Identitätsmanagement, Datenschutz und Pseudonyme

Viele moderne Organisationen müssen aus Sicherheits- und Compliance-Gründen, also aufgrund von sicherheitsbezogenen Industrienormen wie etwa ISO 27001 und PCI DSS, ein stringentes Identitätsmanagement Ihrer Anwender vorweisen können. Bei Unternehmen sind dies die Mitarbeiter, die Zugang zur Informationstechnik haben. Es soll dabei jederzeit klar nachweisbar sein, welcher Anwender wann auf welche sicherheitskritischen Daten zugegriffen hat. Ist dies nicht der Fall, bekommt ein Unternehmen beispielsweise kein Zertifikat, um aktiv am internationalen Zahlungsverkehr mittels Kreditkarten teilnehmen oder in diesem Bereich Dienste anbieten zu können.

Wenn diese Vorschriften mit den Vorgaben des Mitarbeiterdatenschutzes kollidieren, lässt sich firmenintern recht gut mit Mitteln wie dem Vier-Augen-Prinzip eine Balance zwischen den jeweils unterschiedlichen Anforderungen und Schutzzielen herstellen: Zugriff auf die Protokolldaten, die die Aktionen der Mitarbeiter festhalten, ist dann beispielsweise nur dann erlaubt, wenn auch ein Mitglied der Arbeitnehmervertretung oder der Datenschutzbeauftragte nachweislich anwesend sind.

Schwierig wird dies, wenn ein Unternehmen nun seinerseits fremde Systeme einsetzt, die ihm via Internet-Verbindung zur Verfügung gestellt werden. Dies kann etwa eine „Cloud“-Lösung für Abrechnungszwecke sein, die das Unternehmen selbst nicht anschaffen will. Die Datenschutzvorgabe, die persönlichen Informationen über die eigenen Mitarbeiter und ihr Tun auch in diesem Fall gegen unfaire Auswertung zu sichern und in einem vom lokalen Datenschutzrecht begrenzten Rahmen zu halten, lässt sich innerhalb solch eines Konstrukts kaum noch erfüllen – vor allem dann nicht, wenn das angemietete System außerhalb der Grenzen des eigenen Kultur- und Rechtsraums angesiedelt ist.

Was also tun?

Die internationale Sicherheitscommunity entdeckt hier plötzlich das lange Zeit eher ungeliebte Prinzip der „Pseudonymität“ wieder, wie dieser Beitrag auf Computerweekly.com zeigt. Jeder Organisationsangehörige, der den externen Service benutzt, tritt dort mit einem von seiner eigenen Organistaion aufgesetzten Pseudonym und einem Satz an Rechten auf, die seiner Rolle im Business-Prozess entsprechen. Die Unternehmen werden in ihrem Bereich zu Identitätstreuhändern und Datenschutz-Garanten, aber auch Reputationsgaranten ihrer Mitarbeiter gegenüber dem externen Dienst. Wenn dieses Verfahren Schule macht, wird es im Internet bald deutlich mehr Akteure geben, die zumindest ihren direkten Kommunikationspartnern gar nicht mehr bekannt sind.

Die venezianischen Bautaträger und ihr Verhältnis zum venezianischen Staat lassen sich damit kaum vergleichen, schon allein weil dort keine unterschiedlichen Masken an sich wieder individuelle Pseudonyme erzeugten, sondern eine immer gleiche generische Rollenmaske verwendet wurde. Vergleichbar ist allerdings, dass auch hier die Zugehörigkeit zu einer gesellschaftlichen Gruppe den „Maskenträgern“ Reputation verschaffte, und dass das Recht zum Verbergen der eigenen Identität an ein korrektes Verhalten in einem vorgegeben Rahmen gebunden war. Was in Venedig fehlte und worauf man bewusst verzichtete, war die ständige, zuverlässige Zurechenbarkeit individueller Handlungen unter der Maske, die das moderne Pseudonymitätskonzept unbedingt durchsetzen will.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s