Datenschutz und Co.: Trends in der Identitätssicherung
Neue Ergänzungen zur DSGVO oder Datensicherheit als Alleinstellungsmerkmal. 2020 bringt einige neue Entwicklungen, auf die sich Firmen, Behörden und NGOs einstellen müssen.
Ende des Jahres 2019 wurde – von der Öffentlichkeit relativ unbeachtet – eine wichtige Ergänzung der europäischen Datenschutz-Grundverordnung (EU-DSGVO) ausgerollt.
Dank einer neuen Richtlinie haben Behörden, Unternehmen und NGOs gleichermaßen nach einer doch relativ langen Wartezeit mit dem neuen Datenschutz-Modell (siehe unten) nun endlich Anhaltspunkte, nach denen sie prüfen können, ob ihre Anwendungen personenbezogene Daten auch wirklich DSGVO-konform verarbeiten – statt wie bisher einfach mal drauflos zu werkeln und nach dem „Worst Case“ durch eine Selbstanzeige aufzufallen.
Das ist jedoch nicht der einzige Trend im Identity-Bereich, der Unternehmen im Jahr 2020 auf Trab halten wird.
Klagewelle rollt an
Nachdem die DSGVO nun endlich langsam in den Köpfen der Bevölkerung verankert ist, werden wir im Jahr 2020 erstmals eine große Konsequenz davon sehen. Denn während bislang vor allem Unternehmen selbst mittels Selbstanzeige den juristischen Weg gewählt haben, werden nun erstmals auch die Verbraucher vor Gericht ziehen.
So zeigte schon eine Umfrage von Ping Identity aus dem Jahr 2019, dass mittlerweile mehr als 60 Prozent der Kunden in Deutschland, den USA, Großbritannien, Australien und Frankreich Firmen für den Schutz ihrer Daten verantwortlich machen – sogar bei eigenem Fehlverhalten. Man kann also schon fast darauf wetten, dass beim ersten größeren Datenleck eine Klagewelle auf das betroffene Unternehmen zurollt.
Datenschutz als Alleinstellungsmerkmal
Gleichzeitig sorgt diese drohende Klageflut dafür, dass 2020 noch mehr Unternehmen Datensicherheit und den Schutz der privaten Daten ihrer Kunden zu einem „Unique Selling Point“ machen werden. Und die Firmen, die sich weigern, diesen Schritt mitzugehen, werden unweigerlich irgendwann von ihrer Kundschaft abgestraft – wenn nicht dieses Jahr, dann auf jeden Fall dennoch zeitnah.
DSGVO – aber richtig
Seit Ende 2019 gibt es das Standard-Datenschutzmodell (SDM), mit dem Unternehmen endlich ihre Maßnahme nach allen Anforderungen der europäischen Richtline prüfen können. Besonders wichtig ist dabei in dem 68-Seiten-Werk vor allem das Kapitel zum Einwilligungsmanagement. Dieses regelt, dass Firmen, Behörden oder NGOs für die Verarbeitung personenbezogener Daten immer eine jeweils individuelle Einwilligung einholen müssen – und diese so speichern, dass sie sowohl auf Nachfrage vorgelegt als auch widerrufen werden kann.
Das SDM wird damit also zu einem wichtigen Werkzeug im Kampf gegen Datenschutzverletzungen, denn es sorgt dafür, dass sich Unternehmen und Behörden gleichermaßen intensiv mit ihren bestehenden Maßnahmen auseinandersetzen müssen.
Multifaktor-Authentifizierung für alle
Bislang konnten Unternehmen die Zugangsdaten ihrer Kunden kaum vor den mannigfaltigen Angriffen der Cyberkriminellen schützen. Doch dank Multifaktor-Authentifizierung (MFA) wird sich im Jahr 2020 das Blatt wenden. Und Wegbereiter werden hier vor allem die Firmen, denen das Wohl ihrer Kundschaft genauso viel Wert ist wie ihr Gewinn. Unternehmen können sich hierbei tatsächlich gegenüber dem Wettbewerb absetzen, wenn sie eben nicht nur auf den Umsatz achten. Die Kunden werden es ihnen danken.
Identitäten werden digital
Im Jahr 2020 werden sich die Interessen von Behörden endlich mit denen der Unternehmen überschneiden – was dazu führen wird, dass vor allem im Finanz- und Gesundheitswesen neue Standards für digitale Identitäten entwickelt werden. Doch ob tatsächlich die Bedürfnisse der Kunden/Bürger im Fokus stehen oder ob Dritte versuchen werden, aus den digitalen Identitäten Profit zu schlagen, wird nur die Zeit zeigen.
„Nachdem die DSGVO nun endlich langsam in den Köpfen der Bevölkerung verankert ist, werden wir im Jahr 2020 erstmals eine große Konsequenz davon sehen.“
Pascal Jacober, Ping Identity
Bei all diesen Entwicklungen zeigt sich klar, dass die Kunden beziehungsweise Bürger keinerlei Toleranz mehr haben gegenüber schlampigem Umgang mit ihren Daten. Sie wissen genau über ihre Rechte Bescheid und haben auch keine Skrupel, diese – notfalls auch vor Gericht – durchzusetzen.
Unternehmen und Behörden müssen sich also darauf einrichten, auf der einen Seite ihre Sicherheitsvorkehrungen und Identity-Protection-Lösungen auf den neuesten Stand zu bringen und auf der anderen Seite dafür bereit zu sein, bei Verletzungen der Datensicherheit quasi umgehend zur Rechenschaft gezogen zu werden.
Dabei geht es auch um die Mitarbeiter in den Firmen. Denn gerade bei Kündigungen oder wenn Mitarbeiter altersbedingt ein Unternehmen verlassen, gibt es nach wie vor großen Handlungsbedarf, was die Rechtevergabe beziehungsweise die Rücknahme von Zugriffsrechten auf sensible Informationen des Unternehmens selbst, von Kunden sowie Partnerfirmen betrifft.
Über den Autor:
Pascal Jacober ist Sales Manager DACH bei Ping Identity.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.