Foto: Pavel Ignatov - Fotolia.com
Manche Unternehmen sehen die Verpflichtung zur Compliance als bürokratisches Ärgernis, das viel kostet, aber nichts bringt. Dabei ist das Ziel der Compliance der Nachweis, dass Firmen ihre Daten verantwortungsvoll und ausreichend sicher verarbeiten und beherrschen. Die für die Nachvollziehbarkeit nötige Transparenz erleichtert nicht nur Wirtschaftsprüfern und Datenschutzbeauftragten ihre Aufgabe, sondern schafft auch Vertrauen in die IT-Systeme und -Prozesse sowohl bei der Unternehmensleitung als auch bei Kunden oder Auftraggebern.
Für das Identity-Management (IM) sind insbesondere die rechtlichen Datenschutzanforderungen wesentlich: Üblicherweise verarbeiten die Unternehmen dabei Daten, die einzelnen Menschen - nämlich Kunden oder Beschäftigten - zugeordnet werden können. Dann handelt es sich um personenbezogene Daten. Dafür müssen die einschlägigen Datenschutzgesetze eingehalten werden.
§ 3 Abs. 1 Bundesdatenschutzgesetz
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
In Deutschland gilt für Unternehmen, die personenbezogene Daten verarbeiten, das Bundesdatenschutzgesetz (BDSG). Identity- Management ist schon deswegen wichtig, weil sich darüber die Zugriffsrechte für Daten und Verfahren verwalten lassen. Dies dient dazu, unberechtigte Zugriffe auf personenbezogene Daten im Unternehmen auszuschließen und eine Kontrolle über die Zugriffe und Rechte zu etablieren. Damit gehört ein Identity-Management zu den technischen und organisatorischen Maßnahmen, um ein angemessenes Sicherheitsniveau zu gewährleisten. Die Gesetze schreiben zwar nicht vor, zu welchem Grad Identity-Management automatisiert abzulaufen hat. In jedem Fall bietet es sich aber an, geeignete Systeme zur Unterstützung der entsprechenden Prozesse einzusetzen.
Die sieben Grundprinzipien des Datenschutzes
1. Rechtmäßigkeit: Für jede personenbezogene Datenverarbeitung ist eine rechtliche Grundlage nötig, zum Beispiel ein Gesetz, ein Vertrag oder eine Einwilligung.
2. Einwilligung: Für eine Einwilligung ist es nötig, dass der Betroffene ausreichend informiert wurde und freiwillig eingewilligt hat. Er kann seine Einwilligung mit Wirkung für die Zukunft zurückziehen.
3. Zweckbindung: Personenbezogene Daten dürfen nur für den angegebenen Zweck verwendet werden.
4. Erforderlichkeit und Datensparsamkeit: Es dürfen nur diejenigen personenbezogenen Daten verwendet werden, die für den jeweiligen Zweck erforderlich sind. Die Daten müssen gelöscht werden, sobald sie nicht mehr benötigt werden.
5. Transparenz und Betroffenenrechte: Erhebung und Verarbeitung personenbezogener Daten müssen gegenüber Betroffenen transparent, das heißt verständlich und nachvollziehbar sein. Betroffene haben das Recht auf Auskunft zu ihren Daten. Bei fehlerhaften Daten haben sie das Recht auf eine Berichtigung. Sind die Daten nicht rechtmäßig gespeichert, können die Betroffenen die Löschung der Daten verlangen.
6. Datensicherheit: Unberechtigte Zugriffe auf die Daten müssen durch technische und organisatorische Maßnahmen ausgeschlossen werden.
7. Kontrolle: Die Datenverarbeitung muss einer internen und externen Kontrolle unterliegen.