Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO), die ab Mai 2018 in Kraft tritt, verändert die Anforderungen an die Verarbeitung personenbezogener Daten grundlegend und sichert EU-Bürgern deutlich mehr Kontrolle über ihre persönlichen Daten zu – egal, wo und wie diese verarbeitet werden.
Im Zeitalter des digitalen Wandels müssen Unternehmen hier das richtige Gleichgewicht zwischen der Beachtung der neuen rechtlichen Vorgaben auf der einen Seite und der effektiven Kundenbetreuung auf der anderen Seite finden. Zentralisierte Plattformen für Customer Identity and Access Management (CIAM), die das Gleichgewicht zwischen Compliance, Nutzereinwilligungen und einer optimalen Customer Experience unterstützen, leisten hier eine entscheidende Hilfestellung.
Mehr Rechte für Verbraucher – mehr Pflichten für Unternehmen
Ab Mai 2018 muss jedes Unternehmen weltweit, das Daten von EU-Bürgern erfasst und verarbeitet, gemäß der neuen Verordnung ausdrücklich die Zustimmung der Nutzer zur Datennutzung einholen. Nutzer erhalten unter anderem das Recht, Informationen leichter wieder löschen zu lassen („Recht auf Vergessenwerden“), die Verarbeitung der Daten einzuschränken („einzufrieren“) und Daten von einem Anbieter zum nächsten mitzunehmen („Portabilität“). Zudem müssen die Unternehmen ihre Dienste von vornherein datenschutzfreundlich einstellen. Bei Nichteinhaltung drohen Geldbußen in Höhe von 20 Mio. Euro oder 4 Prozent des jährlichen Gesamtumsatzes eines Unternehmens – je nachdem, was höher ist.
Die neue Verordnung stellt erhebliche Herausforderungen an die Data Governance in Unternehmen, da der Begriff der „personenbezogenen Daten“ sehr umfänglich definiert ist und sämtliche IDs in allen digitalen Marketing-Systemen einschließt. Insbesondere der Aspekt der „indirekten Identi- fizierung” spielt angesichts dieser breiten Definition eine wichtige Rolle, da hier beispielsweise auch Daten eingeschlossen sind, die über Cookies gesammelt werden.
Für Unternehmen wird es damit in Zukunft noch wichtiger, Kundenidentitäten effizient und gut durchdacht zu verwalten. Eine wesentliche Triebfeder ist dabei der digitale Wandel und damit verbundene Veränderungen der Geschäftsmodelle, die über eine deutlich intensivere Online-Interaktion mit Kunden auch die Zahl der Kontaktpunkte sowie der über verschiedene Kanäle gesammelten Daten deutlich steigern. Um hier langfristige, vertrauensvolle Beziehungen aufbauen zu können, ist es unerlässlich, Kunden sicher und zuverlässig identifizieren und ihre Aktivitäten und Verhaltensweisen nachvollziehen zu können.
Technik und Organisation
Es versteht sich, dass im Hinblick auf die neuen Anforderungen angemessene technische und betriebliche Sicherheitsmaßnahmen ergriffen werden sollten. Empfehlenswert ist, personenbezogene Daten in so wenig unterschiedlichen Systemen wir möglich zu verarbeiten und zu speichern und so schnell wie möglich zu pseudonymisieren. Alle Daten sollten verschlüsselt in gesicherten Rechenzentren gespeichert werden. Außerdem sollten zügig Zugriffsrechte eingerichtet und die dezidierte Kontrolle von Zugang, Übertragung, Eingabe und Verfügbarkeit sowie Verarbeitung der Daten ermöglicht werden. Hilfreich ist hier die Beachtung etablierter Normen, wie z. B. ISO27018.
Die EU-DSGVO und die KundenidentitätDie Analysten von KuppingerCole haben im Auftrag des CIAM-Spezialisten Gigya ein Whitepaper („Compliance: Die EU-DSGVO und der Umgang mit der Kundenidentität“) zur neuen EU-Datenschutz-Grundverordnung erarbeitet. Es bietet Informationen zu:
|
Mit separaten anwenderbezogenen Anwendungen und Portalen mit jeweils eigenem Identity Management wird hier jede Organisation schnell an die Grenzen der Machbarkeit stoßen. Auf Dauer wird die Einhaltung der neuen Richtlinien ohne eine einheitliche Sicht auf Identität, Einwilligung und Präferenzen eines Kunden für alle Berührungspunkte nicht funktionieren. Kurz: Wenn es darum geht, Kundenidentitäten, ihre Einwilligung und ihren Kontext zur Unterstützung der Geschäftsagilität und Erfüllung der rechtlichen Compliance-Ansprüche effektiv zu verwalten, ist eine integrierte CIAM-Plattform unverzichtbar.
Durchdachtes CIAM
Im Zentrum der neuen EU-DSGVO steht der Umgang mit personenbezogenen Daten und deren Schutz. Ein entscheidender Aspekt ist dabei die Einwilligung in die Datennutzung. Hier reicht es nicht aus, lediglich eine IP- Adresse aufzuzeichnen, vielmehr muss die Person identifizierbar sein, die eine Einwilligung erteilt (oder nicht). Änderungen – sei es auf Seiten des Kunden oder des Unternehmens bzw. der Identitäts-Provider – müssen unmittelbar erfasst und umgesetzt werden können. Entsprechend müssen die Einwilli- gungsdaten genauestens pro Nutzer und pro Bedingung aufgezeichnet werden. Unternehmen müssen jederzeit transparent angeben können, welche Daten wo gespeichert sind und wie sie verwendet werden. Hierzu werden flexible und rasch anpassbare Identifizierungsprozesse benötigt, die ein detailliertes Opt-In-/Opt-Out-Management ermöglichen.
