GDPR Implications Customer Identity Management - German

KuppingerCole Whitepaper
Compliance: GDPR and Implications for Customer Identity Management
Report Nr.: 72601
Die neue EU-Datenschutzgrundverordnung
und Kundenidentitäten – was Sie wissen
müssen
Durch die neue Datenschutzgrundverordnung der Europäischen Union (DSGVO) verändern sich
die Anforderungen bezüglich der Verarbeitung personenbezogener Daten. Die Verordnung
verfügt über einen weit gefassten Geltungsbereich und wirkt sich auch auf Unternehmen
außerhalb der EU aus. Das richtige Gleichgewicht zwischen den neuen rechtlichen Vorgaben auf
der einen Seite und den neuen Anforderungen bezüglich der Kundenverwaltung im Zeitalter
des digitalen Wandels auf der anderen Seite zu finden, erfordert einen Wechsel von portal- und
anwendungsbasiertem Kundenmanagement hin zu zentralisierten Customer Identity
Management-Plattformen, die das Gleichgewicht zwischen Compliance, Nutzereinwilligungen
und der optimalen Erfüllung von Kundenwünschen unterstützen.
Dr. Karsten Kinast
kk@kuppingercole.com
Martin Kuppinger
mk@kuppingercole.com
In Auftrag gegeben von
KuppingerCole
WHITEPAPER von Dr. Karsten Kinast & Martin Kuppinger| August 2016

Compliance: DSGVO und Customer Identity Management
Report Nr.: 72601 Seite 2 von 18
Verwandte Themen
#71529 Executive View: Gigya Customer Identity Management Suite
#72002 Whitepaper: Using Information Stewardship within Government to Protect PII
#72006 Leadership Brief: Your customer identities: How to do them right
#72015 Leadership Brief: Monetizing the Digital Transformation

Inhalt
1 Zusammenfassung........................................................................................................................ 4
2 Wichtige Erkenntnisse .................................................................................................................. 5
3 Datenschutzgrundverordnung (DSGVO) ........................................................................................ 5
3.1 Historie und Kontext: Warum war die DSGVO erforderlich?...........................................................5
3.2 Vorhandener rechtlicher Rahmen....................................................................................................6
3.2.1 EU-Datenschutzrichtlinie.....................................................................................................6
3.2.2 ePrivacy-Richtlinie ...............................................................................................................6
3.3 Umsetzungsfrist und Anwendungsbereich ......................................................................................6
4 Compliance: Schlüsselelemente der DSGVO .................................................................................. 7
Definition personenbezogener Daten......................................................................................................7
Regelungen zur Einholung einer gültigen Einwilligung............................................................................8
4.1 Anforderungen bezüglich der Ernennung eines Datenschutzbeauftragten.....................................9
4.2 Verpflichtende Datenschutzfolgeabschätzungen (DPIA) .................................................................9
4.3 Anforderungen bezüglich Benachrichtigungen bei Datenschutzverletzungen..............................10
4.4 Datenkontrolle und das Recht auf Vergessen................................................................................10
Technische und betriebliche Sicherheitsmaßnahmen...........................................................................11
Privacy by Default und Privacy by Design ..............................................................................................11
5 DSGVO und Customer Identity Management............................................................................... 12
5.1 Geschäftliche Anforderungen ........................................................................................................12
5.2 Prinzipien zur Implementierung von DSGVO-Anforderungen........................................................13
5.3 Das richtige Gleichgewicht finden..................................................................................................14
6 Zusammenfassung und Empfehlungen ........................................................................................ 15
7 Copyright ................................................................................................................................... 17

1 Zusammenfassung
Die bald in Kraft tretende Datenschutzgrundverordnung (DSGVO) der Europäischen Union führt zu
Veränderungen in Bezug auf Datenschutz- und Privacy-Anforderungen, auf die Unternehmen
angemessen reagieren müssen. Die DSGVO ist sehr weit gefasst und wirkt sich deshalb nicht nur auf
Unternehmen innerhalb der EU aus, sondern auch auf Unternehmen, die Daten von in der EU
ansässigen Kunden verarbeiten.
Die Datenschutzgrundverordnung entstand als Instrument zur Angleichung von Rechtsvorschriften
bezüglich Datenschutz in den EU-Mitgliedsstaaten. Die schnelle Entwicklung neuer Technologien hat
aufgezeigt, dass der aktuelle rechtliche Rahmens aktualisiert werden muss, um die heutige Welt der
sozialen Netzwerke und Big-Data-Technologien abzudecken. Die neue Gesetzgebung wird deutlich
strengere Anforderungen im Hinblick auf die Wahrung der Privatsphäre von Kunden stellen. Als EU-
Richtlinie steht die DSGVO über nationalen Vorschriften, die in der Folge angepasst werden müssen.
Es gibt eine Vielzahl neuer Rechtselemente, wie beispielsweise zwingend erforderliche Einwilligungen,
die Beschreibung der Verwendung personenbezogener Daten und das Recht auf Vergessen. Um die
Auswirkungen der DSGVO auf das Customer Identity Management und die Verarbeitung von
Kundendaten zu verstehen - die weit über Customer Identity Management hinausgehen und auch CRM,
ERP und andere Business-Systeme betreffen - ist es wichtig, die wichtigsten Rechtselemente der neuen
Richtlinie zu verstehen.
Im Hinblick auf Kundendaten spielt eine effiziente und gut durchdachte Verwaltung von
Kundenidentitäten eine immer wichtigere Rolle. Die grundlegende Herausforderung besteht darin, dass
Kunden über deutlich mehr Rechte verfügen als bei allen früheren Datenschutzverordnungen in der EU.
Deshalb ist die Fähigkeit, Kunden zu identifizieren - auch wenn sie mit der Zeit unterschiedliche
Anmeldedaten verwenden - nicht nur aus der Unternehmensperspektive, sondern auch im Hinblick auf
die Compliance bedeutsam. Natürlich ist es einfacher, die sich verändernden Anforderungen zu erfüllen,
wenn die unterschiedlichen verwendeten Anmeldeinformationen einer einzelnen Personen zugeordnet
werden können. Darüber hinaus sind die Verwaltung und die Berücksichtigung der Einwilligung der
Nutzer, ihrer Wünsche sowie von Opt-Ins und Opt-Outs an allen Berührungspunkten im Rahmen der
europäischen Datenschutzgrundverordnung verpflichtend. Beim Customer Identity Management geht
es um Frontend-Herausforderungen, wie das Verständnis der einzigartigen Identität eines Kunden, aber
auch um Aspekte wie die Durchsetzung von Einwilligungsentscheidungen in allen Backend-Systemen.
Aus technischer Sicht kann die Essenz der Richtlinie in einem einzigen Satz zusammengefasst werden:
Nutzen Sie Plattformen, statt zu kodieren.
Die Zeit der separaten Entwicklung von benutzerbezogenen Anwendungen und Portalen mit jeweils
eigenem Identity Management sind vorbei. Die effiziente Handhabung von Kundenidentitäten, ihrer
Einwilligung und ihres Kontextes zur Unterstützung der Geschäftsagilität und zur Erfüllung der
rechtlichen Compliance-Ansprüche erfordert eine spezielle Customer-Identity-Management-Plattform.

