„Wer bist Du und was willst Du?“ – DSGVO und IAM
Wer bist Du? Was willst Du? Was darfst Du? Was darf ich mit Deinen Daten machen? Im Zuge der DSGVO gilt es, neue Vokabeln zu lernen: „Identity und Access Management“ ist so eine, abgekürzt: „IAM“. Als Eselsbrücke bietet sich an, das
englisch als „I am“ zu schreiben. Das heißt „Ich bin“ und bezeichnet damit gleich das erste Element von IAM: Die Identität.
Wer bist Du, der Du auf meine Website, meinen Server, meine Dienste zugreifen willst? Kenne ich Dich schon? Warst Du schon mal hier? Hast Du vielleicht ein Passwort oder andere Credentials, die für Dich bürgen? Bist Du Kunde? Bist Du Mitarbeiter? Interessent? Bewerber? Oder hast Du Dich nur irrtümlich hierher verlaufen? Oder bist Du gar ein Betrüger, dem ich den Einlass verwehren sollte?
Damit kommen wir nahtlos zum zweiten Punkt: Access, Zugang. Ist die Identität geklärt, kann ich den Kunden hereinlassen und ihm Zugriff geben – aber worauf? Oft ist es nicht mit einem einzigen Login getan, Kunden und Mitarbeiter haben unterschiedliche Zugriffsrechte, Admins wieder andere, und dann gibt es noch einen Bereich für Bewerber – das kann ganz schön kompliziert werden. Und welchen Zugriff will der User überhaupt haben?
Und schließlich stellt sich noch die Frage: Was gehört eigentlich alles zur Identität? Genügt es, einen Benutzernamen und ein Passwort zu haben? Oder brauchen wir mehr Daten über unseren Besucher? Falls ja, welche Daten bist Du Besucher bereit, uns zu geben? Versandadresse? Bankverbindung? Alter? Geschlecht? Und wenn Du uns die Daten gibst, was dürfen wir damit machen?
Das alles kann höllisch kompliziert werden. Seit die DSGVO die Unternehmen und vor allem deren IT-Abteilungen aufgeschreckt hat, sind diese Komplikationen in aller Munde. Man kann den Datenschutz nicht mehr unter den Teppich kehren.
Es ist daher keine dumme Idee, technische Werkzeuge zu schaffen, die alle diese Fragen zu bündeln und zu lösen versuchen. Am besten integriert in gängige IT-Systeme und ausgestattet mit gut dokumentierten Schnittstellen. Diesen Anspruch hat sich IAM auf die Fahnen geschrieben.
IAM bündelt alle Systeme rund um die Beziehung zwischen Nutzer und Dienst: Verzeichnisdienste, Rollen- und Rechtesysteme, Single Sign On und dergleichen gehören dazu. Das alles kennen Sie wahrscheinlich schon. Aber haben Sie auch schon mal von „Consent Managenment“ gehört? Das ist wieder so eine Vokabel Zusammenhang mit der DSGVO, und wie ich finde, eine wichtige. „Consent Management“ beschäftigt sich mit der Frage, wie man das Einverständnis des Benutzers zur Verarbeitung seiner Daten erlangt, wie man es rechtssicher dokumentiert, welchen Umfang dieses Einverständnis hat, wie man es speichert und was daraus folgt. Bisher ist es ja meist so, dass der Benutzer nur die Wahl hat, der Verarbeitung seiner Daten zuzustimmen oder nicht – und damit auf den gewünschten Service zu verzichten. Im Rahmen von Consent Management lassen sich auch Zwischenstufen realisieren. Und auch das gehört zum IAM.
IAM: Ist das einfach ein neues Buzzword, oder ein zukunftsweisendes Konzept im Rahmen der DSGVO? Ich finde IAM sehr sinnvoll. IAM kann ein wichtiger Teil der Antwort auf die DSGVO sein, weil es deren Anforderungen technisch bündelt und umsetzt.