Verwaltung von Kundenidentitäten sicher und datenschutzkonform durch CIAM-Lösungen

Datenschutz ist wich­tig – das ver­deut­licht die stei­gen­de An­zahl an Ge­set­zen zum Schutz von per­so­nen­be­zo­ge­nen Da­ten welt­weit. Un­ter­neh­men ste­hen da­durch vor der Her­aus­for­de­rung, so­wohl ge­set­zes­kon­form zu han­deln als auch den Kun­den das best­mög­li­che Er­leb­nis bei der Nut­zung von Diens­ten oder Pro­duk­ten zu bie­ten. Cust­o­m­er Iden­ti­ty and Ac­cess Ma­nage­ment (CIAM), die Ver­wal­tung und Kon­trol­le der Kun­den-Iden­ti­tä­ten, hilft Fir­men, die Nut­zung der Kun­den­da­ten si­cher und da­ten­schutz­kon­form zu ge­stal­ten, oh­ne bei der Be­nut­zer­freund­lich­keit Ab­stri­che ma­chen zu müssen.

von Samy Makki, Senior Cloud Security Architect Akamai Technologies

Vor- und Nachname, Adresse, Bestellhistorie, Kleidungs- oder Schuhgröße: Kunden geben viel von sich preis, wenn sie sich im Internet auf der Suche nach Diensten und Produkten bewegen. Diese Informationen unterliegen besonderem Schutz.

Für deren Verwendung müssen zudem bestimmte datenschutzrechtliche Voraussetzungen erfüllt sein. Datensparsamkeit, Löschungskonzepte und Datensicherheit sind dabei die Kernthemen, um die sich die Unternehmen kümmern müssen. In Europa hat der Datenschutz mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und den damit verbundenen hohen Bußgeldern an Schlagkraft gewonnen. Die ausgesprochenen Bußgelder sprechen für sich:

• 50 Millionen Euro gegen Google wegen Datenverarbeitung ohne eine wirksame Einwilligung, verhängt durch die französische Datenschutzbehörde.
• 4000 Euro gegen ein portugiesisches Krankenhaus wegen Missachtung der Datensparsamkeit und dem Fehlen von Berechtigungskonzepten, verhängt durch die portugiesische Datenschutzbehörde.
• 35 Millionen Euro Bußgeld der Hamburger Datenschutzbehörde gegen H&M wegen der Erhebung von Daten ohne Rechtsgrund, Verstößen gegen das Prinzip der Datensparsamkeit und dem Fehlen von Berechtigungskonzepten.

Die positive Konsequenz aus diesen Strafen ist, dass der Datenschutz ernst genommen wird. Eine globale Entwicklung: In 132 von 194 Ländern wurden bislang Gesetze zum Schutz von Daten und Privatsphäre erlassen, so die Handels- und Entwicklungskonferenz der Vereinten Nationen im Februar 2020.

Durchblick im Gesetzesdschungel

Mit je­der neu­en län­der­spe­zi­fi­schen Re­ge­lung nimmt je­doch die Kom­ple­xi­tät der An­for­de­run­gen an die Nut­zung von Kun­den­iden­ti­tä­ten zu. Von der DS­GVO der Eu­ro­päi­schen Uni­on über den Ca­li­for­nia Con­su­mer Pri­va­cy Act (CC­PA) in Ka­li­for­ni­en, USA, und dem Act on the Pro­tec­tion of Per­so­nal In­for­ma­ti­on (AP­PI) Ja­pans bis hin zum bra­si­lia­ni­schen Da­ten­schutz­ge­setz – je­de Ver­ord­nung hat ih­re ei­ge­nen Nu­an­cen, zum Bei­spiel schon bei der De­fi­ni­ti­on des Be­griffs „per­so­nen­be­zo­ge­nes Da­tum“. Un­ter­neh­men ste­hen vor der Her­aus­for­de­rung, die Un­ter­schie­de der ver­schie­de­nen Ge­set­ze zu ver­ste­hen und die Nut­zung der Kun­den­iden­ti­tä­ten mit den je­weils gel­ten­den Re­ge­lun­gen in Ein­klang brin­gen zu müs­sen. Da sich die Ge­set­zes­la­ge mit­un­ter schnell än­dert, müs­sen Un­ter­neh­men sich kon­ti­nu­ier­lich mit dem The­ma Da­ten­schutz be­fas­sen. Nur so kön­nen sie schnell und fle­xi­bel auf An­pas­sun­gen re­agie­ren, die Kun­den­iden­ti­tä­ten ge­set­zes­kon­form nut­zen und ef­fek­tiv vor den Zu­grif­fen Drit­ter schützen.

Unternehmen dür­­fen bei der Er­­fas­­sung und Ver­­ar­bei­­tung von Kun­­­den­i­den­­ti­­tä­­ten ne­­ben der Ein­hal­­tung der gel­­ten­­den Da­­ten­­schut­z­­ge­­se­t­ze die Be­­nu­t­zer­freun­d­­li­ch­keit der Pro­­­duk­­te und Diens­­te nicht aus dem Blick ver­­­lie­­ren. Hier­bei hilft Cus­t­o­m­er Iden­­ti­­ty and Ac­cess Ma­­na­ge­­ment (CIAM), ei­­ne Lö­­sung, die die Iden­­ti­­tä­­ten von Kun­­­den da­­ten­­schut­z­­kon­­form ver­­­wal­­tet und schützt. Die Da­­ten­­schut­z­ein­­stel­­lun­­­gen der CIAM-Lö­­sung stel­­len si­cher, dass die Kun­­­den die Kon­­trol­­le über die Er­­stel­­lung, Nu­t­zung und Ver­­­wal­­tung ih­­rer Da­­ten be­hal­­ten. So wird ge­­spei­­chert, wann und wo­­für die Zu­­­stim­­mung ei­­nes Kun­­­den zur Nu­t­zung sei­­ner Da­­ten er­­teilt oder wi­­der­­ru­­fen wurde.