2 Wichtige Erkenntnisse
● Die neue Datenschutzgrundverordnung (DSGVO) der EU, die im Mai 2018 in Kraft treten
soll, führt zu Veränderungen in Bezug auf Datenschutz- und Privacy-Anforderungen -
Unternehmen müssen jetzt handeln.
● Die Einholung der Einwilligung des Nutzers bezüglich der Verwendung
personenbezogener Daten und die Verwaltung von Einwilligungsnachweisen sind
bedeutende Elemente.
● Verschiedene Prinzipien, wie das Recht auf Vergessen und das Recht, eine Einwilligung
zurückzuziehen, werden implementiert.
● Unternehmen müssen ihre Fähigkeiten zur Verwaltung von Identitäten, Einwilligungen
und Kontexten der Nutzer verbessern.
3 Datenschutzgrundverordnung (DSGVO)
Die neue Datenschutzgrundverordnung der Europäischen Union führt eine Reihe neuer Anforderungen
für Unternehmen ein, die personenbezogene Daten verwenden. Dabei bezieht der Begriff der
personenbezogenen Daten sich auch auf Informationen, die eine indirekte Identifizierung von Kunden
ermöglichen. Aufgrund der Änderungen der DSGVO müssen Unternehmen Maßnahmen ergreifen, um die
neue Richtlinie zu erfüllen.
Die bald in Kraft tretende Datenschutzgrundverordnung (DSGVO) der Europäischen Union führt zu
Veränderungen in Bezug auf Datenschutz- und Privacy-Anforderungen, auf die Unternehmen
angemessen reagieren müssen. Die DSGVO ist sehr weit gefasst und wirkt sich deshalb nicht nur auf
Unternehmen innerhalb der EU aus, sondern auch auf Unternehmen, die Daten von in der EU
ansässigen Kunden verarbeiten.
Das Verständnis des Geltungsbereichs, des Inhalts und der Auswirkung der DSGVO ist essenziell für das
Verständnis der konkreten Auswirkungen auf Unternehmen, die mit personenbezogenen Daten
(Personally Identifiable Information, PII) im weitesten Sinne arbeiten. Besonders wichtig ist dabei die Art
und Weise, in der Unternehmen Verbraucherdaten in Zukunft behandeln müssen.
3.1 Historie und Kontext: Warum war die DSGVO erforderlich?
Die Datenschutzgrundverordnung ist ein Instrument zur Angleichung von Rechtsvorschriften im Hinblick
auf den Datenschutz in den EU-Mitgliedsstaaten. Aufgrund der schnellen Entwicklung neuer
Technologien ist eine Aktualisierung des aktuellen rechtlichen Rahmens erforderlich, um die neuen
Aspekte der digitalen Wirtschaft abzudecken, wie beispielsweise die nahezu allgegenwärtige
Verwendung von Big Data oder die Rolle, die soziale Netzwerke in den Bereichen der Kommunikation
und Zusammenarbeit spielen. Die Privatsphäre von Verbrauchern wird durch die neue Richtlinie