Bild: CIAM-Lösung von Gigya unterstützt Umsetzung der EU-DSGVO.
Rechte beeinflussen digitale Infrastruktur
Auf Wunsch der Nutzer müssen personenbezogene Daten auch exportiert und bearbeitet werden können. Gleichzeitig besteht ein Recht auf Auskunft über sämtliche im Unternehmen gespeicherten Daten. Um diese Anforderungen zu bewältigen, wird eine flexible wird eine flexible Daten- und Reporting-Schnittstelle benötigt, die alle personenbezogenen Daten in strukturierter Form ausdrucken oder in einer maschinenlesbaren Datei zur Weiterverarbeitung speichern kann. Wichtig ist auch, dass die Nutzer ihre eigenen personenbezogenen Daten jederzeit im Rahmen einer Self-Service- Verwaltung online ändern können, also eine gegebene Einwilligung zurücknehmen oder ihr Profil im Sinne des Rechts auf Vergessenwerden vollständig löschen können.
Eine CIAM-Lösung sollte daher in der Lage sein, neben den im System selbst gespeicherten personenbezogenen Daten auch die entsprechenden pseudonymisierten Daten sowie die Schlüssel (IDs) in allen Systemen, die mit diesen Daten arbeiten, rückstandlos zu entfernen. Beim Einfrieren müssen die Daten nicht gelöscht, aber von der Weiterverarbeitung in allen involvierten Systemen ausgeschlossen werden. Dies gilt auch für alle Systeme von Geschäftspartnern, die personenbezogene Daten mit dem Einverständnis des Nutzers erhalten haben.
Den Verbraucher ernst nehmen
Das Inkrafttreten der Datenschutzgrundverordnung der Europäischen Union ist beschlossene Sache und jedes Unternehmen, das Daten von in der EU ansässigen Personen verarbe tet, wird sie erfüllen müssen. Damit hat die neue Verordnung einen sehr weit gefassten, in gewisser Hinsicht sogar globalen Geltungsbereich. Mit ihr sind neue Anforderungen und Prinzipien verbunden, die nicht nur eine bessere Kontrolle und Kenntnisse bei der Verwaltung von Kundenidentitäten erfordern, sondern auch eine weitreichendere Kontrolle personenbezogener Daten.
Entscheidend ist in diesem Zusammenhang nicht nur die Erfüllung der neuen Vorschriften. Vielmehr spielt auch die Wahrnehmung beim Verbraucher eine entscheidende Rolle. Statt die neue Verordnung zu fürchten, sollten Unternehmen diese vielmehr als Gelegenheit sehen, sich dem Verbraucher als veranwortliche Organisation zu präsentieren, die seine Belange in den Mittelpunkt ihrer Geschäftsstrategie stellt.
Datenschutz sollte daher weniger als Übung der Rechtskonformität, sondern als Marketingstrategie gesehen werden, die der Kundenbindung dient. Denn der Aufbau von Vertrauen bei den Verbrauchern durch eine nachhaltige Datennutzung dürfte diese ermutigen, persönliche Daten offenzulegen und weiterzugeben.
Darüber hinaus können moderne CIAM-Lösungen die erlaubnisbasierten Daten an die Frontend-Systeme und digitalen Marketinglösungen weitergeben und so die User Experience über alle Endgeräte hinweg signifikant verbessern.
Fazit
Die neue EU-Datenschutz-Grundverordnung stellt den Umgang mit Kundenidentitäten – im digitalen Zeitalter mithin die Lebensader vieler Branchen auf eine völlig neue Basis. Die Tage separater Lösungen, die eigene Identitäten verwalten, einen eigenen Ansatz zur Benutzererfahrung implementieren und getrennt von anderen Systemen existieren, sind damit vorbei. Um sämtliche Vorgaben der neuen Verordnung zu erfüllen, müssen sich Unternehmen von Punktlösungen verabschieden und eine einheitliche standardisierte Plattform für Customer Identity und Access Management aufbauen, um sämtliche personenbezogenen Daten – im weit gefassten Sinne – vorzuhalten und zu verwalten.
Gleichzeitig werden die durch die EU-DSGVO getriebenen Änderungen und die Integration der Daten in die digitale Infrastruktur sinnvoll in die digitale Transformation eingebunden und tragen so auch zu einem besseren Kundenverständnis und indirekt zu mehr Umsatz bei.
Roland Markowski, Country Manager DACH, Gigya
Roland Markowski verantwortet seit Juli 2015 als Country Manager den deutschsprachigen Raum (DACH) bei Gigya. Zuvor hat er in seiner über 20 jährigen Berufslaufbahn für zumeist amerikanischen Unternehmen in Deutschland Unternehmen der Bereiche Business Intelligence, Data Warehousing, Customer Intelligence, Digital Analytics, Online-Marketing und Marketing Automation aufgebaut und geleitet.