DSGVO – Was braucht eine Customer-IAM-Lösung dazu?

3 September 2018

DSGVO-konform: Was braucht eine Customer-IAM-Lösung dazu?

Uns reicht ein innovatives und einfach zu implementierendes CIAM-System zur Verwaltung von Online-Benutzerdaten nicht.

Wir erklären, wie Sie technisch die DSGVO-Anforderungen zur Speicherung und Verarbeitung der Benutzerdaten und der Passwörter erfüllen.

Damit ein System den neuen DSGVO-Regularien gerecht wird, sind einige Punkte zu beachten. Hierbei ist die Art der Datenverarbeitung und – speicherung relevant. Aber insbesondere die Möglichkeiten für den Endbenutzer seine Daten einzusehen und selbst zu managen. Unterliegen die Daten keiner gesetzlichen Speicherpflicht, kann der Benutzer ihre Löschung beantragen („Recht auf Vergessenwerden“). Ebenso kann er sein Benutzerprofil in einem downloadfähigen Format abrufen. Bei den gängigen IAM-Systemen gibt es häufig wenig Transparenz und Rechte für den Benutzer. Denn das Ziel ist entweder nur die Passwortverwaltung oder der Schwerpunkt liegt auf der Analyse der Daten bzw. des Benutzerverhaltens. Das eine ist eine Notwendigkeit, das andere liegt im kommerziellen Interesse von Unternehmen. Und der Benutzer bleibt auf der Strecke. Aber im Endeffekt zahlt sich die Benutzerfreundlichkeit aus und seit Ende Mai 2018 ist sie quasi Pflicht.

Von Beginn an, haben wir uns damit auseinandergesetzt, wie wir alle DSGVO-Pflichten systemseitig berücksichtigen können. Und nicht nur das, auch wie unsere Kunden davon profitieren können, ohne selbst viel Aufwand bei der Verwaltung Ihrer Benutzerdaten zu generieren.

Eine Übersicht zur systemseitigen Umsetzung der DSGVO mit unserer CIAM-Lösung Login-Master finden Sie hier.

 

DSGVO-konforme Korrespondenz – zentralisiert und transparent

Hier erläutern wir, wie die CIAM-Lösung Login-Master mit verschiedenen Anwendungen agiert, auf die Benutzer zugreifen wollen. Ohne großen Aufwand, unkompliziert, sicher und DSGVO-konform.

 

Login-Master bietet ein „Rundum-sorglos-Paket“ an. Die Customer-IAM-Lösung lässt nur bekannte, also registrierte Benutzer auf verschlüsselte Seiten zugreifen. Dabei agiert sie DSGVO-konform und übernimmt die Kommunikation mit den gewünschten Anwendungen, um den Benutzerzugriff darauf zu gewähren.

Im Grunde genommen ist es für die Anwendungen gar nicht mehr notwendig sich selbst um die Zugriffsrechte zu kümmern. Diese müssen keine Informationen mehr zum Zugriff der Benutzer speichern. Sie können ihre eigentlichen Kernaufgaben ausführen. Und das gesamte System hält das geforderte Prinzip der Datenminimierung ein, also die Reduktion der gespeicherten Daten auf ein notwendiges Minimum.

Wie in Bild 1 dargestellt, unterscheidet man zwischen drei Arten von Anwendungen:

1. Voll integrierte
Diese sind mit der User Registry verbunden und führen keine eigenen Aktionen für die Einhaltung von DSGVO durch.

2. Provisionierte
Sie haben eine lokale, eigene User Registry. Login-Master kann diese pflegen.

3. Autonome
Sie sammeln selbst persönliche Nutzerinformationen. Login-Master muss einen Dialog mit ihnen führen, um DSGVO-Konformität zu erreichen.

 

DSGVO-konform mit Login-Master

Bild 1: Login-Master – „Drehscheibe“ zur Kontrolle der persönlichen Benutzerinformationen

 
  • Grundsätzlich bietet Login-Master die Möglichkeit Benutzerinformationen zentralisiert in einer einzigen User Registry zu speichern. Die Customer-IAM-Lösung arbeitet dann mit „voll integrierten Anwendungen“. Wenn die Benutzerinformationen auch außerhalb benötigt werden, sorgt sie dafür, dass diese an die entsprechenden Anwendungen provisioniert werden („Provisionierte Anwendung“).
  • Sammelt eine Anwendung selbst Informationen („Autonome Anwendung“), kommuniziert Login-Master mit der Anwendung über eine REST-Schnittstelle. Login-Master fragt diese Informationen ab. Er teilt im Auftrag des Benutzers der Anwendung mit, dass dieser „vergessen“ werden möchte. Selbstverständlich informiert die Datenschutzerklärung den Benutzer auch über einen solchen Vorgang.
  • Bei dem Antrag zur Löschung der persönlichen Informationen startet Login-Master einen entsprechenden Prozess: Zunächst teilt dieser allen integrierten Anwendungen mit, dass der Benutzer gelöscht werden möchte. Im Anschluss daran sammelt er die Rückmeldungen der angebundenen Anwendungen. Final erhält der Benutzer eine E-Mail zur Bestätigung. Die Anwendungen und Login-Master löschen endgültig die Informationen.
  • Müssen Informationen gesetzlich aufbewahrt werden, wie z.B. im Fall einer Rechnung, wird der Benutzer per Email darüber informiert.
 