gestärkt. Als EU-Richtlinie steht die DSGVO über nationalen Vorschriften, die in der Folge angepasst
werden müssen.
Die DSGVO stärkt allgemeine Datenschutzanforderungen in EU-Mitgliedsstaaten und führt gleichzeitig
zur Angleichung der verschiedenen bisherigen Verordnungen. Wenn die Datenschutzverordnungen in
allen EU-Mitgliedsstaaten konsistenter werden als bisher, wird es für Unternehmen einfacher, diese
einzuhalten.
3.2 Vorhandener rechtlicher Rahmen
Die Datenschutzrichtlinie 95/46/EG und die Datenschutzrichtlinie für elektronische Kommunikation
2002/58/EG (ePrivacy-Richtlinie) bilden den aktuellen rechtlichen Rahmen in Bezug auf den Schutz
personenbezogener Daten.
Die aktuelle Datenschutzrichtlinie stammt aus dem Jahr 1995. Damals steckte das Internet noch in den
Kinderschuhen, und es gab weder Smartphones noch soziale Netzwerke. Big Data spielte noch eine
kleine Rolle und war nicht weit verbreitet. Mit der neuen Datenschutzgrundverordnung versucht die EU,
die Veränderungen der letzten 20+ Jahre aufzuholen und einen Standard für die kommenden Jahre zu
setzen. Deshalb ist der Sprung von der früheren Richtlinie, die bis zu einem gewissen Maß auf der Ebene
der Mitgliedsstaaten außer Kraft gesetzt werden konnte, zur neuen Datenschutzgrundverordnung sehr
groß.
3.2.1 EU-Datenschutzrichtlinie
Die Datenschutzrichtlinie wurde von der Europäischen Kommission eingeführt, um bestimmte, in der EU
etablierte Aspekte bezüglich der Verarbeitung personenbezogener Daten durch Daten-Controller
(Personen oder Unternehmen, die entscheiden, wie und warum personenbezogene Daten verarbeitet
werden) und Datenverarbeitern (Personen oder Unternehmen, die Daten für Daten-Controller
verarbeiten) anzugleichen. Allerdings wurden gewisse relevante Aspekte, wie die Verpflichtung zur
Ernennung eines Datenschutzbeauftragten, zur Registrierung von eingesetzten IT-Systemen bei den
zuständigen Behörden, zur Erfüllung von Einwilligungsanforderungen und so weiter von verschiedenen
Mitgliedsstaaten weiterhin unterschiedlich gehandhabt. Dies unterstrich die Notwendigkeit, den
vorhandenen rechtlichen Rahmen zu aktualisieren, um die Angleichung innerhalb der EU zu verbessern
und auch in Zukunft einen angemessenen Schutz für personenbezogene Daten sicherzustellen.
3.2.2 ePrivacy-Richtlinie
Die ePrivacy-Richtlinie ergänzt die DSGVO und legt bestimmte Anforderungen bezüglich der Speicherung
und Sammlung personenbezogener Kundendaten durch Internet- und Telekommunikationsanbieter
fest. Ein formal geprüfter Entwurf der ePrivacy-Richtlinie, die dem neuen Umfang der DSGVO entspricht,
soll demnächst vorliegen. Allerdings richtet sich diese Richtlinie, wie bereits erwähnt, nur an bestimmte
angegebene Branchen.
3.3 Umsetzungsfrist und Anwendungsbereich
Unternehmen haben zwei Jahre, d.h. bis zum 25. Mai 2018, Zeit, um die Änderungen der DSGVO zu
implementieren. Andernfalls werden empfindliche Strafen für Unternehmen verhängt, die nicht den von

der neuen Richtlinie vorgeschriebenen Mindestschutz für personenbezogene Daten anbieten. Dies ist
ein relativ kurzer Zeitraum, denn die DSGVO kann signifikante Änderungen an bestehenden Software-
Implementierungen erfordern, die Daten gemäß der neuen Richtlinie verarbeiten.
Einfach ausgedrückt: Unternehmen, die weiterhin Kunden in der EU bedienen
möchten, müssen die Datenschutzgrundverordnung der EU vollständig erfüllen.
Einer der interessantesten Aspekte der DSGVO ist ihr breiter Geltungsbereich. Die DSGVO gilt für alle
Daten-Controller und Datenverarbeiter in der EU, ungeachtet des tatsächlichen Orts der
Datenverarbeitung. Darüber hinaus gilt sie auch für Daten-Controller und Datenverarbeiter außerhalb
der EU, falls die Datensubjekte (deren personenbezogene Daten verarbeitet werden) innerhalb der EU
ansässig sind und die Verarbeitungsaktivitäten sich auf Waren und Dienstleistungen beziehen, die
Datensubjekten in der EU angeboten werden oder die der Überwachung ihres Verhaltens dienen, sofern
das Verhalten in der EU stattfindet.
Dies bedeutet konkret, dass alle Unternehmen weltweit, die Daten von EU-Kunden verarbeiten, die
Datenschutzgrundverordnung der EU erfüllen müssen. Die einfache Verlagerung von Datenzentren in
Länder außerhalb der EU und die Einhaltung der bisherigen Regelungen wird nicht ausreichend sein. Die
andere theoretische Möglichkeit, die Verarbeitung von Kundendaten zu vermeiden, indem EU-Kunden
nicht bedient werden, ist für die meisten Unternehmen höchstwahrscheinlich keine Option.
Noch einmal: Unternehmen, die weiterhin Kunden in der EU bedienen möchten, müssen die
Datenschutzgrundverordnung der EU vollständig erfüllen.
4 Compliance: Schlüsselelemente der DSGVO
Es werden vielfältige neue Regelungen eingeführt. Diese umfassen die Notwendigkeit einer Einwilligung
für den jeweiligen Einsatzzweck, Benachrichtigungen bei Datenschutzverletzungen und andere
Prinzipien, wie beispielsweise das Recht auf Vergessen. Nicht alle Regelungen sind neu, aber insgesamt
steigen die rechtlichen Anforderungen deutlich.
Um die Auswirkungen der DSGVO auf das Customer Identity Management und die Verarbeitung von
Kundendaten zu verstehen - die weit über Customer Identity Management hinausgehen und auch CRM,
ERP und andere Business-Systeme betreffen - ist es wichtig, die wichtigsten Rechtselemente der DSGVO
zu verstehen.
Definition personenbezogener Daten
Die DSGVO gilt für alle Verarbeitungsoperationen, an denen personenbezogene Daten beteiligt sind.
Personenbezogene Daten umfassen alle Daten in Bezug auf eine eindeutige Person, die es Unternehmen
ermöglichen, eine natürliche Person direkt oder indirekt zu identifizieren. Eine Person kann anhand ihres
Namens oder einer Identifizierungsnummer, anhand von Ortsdaten, Online-Identifiern oder anderen
Faktoren bezüglich physischen, physiologischen, genetischen, mentalen, wirtschaftlichen, kulturellen

