SlideShare ist ein Scribd-Unternehmen logo
KuppingerCole Whitepaper
Compliance: GDPR and Implications for Customer Identity Management
Report Nr.: 72601
Die neue EU-Datenschutzgrundverordnung
und Kundenidentitäten – was Sie wissen
müssen
Durch die neue Datenschutzgrundverordnung der Europäischen Union (DSGVO) verändern sich
die Anforderungen bezüglich der Verarbeitung personenbezogener Daten. Die Verordnung
verfügt über einen weit gefassten Geltungsbereich und wirkt sich auch auf Unternehmen
außerhalb der EU aus. Das richtige Gleichgewicht zwischen den neuen rechtlichen Vorgaben auf
der einen Seite und den neuen Anforderungen bezüglich der Kundenverwaltung im Zeitalter
des digitalen Wandels auf der anderen Seite zu finden, erfordert einen Wechsel von portal- und
anwendungsbasiertem Kundenmanagement hin zu zentralisierten Customer Identity
Management-Plattformen, die das Gleichgewicht zwischen Compliance, Nutzereinwilligungen
und der optimalen Erfüllung von Kundenwünschen unterstützen.
Dr. Karsten Kinast
kk@kuppingercole.com
Martin Kuppinger
mk@kuppingercole.com
In Auftrag gegeben von
KuppingerCole
WHITEPAPER von Dr. Karsten Kinast & Martin Kuppinger| August 2016
KuppingerCole Whitepaper
Compliance: DSGVO und Customer Identity Management
Report Nr.: 72601 Seite 2 von 18
Verwandte Themen
#71529 Executive View: Gigya Customer Identity Management Suite
#72002 Whitepaper: Using Information Stewardship within Government to Protect PII
#72006 Leadership Brief: Your customer identities: How to do them right
#72015 Leadership Brief: Monetizing the Digital Transformation
KuppingerCole Whitepaper
Compliance: DSGVO und Customer Identity Management
Report Nr.: 72601 Seite 3 von 18
Inhalt
1 Zusammenfassung........................................................................................................................ 4
2 Wichtige Erkenntnisse .................................................................................................................. 5
3 Datenschutzgrundverordnung (DSGVO) ........................................................................................ 5
3.1 Historie und Kontext: Warum war die DSGVO erforderlich?...........................................................5
3.2 Vorhandener rechtlicher Rahmen....................................................................................................6
3.2.1 EU-Datenschutzrichtlinie.....................................................................................................6
3.2.2 ePrivacy-Richtlinie ...............................................................................................................6
3.3 Umsetzungsfrist und Anwendungsbereich ......................................................................................6
4 Compliance: Schlüsselelemente der DSGVO .................................................................................. 7
Definition personenbezogener Daten......................................................................................................7
Regelungen zur Einholung einer gültigen Einwilligung............................................................................8
4.1 Anforderungen bezüglich der Ernennung eines Datenschutzbeauftragten.....................................9
4.2 Verpflichtende Datenschutzfolgeabschätzungen (DPIA) .................................................................9
4.3 Anforderungen bezüglich Benachrichtigungen bei Datenschutzverletzungen..............................10
4.4 Datenkontrolle und das Recht auf Vergessen................................................................................10
Technische und betriebliche Sicherheitsmaßnahmen...........................................................................11
Privacy by Default und Privacy by Design ..............................................................................................11
5 DSGVO und Customer Identity Management............................................................................... 12
5.1 Geschäftliche Anforderungen ........................................................................................................12
5.2 Prinzipien zur Implementierung von DSGVO-Anforderungen........................................................13
5.3 Das richtige Gleichgewicht finden..................................................................................................14
6 Zusammenfassung und Empfehlungen ........................................................................................ 15
7 Copyright ................................................................................................................................... 17
KuppingerCole Whitepaper
Compliance: DSGVO und Customer Identity Management
Report Nr.: 72601 Seite 4 von 18
1 Zusammenfassung
Die bald in Kraft tretende Datenschutzgrundverordnung (DSGVO) der Europäischen Union führt zu
Veränderungen in Bezug auf Datenschutz- und Privacy-Anforderungen, auf die Unternehmen
angemessen reagieren müssen. Die DSGVO ist sehr weit gefasst und wirkt sich deshalb nicht nur auf
Unternehmen innerhalb der EU aus, sondern auch auf Unternehmen, die Daten von in der EU
ansässigen Kunden verarbeiten.
Die Datenschutzgrundverordnung entstand als Instrument zur Angleichung von Rechtsvorschriften
bezüglich Datenschutz in den EU-Mitgliedsstaaten. Die schnelle Entwicklung neuer Technologien hat
aufgezeigt, dass der aktuelle rechtliche Rahmens aktualisiert werden muss, um die heutige Welt der
sozialen Netzwerke und Big-Data-Technologien abzudecken. Die neue Gesetzgebung wird deutlich
strengere Anforderungen im Hinblick auf die Wahrung der Privatsphäre von Kunden stellen. Als EU-
Richtlinie steht die DSGVO über nationalen Vorschriften, die in der Folge angepasst werden müssen.
Es gibt eine Vielzahl neuer Rechtselemente, wie beispielsweise zwingend erforderliche Einwilligungen,
die Beschreibung der Verwendung personenbezogener Daten und das Recht auf Vergessen. Um die
Auswirkungen der DSGVO auf das Customer Identity Management und die Verarbeitung von
Kundendaten zu verstehen - die weit über Customer Identity Management hinausgehen und auch CRM,
ERP und andere Business-Systeme betreffen - ist es wichtig, die wichtigsten Rechtselemente der neuen
Richtlinie zu verstehen.
Im Hinblick auf Kundendaten spielt eine effiziente und gut durchdachte Verwaltung von
Kundenidentitäten eine immer wichtigere Rolle. Die grundlegende Herausforderung besteht darin, dass
Kunden über deutlich mehr Rechte verfügen als bei allen früheren Datenschutzverordnungen in der EU.
Deshalb ist die Fähigkeit, Kunden zu identifizieren - auch wenn sie mit der Zeit unterschiedliche
Anmeldedaten verwenden - nicht nur aus der Unternehmensperspektive, sondern auch im Hinblick auf
die Compliance bedeutsam. Natürlich ist es einfacher, die sich verändernden Anforderungen zu erfüllen,
wenn die unterschiedlichen verwendeten Anmeldeinformationen einer einzelnen Personen zugeordnet
werden können. Darüber hinaus sind die Verwaltung und die Berücksichtigung der Einwilligung der
Nutzer, ihrer Wünsche sowie von Opt-Ins und Opt-Outs an allen Berührungspunkten im Rahmen der
europäischen Datenschutzgrundverordnung verpflichtend. Beim Customer Identity Management geht
es um Frontend-Herausforderungen, wie das Verständnis der einzigartigen Identität eines Kunden, aber
auch um Aspekte wie die Durchsetzung von Einwilligungsentscheidungen in allen Backend-Systemen.
Aus technischer Sicht kann die Essenz der Richtlinie in einem einzigen Satz zusammengefasst werden:
Nutzen Sie Plattformen, statt zu kodieren.
Die Zeit der separaten Entwicklung von benutzerbezogenen Anwendungen und Portalen mit jeweils
eigenem Identity Management sind vorbei. Die effiziente Handhabung von Kundenidentitäten, ihrer
Einwilligung und ihres Kontextes zur Unterstützung der Geschäftsagilität und zur Erfüllung der
rechtlichen Compliance-Ansprüche erfordert eine spezielle Customer-Identity-Management-Plattform.
KuppingerCole Whitepaper
Compliance: DSGVO und Customer Identity Management
Report Nr.: 72601 Seite 5 von 18
2 Wichtige Erkenntnisse
● Die neue Datenschutzgrundverordnung (DSGVO) der EU, die im Mai 2018 in Kraft treten
soll, führt zu Veränderungen in Bezug auf Datenschutz- und Privacy-Anforderungen -
Unternehmen müssen jetzt handeln.
● Die Einholung der Einwilligung des Nutzers bezüglich der Verwendung
personenbezogener Daten und die Verwaltung von Einwilligungsnachweisen sind
bedeutende Elemente.
● Verschiedene Prinzipien, wie das Recht auf Vergessen und das Recht, eine Einwilligung
zurückzuziehen, werden implementiert.
● Unternehmen müssen ihre Fähigkeiten zur Verwaltung von Identitäten, Einwilligungen
und Kontexten der Nutzer verbessern.
3 Datenschutzgrundverordnung (DSGVO)
Die neue Datenschutzgrundverordnung der Europäischen Union führt eine Reihe neuer Anforderungen
für Unternehmen ein, die personenbezogene Daten verwenden. Dabei bezieht der Begriff der
personenbezogenen Daten sich auch auf Informationen, die eine indirekte Identifizierung von Kunden
ermöglichen. Aufgrund der Änderungen der DSGVO müssen Unternehmen Maßnahmen ergreifen, um die
neue Richtlinie zu erfüllen.
Die bald in Kraft tretende Datenschutzgrundverordnung (DSGVO) der Europäischen Union führt zu
Veränderungen in Bezug auf Datenschutz- und Privacy-Anforderungen, auf die Unternehmen
angemessen reagieren müssen. Die DSGVO ist sehr weit gefasst und wirkt sich deshalb nicht nur auf
Unternehmen innerhalb der EU aus, sondern auch auf Unternehmen, die Daten von in der EU
ansässigen Kunden verarbeiten.
Das Verständnis des Geltungsbereichs, des Inhalts und der Auswirkung der DSGVO ist essenziell für das
Verständnis der konkreten Auswirkungen auf Unternehmen, die mit personenbezogenen Daten
(Personally Identifiable Information, PII) im weitesten Sinne arbeiten. Besonders wichtig ist dabei die Art
und Weise, in der Unternehmen Verbraucherdaten in Zukunft behandeln müssen.
3.1 Historie und Kontext: Warum war die DSGVO erforderlich?
Die Datenschutzgrundverordnung ist ein Instrument zur Angleichung von Rechtsvorschriften im Hinblick
auf den Datenschutz in den EU-Mitgliedsstaaten. Aufgrund der schnellen Entwicklung neuer
Technologien ist eine Aktualisierung des aktuellen rechtlichen Rahmens erforderlich, um die neuen
Aspekte der digitalen Wirtschaft abzudecken, wie beispielsweise die nahezu allgegenwärtige
Verwendung von Big Data oder die Rolle, die soziale Netzwerke in den Bereichen der Kommunikation
und Zusammenarbeit spielen. Die Privatsphäre von Verbrauchern wird durch die neue Richtlinie
KuppingerCole Whitepaper
Compliance: DSGVO und Customer Identity Management
Report Nr.: 72601 Seite 6 von 18
gestärkt. Als EU-Richtlinie steht die DSGVO über nationalen Vorschriften, die in der Folge angepasst
werden müssen.
Die DSGVO stärkt allgemeine Datenschutzanforderungen in EU-Mitgliedsstaaten und führt gleichzeitig
zur Angleichung der verschiedenen bisherigen Verordnungen. Wenn die Datenschutzverordnungen in
allen EU-Mitgliedsstaaten konsistenter werden als bisher, wird es für Unternehmen einfacher, diese
einzuhalten.
3.2 Vorhandener rechtlicher Rahmen
Die Datenschutzrichtlinie 95/46/EG und die Datenschutzrichtlinie für elektronische Kommunikation
2002/58/EG (ePrivacy-Richtlinie) bilden den aktuellen rechtlichen Rahmen in Bezug auf den Schutz
personenbezogener Daten.
Die aktuelle Datenschutzrichtlinie stammt aus dem Jahr 1995. Damals steckte das Internet noch in den
Kinderschuhen, und es gab weder Smartphones noch soziale Netzwerke. Big Data spielte noch eine
kleine Rolle und war nicht weit verbreitet. Mit der neuen Datenschutzgrundverordnung versucht die EU,
die Veränderungen der letzten 20+ Jahre aufzuholen und einen Standard für die kommenden Jahre zu
setzen. Deshalb ist der Sprung von der früheren Richtlinie, die bis zu einem gewissen Maß auf der Ebene
der Mitgliedsstaaten außer Kraft gesetzt werden konnte, zur neuen Datenschutzgrundverordnung sehr
groß.
3.2.1 EU-Datenschutzrichtlinie
Die Datenschutzrichtlinie wurde von der Europäischen Kommission eingeführt, um bestimmte, in der EU
etablierte Aspekte bezüglich der Verarbeitung personenbezogener Daten durch Daten-Controller
(Personen oder Unternehmen, die entscheiden, wie und warum personenbezogene Daten verarbeitet
werden) und Datenverarbeitern (Personen oder Unternehmen, die Daten für Daten-Controller
verarbeiten) anzugleichen. Allerdings wurden gewisse relevante Aspekte, wie die Verpflichtung zur
Ernennung eines Datenschutzbeauftragten, zur Registrierung von eingesetzten IT-Systemen bei den
zuständigen Behörden, zur Erfüllung von Einwilligungsanforderungen und so weiter von verschiedenen
Mitgliedsstaaten weiterhin unterschiedlich gehandhabt. Dies unterstrich die Notwendigkeit, den
vorhandenen rechtlichen Rahmen zu aktualisieren, um die Angleichung innerhalb der EU zu verbessern
und auch in Zukunft einen angemessenen Schutz für personenbezogene Daten sicherzustellen.
3.2.2 ePrivacy-Richtlinie
Die ePrivacy-Richtlinie ergänzt die DSGVO und legt bestimmte Anforderungen bezüglich der Speicherung
und Sammlung personenbezogener Kundendaten durch Internet- und Telekommunikationsanbieter
fest. Ein formal geprüfter Entwurf der ePrivacy-Richtlinie, die dem neuen Umfang der DSGVO entspricht,
soll demnächst vorliegen. Allerdings richtet sich diese Richtlinie, wie bereits erwähnt, nur an bestimmte
angegebene Branchen.
3.3 Umsetzungsfrist und Anwendungsbereich
Unternehmen haben zwei Jahre, d.h. bis zum 25. Mai 2018, Zeit, um die Änderungen der DSGVO zu
implementieren. Andernfalls werden empfindliche Strafen für Unternehmen verhängt, die nicht den von
KuppingerCole Whitepaper
Compliance: DSGVO und Customer Identity Management
Report Nr.: 72601 Seite 7 von 18
der neuen Richtlinie vorgeschriebenen Mindestschutz für personenbezogene Daten anbieten. Dies ist
ein relativ kurzer Zeitraum, denn die DSGVO kann signifikante Änderungen an bestehenden Software-
Implementierungen erfordern, die Daten gemäß der neuen Richtlinie verarbeiten.
Einfach ausgedrückt: Unternehmen, die weiterhin Kunden in der EU bedienen
möchten, müssen die Datenschutzgrundverordnung der EU vollständig erfüllen.
Einer der interessantesten Aspekte der DSGVO ist ihr breiter Geltungsbereich. Die DSGVO gilt für alle
Daten-Controller und Datenverarbeiter in der EU, ungeachtet des tatsächlichen Orts der
Datenverarbeitung. Darüber hinaus gilt sie auch für Daten-Controller und Datenverarbeiter außerhalb
