Die neue Datenschutzgrundverordnung wird 1 Jahr alt

Die Neuauflage der europäische Datenschutzgrundverordnung (DSGVO) feiert Jahrestag.
Doch auch ein Jahr nach Inkrafttreten stellt sich für viele immer noch die Frage, was genau hinter der DSGVO steht und welche Auswirkungen sie auf Unternehmen und die Verwaltung persönlichen Daten hat?

Das seit 25. Mai 2018 gültige Datenschutzgesetz der Europäischen Union gilt als eine der wichtigsten Änderungen der Datenschutzbestimmungen. Es legt fest, wie mit personenbezogenen Daten von EU-Bürgern umgegangen werden muss. Kurz gesagt: Bürger haben mehr Rechte zu erfahren, welche Daten Unternehmen über sie speichern und können diese auf Verlangen löschen lassen. Unternehmen wiederum müssen den gesetzeskonformen Umgang mit Daten sicherstellen und die Verarbeitung von personenbezogenen Daten transparenter und sicherer gestalten. Tun sie dies nicht, sind die Sanktionen klar definiert und können mit einer Geldstrafe von bis zu 4% des jährlichen Umsatzes oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist) diszipliniert werden.

Wenig Fortschritt bei der Einhaltung der Datenschutzgrundverordnung

Ein Jahr nach Inkrafttreten der DSGVO blieb die große Abmahnwelle zwar aus, europaweit wurden aber dennoch über 59.000 Verstöße gegen die falsche Handhabung von personenbezogenen Daten gemeldet. Eine Studie des Digitalverbandes Bitkom e.V. zeigt zudem, dass bisher nur 24% aller deutschen Unternehmen die DSGVO vollständig umgesetzt haben. Dies führt zu der Schlussfolgerung, dass viele Unternehmen immer noch Schwierigkeiten haben, die Datenschutzverordnung vollständig umzusetzen und einzuhalten.

Die vollständige Umsetzung der DSGVO stellt nach wie vor eine große Herausforderung dar

Die Hürden, denen sich die Unternehmen auch heute noch gegenübersehen, sind mehr oder weniger dieselben, wie noch ein Jahr zuvor:

  • Zahlreiche Datensilos: Unternehmen speichern personenbezogene Daten von Kunden oft über verschiedene Systeme hinweg. Dadurch ergeben sich große Schwierigkeiten eine ganzheitliche Sicht auf persönliche Daten und die entsprechenden Verarbeitungsabläufe zu erhalten.
  • Unvollständige Self-Services: Die DSGVO schreibt vor, dass die persönlichen Daten von Personen jederzeit auf dem neuesten Stand sein sollten – am besten im Self-Service. Durch die Datensilos der Unternehmen wird dies zu einer unmöglichen Herausforderung.
  • unzureichende Data Governance: die Zugriffe auf Daten müssen in allen Applikationen über zentralisierte Datenzugriffsrichtlinien abgebildet werden können. Meistens werden diese rollenbasierten Zugriffsrollen, die gemäß dem „Need to know“ Prinzip aufgebaut werden sollten aber nicht umfassend über das betriebliche Dateisystem umgesetzt.
  • Mangelnde Datensicherheit: Die DSGVO verlangt die Umsetzung von technischen und organisatorischen Maßnahmen (TOM) zum Schutz der Daten. Viele Unternehmen sind diesen Sicherheitsauflagen, zu denen u.a. auch die Datenverschlüsselung gehört, bisher noch nicht vollständig nachgekommen.

So hilft ein Customer Identity und Access Management dabei, DSGVO-konform zu werden

Für Unternehmen, die ihre DSGVO-Hausaufgaben noch nicht vollständig erledigt haben, stellt der Einsatz eines Customer Identity und Access Managements wie cidaas die optimale Lösung dar, um digitale Identitäten auf einer Plattform zu verwalten.