oder sozialen Identität dieser Person identifiziert werden. Die Daten eines Kunden können sich auf seine
Bankverbindung, IP-Adresse, Anmeldedaten, Verbrauchergewohnheiten usw. beziehen, die für diese
Person eindeutig sind.
Diese Definition ist sehr weit gefasst - viel weiter als bisherige Definitionen von PII. Die Definition
umfasst beispielsweise alle Tracking-Daten, welche die Identifizierung der jeweiligen Person
ermöglichen. Insbesondere der Aspekt der „indirekten Identifizierung” spielt angesichts dieser breiten
Definition eine wichtige Rolle. Tatsächlich sind alle Daten, die beispielsweise mithilfe von Cookies
gesammelt werden, als personenbezogene Daten im Sinne der DSGVO zu betrachten.
Auswirkung: Zur Erfüllung dieser neuen Anforderungen ist eine „360-Grad-Ansicht” jedes Kunden und
aller mit diesem Kunden verbundenen Daten erforderlich. Dies erfordert ein hochentwickeltes
Profilmanagement und die Fähigkeit, eine große Vielfalt von Attributen zu vereinheitlichen und akkurate
sowie vollständige Profile zu erstellen.
Regelungen zur Einholung einer gültigen Einwilligung
Sofern nicht eine andere rechtliche Grundlage bezüglich der Verarbeitung personenbezogener Daten
vorhanden ist, wie zum Beispiel ein Vertrag oder eine gesetzliche Verpflichtung, muss vor der
Verarbeitung personenbezogener Daten eine Einwilligung eingeholt werden. Eine Einwilligung wird als
gültig erachtet, wenn sie frei gegeben wurde, wenn sie fundiert und eindeutig ist und wenn sie eine
Bestätigung oder eine klare, bestätigende Aktion umfasst. Falls Daten für verschiedene Zwecke
verwendet werden, ist eine Einwilligung der jeweiligen Person für jeden einzelnen Zweck erforderlich.
Aus der Sicht des Marketings und der Kundenidentität geht es hierbei beispielsweise um die Einwilligung
zur Sammlung von Daten mittels Cookies oder anderen Browser-Aktivitäten, Opt-In- und Opt-Out-
Optionen usw. Die wichtigsten Aspekte bestehen darin, dass die Einwilligung pro Einsatzzweck erteilt
werden und auf einer „fundierten” Entscheidung beruhen müssen. Tendenziell müssen Unternehmen,
die personenbezogene Daten verarbeiten und speichern, den Zweck der Datensammlung präziser
angeben. Letztendlich werden viele Menschen ihre Einwilligung geben, weil sie eine bestimmte
Dienstleistung nutzen möchten. An diesem Punkt spielt auch der Nachweis der Einwilligung eine Rolle.
Eine der Anforderungen lautet, dass ein Nachweis darüber erbracht werden muss, zu welchen
Bedingungen jeder Nutzer seine Einwilligung erteilt hat, sowie ein technischer Beleg, dass der Nutzer
tatsächlich eingewilligt hat.
Eine Einwilligung muss pro Einsatzzweck erteilt werden, und der Anbieter muss einen
„Nachweis der Einwilligung” erbringen.
Diese Anforderungen können Unternehmen mit unterschiedlichen Zugangskanälen für Nutzer schnell
vor komplexe Herausforderungen stellen. Eine eindeutige Ansicht der Identität eines Kunden und die
Verwaltung seiner jeweiligen Präferenzen und Einwilligungen sind kritische Voraussetzungen zur
Erfüllung dieser Anforderung.

Auswirkung: Um die neuen Einwilligungsanforderungen zu erfüllen, müssen Identity Management-
Systeme flexibel sein, um speziell angepasste Registrierungs- und Anmeldeprozesse zu ermöglichen, die
für jede Region, in der ein Daten-Controller Kunden bedient, konform sind.
4.1 Anforderungen bezüglich der Ernennung eines Datenschutzbeauftragten
Aktuell verfügen nur wenige Länder über Vorschriften bezüglich der Ernennung eines
Datenschutzbeauftragten (Data Protection Officer, DPO). Unter der DSGVO wird sich dies grundlegend
ändern. Unternehmen, die personenbezogene in großem Umfang oder spezielle Kategorien von
personenbezogenen Daten verarbeiten oder in denen eine systematische Überwachung von
Einzelpersonen stattfindet, werden verpflichtet sein, einen DPO zu ernennen. Die Ernennung des DPO
sollte auf den professionellen Fähigkeiten der jeweiligen Person sowie auf ihrem Fachwissen zum
Datenschutz basieren. Diese Position kann entweder von einem Mitarbeiter des Unternehmens oder
von einem externen Experten ausgefüllt werden. Eine Unternehmensgruppe kann über einen
gemeinsamen Datenschutzbeauftragen verfügen.
Auswirkung: Unternehmen müssen bewerten, ob sie einen Datenschutzbeauftragten ernennen müssen,
und sie müssen ein ausreichendes Budget für diese Position bereitstellen. Insbesondere müssen
Unternehmen entscheiden, ob sie einen internen oder einen externen DPO einsetzen möchten.
4.2 Verpflichtende Datenschutzfolgeabschätzungen (DPIA)
Als Teil des risikobasierten Ansatzes der DSGVO wird es verpflichtend sein,
Datenschutzfolgeabschätzungen (Data Protection Impact Assessments, DPIA) vorzunehmen, falls die
fraglichen Datenverarbeitungsoperationen aufgrund ihrer Natur, ihres Umfangs, ihres Kontextes und
ihrer Ziele zu höheren Risiken in Bezug auf die Rechte und Freiheiten von Einzelpersonen führen. Dies ist
in bestimmten Szenarien der Fall:
● Wenn bestimmte Kategorien personenbezogener Daten, die in der DSGVO festgelegt
sind, in großem Umfang verarbeitet werden
● Wenn eine systematische Auswertung von persönlichen Aspekten in Bezug auf
natürliche Personen stattfindet, die mittels automatisierten Entscheidungen ausgeführt
wird
● Wenn eine systematische Überwachung von öffentlich zugänglichen Bereichen
stattfindet
Jede DPIA muss Folgendes beschreiben:
● Alle Verarbeitungsoperationen und ihren jeweiligen Zweck
● Die Notwendigkeit und den Umfang jedes Prozesses im Verhältnis zum beabsichtigen
Ziel
● Die potenziellen Risiken im Hinblick auf die Rechte und Freiheiten der Datensubjekte
● Die technischen und organisatorischen Maßnahmen, die implementiert werden