der EU, falls die Datensubjekte (deren personenbezogene Daten verarbeitet werden) innerhalb der EU
ansässig sind und die Verarbeitungsaktivitäten sich auf Waren und Dienstleistungen beziehen, die
Datensubjekten in der EU angeboten werden oder die der Überwachung ihres Verhaltens dienen, sofern
das Verhalten in der EU stattfindet.
Dies bedeutet konkret, dass alle Unternehmen weltweit, die Daten von EU-Kunden verarbeiten, die
Datenschutzgrundverordnung der EU erfüllen müssen. Die einfache Verlagerung von Datenzentren in
Länder außerhalb der EU und die Einhaltung der bisherigen Regelungen wird nicht ausreichend sein. Die
andere theoretische Möglichkeit, die Verarbeitung von Kundendaten zu vermeiden, indem EU-Kunden
nicht bedient werden, ist für die meisten Unternehmen höchstwahrscheinlich keine Option.
Noch einmal: Unternehmen, die weiterhin Kunden in der EU bedienen möchten, müssen die
Datenschutzgrundverordnung der EU vollständig erfüllen.
4 Compliance: Schlüsselelemente der DSGVO
Es werden vielfältige neue Regelungen eingeführt. Diese umfassen die Notwendigkeit einer Einwilligung
für den jeweiligen Einsatzzweck, Benachrichtigungen bei Datenschutzverletzungen und andere
Prinzipien, wie beispielsweise das Recht auf Vergessen. Nicht alle Regelungen sind neu, aber insgesamt
steigen die rechtlichen Anforderungen deutlich.
Um die Auswirkungen der DSGVO auf das Customer Identity Management und die Verarbeitung von
Kundendaten zu verstehen - die weit über Customer Identity Management hinausgehen und auch CRM,
ERP und andere Business-Systeme betreffen - ist es wichtig, die wichtigsten Rechtselemente der DSGVO
zu verstehen.
Definition personenbezogener Daten
Die DSGVO gilt für alle Verarbeitungsoperationen, an denen personenbezogene Daten beteiligt sind.
Personenbezogene Daten umfassen alle Daten in Bezug auf eine eindeutige Person, die es Unternehmen
ermöglichen, eine natürliche Person direkt oder indirekt zu identifizieren. Eine Person kann anhand ihres
Namens oder einer Identifizierungsnummer, anhand von Ortsdaten, Online-Identifiern oder anderen
Faktoren bezüglich physischen, physiologischen, genetischen, mentalen, wirtschaftlichen, kulturellen
KuppingerCole Whitepaper
Compliance: DSGVO und Customer Identity Management
Report Nr.: 72601 Seite 8 von 18
oder sozialen Identität dieser Person identifiziert werden. Die Daten eines Kunden können sich auf seine
Bankverbindung, IP-Adresse, Anmeldedaten, Verbrauchergewohnheiten usw. beziehen, die für diese
Person eindeutig sind.
Diese Definition ist sehr weit gefasst - viel weiter als bisherige Definitionen von PII. Die Definition
umfasst beispielsweise alle Tracking-Daten, welche die Identifizierung der jeweiligen Person
ermöglichen. Insbesondere der Aspekt der „indirekten Identifizierung” spielt angesichts dieser breiten
Definition eine wichtige Rolle. Tatsächlich sind alle Daten, die beispielsweise mithilfe von Cookies
gesammelt werden, als personenbezogene Daten im Sinne der DSGVO zu betrachten.
Auswirkung: Zur Erfüllung dieser neuen Anforderungen ist eine „360-Grad-Ansicht” jedes Kunden und
aller mit diesem Kunden verbundenen Daten erforderlich. Dies erfordert ein hochentwickeltes
Profilmanagement und die Fähigkeit, eine große Vielfalt von Attributen zu vereinheitlichen und akkurate
sowie vollständige Profile zu erstellen.
Regelungen zur Einholung einer gültigen Einwilligung
Sofern nicht eine andere rechtliche Grundlage bezüglich der Verarbeitung personenbezogener Daten
vorhanden ist, wie zum Beispiel ein Vertrag oder eine gesetzliche Verpflichtung, muss vor der
Verarbeitung personenbezogener Daten eine Einwilligung eingeholt werden. Eine Einwilligung wird als
gültig erachtet, wenn sie frei gegeben wurde, wenn sie fundiert und eindeutig ist und wenn sie eine
Bestätigung oder eine klare, bestätigende Aktion umfasst. Falls Daten für verschiedene Zwecke
verwendet werden, ist eine Einwilligung der jeweiligen Person für jeden einzelnen Zweck erforderlich.
Aus der Sicht des Marketings und der Kundenidentität geht es hierbei beispielsweise um die Einwilligung
zur Sammlung von Daten mittels Cookies oder anderen Browser-Aktivitäten, Opt-In- und Opt-Out-
Optionen usw. Die wichtigsten Aspekte bestehen darin, dass die Einwilligung pro Einsatzzweck erteilt
werden und auf einer „fundierten” Entscheidung beruhen müssen. Tendenziell müssen Unternehmen,
die personenbezogene Daten verarbeiten und speichern, den Zweck der Datensammlung präziser
angeben. Letztendlich werden viele Menschen ihre Einwilligung geben, weil sie eine bestimmte
Dienstleistung nutzen möchten. An diesem Punkt spielt auch der Nachweis der Einwilligung eine Rolle.
Eine der Anforderungen lautet, dass ein Nachweis darüber erbracht werden muss, zu welchen
Bedingungen jeder Nutzer seine Einwilligung erteilt hat, sowie ein technischer Beleg, dass der Nutzer
tatsächlich eingewilligt hat.
Eine Einwilligung muss pro Einsatzzweck erteilt werden, und der Anbieter muss einen
„Nachweis der Einwilligung” erbringen.
Diese Anforderungen können Unternehmen mit unterschiedlichen Zugangskanälen für Nutzer schnell
vor komplexe Herausforderungen stellen. Eine eindeutige Ansicht der Identität eines Kunden und die
Verwaltung seiner jeweiligen Präferenzen und Einwilligungen sind kritische Voraussetzungen zur
Erfüllung dieser Anforderung.
KuppingerCole Whitepaper
Compliance: DSGVO und Customer Identity Management
Report Nr.: 72601 Seite 9 von 18
Auswirkung: Um die neuen Einwilligungsanforderungen zu erfüllen, müssen Identity Management-
Systeme flexibel sein, um speziell angepasste Registrierungs- und Anmeldeprozesse zu ermöglichen, die
für jede Region, in der ein Daten-Controller Kunden bedient, konform sind.
4.1 Anforderungen bezüglich der Ernennung eines Datenschutzbeauftragten
Aktuell verfügen nur wenige Länder über Vorschriften bezüglich der Ernennung eines
Datenschutzbeauftragten (Data Protection Officer, DPO). Unter der DSGVO wird sich dies grundlegend
ändern. Unternehmen, die personenbezogene in großem Umfang oder spezielle Kategorien von
personenbezogenen Daten verarbeiten oder in denen eine systematische Überwachung von
Einzelpersonen stattfindet, werden verpflichtet sein, einen DPO zu ernennen. Die Ernennung des DPO
sollte auf den professionellen Fähigkeiten der jeweiligen Person sowie auf ihrem Fachwissen zum
Datenschutz basieren. Diese Position kann entweder von einem Mitarbeiter des Unternehmens oder
von einem externen Experten ausgefüllt werden. Eine Unternehmensgruppe kann über einen
gemeinsamen Datenschutzbeauftragen verfügen.
Auswirkung: Unternehmen müssen bewerten, ob sie einen Datenschutzbeauftragten ernennen müssen,
und sie müssen ein ausreichendes Budget für diese Position bereitstellen. Insbesondere müssen
Unternehmen entscheiden, ob sie einen internen oder einen externen DPO einsetzen möchten.
4.2 Verpflichtende Datenschutzfolgeabschätzungen (DPIA)
Als Teil des risikobasierten Ansatzes der DSGVO wird es verpflichtend sein,
Datenschutzfolgeabschätzungen (Data Protection Impact Assessments, DPIA) vorzunehmen, falls die
fraglichen Datenverarbeitungsoperationen aufgrund ihrer Natur, ihres Umfangs, ihres Kontextes und
ihrer Ziele zu höheren Risiken in Bezug auf die Rechte und Freiheiten von Einzelpersonen führen. Dies ist
in bestimmten Szenarien der Fall:
● Wenn bestimmte Kategorien personenbezogener Daten, die in der DSGVO festgelegt
sind, in großem Umfang verarbeitet werden
● Wenn eine systematische Auswertung von persönlichen Aspekten in Bezug auf
natürliche Personen stattfindet, die mittels automatisierten Entscheidungen ausgeführt
wird
● Wenn eine systematische Überwachung von öffentlich zugänglichen Bereichen
stattfindet
Jede DPIA muss Folgendes beschreiben:
● Alle Verarbeitungsoperationen und ihren jeweiligen Zweck
● Die Notwendigkeit und den Umfang jedes Prozesses im Verhältnis zum beabsichtigen
Ziel
● Die potenziellen Risiken im Hinblick auf die Rechte und Freiheiten der Datensubjekte
● Die technischen und organisatorischen Maßnahmen, die implementiert werden
KuppingerCole Whitepaper
Compliance: DSGVO und Customer Identity Management
Report Nr.: 72601 Seite 10 von 18
Auswirkung: Über die Anforderung eines Datenschutzbeauftragten hinaus sind in einer Vielzahl von
Anwendungsfällen definierte Abschätzungen erforderlich. Interne Auditfunktionen müssen ihre
Kontrollen an diese neuen Anforderungen anpassen.
4.3 Anforderungen bezüglich Benachrichtigungen bei Datenschutzverletzungen
Wenn eine Datenschutzverletzung auftritt, die sich auf PII auswirkt, hat der Daten-Controller die
zuständige Aufsichtsbehörde innerhalb von 72 Stunden, nachdem er die Verletzung erkannt hat, zu
informieren. Falls Kundendaten, die sich auf die Rechte und Freiheiten von Verbrauchern auswirken, von
der Datenschutzverletzung betroffen sind, müssen auch die jeweiligen Verbraucher informiert werden.
Auswirkung: Alle Unternehmen müssen sowohl für Benachrichtigungen zu Datenschutzverletzungen als
auch für das Vorfallsmanagement Prozesse definieren und implementieren, um Vorfälle auf
angemessene und konforme Weise zu handhaben. Es muss sichergestellt werden, dass alle Anbieter, die
Technologien in einem Multi-Solution-Stack anbieten, zeitnah auf Datenschutzverletzungen reagieren
können und über eine gut durchdachte Strategie für verschiedene Notsituationen verfügen.
4.4 Datenkontrolle und das Recht auf Vergessen
Das Recht auf Vergessen wurde als inhärentes Recht von Datensubjekten anerkannt. Es gibt
Einzelpersonen einen Anspruch darauf, dass Daten-Controller ihre Daten auf Anfrage unverzüglich
löschen. Dieses Recht kann allerdings nur dann ausgeübt werden, wenn bestimmte Voraussetzungen
erfüllt sind. Es kann beispielsweise ausgeübt werden, wenn die personenbezogenen Daten nicht länger
für den Zweck erforderlich sind, für den sie gesammelt wurden, oder wenn die Datensubjekte ihre
Einwilligung widerrufen.
Es geht um mehr als nur das Recht auf Vergessen - die Datenkontrolle wird
komplexer.
Es gab bereits viele Diskussionen und sogar Gerichtsprozesse in Bezug auf das Recht auf Vergessen, und
dieses Thema wird in Zukunft noch wichtiger werden. Unternehmen sind gut beraten, wenn sie sich auf
Anfragen von Kunden bezüglich der Löschung ihrer Daten vorbereiten.
Das Recht auf Vergessen ist nicht die einzige Anforderung in diesem Bereich. Neue Verbraucherrechte
im Hinblick auf die Kontrolle über Nutzerdaten sind viel weiter gefasst und beinhalten auch das Recht
auf das Einfrieren der Datenverarbeitung, was eine neue und relativ komplexe Anforderung darstellt.
Datensubjekte können fordern, dass die Verarbeitung ihrer Daten eingefroren wird.
Ein weiteres neues, wichtiges Recht besteht darin, dass personenbezogene Daten exportiert und
bearbeitet werden können. Auch diese Anforderung ist nicht einfach zu implementieren und kann eine
erhebliche Arbeitsbelastung für Unternehmen bedeuten, die personenbezogene Daten verarbeiten.
Auswirkung: Um sicherzustellen, dass Verbraucher die Kontrolle über ihre eigenen personenbezogenen
Daten behalten, sollte ein hochentwickeltes Profilmanagement mit angemessenen
KuppingerCole Whitepaper
Compliance: DSGVO und Customer Identity Management
Report Nr.: 72601 Seite 11 von 18
Endnutzerpräferenzoptionen für das Einfrieren der Verarbeitung, die Bearbeitung, den Export und die
Löschung von Daten eingesetzt werden.
Technische und betriebliche Sicherheitsmaßnahmen
Über die oben erwähnten rechtlichen Anforderungen hinaus ist es ebenfalls wichtig, technische und
betriebliche Sicherheitsmaßnahmen zu ergreifen, die für die Art der Verarbeitung angemessen sind.
Diese Maßnahmen können die Pseudonymisierung und Anonymisierung personenbezogener Daten, die
Vertraulichkeit, Integrität und Ausfallsicherheit von Verarbeitungssystemen, die Fähigkeit, angemessen
auf Vorfälle zu reagieren sowie eine regelmäßige Bewertung der Wirksamkeit der implementierten
technischen und betrieblichen Sicherheitsmaßnahmen umfassen, wie zum Beispiel durch regelmäßige
IT-Sicherheits- und Datenschutz-Audits.
Technische und betriebliche Sicherheitsmaßnahmen sollten insbesondere Zugriffsrechte, die Zugangs-,
Übertragungs-, Eingabe- und die Verfügbarkeitskontrolle sowie die Kontrolle über die in Auftrag
gegebene Datenverarbeitung beinhalten.
Diese rechtlichen Anforderungen können wiederum zu eher komplexen technischen Anforderungen
führen, die von Unternehmen, die personenbezogene Daten verwalten und verarbeiten, erfüllt werden
müssen. Technische und betriebliche Sicherheitsmaßnahmen können durch die Einhaltung etablierter
Normen, wie z. B. ISO27018, ideal implementiert werden.
Auswirkung: Es ist wichtig, zu verifizieren, dass alle zur Erfassung und Verwaltung von Kundendaten
eingesetzten Lösungen die Sicherheitspraktiken und -infrastrukturen umsetzen, die für die jeweiligen
Normen branchenzertifiziert sind.
Privacy by Default und Privacy by Design
Schließlich umfasst die DSGVO noch die Anforderung „Privacy by Default” und „Privacy by Design”.
Privacy by Design beschreibt ein Konzept, das bereits seit mehreren Jahren diskutiert wird.
Grundsätzlich geht es hierbei darum, Anwendungen so zu konzipieren, dass Datenschutzanforderungen
auf der Grundlage rechtlicher Vorschriften sowie der Kundeneinwilligung flexibel durchgesetzt werden
können. Privacy by Default hingegen bedeutet, dass Datenschutzvoreinstellungen standardmäßig
umgesetzt werden und nicht erst von Kunden auf umständliche Weise aktiviert werden müssen.
Insgesamt führt die Datenschutzgrundverordnung der Europäischen Union eine signifikante Anzahl
neuer Anforderungen ein. Nicht alle diese Anforderungen sind neu oder unüblich, aber sie bedeuten
dennoch, dass Unternehmen, die personenbezogene Daten verwalten und verarbeiten, ihren Umgang
mit diesen Daten überdenken müssen.
Auswirkung: Bei der Bewertung, ob ein Unternehmen für die DSGVO bereit ist, muss sichergestellt
werden, dass alle Lösungen eines Stacks, die Kundendaten sammeln und verwalten, die spezifischen
Anforderungen für den Kundenanwendungsfall einhalten, insbesondere die Datenschutzbestimmungen.
Bei End-to-End-Lösungen ist zu beachten, dass sie eine starke Beziehung mit verschiedenen
Technologiepartnern wahren, die auf einfache Weise in die jeweilige Plattform integriert werden
KuppingerCole Whitepaper
Compliance: DSGVO und Customer Identity Management
Report Nr.: 72601 Seite 12 von 18
können. Konzentrieren Sie sich nicht auf einen speziell angepassten Softwarecode, sondern setzen Sie
auf Standardtechnologien.
5 DSGVO und Customer Identity Management
