EU-DSGVO: Datenschutz als Chance

Diskussion wird von Unternehmen häufig unter dem Vorzeichen der Einschränkung der Handlungsfreiheit und dem Haftungsrisiko geführt

Von unserem Gastautor Sadrick Widmann, CPO bei cidaas.

[datensicherheit.de, 30.11.2018] Da wie auch in der „Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO)“ nochmal deutlich wird, steht Werbung egal ob in postalischem, telefonischem oder digitalem Forum immer unter dem Vorbehalt der Einwilligung der Konsumenten.

Hier wird ein wichtiger Hinweis für Unternehmen gegeben: „Werden personenbezogene Daten unmittelbar bei der betroffenen Person erhoben, z. B. für Kauf -und Dienstleistungsverträge, Prospektanforderungen oder Gewinnspiele, ist diese umfassend nach Art. 13 Abs. 1 und 2 DS – GVO u. a. über die Zwecke der Verarbeitung der Daten zu unterrichten. Eine schon geplante oder in Betracht kommende Verarbeitung oder Nutzung der Daten für Zwecke der Direktwerbung ist daher der betroffenen Person von Anfang an transparent darzulegen“.

Das in einer modernen Big Data gestützten Erhebung von Kundedaten, die dem Kunden eine größtmögliche Transparenz und Sicherheit gibt, auch eine Chance für Unternehmen liegt, eigene Prozesse sicherer, kommunikativer und produktiver zu gestalten wird hierbei von Unternehmen oft übersehen.

Vor allem mittelständische Unternehmen, welche den rechtlichen Anforderungen mit einer gleichzeitig verbesserten User Experience in Zukunft gerecht werden, können sich Wettbewerbsvorteile sichern. Hierbei kommt dem Erfassen, Verwalten und Kommunizieren der „Digitalen Identität“ von Kunden, Partnern, Händler und Mitarbeitern eine Schlüsselrolle zu. Eine zentralisierte Datenschutz- und Sicherheitspolitik durch eine moderne Benutzerverwaltung (Consent Management) im Unternehmen ist daher ein Muss.

Die digitale Identität bietet dabei Unternehmen die Chance Kunden oder auch Händlern personalisierte Dienstleistungen und Services anzubieten, zum andern gewährt sie die Möglichkeit des Schutzes und der kundenfreundlichen Verwaltung von personenbezogenen Daten.

Eine entsprechende Customer Identity and Access Management (CIAM) Software Lösung ermöglicht es den Dialog mit Kunden, Unternehmen und Maschinen über alle Devices individuell und gleichzeitig DSGVO konform zu steuern und falls erforderlich auch den Anforderungen der Zahlungsdiensterichtlinie PSD2 (Payment Services Directive) gerecht zu werden.

Kernstück der EU-DSGVO ist: Ein Nutzer muss identifizierbar sein und seine Einwilligung zur Verwendung von Daten erteilen und diese jederzeit widerrufen können. Das Einhalten der neuen Datenschutzvorschrift, die gemäß Art. 5 Abs. 1 d) fordert, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neusten Stand sein müssen, wird durch ein CIAM-System, wie cidaas, schnell und rechtskonform umsetzbar, da der Kunde in einem Benutzer Selfe Service seine Daten direkt verwalten kann. Durch ein einfaches Benutzer-Management können Kundenprofile zudem einfach gelöscht und somit dem Recht auf Löschung (Art. 13 EU-DSGVO) nachkommen werden.

Dieser sichere und individuelle Kundendialog ist für eine Vielzahl von Branchen relevant.:

• Banken und Versicherungen
• e-Commerce
• Gesundheitswesen
• Bildungswesen
• Öffentliche Verwaltungen
• Industrie 4.0

Sicherheit der Daten und die Authentifikation der Identität essentiell

Dies betrifft im Übrigen die reale, wie auch in der digitalen Welt. Unter Authentifizierung versteht man das Anmelden bei einem System, sei es zum Beispiel digital zu einem Bankkonto, Onlineshop oder Mitarbeiterportal. Oder auch physisch zu einem Geschäftsraum, wobei die Identität des Benutzers festgestellt und geprüft wird. Identität ist der eindeutige Identifikator für eine Person, Organisation, Ressource oder einen Service. Eine moderne, auf Big Data Technologie basierenden Customer Identity and Access Management (CIAM) Software verwaltet nicht nur die Daten, sondern bietet auch das entsprechende Authentifizierungstool und ermöglicht zum Beispiel bei der Mitarbeiterverwaltung auch die Verteilung von Rollen und Zugriffsrechten.