Auswirkung: Über die Anforderung eines Datenschutzbeauftragten hinaus sind in einer Vielzahl von
Anwendungsfällen definierte Abschätzungen erforderlich. Interne Auditfunktionen müssen ihre
Kontrollen an diese neuen Anforderungen anpassen.
4.3 Anforderungen bezüglich Benachrichtigungen bei Datenschutzverletzungen
Wenn eine Datenschutzverletzung auftritt, die sich auf PII auswirkt, hat der Daten-Controller die
zuständige Aufsichtsbehörde innerhalb von 72 Stunden, nachdem er die Verletzung erkannt hat, zu
informieren. Falls Kundendaten, die sich auf die Rechte und Freiheiten von Verbrauchern auswirken, von
der Datenschutzverletzung betroffen sind, müssen auch die jeweiligen Verbraucher informiert werden.
Auswirkung: Alle Unternehmen müssen sowohl für Benachrichtigungen zu Datenschutzverletzungen als
auch für das Vorfallsmanagement Prozesse definieren und implementieren, um Vorfälle auf
angemessene und konforme Weise zu handhaben. Es muss sichergestellt werden, dass alle Anbieter, die
Technologien in einem Multi-Solution-Stack anbieten, zeitnah auf Datenschutzverletzungen reagieren
können und über eine gut durchdachte Strategie für verschiedene Notsituationen verfügen.
4.4 Datenkontrolle und das Recht auf Vergessen
Das Recht auf Vergessen wurde als inhärentes Recht von Datensubjekten anerkannt. Es gibt
Einzelpersonen einen Anspruch darauf, dass Daten-Controller ihre Daten auf Anfrage unverzüglich
löschen. Dieses Recht kann allerdings nur dann ausgeübt werden, wenn bestimmte Voraussetzungen
erfüllt sind. Es kann beispielsweise ausgeübt werden, wenn die personenbezogenen Daten nicht länger
für den Zweck erforderlich sind, für den sie gesammelt wurden, oder wenn die Datensubjekte ihre
Einwilligung widerrufen.
Es geht um mehr als nur das Recht auf Vergessen - die Datenkontrolle wird
komplexer.
Es gab bereits viele Diskussionen und sogar Gerichtsprozesse in Bezug auf das Recht auf Vergessen, und
dieses Thema wird in Zukunft noch wichtiger werden. Unternehmen sind gut beraten, wenn sie sich auf
Anfragen von Kunden bezüglich der Löschung ihrer Daten vorbereiten.
Das Recht auf Vergessen ist nicht die einzige Anforderung in diesem Bereich. Neue Verbraucherrechte
im Hinblick auf die Kontrolle über Nutzerdaten sind viel weiter gefasst und beinhalten auch das Recht
auf das Einfrieren der Datenverarbeitung, was eine neue und relativ komplexe Anforderung darstellt.
Datensubjekte können fordern, dass die Verarbeitung ihrer Daten eingefroren wird.
Ein weiteres neues, wichtiges Recht besteht darin, dass personenbezogene Daten exportiert und
bearbeitet werden können. Auch diese Anforderung ist nicht einfach zu implementieren und kann eine
erhebliche Arbeitsbelastung für Unternehmen bedeuten, die personenbezogene Daten verarbeiten.
Auswirkung: Um sicherzustellen, dass Verbraucher die Kontrolle über ihre eigenen personenbezogenen
Daten behalten, sollte ein hochentwickeltes Profilmanagement mit angemessenen

Endnutzerpräferenzoptionen für das Einfrieren der Verarbeitung, die Bearbeitung, den Export und die
Löschung von Daten eingesetzt werden.
Technische und betriebliche Sicherheitsmaßnahmen
Über die oben erwähnten rechtlichen Anforderungen hinaus ist es ebenfalls wichtig, technische und
betriebliche Sicherheitsmaßnahmen zu ergreifen, die für die Art der Verarbeitung angemessen sind.
Diese Maßnahmen können die Pseudonymisierung und Anonymisierung personenbezogener Daten, die
Vertraulichkeit, Integrität und Ausfallsicherheit von Verarbeitungssystemen, die Fähigkeit, angemessen
auf Vorfälle zu reagieren sowie eine regelmäßige Bewertung der Wirksamkeit der implementierten
technischen und betrieblichen Sicherheitsmaßnahmen umfassen, wie zum Beispiel durch regelmäßige
IT-Sicherheits- und Datenschutz-Audits.
Technische und betriebliche Sicherheitsmaßnahmen sollten insbesondere Zugriffsrechte, die Zugangs-,
Übertragungs-, Eingabe- und die Verfügbarkeitskontrolle sowie die Kontrolle über die in Auftrag
gegebene Datenverarbeitung beinhalten.
Diese rechtlichen Anforderungen können wiederum zu eher komplexen technischen Anforderungen
führen, die von Unternehmen, die personenbezogene Daten verwalten und verarbeiten, erfüllt werden
müssen. Technische und betriebliche Sicherheitsmaßnahmen können durch die Einhaltung etablierter
Normen, wie z. B. ISO27018, ideal implementiert werden.
Auswirkung: Es ist wichtig, zu verifizieren, dass alle zur Erfassung und Verwaltung von Kundendaten
eingesetzten Lösungen die Sicherheitspraktiken und -infrastrukturen umsetzen, die für die jeweiligen
Normen branchenzertifiziert sind.
Privacy by Default und Privacy by Design
Schließlich umfasst die DSGVO noch die Anforderung „Privacy by Default” und „Privacy by Design”.
Privacy by Design beschreibt ein Konzept, das bereits seit mehreren Jahren diskutiert wird.
Grundsätzlich geht es hierbei darum, Anwendungen so zu konzipieren, dass Datenschutzanforderungen
auf der Grundlage rechtlicher Vorschriften sowie der Kundeneinwilligung flexibel durchgesetzt werden
können. Privacy by Default hingegen bedeutet, dass Datenschutzvoreinstellungen standardmäßig
umgesetzt werden und nicht erst von Kunden auf umständliche Weise aktiviert werden müssen.
Insgesamt führt die Datenschutzgrundverordnung der Europäischen Union eine signifikante Anzahl
neuer Anforderungen ein. Nicht alle diese Anforderungen sind neu oder unüblich, aber sie bedeuten
dennoch, dass Unternehmen, die personenbezogene Daten verwalten und verarbeiten, ihren Umgang
mit diesen Daten überdenken müssen.
Auswirkung: Bei der Bewertung, ob ein Unternehmen für die DSGVO bereit ist, muss sichergestellt
werden, dass alle Lösungen eines Stacks, die Kundendaten sammeln und verwalten, die spezifischen
Anforderungen für den Kundenanwendungsfall einhalten, insbesondere die Datenschutzbestimmungen.
Bei End-to-End-Lösungen ist zu beachten, dass sie eine starke Beziehung mit verschiedenen
Technologiepartnern wahren, die auf einfache Weise in die jeweilige Plattform integriert werden