Ein Gleichgewicht zwischen geschäftlichen und Compliance-Anforderungen zu finden, wird im Rahmen
der DSGVO zur Herausforderung. Unternehmen müssen Kundendaten (und andere personenbezogene
Daten) konsistent verwalten, sich von Punktlösungen wegbewegen und eine starke Basis für das
Customer Management oder Identity Management aufbauen.
Der Fokus der europäischen Datenschutzgrundverordnung liegt nicht nur auf Kundendaten, auch wenn
viele der neuen Anforderungen auf soziale Netzwerke, Suchmaschinen, eCommerce und andere
kundenorientierte Businesses abzielen. Man darf jedoch nicht vergessen, dass die DSGVO sich auf alle
personenbezogenen Daten bezieht, einschließlich der Daten von Mitarbeitern oder Geschäftspartnern.
Unternehmen benötigen eine einheitliche Sicht auf Identität, Einwilligung und
Präferenzen eines Kunden - an allen Berührungspunkten.
Aus der Sicht der Verbraucherdaten wird es in Zukunft noch wichtiger, Kundenidentitäten auf effiziente,
gut durchdachte Weise zu verwalten. Die grundlegende Herausforderung besteht darin, dass Kunden
über deutlich mehr Rechte in Bezug auf Datenschutz verfügen als jemals zuvor in der EU. Deshalb spielt
die Fähigkeit zur Identifizierung von Kunden - auch wenn sie mit der Zeit unterschiedliche
Anmeldeinformationen verwenden - nicht nur aus der Unternehmensperspektive, sondern auch im
Hinblick auf die Compliance eine bedeutende Rolle. Natürlich ist es einfacher, die sich verändernden
Anforderungen zu erfüllen, wenn die unterschiedlichen verwendeten Anmeldeinformationen einer
einzelnen Personen zugeordnet werden können.
5.1 Geschäftliche Anforderungen
Die Hauptanforderungen für die Implementierung einer CIAM-Lösung (Customer Identity & Access
Management) sind geschäftlicher Natur. Während die DSGVO aufgrund der Anforderung, die neue
Richtlinie zu erfüllen, einen geschäftlicher Grund darstellt, gibt es noch weitere Gründe, warum eine
Customer Identity Management-Lösung implementiert werden sollte.
Ein wichtiger Grund besteht darin, dass Geschäftsmodelle sich im Rahmen des sogenannten Digitalen
Wandels verändern, was zu einer engeren Online-Interaktion mit Kunden als bisher führt. Von
Gegenständen und Geräten gesammelte Daten sind ein wichtiger Aspekt dieses Wandels. Um in Zeiten
schneller Veränderungen von Geschäftsmodellen langfristige Beziehungen zu Kunden und
Geschäftspartnern aufbauen zu können, müssen Kunden ungeachtet der verwendeten
Anmeldeinformationen identifiziert werden können. Ein Verständnis von Kundenaktivitäten
und -verhaltensweisen ist ebenfalls essenziell für eine optimale Bedienung der Kunden.
KuppingerCole Whitepaper
Compliance: DSGVO und Customer Identity Management
Report Nr.: 72601 Seite 13 von 18
Dabei müssen verschiedene Anforderungen erfüllt werden:
● Kundenbezogene Lösungen müssen die Kunden in Bezug auf die Benutzerfreundlichkeit
und die Einfachheit der Nutzung zufrieden stellen, beginnend bei der Unterstützung
verschiedenster Authentifikatoren (traditionelle Registrierung, Login via soziale
Netzwerke, Biometrie usw.) und einer nahtlosen Benutzererfahrung.
● Lösungen müssen so konzipiert sein, dass sie eine schnelle Anpassung an neue
Geschäftsanforderungen ermöglichen - die Markteinführungszeit ist ein kritischer Faktor
für den Erfolg jedes Unternehmens.
● Datenmodelle für Kundendaten müssen dynamisch und anpassungsfähig sein, sodass
Unternehmen „alles Erforderliche” für heutige und zukünftige Geschäftsanforderungen
speichern können.
● Lösungen müssen höchst skalierbar sein, insbesondere in Stoßzeiten.
● Es muss eine einzige Ansicht des Kunden in allen kundenbezogenen Systemen
vorhanden sein, sowie eine flexible Integration mit verschiedensten Backend-Systemen.
● Es muss ein umfassender Support für die Verwaltung von Benutzereinwilligungen, Opt-
Ins und Präferenzen vorhanden sein, die an allen Berührungspunkten des
Unternehmens mit dem Kunden beachtet werden müssen.
Kundenbezogene Anwendungen müssen flexibler sein als jemals zuvor. Die Tage separater Lösungen,
die eigene Identitäten verwalten, einen eigenen Ansatz zur Benutzererfahrung implementieren und
getrennt von anderen Systemen existieren, sind längst vorbei. Kundenidentitäten sind im digitalen
Zeitalter unerlässlich für Unternehmen, und aus rechtlicher Sicht - im Hinblick auf die neue europäische
Datenschutzgrundverordnung - ist der Bedarf an einer einheitlichen, standardisierten Customer Identity
Management-Infrastruktur nicht länger nur ein optionaler und interessanter, sondern ein notwendiger
Ansatz.
5.2 Prinzipien zur Implementierung von DSGVO-Anforderungen
Wie oben beschrieben umfasst die europäische Datenschutzgrundverordnung eine Reihe von
verpflichtenden Prinzipien. Customer Identity Management erfüllt nicht alle diese Anforderungen, stellt
jedoch eine starke Unterstützung für die Einhaltung dieser Prinzipien dar. Insgesamt erfordern viele der
wesentlichen Prinzipien der DSGVO, dass Unternehmen die Identitäten ihrer Kunden gut kennen. Wenn
Unternehmen eine Person kennen, sie bei der Anmeldung an Systemen identifizieren können und
insbesondere über eine einzige Ansicht der Person sowie ihrer Aktivitäten in verschiedenen Systemen
verfügen, wird die Einhaltung vieler Prinzipien und Anforderungen der europäischen
Datenschutzgrundverordnung deutlich vereinfacht, wie zum Beispiel:
● Einwilligung und Nachweis der Einwilligung
● Zweckeinschränkung
● Recht auf Löschen und Vergessen
● Recht zur Beschränkung der Verarbeitung
● Recht auf Datenportabilität und auf die Bearbeitung von Daten
● Benachrichtigungspflichten
KuppingerCole Whitepaper
Compliance: DSGVO und Customer Identity Management
Report Nr.: 72601 Seite 14 von 18
● Sicherheitsmaßnahmen für automatisierte Entscheidung, einschließlich Profiling
Bezüglich der Einwilligung wird empfohlen, nicht nur eine IP-Adresse aufzuzeichnen, sondern die Person
zu kennen, die eine Einwilligung erteilt (oder nicht). Dies gilt auch für die Einschränkung des
Verwendungszwecks - eine Einzelperson muss nicht nur in den Verwendungszweck ihrer
personenbezogenen Daten einwilligen, sondern muss auch in der Lage sein, die Verwendung im Rahmen
des Rechts auf Verwendungseinschränkung zu begrenzen. Das Recht auf die Löschung von Daten, das
Recht auf Vergessen und das Recht auf Datenportabilität bedeuten, dass personenbezogene Daten einer
Person zugeordnet werden müssen. Deshalb spielt die Verwaltung von Kundenidentitäten eine
bedeutendere Rolle als je zuvor.
Unternehmen benötigen ein umfassendes „Einwilligungsverwaltungssystem”.
Unternehmen benötigen ein umfassendes „Einwilligungsverwaltungssystem” als Bestandteil ihrer
Customer Identity Management-Strategie. Änderungen bezüglich den Nutzungsbedingungen von
sozialen Netzwerken erfordern möglicherweise eine aktualisierte Einwilligung. Das System muss deshalb
in der Lage sein, Einwilligungsdaten pro Nutzer und pro Bedingung aufzuzeichnen.
Es reicht nicht aus, Identitäten einfach zu speichern. Unternehmen müssen transparent angeben,
welche Daten gespeichert werden und wie sie verwendet werden. Dies erfordert einen transparenten
Mechanismus für die Self-Service-Verwaltung von Identitätsprofilen sowie neue Formen der
Benutzererfahrung, die ein Gleichgewicht zwischen den neuen rechtlichen Anforderungen und einer
maximalen Bindungsrate schaffen.
Darüber hinaus sind diese Fähigkeiten erforderlich, um verschiedenen Anforderungen zu erfüllen, wie z.
B. Benachrichtigungspflichten oder Sicherheitsmaßnahmen für automatisierte Entscheidungen,
einschließlich des Rechts des Einzelnen darauf, darüber informiert zu werden, wie Entscheidungen
getroffen werden.
5.3 Das richtige Gleichgewicht finden
Die Herausforderung wird in Zukunft daraus bestehen, das richtige Gleichgewicht zwischen Business
Enablement auf der einen Seite und Datenschutz und Sicherheit auf der anderen Seite zu finden.
Rechtliche Anforderungen müssen unbedingt erfüllt werden, aber dies muss nicht unbedingt zu Lasten
der geschäftlichen Anforderungen gehen (es sei denn, die Geschäftsmodelle stehen in deutlichem
Widerspruch mit der DSGVO).
Des Weiteren dienen viele Implementierungen nicht nur Kunden in der EU oder werden ausschließlich in
der EU ausgeführt, so dass auch andere Verordnungen zutreffend sein könnten. Deshalb muss das
System flexibel sein, um unterschiedliche Erfahrungen in verschiedenen Geltungsbereichen zu bieten.
Dies bedeutet, dass die europäischen rechtlichen Anforderungen sich nur auf die Benutzererfahrung von
Nutzern in der EU auswirken sollten, während Nutzer in anderen Territorien eine Erfahrung erhalten, die
auf die dortigen rechtlichen Anforderungen zugeschnitten ist.
KuppingerCole Whitepaper
Compliance: DSGVO und Customer Identity Management
Report Nr.: 72601 Seite 15 von 18
Aus geschäftlicher Sicht sollte das Ziel darin bestehen, die Marktnachfrage zu befriedigen, eine
großartige Benutzererfahrung bereitzustellen, sich verändernde Geschäftsmodelle zu unterstützen und
agile Lösungen zu implementieren, die einfach an neue Anforderungen angepasst werden können.
Im Rahmen dieser neuen und strengeren rechtlichen Anforderungen sind deshalb flexible Lösungen
erforderlich, die eine Verwaltung von Nutzeridentitäten und das richtige Maß an Nutzerkontrolle und -
einwilligung ermöglichen, aber auch die Sicherheit von personenbezogenen Daten gewährleisten, die
ebenfalls Teil der Datenschutzgrundverordnung ist. Die Bereitstellung von Daten für kommerzielle
Plattformen ist eine bewusste Handlung. Modelle, bei denen für Daten gezahlt wird, sind weiterhin
erlaubt, allerdings müssen die im vorherigen Abschnitt genannten Prinzipien erfüllt werden.
Insbesondere müssen Nutzer weiterhin die Kontrolle haben und in der Lage sein, ihre
personenbezogenen Daten zu verwalten und Einwilligungen bezüglich ihrer Nutzung zu widerrufen.
6 Zusammenfassung und Empfehlungen
Die Datenschutzgrundverordnung der Europäischen Union wird in Kraft treten. Diese Richtlinie muss von
Unternehmen erfüllt werden, wenn sie Daten von in der EU ansässigen Personen verarbeiten, und sie
hat einen sehr weit gefassten, in gewisser Hinsicht sogar globalen, Geltungsbereich. Es werden neue
Anforderungen und Prinzipien eingeführt. Diese erfordern nicht nur eine bessere Kontrolle und ein
allgemeines Wissen bezüglich der Art und Weise, in der ein Unternehmen Kundenidentitäten verwaltet,
sondern sie erfordern auch eine bessere Verwaltung von personenbezogenen Daten, so dass diese
beispielsweise auf Anfrage gelöscht werden können, wenn ein Nutzer seine Einwilligung widerruft.
Im Hinblick auf die Handhabung personenbezogener Daten lauten die wichtigsten Empfehlungen:
1) Informieren Sie Ihre Kunden deutlich und verständlich darüber, welche Daten Sie sammeln
und wozu Sie die Daten verwenden.
2) Holen Sie Genehmigungen in allen Fällen ein, welche die DSGVO vorgibt. Falls die
Vorschriften nicht eindeutig sind, ist es stets besser, zu viele Einwilligungen einzuholen als zu
wenige.
3) Definieren Sie eine gut durchdachte Benutzererfahrung, einschließlich Zustimmungen zu
Nutzungsbedingungen, Einwilligungen und anderen Vereinbarungen zwischen Ihrem
Unternehmen und dem Kunden.
4) Wählen Sie ganzheitliche Kunden-IAM-Lösungen aus, die Opt-In-, Opt-Out- und zugehörige
Funktionen standardmäßig unterstützen und die über die DSGVO hinaus auch eine einfache
Implementierung von rechtlichen Anforderungen aus anderen Regionen sowie von
Richtlinien für soziale Netzwerke ermöglichen.
5) Geben Sie Kunden die Möglichkeit, ihre gewünschte digitale Identität zu verwenden.
Aus technischer Sicht kann die Essenz der Richtlinie wiederum in einem einzigen Satz zusammengefasst
werden:
Nutzen Sie Plattformen, statt zu kodieren.
KuppingerCole Whitepaper
Compliance: DSGVO und Customer Identity Management
Report Nr.: 72601 Seite 16 von 18
Die Zeit der separaten Entwicklung von benutzerbezogenen Anwendungen und Portalen mit getrenntem
Identity Management sind vorbei. Die effiziente Handhabung von Kundenidentitäten, die Unterstützung
der Geschäftsagilität und die Einhaltung gesetzlicher Compliance-Vorschriften erfordert den Einsatz
einer speziellen Plattform für Customer Identity Management.
KuppingerCole Whitepaper
Compliance: DSGVO und Customer Identity Management
Report Nr.: 72601 Seite 17 von 18
7 Copyright
© 2016 Kuppinger Cole Ltd. All rights reserved. Reproduction and distribution of this publication in any form is
forbidden unless prior written permission. All conclusions, recommendations and predictions in this document
represent KuppingerCole’s initial view. Through gathering more information and performing deep analysis, positions
presented in this document will be subject to refinements or even major changes. KuppingerCole disclaim all
warranties as to the completeness, accuracy and/or adequacy of this information. Even if KuppingerCole research
documents may discuss legal issues related to information security and technology, KuppingerCole do not provide
any legal services or advice and its publication shall not be used as such. KuppingerCole shall have no liability for
errors or inadequacies in the information contained in this document. Any opinion expressed may be subject to
change without notice. All product and company names are trademarks™ or registered® trademarks of their
respective holders. Use of them does not imply any affiliation with or endorsement by them.
Kuppinger Cole Ltd.
Sonnenbergerstr. 16
65193 Wiesbaden | Germany
Phone +49 (211) 23 70 77 – 0
Fax +49 (211) 23 70 77 – 11
www.kuppingercole.com
KuppingerCole supports IT professionals with outstanding expertise in defining IT strategies and in
relevant decision making processes. As a leading analyst company KuppingerCole provides first-hand
vendor-neutral information. Our services allow you to feel comfortable and secure in taking decisions
essential to your business.
KuppingerCole, founded in 2004, is a leading Europe-based analyst company for identity focused
information security, both in classical and in cloud environments. KuppingerCole stands for expertise,
thought leadership, and a vendor-neutral view on these information security market segments, covering
all relevant aspects like Identity and Access Management (IAM), Governance, Risk Management and
Compliance (GRC), IT Risk Management, Authentication and Authorization, Single Sign-On, Federation,
User Centric Identity Management, eID cards, Cloud Security and Management, and Virtualization.
For further information, please contact clients@kuppingercole.com
The Future of Information Security – Today

