrup, Geschäftsführer intension GmbH
„Kundenidentitäten sind im digitalen Zeitalter die Grundlage vieler Geschäftsmodelle. Mit der Datenschutzgrundverordnung wird diese Grundlage auf ein völlig neues Fundament gestellt.
Die Tage proprietärer Lösungen, die Identitäten mittels eigener Verfahren verwalten und losgelöst von anderen Systemen existieren, sind damit endgültig gezählt. Unternehmen müssen sich von diesen singulären Lösungen verabschieden und eine moderne Plattform für ein unternehmensweites Customer Identity und Access Management einführen. Nur so können die verschärften Vorschriften der DSGVO eingehalten und Strafen vermieden werden.
Softwarelösungen und –komponenten von intension erfüllen die DSGVO-Grundsätze Privacy by Design und Privacy by Default und unterstützen Unternehmen dabei, den Dokumentationspflichten der EU-DSGVO mit einem nachhaltigen, sicheren und transparenten Identity und Access Management Rechnung zu tragen. Auf diese Weise lassen sich personenbezogene Daten eindeutig identifizieren, sicher aufbewahren und datenschutzkonform verarbeiten.
Setzen Sie auf die technologisch führende CIAM-Lösung – wir beraten Sie gerne.“
Quellen:
- Bitkom: https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html
- Webseite https://www.datenschutz-grundverordnung.eu/
- Wikipedia
- Whitepaper „GDPR and Implications for Customer Identity Management“, KuppingerCole
powered by Borlabs Cookie