Weitere Vorteile solcher Cloud-Lösungen: Sie lassen sich je nach Anwendungsfall, Region und geltenden Vorschriften skalieren, unterstützen Millionen von Nutzern und funktionieren mit geringstmöglicher Latenz. Und – für ein internationales Unternehmen besonders wichtig – der zugriffsberechtigte Endanwender kann von überall, über jedes Gerät und zu jeder Zeit seine Identität verwalten und bestimmen, welche Daten er zur Verfügung stellt – und das auch, wenn die Daten regional gespeichert werden.

Zentrales Modul einer cloud-basierten CIAM-Lösung ist die Kundendatenbank, in der die Kundenidentitäten gespeichert und durch Zugriffsrechte vor unberechtigten Dritten geschützt sind. Die Kunden können über einen zentralen Selbstverwaltungsbereich ihre Daten jederzeit einsehen, bearbeiten und ihre erteilte Zustimmung widerrufen oder die Zustimmung für eine zusätzliche Datennutzung erteilen. Genauso können sie ihre Daten auch ganz einfach mit einem Knopfdruck löschen. Unternehmen behalten durch ein Berechtigungs- und Authentifizierungskonzept weiterhin die Kontrolle über den internen Zugriff auf die Daten, sodass transparent ist, welche Mitarbeiter oder Systeme auf welche Kundenidentitäten zugreifen können. So wird sichergestellt, dass nur derjenige Zugriff auf die Kundenidentitäten erhält, der Zugriff erhalten muss. Für E-Mail-Marketingkampagnen reicht es zum Beispiel aus, dass der Mitarbeiter oder das System Zugriff auf die E-Mail des Kunden hat. Einen Zugriff auf die Postadresse bedarf es hier nicht.

Eine CIAM-Lösung hilft auch bei der Auditierung der Zugangskontrollen. Da alle Zugriffe und Zugangsberechtigungen dokumentiert sind, können fehlerhafte Berechtigungen oder Zugriffe leicht erkannt werden.

Das Risiko eines unerlaubten Zugriffs auf die Kundenindentitäten wird durch einen CIAM-Dienst daher leicht erkannt und minimiert.”

Entsprechend werden CIAM-Lösungen im Rahmen von MaRisk-Programmen (Mindestanforderungen an Risikomanagement) für Internal-Control- System- und Internal-Audit-Zwecke eingesetzt. Die Analyse der Identitäten wird den Unternehmen bei einem CIAM-Dienst in Form von Berichten und Grafiken zur Verfügung gestellt. Zudem kann die CIAM-Lösung problemlos in vorhandene Marketingautomatisierungs- und Kundenmanagement-Systeme integriert werden.

CIAM: Katalysator im Marketing

Interessant sind CIAM-Lösungen vor allem für international tätige Unternehmen mit starkem Kundenfokus. Sie profitieren von einer Lösung, in der Kundendaten aus verschiedenen Systemen zusammengeführt oder synchronisiert werden und Arbeitsschritte entsprechend der Nutzung der Kundendaten angepasst werden können. CIAM aus der Cloud wird auf einer leistungsstarken Infrastruktur bereitgestellt, die Lastspitzen intelligent bewältigt, so dass die Kundenidentitäten immer zugänglich sind, auch wenn zahlreiche Anwender gleichzeitig auf die Daten zugreifen. Solche CIAM-Lösungen sind insbesondere in den Bereichen Marketing (Kundenbindung), IT-Infrastruktur (Authentifizierung, Registrierung) und IT-Sicherheit (Compliance, Datenschutz) von großem Wert.

Im Marketing analysieren und verarbeiten Firmen mit Hilfe von CIAM ihre Kundendaten unter Nutzung der bestehenden Marketing-Automation- und Content-Management-Systeme.

Davon profitiert der Kunde bei seiner Customer Journey, denn Marken können mit Hilfe einer CIAM-Lösung weiterhin hochgradig personalisierte Kundenerlebnisse schaffen, ohne den Datenschutz und die Datensicherheit aus den Augen zu verlieren.”

CIAM-Dienste befeuern zudem die Marketing-Automation, etwa in Form von Kundenbindungsprogrammen. Dafür wird der Social Login eines Kunden mit der Registrierung im Kundenkonto eines Unternehmens verknüpft. Der Kunde muss keine neuen Anmeldedaten festlegen, sondern kann bestehende Social Media Login-Daten verwenden oder sein Kundenkonto schrittweise anlegen: Zunächst wird nur die E-Mail-Adresse und das Passwort genutzt und später das Konto zum Beispiel um den Namen, die Postadresse oder das Geburtsdatum ergänzt. Aus diesen Aktivitäten resultiert ein besseres Verständnis für die Kundenvorlieben, die für Produktverbesserungen genutzt werden können, was wiederum die Kundenzufriedenheit steigert.

Zusammen mit den positiven Erfahrungen einer einfachen und sicheren Nutzung des Kundenportals führt das in vielen Fällen zu Umsatzsteigerungen. Gleichzeitig ermöglichen entsprechende CIAM-Einstellungen die Einhaltung regional geltender Datenschutzgesetze – hochautomatisiert und ohne großen Personalaufwand in der IT.

Weitere Informationen, wie Unternehmen Kundendaten weltweit in Einklang mit den Datenschutzgesetzen erfassen, verarbeiten und schützen können, erhalten Interessierte hier (Link).Samy Makki, Akamai Technologies