können. Konzentrieren Sie sich nicht auf einen speziell angepassten Softwarecode, sondern setzen Sie
auf Standardtechnologien.
5 DSGVO und Customer Identity Management
Ein Gleichgewicht zwischen geschäftlichen und Compliance-Anforderungen zu finden, wird im Rahmen
der DSGVO zur Herausforderung. Unternehmen müssen Kundendaten (und andere personenbezogene
Daten) konsistent verwalten, sich von Punktlösungen wegbewegen und eine starke Basis für das
Customer Management oder Identity Management aufbauen.
Der Fokus der europäischen Datenschutzgrundverordnung liegt nicht nur auf Kundendaten, auch wenn
viele der neuen Anforderungen auf soziale Netzwerke, Suchmaschinen, eCommerce und andere
kundenorientierte Businesses abzielen. Man darf jedoch nicht vergessen, dass die DSGVO sich auf alle
personenbezogenen Daten bezieht, einschließlich der Daten von Mitarbeitern oder Geschäftspartnern.
Unternehmen benötigen eine einheitliche Sicht auf Identität, Einwilligung und
Präferenzen eines Kunden - an allen Berührungspunkten.
Aus der Sicht der Verbraucherdaten wird es in Zukunft noch wichtiger, Kundenidentitäten auf effiziente,
gut durchdachte Weise zu verwalten. Die grundlegende Herausforderung besteht darin, dass Kunden
über deutlich mehr Rechte in Bezug auf Datenschutz verfügen als jemals zuvor in der EU. Deshalb spielt
die Fähigkeit zur Identifizierung von Kunden - auch wenn sie mit der Zeit unterschiedliche
Anmeldeinformationen verwenden - nicht nur aus der Unternehmensperspektive, sondern auch im
Hinblick auf die Compliance eine bedeutende Rolle. Natürlich ist es einfacher, die sich verändernden
Anforderungen zu erfüllen, wenn die unterschiedlichen verwendeten Anmeldeinformationen einer
einzelnen Personen zugeordnet werden können.
5.1 Geschäftliche Anforderungen
Die Hauptanforderungen für die Implementierung einer CIAM-Lösung (Customer Identity & Access
Management) sind geschäftlicher Natur. Während die DSGVO aufgrund der Anforderung, die neue
Richtlinie zu erfüllen, einen geschäftlicher Grund darstellt, gibt es noch weitere Gründe, warum eine
Customer Identity Management-Lösung implementiert werden sollte.
Ein wichtiger Grund besteht darin, dass Geschäftsmodelle sich im Rahmen des sogenannten Digitalen
Wandels verändern, was zu einer engeren Online-Interaktion mit Kunden als bisher führt. Von
Gegenständen und Geräten gesammelte Daten sind ein wichtiger Aspekt dieses Wandels. Um in Zeiten
schneller Veränderungen von Geschäftsmodellen langfristige Beziehungen zu Kunden und
Geschäftspartnern aufbauen zu können, müssen Kunden ungeachtet der verwendeten
Anmeldeinformationen identifiziert werden können. Ein Verständnis von Kundenaktivitäten
und -verhaltensweisen ist ebenfalls essenziell für eine optimale Bedienung der Kunden.

