Sorgfaltspflicht im Umgang mit den sensiblen Daten, wenn sie im EU-Raum agieren. Veränderung Nr. 2: Ursprünglich verwalteten Unternehmen Identitätsdaten ihrer Mitarbeiter über die Personalabteilung. Die IT steuerte den Zugriff auf Unternehmensressourcen in internen Umgebungen. Mit der Zeit öffnete sich die Anwendungslandschaft für externe Nutzer, wie z.B. Kunden, Lieferanten oder Partner. Diese beiden Welten funktionierten fast immer unabhängig voneinander, teilweise jetzt noch. Mittlerweile kreuzen sich diese Wege, d.h. eine Anwendung soll gewappnet sein für die Mitarbeiter, aber auch zur Verwaltung externer Nutzer. Und es kamen ganz neue Fälle dazu, wie z.B. digitale Bürgerservices, Onlineservices für Organisationen oder für Verbände. Die Bedingung hier, dass solche Services überhaupt digital funktionieren, ist die Integration der Prozesse und die Anbindung über moderne Standardschnittstellen und -protokolle, wie REST API, SCIM, OpenID Connect, SAML 2, … Veränderung Nr. 3: Der dritte ausschlaggebende Punkt ist der starke Anstieg der Nutzung von Cloud-und browserbasierten Anwendungen; dieser entsteht zum einen durch die Online- Nutzung innovativer Produkte und Dienstleistungen sowie durch das Outsourcen von Services, die nicht zum Kern- Know-How des Anbieters gehören. Zum anderen, wie in Punkt 2 beschrieben, die Verlagerung von Anwendungen in den öffentlich zugänglichen Internetraum, um mobiles Arbeiten oder den Zugriff für externe Nutzer schnell und leicht zu ermöglichen. Veränderung Nr. 4: Die Konsolidierung digital angebotener Produktportfolios für Kunden, die mit nur wenigen Klicks verschiedene Leistungen online buchen können, erbringt mittlerweile einen starken Wettbewerbsvorteil. Die dadurch entstehenden Potentiale liegen nicht nur in der Vereinfachung der Registrierung von Nutzern, sondern auch im Cross- und Up-Selling. Das ist so, weil ein Unternehmen die gesamte User-Journey damit kundenorientiert abbilden kann und so gute Chancen auf mehr Geschäft bildet. Es gibt mehrere Anwendungen, aber nur einen Nutzer mit seiner Identität. Mitunter könnte man diese Liste munter fortführen: Veränderungen wie der breite Einsatz von Microservices, die Einbindung neuer Anwendungen von oder für Kunden oder Partnern im gesamten, digitalen Unternehmens-Ecosystem oder der Trend in der Softwarearchitektur monolithische Anwendungen aufzubrechen, führen letztendlich dazu, dass es sinnvoll ist mit einem eigenständigen System zur Identitätsverwaltung Nutzer und ihre Berechtigungen datenschutzkonform zu administrieren. 32 DIGITAL FUTUREmag Ausgabe 17/2023 Das Bedürfnis der Nutzer nach Komfort, Sicherheit ihrer Daten und Schnelligkeit in den Interaktionsprozessen mit dem Online-Service bestimmt letztendlich, ob ein Geschäftsmodell erfolgreich ist oder ob ein Abbruch der Geschäftsverbindung angedacht wird. Im B2C-Bereich ist das besonders ausgeprägt. Der erste Interaktionsprozess in Verbindung mit dem Beginn der Nutzung eines digitalen Angebotes oder Service ist die Registrierung. Der Account-Life-Cycle startet mit einer Registrierung Um den Nutzer in den Mittelpunkt zu stellen, beginnen wir mit der Idee des „Digitalen Prozesses zur Erstellung und der Pflege seiner Identitätsdaten“. Im allerersten Schritt generiert der Nutzer einen Account. Dieser Schritt beginnt mit einer Registrierung, gefolgt von dem Consent Management, worunter auch die Zustimmung zur Datenschutzerklärung und ggf. weiteren Konditionen fällt. Der nächste Schritt ist die Datenerhebung zum Zwecke der Anwendung. Daraufhin gibt es verschiedene Berechtigungen, d.h. je nach Autorisierung erlangt ein Nutzer einige wenige, andere oder sensible Zugriffsrechte, je nach seiner Rolle in dieser Anwendung. Damit ist es nicht zu Ende, denn Daten bleiben in der Regel nicht statisch, sondern durch Datenupdates entstehen Aufgaben im Bereich Housekeeping. Zu guter Letzt kann ein Nutzer laut DSGVO die Löschung seines Kontos oder die Portierung seiner Daten verlangen bis auf den Aspekt der Aufbewahrung von Daten nach steuerlichen oder rechtlichen Vorgaben. Schneller zum Ziel mit einem konsolidierten Service Jede Anwendung hat von Beginn an dieser User-Journey die gleichen Aufgaben, um den Nutzer zum Ziel zu leiten. Nur je nach Anwendung sind die Einzelberechtigungen von System zu System unterschiedlich und für jeden Nutzer individuell. Trotzdem macht es Sinn alle vorgelagerten Prozesse, die für jeden Service gleich sind, durch ein zentrales System, ein Identity- und Access Management- System (IAM-System) durchführen zu lassen. In diesem Zusammenhang übernimmt ein IAM-System viele Aufgaben mit gleichbleibender Sicherheit und Qualität, unabhängig davon, wie es die angeschlossene Anwendung erledigen würde: • Darstellung aller vertraglichen Konditionen sowie des Datenschutzes und Einholung der initialen Zustimmung dafür Authentifizierung, d.h. Prüfung der digitalen Anmeldeberechtigung Erweiterte Authentifizierung, wie adaptiv, mit Multifaktor, passwortlos, über Identity Provider, Social Logins, …