Wie sorge ich für Vollständigkeit im Hinblick auf die DSGVO-Umsetzung?

Datenschutz-Lücken – an welchen Stellen gibt es diese im System?

DSGVO-konforme Lösungen sind nicht immer oder noch nicht im Einsatz. Datenschutz-Lücken kann man in einigen Bereichen finden, wie z.B.

  • Einige Systeme informieren den Benutzer nicht darüber, welche persönlichen Daten von ihm gesammelt werden und wie diese verwendet werden.
  • Es fehlt die Genehmigung des Besitzers der Daten, diese zu speichern und zu verarbeiten.
  • Benutzerinformationen sind oft weit verstreut in unterschiedlichen Anwendungen zu finden, häufig sind diese doppelt vorhanden und es gibt keinen Prozess, wie diese konsistent verwaltet werden.
  • Es gibt keinen (elektronischen) Support, der Benutzeranfragen zu den gespeicherten Informationen beantwortet.
  • Es gibt keinen (elektronischen) Support, der die Löschung der Informationen auf Nachfrage vornimmt.
  • Es gibt keine Unterscheidung zwischen zu löschenden, persönlichen Informationen und Vertrags- oder Rechnungsinformationen, die aufbewahrt werden müssen aufgrund von gesetzlichen Dokumentationspflichten.

Mit Login-Master Datenschutz-Lücken systemseitig schließen

Die Customer-IAM-Lösung schließt diese Lücken als zuverlässige Plattform. Das ermöglicht seine Architektur, welche den Schwerpunkt auf Self-Service, Automation und Workflows legt. Der Ansatz, die Benutzerinformationen in der zentralisierten User Registry zu verwalten, entspricht den Compliance-Anforderungen und somit den neuen Regularien.

Sogar alte Anwendungen, die auf weitere Benutzerinformationen zugreifen, können mit Login-Master verbunden werden. Dies läuft über Provisionierung oder Metadirectory-Technologien. Durch die Nutzung von Login-Master-Prozessen, aber ohne die Änderung von bestehenden Anwendungen, wird auch hier die DSGVO-Konformität gewährleistet.

Insgesamt bietet Login-Master rechtskonforme Vorgänge und entsprechende systemseitige Merkmale, um der neuen Datenschutzverordnung gerecht zu werden. Zusammengefasst sind diese:

  • Die Einverständniserklärung des Benutzers wird während der Registrierung eingeholt.
  • Die gespeicherten persönlichen Informationen kann der Benutzer jederzeit über sein Benutzerprofil einsehen.
  • Eine im Benutzerprofil gestellte Löschanfrage wird durch einen Workflow und das Metadirectory / die Provisionierungskapazitäten realisiert.
  • Eine zuverlässige und gesicherte Altersverifikation ist über das an Login-Master angeschlossene Postident-Verfahren der Deutschen Post möglich.

 

Wollen Sie mehr wissen?

Haben Sie Fragen zur DSGVO im Zusammenhang mit Ihren Identity & Access Management Themenstellungen? Planen Sie die Erneuerung eines Internetportals und suchen Sie hierbei eine DSGVO-konforme Lösung zur Benutzerdatenverwaltung? Wir helfen Ihnen weiter. Sprechen Sie uns gerne dazu an!

    Betreff *

    Name *

    E-Mail *

    Telefon

    Unternehmen

    Nachricht *

    Bitte Text einfügen captcha

    Bitte beweise, dass du kein Spambot bist und wähle das Symbol Baum.

    Hiermit willige ich ein, dass mich die Syntlogo GmbH und/oder intension GmbH mittels Telefon, E-Mail oder Post kontaktieren darf. Mir ist bewusst, dass ich diese Einwilligung jederzeit mit Wirkung für die Zukunft, per E-Mail an info@syntlogo.de oder über dieses Kontaktformular widerrufen kann. Wir setzen Sie davon in Kenntnis, dass durch den Widerruf der Einwilligung die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt wird. Unsere Datenschutzerklärung.