Durch CIAM werden Sie auf einen Schlag DSGVO-konform:


Abbildung 1: cidaas zentralisiert die Verwaltung Ihrer digitalen Identitäten auf einer Plattform

  1. Verwaltung von Einwilligungen
    Die informationelle Selbstbestimmung des Einzelnen bildet die Grundlage der EU-DSGVO. Sobald die betroffene Person eine unmissverständliche Einwilligung abgibt oder eine gesetzliche Erlaubnis vorliegt, ist die Datenverarbeitung zulässig (Verbotsprinzip).

    • Die Einwilligung ist bei Registrierung (erstmaliger Datenerhebung) und bei Zweckänderungen einzuholen. Die Einwilligung ist zweckgebunden. (Art. 6 Abs. 1 a EU-DSGVO)
    • Die Einwilligung ist widerrufbar. Der Widerruf muss so einfach wie die Erteilung der Einwilligung funktionieren (Art. 7 Abs. 3 EU-DSGVO)
    • Das Unternehmen ist verpflichtet, die Einwilligung nachweisen zu können (Formerfordernis, Protokollierungspflicht) (Art. 7 Abs. 1 EU-DSGVO)

    cidaas unterstützt Sie vollumfänglich bei der Verwaltung von Einwilligungspräferenzen und bietet Ihnen die Möglichkeit gespeicherte personenbezogene Daten (PII= personally identifiable information) auf Knopfdruck an Ihre Kunden zu senden.

  2. Benutzer Self-Services
    Gemäß Art. 5 Abs. 1 d) müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neusten Stand sein. Weiterhin sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“).
    Warum also dem Kunden nicht selbst die Kontrolle dafür geben? Schließlich weiß er um seine persönlichen Daten am besten Bescheid.

    Mit cidaas spielen Sie die Kontrolle über die Datenverwaltung an den Nutzer zurück und stellen so sicher, dass die Daten auf dem neusten Stand sind.

  3. Sicherheit der Daten
    In Art. 32 verlangt die DSGVO, die Umsetzung von technischen und organisatorischen Maßnahmen (TOM) zum Schutz der Daten. Was dies nun aber genau heißt und welche Handlungen zu ergreifen sind, um die Datensicherheit zu gewährleisten, wird nicht genauer spezifiziert.

    Eine CIAM-Lösung wie cidaas bewacht personenbezogene Daten und schützt sie durch Verfahren wie die Zwei-Faktor-Authentifizierung (2FA) sowie biometrischen Anmeldeverfahren vor unautorisiertem Zugriff. Weiterhin kann durch das integrierte Rollen- und Gruppenmanagement von cidaas genau nachvollzogen werden, wer auf welche Daten zugegriffen hat und welche Änderungen vorgenommen wurden. Dadurch ist, wie in Art. 5 Abs.1 EU-DSGVO gefordert, jeder Dateneintrag, -änderung und -löschung nachvollziehbar.

  4. Eine Identität über mehrere Kanäle
    Um den verschärften Regularien der Datenschutzverordnung nachzukommen, müssen sich Unternehmen von Einzelapplikationen verabschieden.

    Ein Customer Identity und Access Management konsolidiert die bisherigen Datensilos und ermöglicht die Verwaltung aller Benutzerdaten auf einer Plattform.

Datenschutz ist nur durch gezieltes Identitätsmanagement zu erreichen

War der Datenschutz früher eher ein Randthema, werden Verstöße heute mit teils hohen Bußgeldern geahndet. Wie aktuelle Studien zeigen weist die Umsetzung der DSGVO bei vielen Unternehmen aber auch heute noch Lücken auf.

Mit dem Einsatz einer Customer Identity und Access Management Lösung können Sie die technischen Anforderungen, die die Datenschutzverordnung mit sich bringt, meistern.

Sie erfüllen die Anforderungen der DSGVO noch nicht vollumfänglich und benötigen noch Unterstützung bei deren Umsetzung? Kontaktieren Sie uns gerne oder starten Sie noch heute mit unserem kostenfreien cidaas Freeplan

CIAM Leitfaden: Was gilt es bei der Wahl einer Customer Identity und Access Management Lösung zu beachten?

Erfahren Sie in unserem Leitfaden, welche Kriterien Sie bei Ihrer Entscheidungsfindung berücksichtigen sollten.