Ist Ihr Identitätsmanagement schon fit für die Datenschutz-Grundverordnung?

„Daten sind das Öl des 21. Jahrhunderts.“ – so oder so ähnlich fällt diese Aussage häufig, sobald es um Themen wie Big Data oder Spionage geht. Tatsächlich beruht mittlerweile das Geschäftsmodell von vielen Unternehmen auf dem Sammeln oder Analysieren von Nutzerdaten oder -verhalten. Dabei spielen nicht nur offensichtliche Akteure, wie z. B. soziale Netzwerke und Suchmaschinen, deren Ziel es ist, möglichst scharfe Profile ihrer einzelnen Nutzer zu erzeugen, eine wichtige Rolle, sondern auch die großen Werbenetzwerke, die ihrerseits diese und eigene Profile dafür nutzen, um möglichst treffsicher personalisierte Werbung an die jeweiligen Nutzer auszuliefern.

Umso wichtiger war es, dass mit der Datenschutz-Grundverordnung (DSGVO) europaweit harmonisierte Rahmenbedingungen für den Datenschutz entstanden sind, um für alle Bürgerinnen und Bürger in Europa ein angemessenes Datenschutzniveau zu gewährleisten. Die DSGVO ist seit dem 24. Mai 2016 in Kraft und wird ab dem 25. Mai 2018 (also in ziemlich genau einem Jahr), auch für die zuständigen Aufsichtsbehörden, anwendbar sein. Auf Grundlage der DSGVO, und mit einem Auge auf die ePrivacy-Verordnung („Verordnung über Privatsphäre und elektronische Kommunikation“), die zeitgleich mit der DSGVO im Mai 2018 wirksam werden soll, werden derzeit die nationalen Datenschutzgesetze, wie z. B. das Bundesdatenschutzgesetz durch das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ (DSAnpUG-EU), überarbeitet.

Insbesondere muss sich jeder Datenverarbeiter bewusst sein, dass Artikel 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) eine explizite Rechenschaftspflicht enthält, durch die der für die Datenverarbeitung Verantwortliche die korrekte Einhaltung der Anforderungen der DSGVO bei Bedarf gegenüber den Aufsichtsbehörden nachweisen können muss.

Dieser Nachweis muss z. B. für die in Artikel 6 (Rechtmäßigkeit der Verarbeitung) festgelegten Bedingungen erbracht werden. Die zentrale Bedingung ist hierbei, dass die betroffene Person explizit in die Verarbeitung ihrer Daten für einen oder mehrere bestimmte Zwecke eingewilligt hat. Für Unternehmen, die mit personenbezogenen Daten arbeiten heißt dies also, dass bereits bei der allerersten Interaktion mit einem neuen Nutzer oder Kunden darauf zu achten ist, dass die Einwilligung in die Verarbeitung der Daten auf eine Weise geschieht, die DSGVO-konform ist. Artikel 7 (Bedingungen für die Einwilligung) gibt hierfür strengere Vorgaben vor, als sie bisher in der Regel üblich waren. Unternehmen werden hierdurch wohl noch mehr als vorher auf eine beweiskräftige Dokumentation der Einwilligung und die Möglichkeit eine erteilte Einwilligung zu widerrufen achten müssen; denn ist die Einwilligung unwirksam, und die Verarbeitung der Daten Betroffener damit unzulässig, können schnell empfindliche Bußgelder drohen.

Artikel 83 (Allgemeine Bedingungen für die Verhängung von Geldbußen) legt hier die Höhe der zu verhängenden Bußgelder fest, die schnell empfindliche Höhen erreichen können. Selbst bei geringeren Verstößen, wenn z. B. keine geeigneten Sicherheitsmaßnahmen nach dem Stand der Technik implementiert wurden, drohen Geldstrafen von bis zu 10 Mio. Euro bzw. im Fall eines Unternehmens bis zu 2 % des weltweiten Jahresumsatzes. Bei Verstößen gegen die zentralen Grundsätze der Verordnung (insbesondere Artikel 5, 6, 7 und 9) oder gegen die Betroffenenrechte (Artikel 12 bis 22) erhöht sich die Höhe der Geldbuße auf bis zu 20 Mio. Euro bzw. bei Unternehmen auf 4 % des weltweiten Jahresumsatzes.

Ein zentrales Recht für Betroffene wird in Artikel 17 („Recht auf Vergessenwerden“) festgeschrieben. Dieses Recht war bereits vor einer Weile nach einem Gerichtsurteil des EuGH in aller Munde und wurde, vor allem mit Blick auf das Internet und insbesondere Suchmaschinen, kontrovers diskutiert. Die DSGVO garantiert dieses Recht nun Betroffenen ausführlich mit einem eigenen Artikel; in der alten EU-Datenschutzrichtlinie war dieses Recht noch nicht mehr als ein Teil einer Aufzählung. Dienstanbieter werden nun sehr genau darauf achten müssen, die Vorgaben der DSGVO einzuhalten, da sonst die oben erwähnten empfindlichen Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes drohen.

