I LOVE DSGVO ♥

I LOVE DSGVO

Seit dem 25. Mai 2018 ist die DSGVO (Datenschutzgrundverordnung) für alle Länder der Europäischen Union in Kraft getreten. Das Hauptziel dieser Verordnung ist es, den Schutz der persönlichen Daten von Privatpersonen zu vereinheitlichen. Die DSGVO ist ganz klar ein technisches, juristisches und organisatorisches Thema.

Meines Erachtens ist diese Verordnung eine unstrittige Gelegenheit, unsere Daten zu kontrollieren und die Kontrolle über unser digitales Leben wiederzuerlangen. Sie ist ein gutes Werkzeug, das jedoch zwangsläufig mit Leben gefüllt werden muss.

Zur Erinnerung, der Artikel 4 der DSGVO ([01]) gibt an, dass personenbezogene Daten als eine Information betrachtet werden müssen, die sich auf eine physische Person bezieht, die identifiziert oder identifizierbar ist. In dieser Kategorie der personenbezogenen Daten finden wir auch Informationen (anonymisiert oder nicht, beziffert oder pseudonymisiert), deren Zusammenlegung die genaue Identifizierung einer Person ermöglicht.

Die DSGVO betrifft sowohl Unternehmen als auch Verwaltungen und Körperschaften. Jede “Organisation” kann über persönliche Daten verfügen (mindestens die Daten der Mitarbeiter in der Personalabteilung) in verschiedenen Datenbanken… die man zusammenfassen muss, um eine vollständige und reelle Vision zu haben.

In dem von Systancia in seinem Blog veröffentlichten Artikel [02] kündigt unser wissenschaftlicher Leiter Frédéric Pierre das Produkt Systancia Identity, ehemals Avencis Hpliance, als eine flexible und leistungsstarke Lösung für Identitäts- und Zugangsmanagement an. Für die Organisationen, die über mehrere Datenbanken verfügen, die Daten dieses Typs enthalten, ist es in der Tat wichtig (und notwendig, um Zeit zu optimieren), diese mit Hilfe des Tools Systancia Identity zu zentralisieren, um eine globale Übersicht über die als persönlich angesehenen Daten zu haben, die die Organisation besitzt.

 

Nehmen wir die DSGVO und insbesondere die Prinzipien zur Verarbeitung personenbezogener Daten noch mal auf (Artikel 5 in [01]) :

  • Prinzip der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: jede Verarbeitung von personenbezogenen Daten muss mit der für die betroffene Person nachvollziehbaren Beschreibung übereinstimmen;
  • Prinzip der Zweckbindung: die Sammlung personenbezogener Daten muss für “festgelegte, eindeutige und legitime” Zwecke durchgeführt werden;
  • Prinzip der Datenminimierung:  im Hinblick auf die vorgenommene Verarbeitung müssen die verarbeiteten Daten “dem Zweck angemessen, erheblich und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt” sein;
  • Prinzip der Richtigkeit: die personenbezogenen Daten müssen “sachlich richtig sein und erforderlichenfalls auf dem neuesten Stand”;
  • Prinzip der Speicherbegrenzung: die personenbezogenen Daten müssen “gespeichert werden […] nur so lange, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist”;
  • Prinzip der Integrität und Vertraulichkeit: die personenbezogenen Daten müssen “in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet”.

                                                                                    

So hilft in Konformität mit [02] die Lösung Systancia Identity, ein IAM-System (Identity & Access Management) von Systancia, bei der Implementierung der DSGVO in Bezug auf Rechteverwaltung und Ermächtigungen. Diese Lösung bietet die Möglichkeit, die Identitäten und Rechte der Mitglieder einer Organisation zu zentralisieren, aber auch Prozesse zur Korrektur oder Löschung.

Die Lösung Systancia Identity ermöglicht auch, mühelos und schnell auf jede auftretende Anfrage für Zugriffs- und Korrekturrecht zu antworten. In der Tat sieht die DSGVO vor, dass jede Person auf die gesamten, sie betreffenden Informationen zugreifen kann (und ihre Herkunft kennen darf) und fordern kann, dass diese Daten korrigiert, vervollständigt, aktualisiert oder gelöscht werden.

Die Lösung Systancia Identity verwaltet den Lebenszyklus der digitalen Identitäten (Gesamtheit der Informationen, die die Personen in organisatorischen Strukturen charakterisiert) durch Automatisierung der Vorabversorgung sowie Provisioning der lokalen und Cloud-Applikationen. Schließlich automatisiert Systancia Identity wie vorher angekündigt auch die Ausführung der Informationsflüsse sowie die Validierungsverfahren.

Die Lösung Systancie Identity von Systancia erstellt ein zentrales und einziges Verzeichnis und liefert somit eine passende technische Antwort auf die folgenden DSGVO-Prinzipien:

  • Verarbeitung nach Treu und Glauben und Transparenz: Systancia Identity liefert in einem druckbaren Format, mittels des ‘Personenblatts’, die gesamten Elemente, die die Organisation in den verbundenen Datenbanken besitzt;
  • Zweckbindung: die personenbezogenen Daten werden nur zu einem festgelegten und legitimen Zweck gesammelt und verarbeitet, und zwar zur Verwaltung der Rechte und Ermächtigungen;
  • Datenminimierung: das Modell der Verwaltung der Ermächtigungen von Systancia Identity (OrBAC) ermöglicht es, einfach die Organisationen zu modellieren und die Regeln zur automatischen Vergabe der Rechte zu definieren. So werden nur die für die Verarbeitung nützlichen Daten verwendet;
  • Richtigkeit: die Lösung Systancia Identity kontrolliert die Integrität der Informationen durch Mechanismen zum Abgleich der Daten und Identifizierung von vereinzelten und spezifischen Konten;
  • Speicherbegrenzung: die Lösung Systancia Identity bietet (auf Anfrage durch eigene Skripte) die Möglichkeit, in den verbundenen Datenbanken die personenbezogenen Daten zu löschen.

Schließlich muss festgehalten werden, dass alle Vorgänge zur Änderung, Löschung und/oder Zuweisung, die über die Lösung Systancia Identity vorgenommen werden, aufgezeichnet werden und so auditierbar durch Dritte sein können.

Abschließend kann man sagen, dass Systancia Identity eine flexible und leistungsstarke Lösung zur Identitäts- und Zugangsverwaltung ist [02], die aber gleichzeitig effizient die Konformität mit den zahlreichen und komplexen Anforderungen der DSGVO herstellen und erhalten kann.

 

Verweise

[01]       Verordnung (EU) 2016/679 vom Europäischen Parlament und Rat vom 27. April 2016  (https://www.cnil.fr/fr/reglement-europeen-protection-donnees)

[02]       IAM DSGVO (https://www.systancia.com/en/blog-iam-gdpr)

 

Antoine COUTANT – Direktor für Cybersicherheit