Weitere ähnliche Inhalte

Was ist angesagt?

Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins Ausland
Michael Rohrlich
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
Michael Rohrlich
 
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
Sascha Kremer
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
Michael Rohrlich
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
Bokowsky + Laymann GmbH
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021
Michael Rohrlich
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
Michael Rohrlich
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 Minuten
Damir Mrgic
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Michael Rohrlich
 
Datenschutz im Internet
Datenschutz im InternetDatenschutz im Internet
Datenschutz im Internet
Michael Rohrlich
 
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDatenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Daniel, Hagelskamp & Kollegen
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
Michael Rohrlich
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Sascha Kremer
 
Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementDatenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device Management
Sascha Kremer
 
OSDC 2011 | E-Mail Marketing, Spam, E-Mail-Filterung und Datenschutz - was i...
OSDC 2011 |  E-Mail Marketing, Spam, E-Mail-Filterung und Datenschutz - was i...OSDC 2011 |  E-Mail Marketing, Spam, E-Mail-Filterung und Datenschutz - was i...
OSDC 2011 | E-Mail Marketing, Spam, E-Mail-Filterung und Datenschutz - was i...
NETWAYS
 
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Sascha Kremer
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
Michael Lanzinger
 
Webinar mit TakeASP: Ent-personalisierung
Webinar mit TakeASP: Ent-personalisierungWebinar mit TakeASP: Ent-personalisierung
Webinar mit TakeASP: Ent-personalisierung
Patric Dahse
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch Dritte
Michael Rohrlich
 

Was ist angesagt? (20)

Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins Ausland
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 Minuten
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVO
 
Datenschutz im Internet
Datenschutz im InternetDatenschutz im Internet
Datenschutz im Internet
 
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDatenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
 
Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementDatenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device Management
 
OSDC 2011 | E-Mail Marketing, Spam, E-Mail-Filterung und Datenschutz - was i...
OSDC 2011 |  E-Mail Marketing, Spam, E-Mail-Filterung und Datenschutz - was i...OSDC 2011 |  E-Mail Marketing, Spam, E-Mail-Filterung und Datenschutz - was i...
OSDC 2011 | E-Mail Marketing, Spam, E-Mail-Filterung und Datenschutz - was i...
 
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
 
Webinar mit TakeASP: Ent-personalisierung
Webinar mit TakeASP: Ent-personalisierungWebinar mit TakeASP: Ent-personalisierung
Webinar mit TakeASP: Ent-personalisierung
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch Dritte
 
1612011[1]
1612011[1]1612011[1]
1612011[1]
 

Andere mochten auch

White Paper: 2017 Predictions - German
White Paper: 2017 Predictions - GermanWhite Paper: 2017 Predictions - German
White Paper: 2017 Predictions - German
Gigya
 
Case Study: Enterprise Media Company
Case Study: Enterprise Media CompanyCase Study: Enterprise Media Company
Case Study: Enterprise Media Company
Gigya
 
White Paper: Managing consumer data privacy with Gigya (French)
White Paper: Managing consumer data privacy with Gigya (French)White Paper: Managing consumer data privacy with Gigya (French)
White Paper: Managing consumer data privacy with Gigya (French)
Gigya
 
White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)
Gigya
 
GDPR and Security Culture: Measuring effectiveness
GDPR and Security Culture: Measuring effectivenessGDPR and Security Culture: Measuring effectiveness
GDPR and Security Culture: Measuring effectiveness
Kai Roer
 
[Report] The Collaborative Economy, by Jeremiah Owyang
[Report] The Collaborative Economy, by Jeremiah Owyang[Report] The Collaborative Economy, by Jeremiah Owyang
[Report] The Collaborative Economy, by Jeremiah Owyang
Altimeter, a Prophet Company
 
[Report] Scalable Social Business: How Brands Manage Complex, Distributed Pro...
[Report] Scalable Social Business: How Brands Manage Complex, Distributed Pro...[Report] Scalable Social Business: How Brands Manage Complex, Distributed Pro...
[Report] Scalable Social Business: How Brands Manage Complex, Distributed Pro...
Altimeter, a Prophet Company
 
GDPR practical info session for development
GDPR practical info session for developmentGDPR practical info session for development
GDPR practical info session for development
Tomppa Järvinen
 
[Report] The Converged Media Imperative: How Brands Must Combine Paid, Owned ...
[Report] The Converged Media Imperative: How Brands Must Combine Paid, Owned ...[Report] The Converged Media Imperative: How Brands Must Combine Paid, Owned ...
[Report] The Converged Media Imperative: How Brands Must Combine Paid, Owned ...
Altimeter, a Prophet Company
 
De la DMP au Marketing automation, de l’insight à l’action
De la DMP au Marketing automation, de l’insight à l’actionDe la DMP au Marketing automation, de l’insight à l’action
De la DMP au Marketing automation, de l’insight à l’action
NP6
 

Andere mochten auch (10)

White Paper: 2017 Predictions - German
White Paper: 2017 Predictions - GermanWhite Paper: 2017 Predictions - German
White Paper: 2017 Predictions - German
 
Case Study: Enterprise Media Company
Case Study: Enterprise Media CompanyCase Study: Enterprise Media Company
Case Study: Enterprise Media Company
 
White Paper: Managing consumer data privacy with Gigya (French)
White Paper: Managing consumer data privacy with Gigya (French)White Paper: Managing consumer data privacy with Gigya (French)
White Paper: Managing consumer data privacy with Gigya (French)
 
White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)
 
GDPR and Security Culture: Measuring effectiveness
GDPR and Security Culture: Measuring effectivenessGDPR and Security Culture: Measuring effectiveness
GDPR and Security Culture: Measuring effectiveness
 
[Report] The Collaborative Economy, by Jeremiah Owyang
[Report] The Collaborative Economy, by Jeremiah Owyang[Report] The Collaborative Economy, by Jeremiah Owyang
[Report] The Collaborative Economy, by Jeremiah Owyang
 
[Report] Scalable Social Business: How Brands Manage Complex, Distributed Pro...
[Report] Scalable Social Business: How Brands Manage Complex, Distributed Pro...[Report] Scalable Social Business: How Brands Manage Complex, Distributed Pro...
[Report] Scalable Social Business: How Brands Manage Complex, Distributed Pro...
 
GDPR practical info session for development
GDPR practical info session for developmentGDPR practical info session for development
GDPR practical info session for development
 
[Report] The Converged Media Imperative: How Brands Must Combine Paid, Owned ...
[Report] The Converged Media Imperative: How Brands Must Combine Paid, Owned ...[Report] The Converged Media Imperative: How Brands Must Combine Paid, Owned ...
[Report] The Converged Media Imperative: How Brands Must Combine Paid, Owned ...
 
De la DMP au Marketing automation, de l’insight à l’action
De la DMP au Marketing automation, de l’insight à l’actionDe la DMP au Marketing automation, de l’insight à l’action
De la DMP au Marketing automation, de l’insight à l’action
 

Ähnlich wie GDPR Implications Customer Identity Management - German

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Fujitsu Central Europe
 
ProgrammatiCon 2017 - Möge der Datenschutz mit Euch sein - Alexander Krull, W...
ProgrammatiCon 2017 - Möge der Datenschutz mit Euch sein - Alexander Krull, W...ProgrammatiCon 2017 - Möge der Datenschutz mit Euch sein - Alexander Krull, W...
ProgrammatiCon 2017 - Möge der Datenschutz mit Euch sein - Alexander Krull, W...
e-dialog GmbH
 
Namics DSGVO Angebot
Namics DSGVO AngebotNamics DSGVO Angebot
Namics DSGVO Angebot
Namics
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Fujitsu Central Europe
 
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPSHeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
Konrad Becker
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Fujitsu Central Europe
 
Neue Schritte zum Schutz der Privatsphäre - Die DSGVO und Magento
Neue Schritte zum Schutz der Privatsphäre - Die DSGVO und MagentoNeue Schritte zum Schutz der Privatsphäre - Die DSGVO und Magento
Neue Schritte zum Schutz der Privatsphäre - Die DSGVO und Magento
TechDivision GmbH
 
DSGVO
DSGVODSGVO
Quadient - Whitepaper für hervorragende Kundenerlebnisse (CX)
Quadient  - Whitepaper für hervorragende Kundenerlebnisse (CX)Quadient  - Whitepaper für hervorragende Kundenerlebnisse (CX)
Quadient - Whitepaper für hervorragende Kundenerlebnisse (CX)
Sylke Will
 
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen  | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...[DE] Aktuelles zu Rechtsfragen  | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Digital Fitness Webinar "DSG"
Digital Fitness Webinar "DSG"Digital Fitness Webinar "DSG"
Digital Fitness Webinar "DSG"
StephanMeyer26
 
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende InformationenDSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
Mailjet
 
Europa: harmonisierter Datenschutz Rechtsrahmen
Europa: harmonisierter Datenschutz RechtsrahmenEuropa: harmonisierter Datenschutz Rechtsrahmen
Europa: harmonisierter Datenschutz Rechtsrahmen
olik88
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Fujitsu Central Europe
 
DE - Module 4 - Data as a business model driver
DE - Module 4 - Data as a business model driverDE - Module 4 - Data as a business model driver
DE - Module 4 - Data as a business model driver
caniceconsulting
 
EU-DSGVO: Technik trifft Recht
EU-DSGVO: Technik trifft RechtEU-DSGVO: Technik trifft Recht
EU-DSGVO: Technik trifft Recht
bhoeck
 
[DE] Compliance | Documentum Whitepaper | Ulrich Kampffmeyer | Hamburg 2014
[DE] Compliance | Documentum Whitepaper | Ulrich Kampffmeyer | Hamburg 2014[DE] Compliance | Documentum Whitepaper | Ulrich Kampffmeyer | Hamburg 2014
[DE] Compliance | Documentum Whitepaper | Ulrich Kampffmeyer | Hamburg 2014
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
DSGVO in der Übersetzungsindustrie
DSGVO in der ÜbersetzungsindustrieDSGVO in der Übersetzungsindustrie
DSGVO in der Übersetzungsindustrie
Kerstin Berns
 
Datenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale PersonalakteDatenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale Personalakte
id-netsolutions Digital Solutions GmbH
 
Microsoft Cloud Deutschland - Das Datentreuhändermodell
Microsoft Cloud Deutschland - Das DatentreuhändermodellMicrosoft Cloud Deutschland - Das Datentreuhändermodell
Microsoft Cloud Deutschland - Das Datentreuhändermodell
Steven Bender
 

Ähnlich wie GDPR Implications Customer Identity Management - German (20)

Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
 
ProgrammatiCon 2017 - Möge der Datenschutz mit Euch sein - Alexander Krull, W...
ProgrammatiCon 2017 - Möge der Datenschutz mit Euch sein - Alexander Krull, W...ProgrammatiCon 2017 - Möge der Datenschutz mit Euch sein - Alexander Krull, W...
ProgrammatiCon 2017 - Möge der Datenschutz mit Euch sein - Alexander Krull, W...
 