Dabei müssen verschiedene Anforderungen erfüllt werden:
● Kundenbezogene Lösungen müssen die Kunden in Bezug auf die Benutzerfreundlichkeit
und die Einfachheit der Nutzung zufrieden stellen, beginnend bei der Unterstützung
verschiedenster Authentifikatoren (traditionelle Registrierung, Login via soziale
Netzwerke, Biometrie usw.) und einer nahtlosen Benutzererfahrung.
● Lösungen müssen so konzipiert sein, dass sie eine schnelle Anpassung an neue
Geschäftsanforderungen ermöglichen - die Markteinführungszeit ist ein kritischer Faktor
für den Erfolg jedes Unternehmens.
● Datenmodelle für Kundendaten müssen dynamisch und anpassungsfähig sein, sodass
Unternehmen „alles Erforderliche” für heutige und zukünftige Geschäftsanforderungen
speichern können.
● Lösungen müssen höchst skalierbar sein, insbesondere in Stoßzeiten.
● Es muss eine einzige Ansicht des Kunden in allen kundenbezogenen Systemen
vorhanden sein, sowie eine flexible Integration mit verschiedensten Backend-Systemen.
● Es muss ein umfassender Support für die Verwaltung von Benutzereinwilligungen, Opt-
Ins und Präferenzen vorhanden sein, die an allen Berührungspunkten des
Unternehmens mit dem Kunden beachtet werden müssen.
Kundenbezogene Anwendungen müssen flexibler sein als jemals zuvor. Die Tage separater Lösungen,
die eigene Identitäten verwalten, einen eigenen Ansatz zur Benutzererfahrung implementieren und
getrennt von anderen Systemen existieren, sind längst vorbei. Kundenidentitäten sind im digitalen
Zeitalter unerlässlich für Unternehmen, und aus rechtlicher Sicht - im Hinblick auf die neue europäische
Datenschutzgrundverordnung - ist der Bedarf an einer einheitlichen, standardisierten Customer Identity
Management-Infrastruktur nicht länger nur ein optionaler und interessanter, sondern ein notwendiger
Ansatz.
5.2 Prinzipien zur Implementierung von DSGVO-Anforderungen
Wie oben beschrieben umfasst die europäische Datenschutzgrundverordnung eine Reihe von
verpflichtenden Prinzipien. Customer Identity Management erfüllt nicht alle diese Anforderungen, stellt
jedoch eine starke Unterstützung für die Einhaltung dieser Prinzipien dar. Insgesamt erfordern viele der
wesentlichen Prinzipien der DSGVO, dass Unternehmen die Identitäten ihrer Kunden gut kennen. Wenn
Unternehmen eine Person kennen, sie bei der Anmeldung an Systemen identifizieren können und
insbesondere über eine einzige Ansicht der Person sowie ihrer Aktivitäten in verschiedenen Systemen
verfügen, wird die Einhaltung vieler Prinzipien und Anforderungen der europäischen
Datenschutzgrundverordnung deutlich vereinfacht, wie zum Beispiel:
● Einwilligung und Nachweis der Einwilligung
● Zweckeinschränkung
● Recht auf Löschen und Vergessen
● Recht zur Beschränkung der Verarbeitung
● Recht auf Datenportabilität und auf die Bearbeitung von Daten
● Benachrichtigungspflichten

● Sicherheitsmaßnahmen für automatisierte Entscheidung, einschließlich Profiling
Bezüglich der Einwilligung wird empfohlen, nicht nur eine IP-Adresse aufzuzeichnen, sondern die Person
zu kennen, die eine Einwilligung erteilt (oder nicht). Dies gilt auch für die Einschränkung des
Verwendungszwecks - eine Einzelperson muss nicht nur in den Verwendungszweck ihrer
personenbezogenen Daten einwilligen, sondern muss auch in der Lage sein, die Verwendung im Rahmen
des Rechts auf Verwendungseinschränkung zu begrenzen. Das Recht auf die Löschung von Daten, das
Recht auf Vergessen und das Recht auf Datenportabilität bedeuten, dass personenbezogene Daten einer
Person zugeordnet werden müssen. Deshalb spielt die Verwaltung von Kundenidentitäten eine
bedeutendere Rolle als je zuvor.
Unternehmen benötigen ein umfassendes „Einwilligungsverwaltungssystem”.
Unternehmen benötigen ein umfassendes „Einwilligungsverwaltungssystem” als Bestandteil ihrer
Customer Identity Management-Strategie. Änderungen bezüglich den Nutzungsbedingungen von
sozialen Netzwerken erfordern möglicherweise eine aktualisierte Einwilligung. Das System muss deshalb
in der Lage sein, Einwilligungsdaten pro Nutzer und pro Bedingung aufzuzeichnen.
Es reicht nicht aus, Identitäten einfach zu speichern. Unternehmen müssen transparent angeben,
welche Daten gespeichert werden und wie sie verwendet werden. Dies erfordert einen transparenten
Mechanismus für die Self-Service-Verwaltung von Identitätsprofilen sowie neue Formen der
Benutzererfahrung, die ein Gleichgewicht zwischen den neuen rechtlichen Anforderungen und einer
maximalen Bindungsrate schaffen.
Darüber hinaus sind diese Fähigkeiten erforderlich, um verschiedenen Anforderungen zu erfüllen, wie z.
B. Benachrichtigungspflichten oder Sicherheitsmaßnahmen für automatisierte Entscheidungen,
einschließlich des Rechts des Einzelnen darauf, darüber informiert zu werden, wie Entscheidungen
getroffen werden.
5.3 Das richtige Gleichgewicht finden
Die Herausforderung wird in Zukunft daraus bestehen, das richtige Gleichgewicht zwischen Business
Enablement auf der einen Seite und Datenschutz und Sicherheit auf der anderen Seite zu finden.
Rechtliche Anforderungen müssen unbedingt erfüllt werden, aber dies muss nicht unbedingt zu Lasten
der geschäftlichen Anforderungen gehen (es sei denn, die Geschäftsmodelle stehen in deutlichem
Widerspruch mit der DSGVO).
Des Weiteren dienen viele Implementierungen nicht nur Kunden in der EU oder werden ausschließlich in
der EU ausgeführt, so dass auch andere Verordnungen zutreffend sein könnten. Deshalb muss das
System flexibel sein, um unterschiedliche Erfahrungen in verschiedenen Geltungsbereichen zu bieten.
Dies bedeutet, dass die europäischen rechtlichen Anforderungen sich nur auf die Benutzererfahrung von
Nutzern in der EU auswirken sollten, während Nutzer in anderen Territorien eine Erfahrung erhalten, die
auf die dortigen rechtlichen Anforderungen zugeschnitten ist.