Eine weitere Herausforderung für Dienstanbieter ist das Recht der Betroffenen auf Datenübertragbarkeit (Artikel 20). Dieser Artikel schreibt hierbei vor, dass Dienstanbieter und Datenverarbeiter zukünftig jedem Betroffenen die Möglichkeit bieten müssen, innerhalb eines angemessenen Zeitraums, die vom Betroffenen selbst oder durch dessen unmittelbares Handeln erzeugten Daten diesen in einem maschinenlesbaren Format zur Verfügung zu stellen. Naheliegend erscheint hier der Export der Betroffenendaten aus den Datenbanken des Anbieters mit einem maschinenlesbaren Format wie XML oder JSON.

Insbesondere bei historisch gewachsenen Anwendungslandschaften ist die Integration der verschiedenen Applikationen, Datenbestände und Identitäten eines Benutzers vor dem Hintergrund von Artikel 17 und 20 der DSGVO eine Herausforderung, die nicht ohne Unterstützung von entsprechenden Experten auf diesem Gebiet angegangen werden sollte.

Artikel 25 stellt eine wichtige Errungenschaft der neuen DSGVO dar: Das Prinzip „Privacy by Design and Default“ (im Deutschen etwas sperrig als „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ bezeichnet). Durch Etablierung dieses Prinzips als eines der zentralen Punkte der Verordnung soll einerseits erreicht werden, dass die zum Schutz der personenbezogenen Daten umgesetzten Maßnahmen sowohl dem Stand der Technik (der in Artikel 32 zusätzlich näher definiert wird) entsprechen, aber eben auch, dass die realisierten und in der Praxis angewandten Maßnahmen stets dem Schutzbedarf der Daten angemessen sind. Der Schutzbedarf richtet sich hier ausschließlich nach dem Risiko, das dem Betroffenen durch die Verarbeitung der Daten entsteht. Für den Datenverarbeiter bedeutet dies, dass er (verglichen mit der Bewertung des Risikos im Rahmen des klassischen Informationssicherheitsmanagement (ISMS)) die Perspektive wechseln muss. Die einfache Übernahme der bereits für das eigene ISMS durchgeführten Risikoanalyse könnte hier also zu kurz greifen.

Was „Privacy by Design and Default“ im Bereich des Identitätsmanagements bedeutet, kann gut am Beispiel des innovativen und datenschutzfreundlichen SkIDentity-Dienstes erläutert werden: Denn SkIDentity unterstützt das Management von digitalen Identitäten durch Einführung eines datenschutzfreundlichen Single Sign-On für Unternehmen und Behörden. Durch die Nutzung modernster Technologien können sich Benutzer so genannte Cloud Identitäten (CloudIDs) aus ihren Identitätstoken (wie z. B. dem deutschen Personalausweis und anderen Ausweiskarten) oder sonstigen Identitätsquellen erstellen. Über seine CloudID behält ein Benutzer jederzeit die volle Kontrolle über seine Identitätsdaten, da die CloudIDs nicht zentral auf einem Server gespeichert werden, sondern dezentral bei jedem Benutzer auf dem Endgerät seiner Wahl. Dabei kann ein Benutzer, die auf seinem PC erstellte CloudID problemlos auf weitere Endgeräte übertragen (beispielsweise sein Mobiltelefon) und diese so auch mobil nutzen. Durch die dezentrale Speicherung der CloudIDs liegt außerdem die Löschung und Sperrung der jeweiligen CloudID komplett in der Hand des Nutzers. Das Risiko des Identitätsdiebstahls durch erfolgreiche Angriffe auf eine zentrale Infrastruktur wird hierdurch signifikant reduziert.

Dabei wurden bei SkIDentity von der ersten Idee bis zum heutigen Tag die Grundsätze Privacy by Default und Privacy by Design nicht nur beachtet, sondern als wesentliche Designkritierien und Kernthemen des Dienstes gesehen. Damit wurde bereits vor Entstehung und Veröffentlichung der DSGVO einer der wichtigsten Aspekte der Verordnung in SkIDentity gelebt und umgesetzt.

Belohnt wurde diese Herangehensweise nicht nur durch verschiedene internationale Auszeichnungen, sondern sie spiegelt sich auch ganz besonders in den erfolgreich durchgeführten Zertifizierungsverfahren nach dem Trusted Cloud Datenschutz Profil und nach ISO 27001 auf Basis von IT-Grundschutz wider, durch die wiederum die Erfüllung der Anforderungen gemäß Artikel 25 und Artikel 32, insbesondere auch im Fall der Auftragsdatenverarbeitung gemäß Artikel 28, nachgewiesen werden kann.

Schutz nach dem Stand der Technik (Artikel 32) ist ein vielfältig auslegbarer Begriff, bei dem insbesondere die existierenden internationalen Standards und einschlägigen Regularien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu berücksichtigen sind. Durch tiefe Kenntnisse der einschlägigen internationalen Standards und die aktive Erstellung und Pflege verschiedener Technischer Richtlinien im Auftrag des BSI, ist die ecsec GmbH ihr kompetenter Ansprechpartner zu Fragen nach dem aktuellen Stand der Technik und einer effizienten Umsetzung von wirksamen Sicherheitslösungen. Für das Login bei Cloud- und Webanwendungen empfiehlt das BSI in seinem „Cloud Computing Eckpunktepapier“ sowie im „Anforderungskatalog Cloud Computing (C5)“ beispielsweise den Einsatz von starken und auf mindestens zwei Faktoren basierenden Authentifizierungsmechanismen.