Incident Management und CIAM – Revolution durch PSD2 und DSGVO?

Das Incident Management stellt eine der wichtigsten Disziplinen von IT Service Management und des IT Betriebs dar. Durch EU-Verordnungen wie PSD2 und DSGVO kommen neue Rechte und Pflichten auf Betroffene und Verantwortliche zu. Welche Chancen entstehen gleichzeitig für das Management von Kundenbeziehungen und Identitäten?

Europäisches Recht und Gesetz in Form von EU-Verordnungen stellen Betroffene wie Verantwortliche gleichermaßen vor Herausforderungen. Auch das Incident Management kommt stärker in den Fokus.

Ein defekter Laptop, der streikende Drucker, die nicht startende Software – Incident Management behandelt die kleinen und großen Vorkommnisse im IT-getriebenen Alltag unserer Firmen. Durch den stetig wachsenden Anteil digitaler Geschäftsmodelle materialisiert sich die digitale Durchdringung in der Veränderung bestehender Strukturen. Kundenbeziehungen, Lieferprozesse, Wertschöpfungsketten und die damit verbundenen Risiken werden digitaler und damit ein Fall für die IT, deren Wirkungskreis sich so ständig verbreitert. Das IT Service Management erhält dadurch ebenfalls mehr Bedeutung und Verantwortung.

Europäisches Recht und Gesetz in Form von EU-Verordnungen stellen Betroffene wie Verantwortliche gleichermaßen vor Herausforderungen. Allen voran ist die DSGVO zu nennen, welche Ende Mai 2018 nach einer zweijährigen Übergangsfrist in Kraft getreten ist. Auf dieser Verordnung, die sich vor allem mit personenbezogenen Daten und den Einwilligungen (Consents) zur Verarbeitung dieser Daten beschäftigt, bauen PSD2 und ePrivacy auf. Während ePrivacy aktuell als Verordnung noch nicht finalisiert ist, nähert sich die bereits 2017 verabschiedete PSD2 ihrem Stichtag, an welchem sie vollumfänglich umgesetzt sein muss: Der 01. September 2019.

PSD2 steht für „Payment Services Directive 2“ und öffnet den Finanzmarkt ein weiteres Stück in Richtung Digitalisierung. Banken müssen Schnittstellen (APIs) für den Zugang von Zahlungsauslöse- und Kontoinformationsdienstleistern zu Zahlungskonten bereitstellen, sowie nach Zustimmung des Kontoinhabers gemeinsam für einen reibungslosen Verkehr von Zahlungsdaten, Konteninformationen und Transaktionen sorgen. Aus diesem Grund wird PSD2 auch häufig als „Open Banking“-Verordnung bezeichnet. Betroffene Personen sollen fortan selbst entscheiden können, wer wann, wie und womit auf ihr Konto zugreift und was anschließend mit diesen Daten und Informationen geschehen darf. Diese neue Datensouveränität ist für Kunden, Zahlungsdienstleister und Händler Chance und Verpflichtung zugleich. Der direkte Kontenzugriff auf Wunsch eines Betroffenen ist ein Schritt hin zu einer freien Wahl von Zahlungs- und Abwicklungsservices. Einher gehen Risiken von Missbrauch und Manipulation sowie Identitäts- und Datendiebstahl. Doch nicht nur Payment Service Provider (PSPs) sind jetzt besonders gefordert entsprechend vorzusorgen. Vor dem Hintergrund der DSGVO haben alle Unternehmen die Pflicht, Consent und Identity Management in einem End-to-End Ansatz nachvollziehbar zu machen.

Im Rahmen der Einführung von PSD2 sind zahlreiche Anforderungen (RTS, regulatorische technische Standards) bis Anfang September 2019 verpflichtend umzusetzen.

Drei Beispiele sind in diesem Kontext aufzuführen:

  • Starke Kundenauthentifizierung auf Stand der Technik (Zwei-Faktor Authentifizierung)
  • (Customer) Identity & Access Management (CIAM) sowie Consent Management
  • Major Incidents eines PSPs sind innerhalb von vier Stunden den zuständigen Behörden zu melden

Selbst für reife IT Organisationen stellen diese Begriffe und Disziplinen eine Herausforderung dar. So ist Zwei-Faktor-Authentifizierung an vielen Stellen noch nicht implementiert. Incident Management Prozesse wurden bisher vor allem in intern und Richtung IT Betrieb und Business Continuity, weniger zum Kunden hin ausgerichtet. Besonders umfassend sind die Aufgaben, die Unternehmen bei der Umsetzung von durchgehendem, nachhaltigem CIAM zu bewältigen haben.