Namics DSGVO Angebot
Namics DSGVO AngebotNamics DSGVO Angebot
Namics DSGVO Angebot
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
 
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPSHeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
HeyData - WHITEPAPER DATENSCHUTZ ALS WETTBEWERBSVORTEIL FÜR START-UPS
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop:   Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
 
Neue Schritte zum Schutz der Privatsphäre - Die DSGVO und Magento
Neue Schritte zum Schutz der Privatsphäre - Die DSGVO und MagentoNeue Schritte zum Schutz der Privatsphäre - Die DSGVO und Magento
Neue Schritte zum Schutz der Privatsphäre - Die DSGVO und Magento
 
DSGVO
DSGVODSGVO
DSGVO
 
Quadient - Whitepaper für hervorragende Kundenerlebnisse (CX)
Quadient  - Whitepaper für hervorragende Kundenerlebnisse (CX)Quadient  - Whitepaper für hervorragende Kundenerlebnisse (CX)
Quadient - Whitepaper für hervorragende Kundenerlebnisse (CX)
 
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen  | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...[DE] Aktuelles zu Rechtsfragen  | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
[DE] Aktuelles zu Rechtsfragen | Dr. Ulrich Kampffmeyer | Vortrag 4 | Update...
 
Digital Fitness Webinar "DSG"
Digital Fitness Webinar "DSG"Digital Fitness Webinar "DSG"
Digital Fitness Webinar "DSG"
 
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende InformationenDSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
DSGVO - So bereiten Sie sich richtig vor. Teil 1: Grundlegende Informationen
 
Europa: harmonisierter Datenschutz Rechtsrahmen
Europa: harmonisierter Datenschutz RechtsrahmenEuropa: harmonisierter Datenschutz Rechtsrahmen
Europa: harmonisierter Datenschutz Rechtsrahmen
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop:  Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
 
DE - Module 4 - Data as a business model driver
DE - Module 4 - Data as a business model driverDE - Module 4 - Data as a business model driver
DE - Module 4 - Data as a business model driver
 
EU-DSGVO: Technik trifft Recht
EU-DSGVO: Technik trifft RechtEU-DSGVO: Technik trifft Recht
EU-DSGVO: Technik trifft Recht
 
[DE] Compliance | Documentum Whitepaper | Ulrich Kampffmeyer | Hamburg 2014
[DE] Compliance | Documentum Whitepaper | Ulrich Kampffmeyer | Hamburg 2014[DE] Compliance | Documentum Whitepaper | Ulrich Kampffmeyer | Hamburg 2014
[DE] Compliance | Documentum Whitepaper | Ulrich Kampffmeyer | Hamburg 2014
 
DSGVO in der Übersetzungsindustrie
DSGVO in der ÜbersetzungsindustrieDSGVO in der Übersetzungsindustrie
DSGVO in der Übersetzungsindustrie
 
Datenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale PersonalakteDatenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale Personalakte
 
Microsoft Cloud Deutschland - Das Datentreuhändermodell
Microsoft Cloud Deutschland - Das DatentreuhändermodellMicrosoft Cloud Deutschland - Das Datentreuhändermodell
Microsoft Cloud Deutschland - Das Datentreuhändermodell
 

Mehr von Gigya

Case Study: DC Thomson Media Creates a Single Customer View Across Multiple D...
Case Study: DC Thomson Media Creates a Single Customer View Across Multiple D...Case Study: DC Thomson Media Creates a Single Customer View Across Multiple D...
Case Study: DC Thomson Media Creates a Single Customer View Across Multiple D...
Gigya
 
Case Study: STV Boosts Viewer Engagement and Campaign Yields with Gigya
Case Study: STV Boosts Viewer Engagement and Campaign Yields with GigyaCase Study: STV Boosts Viewer Engagement and Campaign Yields with Gigya
Case Study: STV Boosts Viewer Engagement and Campaign Yields with Gigya
Gigya
 
White Paper: Gigya's Information Security and Data Privacy Practices
White Paper: Gigya's Information Security and Data Privacy PracticesWhite Paper: Gigya's Information Security and Data Privacy Practices
White Paper: Gigya's Information Security and Data Privacy Practices
Gigya
 
Gigya und die Erfüllung globaler behördlicher Auflagen (Global Regulatory Com...
Gigya und die Erfüllung globaler behördlicher Auflagen (Global Regulatory Com...Gigya und die Erfüllung globaler behördlicher Auflagen (Global Regulatory Com...
Gigya und die Erfüllung globaler behördlicher Auflagen (Global Regulatory Com...
Gigya
 
Gigya's China Data Center - Data Sheet
Gigya's China Data Center - Data SheetGigya's China Data Center - Data Sheet
Gigya's China Data Center - Data Sheet
Gigya
 
The Chutes and Ladders of Customer Identity
The Chutes and Ladders of Customer IdentityThe Chutes and Ladders of Customer Identity
The Chutes and Ladders of Customer Identity
Gigya
 
White Paper: DIY vs CIAM
White Paper: DIY vs CIAMWhite Paper: DIY vs CIAM
White Paper: DIY vs CIAM
Gigya
 
Data Sheet: Gigya and Global Regulatory Compliance
Data Sheet: Gigya and Global Regulatory ComplianceData Sheet: Gigya and Global Regulatory Compliance
Data Sheet: Gigya and Global Regulatory Compliance
Gigya
 
White Paper: 2017 Predictions - French
White Paper: 2017 Predictions - FrenchWhite Paper: 2017 Predictions - French
White Paper: 2017 Predictions - French
Gigya
 
Case study - American Kennel Club
Case study - American Kennel ClubCase study - American Kennel Club
Case study - American Kennel Club
Gigya
 
Data Sheet: Corporate Overview
Data Sheet: Corporate OverviewData Sheet: Corporate Overview
Data Sheet: Corporate Overview
Gigya
 
Gigya Infographic - Death Of A Password
Gigya Infographic - Death Of A PasswordGigya Infographic - Death Of A Password
Gigya Infographic - Death Of A Password
Gigya
 
Case Study: International CPG Company
Case Study: International CPG CompanyCase Study: International CPG Company
Case Study: International CPG Company
Gigya
 
Case Study: Travel and Hospitality Company
Case Study: Travel and Hospitality CompanyCase Study: Travel and Hospitality Company
Case Study: Travel and Hospitality Company
Gigya
 
Case Study: Large Enterprise eCommerce Company
Case Study: Large Enterprise eCommerce CompanyCase Study: Large Enterprise eCommerce Company
Case Study: Large Enterprise eCommerce Company
Gigya
 
Gigya Corporate Overview - French Edition
Gigya Corporate Overview - French EditionGigya Corporate Overview - French Edition
Gigya Corporate Overview - French Edition
Gigya
 
Managing Consumer Data Privacy
Managing Consumer Data PrivacyManaging Consumer Data Privacy
Managing Consumer Data Privacy
Gigya
 
Information Security and Data Privacy Practices
Information Security and Data Privacy PracticesInformation Security and Data Privacy Practices
Information Security and Data Privacy Practices
Gigya
 
Russian Data Center
Russian Data CenterRussian Data Center
Russian Data Center
Gigya
 
Connect, Collect, Convert
Connect, Collect, ConvertConnect, Collect, Convert
Connect, Collect, Convert
Gigya
 

Mehr von Gigya (20)

Case Study: DC Thomson Media Creates a Single Customer View Across Multiple D...
Case Study: DC Thomson Media Creates a Single Customer View Across Multiple D...Case Study: DC Thomson Media Creates a Single Customer View Across Multiple D...
Case Study: DC Thomson Media Creates a Single Customer View Across Multiple D...
 
Case Study: STV Boosts Viewer Engagement and Campaign Yields with Gigya
Case Study: STV Boosts Viewer Engagement and Campaign Yields with GigyaCase Study: STV Boosts Viewer Engagement and Campaign Yields with Gigya
Case Study: STV Boosts Viewer Engagement and Campaign Yields with Gigya
 
White Paper: Gigya's Information Security and Data Privacy Practices
White Paper: Gigya's Information Security and Data Privacy PracticesWhite Paper: Gigya's Information Security and Data Privacy Practices
White Paper: Gigya's Information Security and Data Privacy Practices
 
Gigya und die Erfüllung globaler behördlicher Auflagen (Global Regulatory Com...
Gigya und die Erfüllung globaler behördlicher Auflagen (Global Regulatory Com...Gigya und die Erfüllung globaler behördlicher Auflagen (Global Regulatory Com...
Gigya und die Erfüllung globaler behördlicher Auflagen (Global Regulatory Com...
 
Gigya's China Data Center - Data Sheet
Gigya's China Data Center - Data SheetGigya's China Data Center - Data Sheet
Gigya's China Data Center - Data Sheet
 
The Chutes and Ladders of Customer Identity
The Chutes and Ladders of Customer IdentityThe Chutes and Ladders of Customer Identity
The Chutes and Ladders of Customer Identity
 
White Paper: DIY vs CIAM
White Paper: DIY vs CIAMWhite Paper: DIY vs CIAM
White Paper: DIY vs CIAM
 
Data Sheet: Gigya and Global Regulatory Compliance
Data Sheet: Gigya and Global Regulatory ComplianceData Sheet: Gigya and Global Regulatory Compliance
Data Sheet: Gigya and Global Regulatory Compliance
 
White Paper: 2017 Predictions - French
White Paper: 2017 Predictions - FrenchWhite Paper: 2017 Predictions - French
White Paper: 2017 Predictions - French
 
Case study - American Kennel Club
Case study - American Kennel ClubCase study - American Kennel Club
Case study - American Kennel Club
 
Data Sheet: Corporate Overview
Data Sheet: Corporate OverviewData Sheet: Corporate Overview
Data Sheet: Corporate Overview
 
Gigya Infographic - Death Of A Password
Gigya Infographic - Death Of A PasswordGigya Infographic - Death Of A Password
Gigya Infographic - Death Of A Password
 
Case Study: International CPG Company
Case Study: International CPG CompanyCase Study: International CPG Company
Case Study: International CPG Company
 
Case Study: Travel and Hospitality Company
Case Study: Travel and Hospitality CompanyCase Study: Travel and Hospitality Company
Case Study: Travel and Hospitality Company
 
Case Study: Large Enterprise eCommerce Company
Case Study: Large Enterprise eCommerce CompanyCase Study: Large Enterprise eCommerce Company
Case Study: Large Enterprise eCommerce Company
 
Gigya Corporate Overview - French Edition
Gigya Corporate Overview - French EditionGigya Corporate Overview - French Edition
Gigya Corporate Overview - French Edition
 
Managing Consumer Data Privacy
Managing Consumer Data PrivacyManaging Consumer Data Privacy
Managing Consumer Data Privacy
 
Information Security and Data Privacy Practices
Information Security and Data Privacy PracticesInformation Security and Data Privacy Practices
Information Security and Data Privacy Practices
 
Russian Data Center
Russian Data CenterRussian Data Center
Russian Data Center
 
Connect, Collect, Convert
Connect, Collect, ConvertConnect, Collect, Convert
Connect, Collect, Convert
 