Aus geschäftlicher Sicht sollte das Ziel darin bestehen, die Marktnachfrage zu befriedigen, eine
großartige Benutzererfahrung bereitzustellen, sich verändernde Geschäftsmodelle zu unterstützen und
agile Lösungen zu implementieren, die einfach an neue Anforderungen angepasst werden können.
Im Rahmen dieser neuen und strengeren rechtlichen Anforderungen sind deshalb flexible Lösungen
erforderlich, die eine Verwaltung von Nutzeridentitäten und das richtige Maß an Nutzerkontrolle und -
einwilligung ermöglichen, aber auch die Sicherheit von personenbezogenen Daten gewährleisten, die
ebenfalls Teil der Datenschutzgrundverordnung ist. Die Bereitstellung von Daten für kommerzielle
Plattformen ist eine bewusste Handlung. Modelle, bei denen für Daten gezahlt wird, sind weiterhin
erlaubt, allerdings müssen die im vorherigen Abschnitt genannten Prinzipien erfüllt werden.
Insbesondere müssen Nutzer weiterhin die Kontrolle haben und in der Lage sein, ihre
personenbezogenen Daten zu verwalten und Einwilligungen bezüglich ihrer Nutzung zu widerrufen.
6 Zusammenfassung und Empfehlungen
Die Datenschutzgrundverordnung der Europäischen Union wird in Kraft treten. Diese Richtlinie muss von
Unternehmen erfüllt werden, wenn sie Daten von in der EU ansässigen Personen verarbeiten, und sie
hat einen sehr weit gefassten, in gewisser Hinsicht sogar globalen, Geltungsbereich. Es werden neue
Anforderungen und Prinzipien eingeführt. Diese erfordern nicht nur eine bessere Kontrolle und ein
allgemeines Wissen bezüglich der Art und Weise, in der ein Unternehmen Kundenidentitäten verwaltet,
sondern sie erfordern auch eine bessere Verwaltung von personenbezogenen Daten, so dass diese
beispielsweise auf Anfrage gelöscht werden können, wenn ein Nutzer seine Einwilligung widerruft.
Im Hinblick auf die Handhabung personenbezogener Daten lauten die wichtigsten Empfehlungen:
1) Informieren Sie Ihre Kunden deutlich und verständlich darüber, welche Daten Sie sammeln
und wozu Sie die Daten verwenden.
2) Holen Sie Genehmigungen in allen Fällen ein, welche die DSGVO vorgibt. Falls die
Vorschriften nicht eindeutig sind, ist es stets besser, zu viele Einwilligungen einzuholen als zu
wenige.
3) Definieren Sie eine gut durchdachte Benutzererfahrung, einschließlich Zustimmungen zu
Nutzungsbedingungen, Einwilligungen und anderen Vereinbarungen zwischen Ihrem
Unternehmen und dem Kunden.
4) Wählen Sie ganzheitliche Kunden-IAM-Lösungen aus, die Opt-In-, Opt-Out- und zugehörige
Funktionen standardmäßig unterstützen und die über die DSGVO hinaus auch eine einfache
Implementierung von rechtlichen Anforderungen aus anderen Regionen sowie von
Richtlinien für soziale Netzwerke ermöglichen.
5) Geben Sie Kunden die Möglichkeit, ihre gewünschte digitale Identität zu verwenden.
Aus technischer Sicht kann die Essenz der Richtlinie wiederum in einem einzigen Satz zusammengefasst
werden:
Nutzen Sie Plattformen, statt zu kodieren.

Die Zeit der separaten Entwicklung von benutzerbezogenen Anwendungen und Portalen mit getrenntem
Identity Management sind vorbei. Die effiziente Handhabung von Kundenidentitäten, die Unterstützung
der Geschäftsagilität und die Einhaltung gesetzlicher Compliance-Vorschriften erfordert den Einsatz
einer speziellen Plattform für Customer Identity Management.

7 Copyright
© 2016 Kuppinger Cole Ltd. All rights reserved. Reproduction and distribution of this publication in any form is
forbidden unless prior written permission. All conclusions, recommendations and predictions in this document
represent KuppingerCole’s initial view. Through gathering more information and performing deep analysis, positions
presented in this document will be subject to refinements or even major changes. KuppingerCole disclaim all
warranties as to the completeness, accuracy and/or adequacy of this information. Even if KuppingerCole research
documents may discuss legal issues related to information security and technology, KuppingerCole do not provide
any legal services or advice and its publication shall not be used as such. KuppingerCole shall have no liability for
errors or inadequacies in the information contained in this document. Any opinion expressed may be subject to
change without notice. All product and company names are trademarks™ or registered® trademarks of their
respective holders. Use of them does not imply any affiliation with or endorsement by them.

Kuppinger Cole Ltd.
Sonnenbergerstr. 16
65193 Wiesbaden | Germany
Phone +49 (211) 23 70 77 – 0
Fax +49 (211) 23 70 77 – 11
www.kuppingercole.com
KuppingerCole supports IT professionals with outstanding expertise in defining IT strategies and in
relevant decision making processes. As a leading analyst company KuppingerCole provides first-hand
vendor-neutral information. Our services allow you to feel comfortable and secure in taking decisions
essential to your business.
KuppingerCole, founded in 2004, is a leading Europe-based analyst company for identity focused
information security, both in classical and in cloud environments. KuppingerCole stands for expertise,
thought leadership, and a vendor-neutral view on these information security market segments, covering
all relevant aspects like Identity and Access Management (IAM), Governance, Risk Management and
Compliance (GRC), IT Risk Management, Authentication and Authorization, Single Sign-On, Federation,
User Centric Identity Management, eID cards, Cloud Security and Management, and Virtualization.
For further information, please contact clients@kuppingercole.com
The Future of Information Security – Today

GDPR Implications Customer Identity Management - German

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (10)

Ähnlich wie GDPR Implications Customer Identity Management - German

Ähnlich wie GDPR Implications Customer Identity Management - German (20)

Mehr von Gigya

Mehr von Gigya (20)

GDPR Implications Customer Identity Management - German