Bei der teils heftigen Diskussion um den richtigen Umgang mit Cookies könnte man fast den Eindruck bekommen, die Nutzerrechte im Internet wären nur dadurch bedroht, dass Cookies ohne explizite Einwilligung der Betroffenen gespeichert und ausgelesen werden. So wichtig die Rechtssicherheit bei der Verwendung von Cookies auch ist: Die Nutzer im Internet werden auch bei vielen anderen Gelegenheiten nicht gefragt, wenn es um ihre personenbezogenen Daten geht.
Wenn Nutzer sich für einen Online-Dienst registrieren, geben sie viele Daten über sich preis, oftmals sogar mehr, als für den eigentlichen Zweck der Registrierung erforderlich wäre. Ähnlich verhält es sich bei der Installation von Anwendungen (Apps) auf mobilen Endgeräten. Viele Apps verlangen mehr Zugriffsrechte auf die Daten des Nutzers, als diesem lieb und bewusst ist.
Ob die personenbezogenen Daten des Nutzers auch für andere Zwecke genutzt werden, als es die App oder der Online-Dienst suggeriert, bleibt oftmals unklar. Gerade im mobilen Bereich fehlen in vielen Fällen die rechtlich geforderten Datenschutzerklärungen. Was ebenfalls häufig fehlt, ist die technische Umsetzung der informierten Einwilligung, also die Möglichkeit zur expliziten Freigabe der Datennutzung durch den betroffenen Anwender.
Das Identity and Access Management (IAM) regelt die Zugriffsrechte, die ein bestimmter Nutzer, eine bestimmte digitale Identität erhalten soll. Das gilt nicht nur für interne Nutzer, sondern auch für externe Anwender und zunehmend für die Kunden. Dabei können zwar die Nutzer in einigen IAM-Lösungen mittels Self-Service-Funktionen beantragen, welche Berechtigungen sie gerne hätten. Sie können aber bisher selbst keine Berechtigungen an ihren Daten vergeben. Die Entscheidung über die Freigaben wird immer durch andere getroffen, durch das Management, den Kundenservice, den Support oder die Systemadministration.
Die vom Datenschutz vorgesehene Einwilligung findet nur durch den Abschluss von Verträgen oder das Einverständnis zu den AGBs statt. Eine explizite und informierte Einwilligung, auch zu möglichen Zweckänderungen bei der Verarbeitung der Nutzerdaten, kann der Nutzer über technische Funktionen weder vornehmen noch verwehren, eine Opt-In-Funktion fehlt. Das aber kann und sollte im IAM geändert werden. Möglich wird dies insbesondere durch den UMA-Standard (User-Managed Access), der kürzlich die Version 1.0 erreicht hat.
Genau wie die Einwilligung zur Speicherung von Cookies eine technische Umsetzung braucht, bedarf es auch Funktionen, mit denen der Nutzer in IAM-Systemen seine personenbezogenen Daten freigeben kann und mit denen er festlegen kann, wer genau welche Zugriffe auf die Daten für welchen Zeitraum und welchen Zweck erhalten soll. Dem Nutzer muss es möglich sein, seine eigenen Regeln aufzustellen, wie mit seinen Daten verfahren wird, genau wie ein Unternehmen dies auch in einer Policy macht.
Der UMA-Standard ermöglicht es für Nutzer, ihre eigenen Zugriffsrichtlinien zu definieren und durchzusetzen, vorausgesetzt, es gibt einen Dienst, der die Nutzerdaten sicher vorhält und nur entsprechend der Nutzervorgaben die jeweiligen Daten preisgibt. Wie dies technisch aussehen kann, zeigen verschiedene Implementierungsbeispiele von UMA, darunter zum Beispiel das OpenUMA-Projekt.
Der Einwilligung des Nutzers in die Verarbeitung seiner Daten kommt im Datenschutz eine zentrale Stellung zu. Mit dem UMA-Standard werden dieses Einwilligungsprinzip und damit der Online-Datenschutz unterstützt. Der Nutzer wird in seiner Rolle gestärkt und erhält eine der Entscheider-Rollen.
Wichtig ist es dabei aber, dass die konkrete Umsetzung von UMA dazu führt, dass die Nutzerdaten sicher vorgehalten und vor unerlaubten Zugriffen und vor Zweckentfremdung geschützt sind. Der Betreiber eines solchen „UMA-Dienstes“ muss vertrauenswürdig sein und einer Datenschutzkontrolle standhalten. Aus deutscher Sicht sind dabei die Vorgaben für eine Auftragsdatenverarbeitung zu erfüllen oder aber bei Verarbeitung außerhalb des EU/EWR-Raumes ein gleichwertiges Datenschutzniveau.
Die Veranstaltung informiert, wie Sie durch Einführung eines kundenzentrierten Identitätsmanagements auf Basis der ForgeRock-Technologie in ihrem Unternehmen Umsatzsteigerungen erzielen können. Zum Thema erhalten Sie Einblicke, die Ihnen die Veranstalter und ein unabhängiger Analyst präsentieren. Wie man mit der Technologie die Evolution einer eCommerce-Plattform vorantreibt, skizziert ein Vortrag von Zalando.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…