DSGVO bei inWebo

Posted by | May 29, 2018 | News | No Comments

Von Security-by-Design zu Privacy-by-Design

In den Wochen und Tagen vor und nach dem 25. Mai 2018 war jeder E-Mail Briefkasten mit Nachrichten wie “DSGVO-Update” oder “Aktualisierung unserer Datenschutzerklärung” gefüllt. Sie werden sich vielleicht wundern, warum Sie von inWebo bisher keine Informationen darüber erhalten, was wir in dieser Angelegenheit getan haben und wie vorbereitet wir sind.

InWebos Geschäft ist Identitätsschutz. Wir konzipieren und implementieren Cybersicherheitstechniken, um die Benutzeridentitäten unserer Kunden zu schützen. PIIs (Personally Identifiable Information) sind in unseren Systemen stark geschützt, wobei starke Verschlüsselung, Krypto-Server, Firewalls usw. verwendet werden. DSPR-Anforderungen in Bezug auf Sicherheit werden erfüllt und übertroffen. Die DSGVO ist jedoch viel mehr als das. Deshalb mussten wir den Weg von unserem Ausgangspunkt “Sicherheit durch Design” zu einem “Datenschutz-nach-Design” gehen.

Hier sind die verschiedenen Themen, die wir angegangen sind und wie unsere Vorgehensweise ist:

  • Zustimmung des Benutzers zu Datenverarbeitungszwecken: Als B2B-Anbieter von Authentifizierungslösungen sammeln nicht wir Daten von Endnutzern der Lösung, sondern nur unsere Kunden. Wir erfassen Daten von Administratoren, wenn sie ein Konto für ihr Unternehmen erstellen und dies nur, um dieses Konto zu erstellen und Zugriff auf das selbige zu gewähren.
  • Minimale Datenmenge: Wir speichern nur die Benutzerdaten in unseren Systemen, die für unsere Kunden erforderlich sind, um die Authentifizierungslösungen, die wir ihnen zur Verfügung stellen, zu bedienen und zu überwachen, wie zum Beispiel Benutzername, E-Mail-Adresse und Authentifizierungsnutzungsdaten (Uhrzeit und Datum, IP-Adresse, Authentifizierungsstatus). Es liegt in der Verantwortung unserer Kunden, anonyme Benutzernamen zu verwenden und keine E-Mail-Adressen zu speichern, wenn sie die Funktion “PIN per E-Mail zurücksetzen” nicht verwenden.
  • Data Governance: Das war ein Vorteil der DSGVO, da wir eine Richtlinie für Datenverwaltung und Datenspeicherung defineren mussten. Wir haben jetzt unsere Aufbewahrungsfristen für Daten standardisiert: standardmäßig werden Authentifizierungs- und andere Nutzungsdaten ein Jahr lang aufbewahrt. Außerdem werden alle Daten des Unternehmenskontos maximal 6 Monate nach Ablauf eines Unternehmenskontos gelöscht. Kunden, die eine längere Aufbewahrungsdauer benötigen, z.B. für langfristige Sicherheitsanalysen, können zusätzlich eine Archivierungsoption abonnieren.
  • Zugriff auf Daten und Rückverfolgbarkeit: Da wir die Authentifizierungsplattform betreiben und wir für einige Aspekte der Lösung auf Dienstleister (unter anderen E-Mail-und Hostingdienstleister) angewiesen sind, mussten wir die Richtlinien für den Zugriff auf Daten sowohl für uns selbst als auch für unsere Dienstleister definieren und durchsetzen. Dienstanbieter haben ihre eigenen Erklärungen zur Einhaltung der DSGVO abgegeben und wir haben dafür gesorgt, dass diese mit unseren Zielen und Praktiken vereinbar sind. Was uns betrifft, greifen wir standardmäßig niemals auf Benutzerdaten zu, es sei denn, ein Kunde verlangt dies von uns, z.B. um ein Problem zu beheben. Wir haben festgelegt, wie unsere operativen Teams solche Anfragen autorisieren und protokollieren müssen.
  • Datenschutz: Kritische Daten wie Authentifizierungsfaktoren werden in unserer Plattform mit Krypto-Servern (HSMs) verschlüsselt. Benutzernamen sind in der Regel keine kritischen Informationen (wenn dies der Fall ist, liegt es in der Verantwortung unserer Kunden, stattdessen Aliase zu verwenden), und sie werden im Klartext benötigt, z.B. um Suchanfragen auszuführen. Andere Bezeichner wie E-Mail-Adressen oder Namen der vertrauenswürdigen Geräte, sind in der Regel keine kritischen Informationen, wir haben uns aber dennoch entschlossen, sie während der Speicherung zu verschlüsseln.
  • Recht (auf Zugang, Bearbeiten, Vergessen): Wir kennen die Endnutzer unserer Kunden nicht und haben daher keine Möglichkeit, Anfragen die wir von Endnutzer auf unserer Plattform erhalten, zu vergleichen oder zu überprüfen, ob eine solche Anfrage legitim ist. Wenn einer unserer Kunden ein Authentifizierungsprofil für einen Benutzer in unserer Plattform erstellt hat, liegt es in unserer Verantwortung, nicht darauf zuzugreifen, es nicht zu ändern und nicht zu löschen. Daher stellen wir unseren Kunden die nötigen Tools und Prozesse zur Verfügung die sie benötigen, um die Anfragen ihrer Nutzer selber zu beantworten, z.B. über eine API-Funktion zum Löschen von Benutzerdaten in den Authentifizierungsprotokollen unserer Plattform. Dennoch haben wir eine E-Mail-Adresse für Datenschutz- und PII-bezogene Anfragen von Endbenutzern erstellt. Wir werden unsere Rolle darauf beschränken auf E-Mails zu antworten, die den Benutzer auffordern, seine Anfrage an sein Unternehmen oder Dienstleister zu senden.
  • Aktualisierung unserer Datenschutzerklärung und allgemeinen Geschäftsbedingungen: Wir haben unsere Datenschutzrichtlinie und Allgemeine Geschäftsbedingungen im Januar 2018 aktualisiert, um Änderungen die sich aus unserer DSGVO-Einhaltung ergeben, zu berücksichtigen.

Written by Raja Najem