„Die Identität wird zunehmend digital. Unternehmen sind durch EU-Verordnungen wie PSD2 und DSGVO jetzt aufgefordert, ihr Customer Identity & Access Management zu optimieren.“

Durch die DSGVO wurde das Consent Management und die Dokumentation der gegebenen Einwilligungen bereits ein verpflichtendes Kernelement in kundennahen Prozessen – auf denen die PSD2 direkt aufbaut. Betroffenen - und somit Kunden - eröffnet die DSGVO seit Mai 2018 neue Interaktionsmöglichkeiten. Beispiele für die Ausübung von Betroffenenrechten sind das Auskunftsrecht oder das Recht auf Vergessenwerden. Für die Verantwortlichen kommt die Pflicht zur Meldung von Datenpannen hinzu, welche funktionierende, reife Incident Management Prozesse erfordert. Sowohl Datenschutzbehörden wie auch die betroffenen Personen an sich sind im Fall einer Panne innerhalb der kurzen Frist von 72 Stunden zu informieren. Ein funktionierendes CIAM ist in all diesen Bereichen essentiell.

Was müssen Unternehmen zur Umsetzung von ganzheitlichem Consent- und Incident- Management jetzt beachten und wie kann CIAM ihnen dabei helfen?

Mit der DSGVO und der PSD2 wird das Consent Management zum zentralen Punkt jedes Kundenprozesses. Ein etabliertes CIAM hilft Identitäten und Consent von Betroffenen zentral zu verwalten. Je nach erteilter oder verweigerter Zustimmung zur Verarbeitung von Daten muss dem Betroffenen die entsprechende Transparenz geboten, der Prozess entsprechend ausgeführt werden und der Verlauf nachweisbar dokumentiert sein. Da die Einwilligung in der Regel weder mündlich oder schriftlich, sondern durch sicher authentifizierte Identitäten elektronisch erteilt wird, ist für den Fall eines zu bearbeitenden Incidents vorzusorgen. Unternehmen sollten jetzt ihre Incident Management Prozesse hinsichtlich Consent Management, Auskunftsprozess und neuer Fristen hinterfragen und anpassen. Schlüsselinformationen hierzu ergeben sich vor allem aus dem Blickwinkel der Consent Journey.

Customer Journey vs. Consent Journey

Während die Customer Journey sich vor allem mit dem Nutzungs-, Konsum- und Informationsverhalten von Kunden beschäftigt, ist die Betrachtung und Optimierung der Consent Journey auf die Erfüllung folgender Bedürfnisse und Pflichten ausgerichtet:

  • Schnelle, transparente Einsicht über erteilte Einwilligungen
  • Direkte Sichtbarkeit der Nutzung von Kundendaten
  • Interaktion im Rahmen von ausgeübten Betroffenenrechten
  • Nachweispflichten zu Einwilligungen, Darstellung der betroffenen Datenverarbeitungen


Aus der gemeinsamen Betrachtung von Consent und Customer Journey ergeben sich folgende Anforderungen für IT Organisation, Service und Betrieb:

  • Customer Identity & Access Management (CIAM) als Basis für die Nachweisbarkeit von Einwilligungen und Verarbeitungsprozessen sowie als Lösung für sichere Authentifizierung
  • Incident Management als zentrales Element für IT-, Security- und Identity Prozesse
  • Business Continuity Management als Prozess für ganzheitliches Resiliency-Planning

Wir begegnen den Anforderungen der PSD2 an Incident Management und CIAM mit unserer Expertise aus ITSM, BPM und GRC.

Ventum Consulting hat bereits Anfang 2018 standardisierte, vollautomatisierte und modulare Prozesse für die DSGVO angeboten und seitdem zahlreiche Projekte erfolgreich durchgeführt. Die Anforderungen von EU Regulierungen wie PSD2 und den daraus abgeleiteten nationalen Gesetzen sehen wir als Chance der digitalen Durchdringung. Unsere Kunden aus den Bereichen Payment, Banking, Digital Services und Automotive profitieren durch die frühe Identifikation von Potentialen, die wir interdisziplinär adressieren.

Unsere beschriebenen Ansätze für Incident und Customer Identity & Access Management helfen, Kundenbeziehungen durch Schaffung nachhaltiger Prozesse und sicherer Technologien rechtskonform, transparent und persönlich zu gestalten. Wir sind Experten für die Vernetzung von Serviceprozessen, Security und Compliance. Gemeinsam mit uns erfüllen Sie die Anforderungen, die durch EU-Regulierungen an Ihr Business gestellt werden und steigern den Wertbeitrag Ihrer IT.

Kontakt

Ihre Ansprechpartner

Philipp Karner

T. +49 89 122219642
philipp.karner@ventum.de

Philipp Schneidenbach

T. +49 89 122219642
philipp.schneidenbach@ventum.de

Zum Weiterlesen

Das könnte Sie auch noch interessieren.