GDPR Implications Customer Identity Management - German

  • 1. KuppingerCole Whitepaper Compliance: GDPR and Implications for Customer Identity Management Report Nr.: 72601 Die neue EU-Datenschutzgrundverordnung und Kundenidentitäten – was Sie wissen müssen Durch die neue Datenschutzgrundverordnung der Europäischen Union (DSGVO) verändern sich die Anforderungen bezüglich der Verarbeitung personenbezogener Daten. Die Verordnung verfügt über einen weit gefassten Geltungsbereich und wirkt sich auch auf Unternehmen außerhalb der EU aus. Das richtige Gleichgewicht zwischen den neuen rechtlichen Vorgaben auf der einen Seite und den neuen Anforderungen bezüglich der Kundenverwaltung im Zeitalter des digitalen Wandels auf der anderen Seite zu finden, erfordert einen Wechsel von portal- und anwendungsbasiertem Kundenmanagement hin zu zentralisierten Customer Identity Management-Plattformen, die das Gleichgewicht zwischen Compliance, Nutzereinwilligungen und der optimalen Erfüllung von Kundenwünschen unterstützen. Dr. Karsten Kinast kk@kuppingercole.com Martin Kuppinger mk@kuppingercole.com In Auftrag gegeben von KuppingerCole WHITEPAPER von Dr. Karsten Kinast & Martin Kuppinger| August 2016
  • 2. KuppingerCole Whitepaper Compliance: DSGVO und Customer Identity Management Report Nr.: 72601 Seite 2 von 18 Verwandte Themen #71529 Executive View: Gigya Customer Identity Management Suite #72002 Whitepaper: Using Information Stewardship within Government to Protect PII #72006 Leadership Brief: Your customer identities: How to do them right #72015 Leadership Brief: Monetizing the Digital Transformation
  • 3. KuppingerCole Whitepaper Compliance: DSGVO und Customer Identity Management Report Nr.: 72601 Seite 3 von 18 Inhalt 1 Zusammenfassung........................................................................................................................ 4 2 Wichtige Erkenntnisse .................................................................................................................. 5 3 Datenschutzgrundverordnung (DSGVO) ........................................................................................ 5 3.1 Historie und Kontext: Warum war die DSGVO erforderlich?...........................................................5 3.2 Vorhandener rechtlicher Rahmen....................................................................................................6 3.2.1 EU-Datenschutzrichtlinie.....................................................................................................6 3.2.2 ePrivacy-Richtlinie ...............................................................................................................6 3.3 Umsetzungsfrist und Anwendungsbereich ......................................................................................6 4 Compliance: Schlüsselelemente der DSGVO .................................................................................. 7 Definition personenbezogener Daten......................................................................................................7 Regelungen zur Einholung einer gültigen Einwilligung............................................................................8 4.1 Anforderungen bezüglich der Ernennung eines Datenschutzbeauftragten.....................................9 4.2 Verpflichtende Datenschutzfolgeabschätzungen (DPIA) .................................................................9 4.3 Anforderungen bezüglich Benachrichtigungen bei Datenschutzverletzungen..............................10 4.4 Datenkontrolle und das Recht auf Vergessen................................................................................10 Technische und betriebliche Sicherheitsmaßnahmen...........................................................................11 Privacy by Default und Privacy by Design ..............................................................................................11 5 DSGVO und Customer Identity Management............................................................................... 12 5.1 Geschäftliche Anforderungen ........................................................................................................12 5.2 Prinzipien zur Implementierung von DSGVO-Anforderungen........................................................13 5.3 Das richtige Gleichgewicht finden..................................................................................................14 6 Zusammenfassung und Empfehlungen ........................................................................................ 15 7 Copyright ................................................................................................................................... 17
  • 4. KuppingerCole Whitepaper Compliance: DSGVO und Customer Identity Management Report Nr.: 72601 Seite 4 von 18 1 Zusammenfassung Die bald in Kraft tretende Datenschutzgrundverordnung (DSGVO) der Europäischen Union führt zu Veränderungen in Bezug auf Datenschutz- und Privacy-Anforderungen, auf die Unternehmen angemessen reagieren müssen. Die DSGVO ist sehr weit gefasst und wirkt sich deshalb nicht nur auf Unternehmen innerhalb der EU aus, sondern auch auf Unternehmen, die Daten von in der EU ansässigen Kunden verarbeiten. Die Datenschutzgrundverordnung entstand als Instrument zur Angleichung von Rechtsvorschriften bezüglich Datenschutz in den EU-Mitgliedsstaaten. Die schnelle Entwicklung neuer Technologien hat aufgezeigt, dass der aktuelle rechtliche Rahmens aktualisiert werden muss, um die heutige Welt der sozialen Netzwerke und Big-Data-Technologien abzudecken. Die neue Gesetzgebung wird deutlich strengere Anforderungen im Hinblick auf die Wahrung der Privatsphäre von Kunden stellen. Als EU- Richtlinie steht die DSGVO über nationalen Vorschriften, die in der Folge angepasst werden müssen. Es gibt eine Vielzahl neuer Rechtselemente, wie beispielsweise zwingend erforderliche Einwilligungen, die Beschreibung der Verwendung personenbezogener Daten und das Recht auf Vergessen. Um die Auswirkungen der DSGVO auf das Customer Identity Management und die Verarbeitung von Kundendaten zu verstehen - die weit über Customer Identity Management hinausgehen und auch CRM, ERP und andere Business-Systeme betreffen - ist es wichtig, die wichtigsten Rechtselemente der neuen Richtlinie zu verstehen. Im Hinblick auf Kundendaten spielt eine effiziente und gut durchdachte Verwaltung von Kundenidentitäten eine immer wichtigere Rolle. Die grundlegende Herausforderung besteht darin, dass Kunden über deutlich mehr Rechte verfügen als bei allen früheren Datenschutzverordnungen in der EU. Deshalb ist die Fähigkeit, Kunden zu identifizieren - auch wenn sie mit der Zeit unterschiedliche Anmeldedaten verwenden - nicht nur aus der Unternehmensperspektive, sondern auch im Hinblick auf die Compliance bedeutsam. Natürlich ist es einfacher, die sich verändernden Anforderungen zu erfüllen, wenn die unterschiedlichen verwendeten Anmeldeinformationen einer einzelnen Personen zugeordnet werden können. Darüber hinaus sind die Verwaltung und die Berücksichtigung der Einwilligung der Nutzer, ihrer Wünsche sowie von Opt-Ins und Opt-Outs an allen Berührungspunkten im Rahmen der europäischen Datenschutzgrundverordnung verpflichtend. Beim Customer Identity Management geht es um Frontend-Herausforderungen, wie das Verständnis der einzigartigen Identität eines Kunden, aber auch um Aspekte wie die Durchsetzung von Einwilligungsentscheidungen in allen Backend-Systemen. Aus technischer Sicht kann die Essenz der Richtlinie in einem einzigen Satz zusammengefasst werden: Nutzen Sie Plattformen, statt zu kodieren. Die Zeit der separaten Entwicklung von benutzerbezogenen Anwendungen und Portalen mit jeweils eigenem Identity Management sind vorbei. Die effiziente Handhabung von Kundenidentitäten, ihrer Einwilligung und ihres Kontextes zur Unterstützung der Geschäftsagilität und zur Erfüllung der rechtlichen Compliance-Ansprüche erfordert eine spezielle Customer-Identity-Management-Plattform.
  • 5. KuppingerCole Whitepaper Compliance: DSGVO und Customer Identity Management Report Nr.: 72601 Seite 5 von 18 2 Wichtige Erkenntnisse ● Die neue Datenschutzgrundverordnung (DSGVO) der EU, die im Mai 2018 in Kraft treten soll, führt zu Veränderungen in Bezug auf Datenschutz- und Privacy-Anforderungen - Unternehmen müssen jetzt handeln. ● Die Einholung der Einwilligung des Nutzers bezüglich der Verwendung personenbezogener Daten und die Verwaltung von Einwilligungsnachweisen sind bedeutende Elemente. ● Verschiedene Prinzipien, wie das Recht auf Vergessen und das Recht, eine Einwilligung zurückzuziehen, werden implementiert. ● Unternehmen müssen ihre Fähigkeiten zur Verwaltung von Identitäten, Einwilligungen und Kontexten der Nutzer verbessern. 3 Datenschutzgrundverordnung (DSGVO) Die neue Datenschutzgrundverordnung der Europäischen Union führt eine Reihe neuer Anforderungen für Unternehmen ein, die personenbezogene Daten verwenden. Dabei bezieht der Begriff der personenbezogenen Daten sich auch auf Informationen, die eine indirekte Identifizierung von Kunden ermöglichen. Aufgrund der Änderungen der DSGVO müssen Unternehmen Maßnahmen ergreifen, um die neue Richtlinie zu erfüllen. Die bald in Kraft tretende Datenschutzgrundverordnung (DSGVO) der Europäischen Union führt zu Veränderungen in Bezug auf Datenschutz- und Privacy-Anforderungen, auf die Unternehmen angemessen reagieren müssen. Die DSGVO ist sehr weit gefasst und wirkt sich deshalb nicht nur auf Unternehmen innerhalb der EU aus, sondern auch auf Unternehmen, die Daten von in der EU ansässigen Kunden verarbeiten. Das Verständnis des Geltungsbereichs, des Inhalts und der Auswirkung der DSGVO ist essenziell für das Verständnis der konkreten Auswirkungen auf Unternehmen, die mit personenbezogenen Daten (Personally Identifiable Information, PII) im weitesten Sinne arbeiten. Besonders wichtig ist dabei die Art und Weise, in der Unternehmen Verbraucherdaten in Zukunft behandeln müssen. 3.1 Historie und Kontext: Warum war die DSGVO erforderlich? Die Datenschutzgrundverordnung ist ein Instrument zur Angleichung von Rechtsvorschriften im Hinblick auf den Datenschutz in den EU-Mitgliedsstaaten. Aufgrund der schnellen Entwicklung neuer Technologien ist eine Aktualisierung des aktuellen rechtlichen Rahmens erforderlich, um die neuen Aspekte der digitalen Wirtschaft abzudecken, wie beispielsweise die nahezu allgegenwärtige Verwendung von Big Data oder die Rolle, die soziale Netzwerke in den Bereichen der Kommunikation und Zusammenarbeit spielen. Die Privatsphäre von Verbrauchern wird durch die neue Richtlinie
  • 6. KuppingerCole Whitepaper Compliance: DSGVO und Customer Identity Management Report Nr.: 72601 Seite 6 von 18 gestärkt. Als EU-Richtlinie steht die DSGVO über nationalen Vorschriften, die in der Folge angepasst werden müssen. Die DSGVO stärkt allgemeine Datenschutzanforderungen in EU-Mitgliedsstaaten und führt gleichzeitig zur Angleichung der verschiedenen bisherigen Verordnungen. Wenn die Datenschutzverordnungen in allen EU-Mitgliedsstaaten konsistenter werden als bisher, wird es für Unternehmen einfacher, diese einzuhalten. 3.2 Vorhandener rechtlicher Rahmen Die Datenschutzrichtlinie 95/46/EG und die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG (ePrivacy-Richtlinie) bilden den aktuellen rechtlichen Rahmen in Bezug auf den Schutz personenbezogener Daten. Die aktuelle Datenschutzrichtlinie stammt aus dem Jahr 1995. Damals steckte das Internet noch in den Kinderschuhen, und es gab weder Smartphones noch soziale Netzwerke. Big Data spielte noch eine kleine Rolle und war nicht weit verbreitet. Mit der neuen Datenschutzgrundverordnung versucht die EU, die Veränderungen der letzten 20+ Jahre aufzuholen und einen Standard für die kommenden Jahre zu setzen. Deshalb ist der Sprung von der früheren Richtlinie, die bis zu einem gewissen Maß auf der Ebene der Mitgliedsstaaten außer Kraft gesetzt werden konnte, zur neuen Datenschutzgrundverordnung sehr groß. 3.2.1 EU-Datenschutzrichtlinie Die Datenschutzrichtlinie wurde von der Europäischen Kommission eingeführt, um bestimmte, in der EU etablierte Aspekte bezüglich der Verarbeitung personenbezogener Daten durch Daten-Controller (Personen oder Unternehmen, die entscheiden, wie und warum personenbezogene Daten verarbeitet werden) und Datenverarbeitern (Personen oder Unternehmen, die Daten für Daten-Controller verarbeiten) anzugleichen. Allerdings wurden gewisse relevante Aspekte, wie die Verpflichtung zur Ernennung eines Datenschutzbeauftragten, zur Registrierung von eingesetzten IT-Systemen bei den zuständigen Behörden, zur Erfüllung von Einwilligungsanforderungen und so weiter von verschiedenen Mitgliedsstaaten weiterhin unterschiedlich gehandhabt. Dies unterstrich die Notwendigkeit, den vorhandenen rechtlichen Rahmen zu aktualisieren, um die Angleichung innerhalb der EU zu verbessern und auch in Zukunft einen angemessenen Schutz für personenbezogene Daten sicherzustellen. 3.2.2 ePrivacy-Richtlinie Die ePrivacy-Richtlinie ergänzt die DSGVO und legt bestimmte Anforderungen bezüglich der Speicherung und Sammlung personenbezogener Kundendaten durch Internet- und Telekommunikationsanbieter fest. Ein formal geprüfter Entwurf der ePrivacy-Richtlinie, die dem neuen Umfang der DSGVO entspricht, soll demnächst vorliegen. Allerdings richtet sich diese Richtlinie, wie bereits erwähnt, nur an bestimmte angegebene Branchen. 3.3 Umsetzungsfrist und Anwendungsbereich Unternehmen haben zwei Jahre, d.h. bis zum 25. Mai 2018, Zeit, um die Änderungen der DSGVO zu implementieren. Andernfalls werden empfindliche Strafen für Unternehmen verhängt, die nicht den von