Aber auch beim Schutz von Zugängen zu Onlineshops muss eine sogenannte „starke Authentifizierung“ sichergestellt werden. Die EU-Datenschutzgrundverordnung (EU-DSGVO) verbietet zwar nicht direkt die Authentifizierung mit Nutzername und Passwort. Aber es wird ausdrücklich gefordert, dass personenbezogene Daten vor unbefugtem Zugriff sicher sein müssen. Hierbei wird gleichzeitig die Benutzerfreundlichkeit wird immer wichtiger werden.

Eine Multi-Faktor-Authentifizierung sorgt durch User Profiling und biometrischen Faktoren für die hohe Sicherheit, wie sie in Art. 32 der EU-DSGVO gefordert wird.

Zur Identifikation und Authentifikation können verschiedene Verfahren eingesetzt und kombiniert werden

Im Einzelnen umfasst dies:

• Gesichtserkennung: Identifiziert Benutzer mit zukunftsweisender, biometrischer Methode der Gesichtsmerkmale
• Spracherkennung: Identifizierung über Stimme
• TouchID: Identifizierung über Fingerabdruck
• Muster: Identifizieren über ein vom Benutzer gezeichnetes Muster
• Push-Benachrichtigung: Identifizierung über die Akkreditierung allein auf dem benutzten Gerät
• TOTP: Ein einmaliger, zeitlich begrenzter Code, der zur Identifikation verwendet wird
• Back-up code – Für den Fall, dass ein Benutzer sein Mobiltelefon nicht zur Hand hat,
• FIDO U2F USB-basierte Sicherheitstechnologie
• Email
• SMS
• IVR – Verifizierungscodes per Sprachanruf

Eine Zwei-Faktor-Authentifizierung (2FA) –von zum Beispiel Finger- oder Gesichtserkennung mit einem Passwort bietet hierbei die geforderte „starke Sicherheit“. Werden zudem durch starke Prognosefaktoren und Big Data Analysen der Nutzer mit hoher Sicherheit erkannt und mit Built-in Werkzeugen betrügerische Versuche oder Verdachtsfälle gestoppt, ist den Anforderungen des Datenschutzes genüge getan.

Anforderungen CIAM

Eine Customer Identity and Access Management (CIAM) Software Lösung ist problemlos für mittelständische Unternehmen einsetzbar. Hierbei sollten bei der Entscheidung für einen Tool verschiedene Punkte beachtet werden:

• Skalierbarkeit – damit die Software ohne Aufwand an die unternehmerische Entwicklung angepasst werden kann.
• Cloudsoftware gehostet auf deutschen Servern für DSGVO-Konformität und schnelle automatisierte Updates
• Standards wie Social Login oder Single Sign On sollten ebenfalls zum Produktumfang gehören.
• Einsetzbar in der Digitalen, wie auch in reale Welt – um ein umfassendes System zu haben. Denn Datenbetrug erfolgt nicht zuletzt auch oft durch Mitarbeiter.
• Die einfache Integration in die bestehende Sicherheits- und CRM-Architektur.

Weitere Informationen zum Thema:

datensicherheit,de, 20.09.2018
DSGVO-Anforderungen: 87 Prozent der geprüften deutschen Webshops ungenügend

datensicherheit.de, 18.09.2018
Nach British Airways-Hack drohen der Fluggesellschaft DSGVO-Sanktionen

datensicherheit.de, 18.09.2018
DSGVO: „Wird schon gutgehen“ ist definitiv die falsche Einstellung

datensicherheit.de,  25.07.2018
DSGVO-Audits: Hohe Durchfallquote erwartet

datensicherheit.de, 19.07.2018
DSGVO: Hohe Bekanntheit bei geringer Wertschätzung