Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

28.06.2019

Drachen zähmen: (C)IAM zähmt DSGVO

Seit dem Inkrafttreten der Datenschutzgrundverordnung der EU im Mai 2018 herrscht große Verunsicherung, wie Unternehmen die Anforderungen konkret umsetzen können. In diesem Artikel werden die Aspekte der DSGVO beleuchtet, die im Unternehmen zum größten Verwaltungsaufwand führen: das Erfordernis der Einwilligung und das Recht auf Auskunft, Korrektur und Löschung personenbezogener Daten. Mit der vorgestellten Lösung kann dieser Drache gezähmt werden.

„Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die
betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.“ (Artikel 7 Ziffer 1 DSGVO).

Nachweispflicht führt zu großen Verwaltungsaufwänden
Im Bereich des Beschäftigtendatenschutzes kann der Nachweis durch schriftliche Einwilligung bei Eintritt und Ablage in der Personalakte erfolgen. Im Umgang mit Dritten, beispielsweise Lieferanten und Kunden, ist dies nicht so einfach. Einwilligungen müssen mehrere Bedingungen erfüllen und sie müssen praktisch immer in Schriftform erteilt werden. Die Beweislast über die erteilten Einwilligungen liegt beim Datenverarbeiter. Alle, die personenbezogene Daten verarbeiten, müssen nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten auch wirklich eingewilligt hat. Möchte eine Person ihre Einwilligung zur Datenverarbeitung ändern oder widerrufen, muss dies für sie auf einfachem Wege möglich sein. Dies führt bei vielen, insbesondere mittelständischen Unternehmen, zur Notwendigkeit, eine Reihe von ITSystemen so zu erweitern, dass die Einwilligung der Anwender übersichtlich hinterlegt werden kann. Deshalb müssen alle Einwilligungen so konsolidiert werden, dass sie für eine natürliche Person zusammengeführt werden können. Dies führt unweigerlich regelmäßig zu großen Verwaltungsaufwänden.

Wie unterstützt IPG?
Ein pragmatischer Lösungs-Ansatz ist die Schaffung einer zentralen Einwilligungsdatenbank. Diese ermöglicht über eine zentrale Kennung pro natürlicher Person die Ablage, Pflege und Auswertung derer Einwilligungen.

Eine solche Datenbank kann mit einem vorhandenen Identity Management System realisiert werden. Dies
setzt allerdings voraus, dass die betroffenen Systeme dort bereits angebunden sind. Wo dies nicht der Fall ist, empfiehlt sich die Einbindung eines Softwaremoduls wie beispielsweise das Modul von iWelcome. Dieses Modul integriert sich in die vorhandene Anwendungslandschaft, erlaubt die Einbindung in eigene Anwendungen und bietet eine vollständige, DSGVO-konforme, Verwaltung der Person, ihrer personenbezogener Daten und erteilten Einwilligungen.

Eine große Stärke dieser sehr wirtschaftlichen Lösung ist das Angebot einer Selbstbedienungsoberfläche. Damit kann die betroffene Person jederzeit einen eigenen Einblick in ihre hinterlegten Einwilligungen nehmen und diese ändern, zurückziehen und neu erteilen. Darüber hinaus kann die vollständige Löschung der Daten hier ausgelöst werden.

Dadurch entfällt jeglicher Verwaltungsaufwand für betroffene Unternehmen und ermöglicht so einen sehr
wirtschaftlichen Umgang mit den Anforderungen der DSGVO.

Die Komplexität, in Ihrem Unternehmen die Rechte betroffener Personen (Kapitel 3 der DSGVO) im Einzelnen umzusetzen, kann so massiv reduziert werden und Sie können dem nächsten Datenschutzaudit gelassen entgegensehen.
IPG AG auf Security-Finder Schweiz


Security-Finder Schweiz: Newsletter