  • 7. KuppingerCole Whitepaper Compliance: DSGVO und Customer Identity Management Report Nr.: 72601 Seite 7 von 18 der neuen Richtlinie vorgeschriebenen Mindestschutz für personenbezogene Daten anbieten. Dies ist ein relativ kurzer Zeitraum, denn die DSGVO kann signifikante Änderungen an bestehenden Software- Implementierungen erfordern, die Daten gemäß der neuen Richtlinie verarbeiten. Einfach ausgedrückt: Unternehmen, die weiterhin Kunden in der EU bedienen möchten, müssen die Datenschutzgrundverordnung der EU vollständig erfüllen. Einer der interessantesten Aspekte der DSGVO ist ihr breiter Geltungsbereich. Die DSGVO gilt für alle Daten-Controller und Datenverarbeiter in der EU, ungeachtet des tatsächlichen Orts der Datenverarbeitung. Darüber hinaus gilt sie auch für Daten-Controller und Datenverarbeiter außerhalb der EU, falls die Datensubjekte (deren personenbezogene Daten verarbeitet werden) innerhalb der EU ansässig sind und die Verarbeitungsaktivitäten sich auf Waren und Dienstleistungen beziehen, die Datensubjekten in der EU angeboten werden oder die der Überwachung ihres Verhaltens dienen, sofern das Verhalten in der EU stattfindet. Dies bedeutet konkret, dass alle Unternehmen weltweit, die Daten von EU-Kunden verarbeiten, die Datenschutzgrundverordnung der EU erfüllen müssen. Die einfache Verlagerung von Datenzentren in Länder außerhalb der EU und die Einhaltung der bisherigen Regelungen wird nicht ausreichend sein. Die andere theoretische Möglichkeit, die Verarbeitung von Kundendaten zu vermeiden, indem EU-Kunden nicht bedient werden, ist für die meisten Unternehmen höchstwahrscheinlich keine Option. Noch einmal: Unternehmen, die weiterhin Kunden in der EU bedienen möchten, müssen die Datenschutzgrundverordnung der EU vollständig erfüllen. 4 Compliance: Schlüsselelemente der DSGVO Es werden vielfältige neue Regelungen eingeführt. Diese umfassen die Notwendigkeit einer Einwilligung für den jeweiligen Einsatzzweck, Benachrichtigungen bei Datenschutzverletzungen und andere Prinzipien, wie beispielsweise das Recht auf Vergessen. Nicht alle Regelungen sind neu, aber insgesamt steigen die rechtlichen Anforderungen deutlich. Um die Auswirkungen der DSGVO auf das Customer Identity Management und die Verarbeitung von Kundendaten zu verstehen - die weit über Customer Identity Management hinausgehen und auch CRM, ERP und andere Business-Systeme betreffen - ist es wichtig, die wichtigsten Rechtselemente der DSGVO zu verstehen. Definition personenbezogener Daten Die DSGVO gilt für alle Verarbeitungsoperationen, an denen personenbezogene Daten beteiligt sind. Personenbezogene Daten umfassen alle Daten in Bezug auf eine eindeutige Person, die es Unternehmen ermöglichen, eine natürliche Person direkt oder indirekt zu identifizieren. Eine Person kann anhand ihres Namens oder einer Identifizierungsnummer, anhand von Ortsdaten, Online-Identifiern oder anderen Faktoren bezüglich physischen, physiologischen, genetischen, mentalen, wirtschaftlichen, kulturellen
  • 8. KuppingerCole Whitepaper Compliance: DSGVO und Customer Identity Management Report Nr.: 72601 Seite 8 von 18 oder sozialen Identität dieser Person identifiziert werden. Die Daten eines Kunden können sich auf seine Bankverbindung, IP-Adresse, Anmeldedaten, Verbrauchergewohnheiten usw. beziehen, die für diese Person eindeutig sind. Diese Definition ist sehr weit gefasst - viel weiter als bisherige Definitionen von PII. Die Definition umfasst beispielsweise alle Tracking-Daten, welche die Identifizierung der jeweiligen Person ermöglichen. Insbesondere der Aspekt der „indirekten Identifizierung” spielt angesichts dieser breiten Definition eine wichtige Rolle. Tatsächlich sind alle Daten, die beispielsweise mithilfe von Cookies gesammelt werden, als personenbezogene Daten im Sinne der DSGVO zu betrachten. Auswirkung: Zur Erfüllung dieser neuen Anforderungen ist eine „360-Grad-Ansicht” jedes Kunden und aller mit diesem Kunden verbundenen Daten erforderlich. Dies erfordert ein hochentwickeltes Profilmanagement und die Fähigkeit, eine große Vielfalt von Attributen zu vereinheitlichen und akkurate sowie vollständige Profile zu erstellen. Regelungen zur Einholung einer gültigen Einwilligung Sofern nicht eine andere rechtliche Grundlage bezüglich der Verarbeitung personenbezogener Daten vorhanden ist, wie zum Beispiel ein Vertrag oder eine gesetzliche Verpflichtung, muss vor der Verarbeitung personenbezogener Daten eine Einwilligung eingeholt werden. Eine Einwilligung wird als gültig erachtet, wenn sie frei gegeben wurde, wenn sie fundiert und eindeutig ist und wenn sie eine Bestätigung oder eine klare, bestätigende Aktion umfasst. Falls Daten für verschiedene Zwecke verwendet werden, ist eine Einwilligung der jeweiligen Person für jeden einzelnen Zweck erforderlich. Aus der Sicht des Marketings und der Kundenidentität geht es hierbei beispielsweise um die Einwilligung zur Sammlung von Daten mittels Cookies oder anderen Browser-Aktivitäten, Opt-In- und Opt-Out- Optionen usw. Die wichtigsten Aspekte bestehen darin, dass die Einwilligung pro Einsatzzweck erteilt werden und auf einer „fundierten” Entscheidung beruhen müssen. Tendenziell müssen Unternehmen, die personenbezogene Daten verarbeiten und speichern, den Zweck der Datensammlung präziser angeben. Letztendlich werden viele Menschen ihre Einwilligung geben, weil sie eine bestimmte Dienstleistung nutzen möchten. An diesem Punkt spielt auch der Nachweis der Einwilligung eine Rolle. Eine der Anforderungen lautet, dass ein Nachweis darüber erbracht werden muss, zu welchen Bedingungen jeder Nutzer seine Einwilligung erteilt hat, sowie ein technischer Beleg, dass der Nutzer tatsächlich eingewilligt hat. Eine Einwilligung muss pro Einsatzzweck erteilt werden, und der Anbieter muss einen „Nachweis der Einwilligung” erbringen. Diese Anforderungen können Unternehmen mit unterschiedlichen Zugangskanälen für Nutzer schnell vor komplexe Herausforderungen stellen. Eine eindeutige Ansicht der Identität eines Kunden und die Verwaltung seiner jeweiligen Präferenzen und Einwilligungen sind kritische Voraussetzungen zur Erfüllung dieser Anforderung.
  • 9. KuppingerCole Whitepaper Compliance: DSGVO und Customer Identity Management Report Nr.: 72601 Seite 9 von 18 Auswirkung: Um die neuen Einwilligungsanforderungen zu erfüllen, müssen Identity Management- Systeme flexibel sein, um speziell angepasste Registrierungs- und Anmeldeprozesse zu ermöglichen, die für jede Region, in der ein Daten-Controller Kunden bedient, konform sind. 4.1 Anforderungen bezüglich der Ernennung eines Datenschutzbeauftragten Aktuell verfügen nur wenige Länder über Vorschriften bezüglich der Ernennung eines Datenschutzbeauftragten (Data Protection Officer, DPO). Unter der DSGVO wird sich dies grundlegend ändern. Unternehmen, die personenbezogene in großem Umfang oder spezielle Kategorien von personenbezogenen Daten verarbeiten oder in denen eine systematische Überwachung von Einzelpersonen stattfindet, werden verpflichtet sein, einen DPO zu ernennen. Die Ernennung des DPO sollte auf den professionellen Fähigkeiten der jeweiligen Person sowie auf ihrem Fachwissen zum Datenschutz basieren. Diese Position kann entweder von einem Mitarbeiter des Unternehmens oder von einem externen Experten ausgefüllt werden. Eine Unternehmensgruppe kann über einen gemeinsamen Datenschutzbeauftragen verfügen. Auswirkung: Unternehmen müssen bewerten, ob sie einen Datenschutzbeauftragten ernennen müssen, und sie müssen ein ausreichendes Budget für diese Position bereitstellen. Insbesondere müssen Unternehmen entscheiden, ob sie einen internen oder einen externen DPO einsetzen möchten. 4.2 Verpflichtende Datenschutzfolgeabschätzungen (DPIA) Als Teil des risikobasierten Ansatzes der DSGVO wird es verpflichtend sein, Datenschutzfolgeabschätzungen (Data Protection Impact Assessments, DPIA) vorzunehmen, falls die fraglichen Datenverarbeitungsoperationen aufgrund ihrer Natur, ihres Umfangs, ihres Kontextes und ihrer Ziele zu höheren Risiken in Bezug auf die Rechte und Freiheiten von Einzelpersonen führen. Dies ist in bestimmten Szenarien der Fall: ● Wenn bestimmte Kategorien personenbezogener Daten, die in der DSGVO festgelegt sind, in großem Umfang verarbeitet werden ● Wenn eine systematische Auswertung von persönlichen Aspekten in Bezug auf natürliche Personen stattfindet, die mittels automatisierten Entscheidungen ausgeführt wird ● Wenn eine systematische Überwachung von öffentlich zugänglichen Bereichen stattfindet Jede DPIA muss Folgendes beschreiben: ● Alle Verarbeitungsoperationen und ihren jeweiligen Zweck ● Die Notwendigkeit und den Umfang jedes Prozesses im Verhältnis zum beabsichtigen Ziel ● Die potenziellen Risiken im Hinblick auf die Rechte und Freiheiten der Datensubjekte ● Die technischen und organisatorischen Maßnahmen, die implementiert werden
  • 10. KuppingerCole Whitepaper Compliance: DSGVO und Customer Identity Management Report Nr.: 72601 Seite 10 von 18 Auswirkung: Über die Anforderung eines Datenschutzbeauftragten hinaus sind in einer Vielzahl von Anwendungsfällen definierte Abschätzungen erforderlich. Interne Auditfunktionen müssen ihre Kontrollen an diese neuen Anforderungen anpassen. 4.3 Anforderungen bezüglich Benachrichtigungen bei Datenschutzverletzungen Wenn eine Datenschutzverletzung auftritt, die sich auf PII auswirkt, hat der Daten-Controller die zuständige Aufsichtsbehörde innerhalb von 72 Stunden, nachdem er die Verletzung erkannt hat, zu informieren. Falls Kundendaten, die sich auf die Rechte und Freiheiten von Verbrauchern auswirken, von der Datenschutzverletzung betroffen sind, müssen auch die jeweiligen Verbraucher informiert werden. Auswirkung: Alle Unternehmen müssen sowohl für Benachrichtigungen zu Datenschutzverletzungen als auch für das Vorfallsmanagement Prozesse definieren und implementieren, um Vorfälle auf angemessene und konforme Weise zu handhaben. Es muss sichergestellt werden, dass alle Anbieter, die Technologien in einem Multi-Solution-Stack anbieten, zeitnah auf Datenschutzverletzungen reagieren können und über eine gut durchdachte Strategie für verschiedene Notsituationen verfügen. 4.4 Datenkontrolle und das Recht auf Vergessen Das Recht auf Vergessen wurde als inhärentes Recht von Datensubjekten anerkannt. Es gibt Einzelpersonen einen Anspruch darauf, dass Daten-Controller ihre Daten auf Anfrage unverzüglich löschen. Dieses Recht kann allerdings nur dann ausgeübt werden, wenn bestimmte Voraussetzungen erfüllt sind. Es kann beispielsweise ausgeübt werden, wenn die personenbezogenen Daten nicht länger für den Zweck erforderlich sind, für den sie gesammelt wurden, oder wenn die Datensubjekte ihre Einwilligung widerrufen. Es geht um mehr als nur das Recht auf Vergessen - die Datenkontrolle wird komplexer. Es gab bereits viele Diskussionen und sogar Gerichtsprozesse in Bezug auf das Recht auf Vergessen, und dieses Thema wird in Zukunft noch wichtiger werden. Unternehmen sind gut beraten, wenn sie sich auf Anfragen von Kunden bezüglich der Löschung ihrer Daten vorbereiten. Das Recht auf Vergessen ist nicht die einzige Anforderung in diesem Bereich. Neue Verbraucherrechte im Hinblick auf die Kontrolle über Nutzerdaten sind viel weiter gefasst und beinhalten auch das Recht auf das Einfrieren der Datenverarbeitung, was eine neue und relativ komplexe Anforderung darstellt. Datensubjekte können fordern, dass die Verarbeitung ihrer Daten eingefroren wird. Ein weiteres neues, wichtiges Recht besteht darin, dass personenbezogene Daten exportiert und bearbeitet werden können. Auch diese Anforderung ist nicht einfach zu implementieren und kann eine erhebliche Arbeitsbelastung für Unternehmen bedeuten, die personenbezogene Daten verarbeiten. Auswirkung: Um sicherzustellen, dass Verbraucher die Kontrolle über ihre eigenen personenbezogenen Daten behalten, sollte ein hochentwickeltes Profilmanagement mit angemessenen
  • 11. KuppingerCole Whitepaper Compliance: DSGVO und Customer Identity Management Report Nr.: 72601 Seite 11 von 18 Endnutzerpräferenzoptionen für das Einfrieren der Verarbeitung, die Bearbeitung, den Export und die Löschung von Daten eingesetzt werden. Technische und betriebliche Sicherheitsmaßnahmen Über die oben erwähnten rechtlichen Anforderungen hinaus ist es ebenfalls wichtig, technische und betriebliche Sicherheitsmaßnahmen zu ergreifen, die für die Art der Verarbeitung angemessen sind. Diese Maßnahmen können die Pseudonymisierung und Anonymisierung personenbezogener Daten, die Vertraulichkeit, Integrität und Ausfallsicherheit von Verarbeitungssystemen, die Fähigkeit, angemessen auf Vorfälle zu reagieren sowie eine regelmäßige Bewertung der Wirksamkeit der implementierten technischen und betrieblichen Sicherheitsmaßnahmen umfassen, wie zum Beispiel durch regelmäßige IT-Sicherheits- und Datenschutz-Audits. Technische und betriebliche Sicherheitsmaßnahmen sollten insbesondere Zugriffsrechte, die Zugangs-, Übertragungs-, Eingabe- und die Verfügbarkeitskontrolle sowie die Kontrolle über die in Auftrag gegebene Datenverarbeitung beinhalten. Diese rechtlichen Anforderungen können wiederum zu eher komplexen technischen Anforderungen führen, die von Unternehmen, die personenbezogene Daten verwalten und verarbeiten, erfüllt werden müssen. Technische und betriebliche Sicherheitsmaßnahmen können durch die Einhaltung etablierter Normen, wie z. B. ISO27018, ideal implementiert werden. Auswirkung: Es ist wichtig, zu verifizieren, dass alle zur Erfassung und Verwaltung von Kundendaten eingesetzten Lösungen die Sicherheitspraktiken und -infrastrukturen umsetzen, die für die jeweiligen Normen branchenzertifiziert sind. Privacy by Default und Privacy by Design Schließlich umfasst die DSGVO noch die Anforderung „Privacy by Default” und „Privacy by Design”. Privacy by Design beschreibt ein Konzept, das bereits seit mehreren Jahren diskutiert wird. Grundsätzlich geht es hierbei darum, Anwendungen so zu konzipieren, dass Datenschutzanforderungen auf der Grundlage rechtlicher Vorschriften sowie der Kundeneinwilligung flexibel durchgesetzt werden können. Privacy by Default hingegen bedeutet, dass Datenschutzvoreinstellungen standardmäßig umgesetzt werden und nicht erst von Kunden auf umständliche Weise aktiviert werden müssen. Insgesamt führt die Datenschutzgrundverordnung der Europäischen Union eine signifikante Anzahl neuer Anforderungen ein. Nicht alle diese Anforderungen sind neu oder unüblich, aber sie bedeuten dennoch, dass Unternehmen, die personenbezogene Daten verwalten und verarbeiten, ihren Umgang mit diesen Daten überdenken müssen. Auswirkung: Bei der Bewertung, ob ein Unternehmen für die DSGVO bereit ist, muss sichergestellt werden, dass alle Lösungen eines Stacks, die Kundendaten sammeln und verwalten, die spezifischen Anforderungen für den Kundenanwendungsfall einhalten, insbesondere die Datenschutzbestimmungen. Bei End-to-End-Lösungen ist zu beachten, dass sie eine starke Beziehung mit verschiedenen Technologiepartnern wahren, die auf einfache Weise in die jeweilige Plattform integriert werden
  • 12. KuppingerCole Whitepaper Compliance: DSGVO und Customer Identity Management Report Nr.: 72601 Seite 12 von 18 können. Konzentrieren Sie sich nicht auf einen speziell angepassten Softwarecode, sondern setzen Sie auf Standardtechnologien. 5 DSGVO und Customer Identity Management Ein Gleichgewicht zwischen geschäftlichen und Compliance-Anforderungen zu finden, wird im Rahmen der DSGVO zur Herausforderung. Unternehmen müssen Kundendaten (und andere personenbezogene Daten) konsistent verwalten, sich von Punktlösungen wegbewegen und eine starke Basis für das Customer Management oder Identity Management aufbauen. Der Fokus der europäischen Datenschutzgrundverordnung liegt nicht nur auf Kundendaten, auch wenn viele der neuen Anforderungen auf soziale Netzwerke, Suchmaschinen, eCommerce und andere kundenorientierte Businesses abzielen. Man darf jedoch nicht vergessen, dass die DSGVO sich auf alle personenbezogenen Daten bezieht, einschließlich der Daten von Mitarbeitern oder Geschäftspartnern. Unternehmen benötigen eine einheitliche Sicht auf Identität, Einwilligung und Präferenzen eines Kunden - an allen Berührungspunkten. Aus der Sicht der Verbraucherdaten wird es in Zukunft noch wichtiger, Kundenidentitäten auf effiziente, gut durchdachte Weise zu verwalten. Die grundlegende Herausforderung besteht darin, dass Kunden über deutlich mehr Rechte in Bezug auf Datenschutz verfügen als jemals zuvor in der EU. Deshalb spielt die Fähigkeit zur Identifizierung von Kunden - auch wenn sie mit der Zeit unterschiedliche Anmeldeinformationen verwenden - nicht nur aus der Unternehmensperspektive, sondern auch im Hinblick auf die Compliance eine bedeutende Rolle. Natürlich ist es einfacher, die sich verändernden Anforderungen zu erfüllen, wenn die unterschiedlichen verwendeten Anmeldeinformationen einer einzelnen Personen zugeordnet werden können. 5.1 Geschäftliche Anforderungen Die Hauptanforderungen für die Implementierung einer CIAM-Lösung (Customer Identity & Access Management) sind geschäftlicher Natur. Während die DSGVO aufgrund der Anforderung, die neue Richtlinie zu erfüllen, einen geschäftlicher Grund darstellt, gibt es noch weitere Gründe, warum eine Customer Identity Management-Lösung implementiert werden sollte. Ein wichtiger Grund besteht darin, dass Geschäftsmodelle sich im Rahmen des sogenannten Digitalen Wandels verändern, was zu einer engeren Online-Interaktion mit Kunden als bisher führt. Von Gegenständen und Geräten gesammelte Daten sind ein wichtiger Aspekt dieses Wandels. Um in Zeiten schneller Veränderungen von Geschäftsmodellen langfristige Beziehungen zu Kunden und Geschäftspartnern aufbauen zu können, müssen Kunden ungeachtet der verwendeten Anmeldeinformationen identifiziert werden können. Ein Verständnis von Kundenaktivitäten und -verhaltensweisen ist ebenfalls essenziell für eine optimale Bedienung der Kunden.
  • 13. KuppingerCole Whitepaper Compliance: DSGVO und Customer Identity Management Report Nr.: 72601 Seite 13 von 18 Dabei müssen verschiedene Anforderungen erfüllt werden: ● Kundenbezogene Lösungen müssen die Kunden in Bezug auf die Benutzerfreundlichkeit und die Einfachheit der Nutzung zufrieden stellen, beginnend bei der Unterstützung verschiedenster Authentifikatoren (traditionelle Registrierung, Login via soziale Netzwerke, Biometrie usw.) und einer nahtlosen Benutzererfahrung. ● Lösungen müssen so konzipiert sein, dass sie eine schnelle Anpassung an neue Geschäftsanforderungen ermöglichen - die Markteinführungszeit ist ein kritischer Faktor für den Erfolg jedes Unternehmens. ● Datenmodelle für Kundendaten müssen dynamisch und anpassungsfähig sein, sodass Unternehmen „alles Erforderliche” für heutige und zukünftige Geschäftsanforderungen speichern können. ● Lösungen müssen höchst skalierbar sein, insbesondere in Stoßzeiten. ● Es muss eine einzige Ansicht des Kunden in allen kundenbezogenen Systemen vorhanden sein, sowie eine flexible Integration mit verschiedensten Backend-Systemen. ● Es muss ein umfassender Support für die Verwaltung von Benutzereinwilligungen, Opt- Ins und Präferenzen vorhanden sein, die an allen Berührungspunkten des Unternehmens mit dem Kunden beachtet werden müssen. Kundenbezogene Anwendungen müssen flexibler sein als jemals zuvor. Die Tage separater Lösungen, die eigene Identitäten verwalten, einen eigenen Ansatz zur Benutzererfahrung implementieren und getrennt von anderen Systemen existieren, sind längst vorbei. Kundenidentitäten sind im digitalen Zeitalter unerlässlich für Unternehmen, und aus rechtlicher Sicht - im Hinblick auf die neue europäische Datenschutzgrundverordnung - ist der Bedarf an einer einheitlichen, standardisierten Customer Identity Management-Infrastruktur nicht länger nur ein optionaler und interessanter, sondern ein notwendiger Ansatz. 5.2 Prinzipien zur Implementierung von DSGVO-Anforderungen Wie oben beschrieben umfasst die europäische Datenschutzgrundverordnung eine Reihe von verpflichtenden Prinzipien. Customer Identity Management erfüllt nicht alle diese Anforderungen, stellt jedoch eine starke Unterstützung für die Einhaltung dieser Prinzipien dar. Insgesamt erfordern viele der wesentlichen Prinzipien der DSGVO, dass Unternehmen die Identitäten ihrer Kunden gut kennen. Wenn Unternehmen eine Person kennen, sie bei der Anmeldung an Systemen identifizieren können und insbesondere über eine einzige Ansicht der Person sowie ihrer Aktivitäten in verschiedenen Systemen verfügen, wird die Einhaltung vieler Prinzipien und Anforderungen der europäischen Datenschutzgrundverordnung deutlich vereinfacht, wie zum Beispiel: ● Einwilligung und Nachweis der Einwilligung ● Zweckeinschränkung ● Recht auf Löschen und Vergessen ● Recht zur Beschränkung der Verarbeitung ● Recht auf Datenportabilität und auf die Bearbeitung von Daten ● Benachrichtigungspflichten
  • 14. KuppingerCole Whitepaper Compliance: DSGVO und Customer Identity Management Report Nr.: 72601 Seite 14 von 18 ● Sicherheitsmaßnahmen für automatisierte Entscheidung, einschließlich Profiling Bezüglich der Einwilligung wird empfohlen, nicht nur eine IP-Adresse aufzuzeichnen, sondern die Person zu kennen, die eine Einwilligung erteilt (oder nicht). Dies gilt auch für die Einschränkung des Verwendungszwecks - eine Einzelperson muss nicht nur in den Verwendungszweck ihrer personenbezogenen Daten einwilligen, sondern muss auch in der Lage sein, die Verwendung im Rahmen des Rechts auf Verwendungseinschränkung zu begrenzen. Das Recht auf die Löschung von Daten, das Recht auf Vergessen und das Recht auf Datenportabilität bedeuten, dass personenbezogene Daten einer Person zugeordnet werden müssen. Deshalb spielt die Verwaltung von Kundenidentitäten eine bedeutendere Rolle als je zuvor. Unternehmen benötigen ein umfassendes „Einwilligungsverwaltungssystem”. Unternehmen benötigen ein umfassendes „Einwilligungsverwaltungssystem” als Bestandteil ihrer Customer Identity Management-Strategie. Änderungen bezüglich den Nutzungsbedingungen von sozialen Netzwerken erfordern möglicherweise eine aktualisierte Einwilligung. Das System muss deshalb in der Lage sein, Einwilligungsdaten pro Nutzer und pro Bedingung aufzuzeichnen. Es reicht nicht aus, Identitäten einfach zu speichern. Unternehmen müssen transparent angeben, welche Daten gespeichert werden und wie sie verwendet werden. Dies erfordert einen transparenten Mechanismus für die Self-Service-Verwaltung von Identitätsprofilen sowie neue Formen der Benutzererfahrung, die ein Gleichgewicht zwischen den neuen rechtlichen Anforderungen und einer maximalen Bindungsrate schaffen. Darüber hinaus sind diese Fähigkeiten erforderlich, um verschiedenen Anforderungen zu erfüllen, wie z. B. Benachrichtigungspflichten oder Sicherheitsmaßnahmen für automatisierte Entscheidungen, einschließlich des Rechts des Einzelnen darauf, darüber informiert zu werden, wie Entscheidungen getroffen werden. 5.3 Das richtige Gleichgewicht finden Die Herausforderung wird in Zukunft daraus bestehen, das richtige Gleichgewicht zwischen Business Enablement auf der einen Seite und Datenschutz und Sicherheit auf der anderen Seite zu finden. Rechtliche Anforderungen müssen unbedingt erfüllt werden, aber dies muss nicht unbedingt zu Lasten der geschäftlichen Anforderungen gehen (es sei denn, die Geschäftsmodelle stehen in deutlichem Widerspruch mit der DSGVO). Des Weiteren dienen viele Implementierungen nicht nur Kunden in der EU oder werden ausschließlich in der EU ausgeführt, so dass auch andere Verordnungen zutreffend sein könnten. Deshalb muss das System flexibel sein, um unterschiedliche Erfahrungen in verschiedenen Geltungsbereichen zu bieten. Dies bedeutet, dass die europäischen rechtlichen Anforderungen sich nur auf die Benutzererfahrung von Nutzern in der EU auswirken sollten, während Nutzer in anderen Territorien eine Erfahrung erhalten, die auf die dortigen rechtlichen Anforderungen zugeschnitten ist.
  • 15. KuppingerCole Whitepaper Compliance: DSGVO und Customer Identity Management Report Nr.: 72601 Seite 15 von 18 Aus geschäftlicher Sicht sollte das Ziel darin bestehen, die Marktnachfrage zu befriedigen, eine großartige Benutzererfahrung bereitzustellen, sich verändernde Geschäftsmodelle zu unterstützen und agile Lösungen zu implementieren, die einfach an neue Anforderungen angepasst werden können. Im Rahmen dieser neuen und strengeren rechtlichen Anforderungen sind deshalb flexible Lösungen erforderlich, die eine Verwaltung von Nutzeridentitäten und das richtige Maß an Nutzerkontrolle und - einwilligung ermöglichen, aber auch die Sicherheit von personenbezogenen Daten gewährleisten, die ebenfalls Teil der Datenschutzgrundverordnung ist. Die Bereitstellung von Daten für kommerzielle Plattformen ist eine bewusste Handlung. Modelle, bei denen für Daten gezahlt wird, sind weiterhin erlaubt, allerdings müssen die im vorherigen Abschnitt genannten Prinzipien erfüllt werden. Insbesondere müssen Nutzer weiterhin die Kontrolle haben und in der Lage sein, ihre personenbezogenen Daten zu verwalten und Einwilligungen bezüglich ihrer Nutzung zu widerrufen. 6 Zusammenfassung und Empfehlungen Die Datenschutzgrundverordnung der Europäischen Union wird in Kraft treten. Diese Richtlinie muss von Unternehmen erfüllt werden, wenn sie Daten von in der EU ansässigen Personen verarbeiten, und sie hat einen sehr weit gefassten, in gewisser Hinsicht sogar globalen, Geltungsbereich. Es werden neue Anforderungen und Prinzipien eingeführt. Diese erfordern nicht nur eine bessere Kontrolle und ein allgemeines Wissen bezüglich der Art und Weise, in der ein Unternehmen Kundenidentitäten verwaltet, sondern sie erfordern auch eine bessere Verwaltung von personenbezogenen Daten, so dass diese beispielsweise auf Anfrage gelöscht werden können, wenn ein Nutzer seine Einwilligung widerruft. Im Hinblick auf die Handhabung personenbezogener Daten lauten die wichtigsten Empfehlungen: 1) Informieren Sie Ihre Kunden deutlich und verständlich darüber, welche Daten Sie sammeln und wozu Sie die Daten verwenden. 2) Holen Sie Genehmigungen in allen Fällen ein, welche die DSGVO vorgibt. Falls die Vorschriften nicht eindeutig sind, ist es stets besser, zu viele Einwilligungen einzuholen als zu wenige. 3) Definieren Sie eine gut durchdachte Benutzererfahrung, einschließlich Zustimmungen zu Nutzungsbedingungen, Einwilligungen und anderen Vereinbarungen zwischen Ihrem Unternehmen und dem Kunden. 4) Wählen Sie ganzheitliche Kunden-IAM-Lösungen aus, die Opt-In-, Opt-Out- und zugehörige Funktionen standardmäßig unterstützen und die über die DSGVO hinaus auch eine einfache Implementierung von rechtlichen Anforderungen aus anderen Regionen sowie von Richtlinien für soziale Netzwerke ermöglichen. 5) Geben Sie Kunden die Möglichkeit, ihre gewünschte digitale Identität zu verwenden. Aus technischer Sicht kann die Essenz der Richtlinie wiederum in einem einzigen Satz zusammengefasst werden: Nutzen Sie Plattformen, statt zu kodieren.
  • 16. KuppingerCole Whitepaper Compliance: DSGVO und Customer Identity Management Report Nr.: 72601 Seite 16 von 18 Die Zeit der separaten Entwicklung von benutzerbezogenen Anwendungen und Portalen mit getrenntem Identity Management sind vorbei. Die effiziente Handhabung von Kundenidentitäten, die Unterstützung der Geschäftsagilität und die Einhaltung gesetzlicher Compliance-Vorschriften erfordert den Einsatz einer speziellen Plattform für Customer Identity Management.
  • 17. KuppingerCole Whitepaper Compliance: DSGVO und Customer Identity Management Report Nr.: 72601 Seite 17 von 18 7 Copyright © 2016 Kuppinger Cole Ltd. All rights reserved. Reproduction and distribution of this publication in any form is forbidden unless prior written permission. All conclusions, recommendations and predictions in this document represent KuppingerCole’s initial view. Through gathering more information and performing deep analysis, positions presented in this document will be subject to refinements or even major changes. KuppingerCole disclaim all warranties as to the completeness, accuracy and/or adequacy of this information. Even if KuppingerCole research documents may discuss legal issues related to information security and technology, KuppingerCole do not provide any legal services or advice and its publication shall not be used as such. KuppingerCole shall have no liability for errors or inadequacies in the information contained in this document. Any opinion expressed may be subject to change without notice. All product and company names are trademarks™ or registered® trademarks of their respective holders. Use of them does not imply any affiliation with or endorsement by them.
  • 18. Kuppinger Cole Ltd. Sonnenbergerstr. 16 65193 Wiesbaden | Germany Phone +49 (211) 23 70 77 – 0 Fax +49 (211) 23 70 77 – 11 www.kuppingercole.com KuppingerCole supports IT professionals with outstanding expertise in defining IT strategies and in relevant decision making processes. As a leading analyst company KuppingerCole provides first-hand vendor-neutral information. Our services allow you to feel comfortable and secure in taking decisions essential to your business. KuppingerCole, founded in 2004, is a leading Europe-based analyst company for identity focused information security, both in classical and in cloud environments. KuppingerCole stands for expertise, thought leadership, and a vendor-neutral view on these information security market segments, covering all relevant aspects like Identity and Access Management (IAM), Governance, Risk Management and Compliance (GRC), IT Risk Management, Authentication and Authorization, Single Sign-On, Federation, User Centric Identity Management, eID cards, Cloud Security and Management, and Virtualization. For further information, please contact clients@kuppingercole.com The Future of Information Security – Today