Zum Inhalt springen

EU-Datenschutz-Grundverordnung

DSGVO-konforme Identitäts- und Authentifizierungsinfrastruktur

Identitätsplattformen verarbeiten per Definition personenbezogene Daten: Benutzernamen, E-Mail-Adressen, Authentifizierungsverlauf, Session-Daten und manchmal sensible Attribute. Wir stellen sicher, dass Keycloak, Authentik und Zitadel auf Infrastruktur laufen, die die DSGVO-Anforderungen für Identitäts-Auftragsverarbeiter erfüllt.

AVV anfordern Compliance-Übersicht ansehen

Was ist die DSGVO?

Jedes System, das Benutzerkonten verwaltet, verarbeitet personenbezogene Daten im Sinne der DSGVO. Identitätsprovider und SSO-Plattformen sind besonders sensibel: Sie speichern Authentifizierungsnachweise, Zugriffsverläufe, Rollenzuweisungen und manchmal Attribute, die besondere Kategorien darstellen.

In Kraft seit

25. Mai 2018

Geltungsbereich

Jede Org., die EU-Personendaten verarbeitet

Höchststrafe

20 Mio. € oder 4 % des Jahresumsatzes

Meldepflicht

72 Stunden

Zentrale DSGVO-Pflichten für Identitätsplattformen

Identitätsprovider verarbeiten personenbezogene Daten an der Basis Ihres Stacks. Diese sechs Artikel regeln, was Sie tun müssen — und wie unsere verwaltete Infrastruktur jeden einzelnen abdeckt.

1

Art. 5 — Grundsätze der Verarbeitung

Authentifizierungsdaten dürfen nur für Authentifizierungszwecke erhoben werden, nicht an Dritte weitergegeben werden und müssen gelöscht werden, wenn sie nicht mehr benötigt werden. Richtlinien zur Bereinigung inaktiver Nutzer und Attributminimierung sind Teil des DSGVO-konformen Identitätsmanagements.

2

Art. 6 — Rechtmäßigkeit der Verarbeitung

Authentifizierungsdaten werden typischerweise auf Basis eines Vertrags (Art. 6 Abs. 1 lit. b) verarbeitet — der Nutzer hat Ihren Nutzungsbedingungen zugestimmt. Für Mitarbeiter-SSO ist berechtigtes Interesse (Art. 6 Abs. 1 lit. f) angemessen.

3

Art. 17 — Recht auf Löschung

Nutzer haben das Recht, die Löschung ihrer Konten und zugehörigen Daten zu verlangen. Unsere verwalteten Identitätsplattformen unterstützen vollständige Nutzer-Lösch-Workflows — einschließlich kaskadenartiger Löschung von Sessions, Tokens und gespeicherten Attributen.

4

Art. 28 — Auftragsverarbeiter

Wir handeln als Ihr Auftragsverarbeiter für alle Identitäts- und Authentifizierungsdaten. Unser AVV deckt die spezifischen Unterauftragsverarbeiter für das Hosting Ihres Identitätsproviders ab. Keine Nutzerdaten werden über das von Ihnen konfigurierte Maß hinaus weitergegeben.

5

Art. 32 — Sicherheit der Verarbeitung

Identitätsprovider sind hochwertige Angriffsziele. Wir betreiben verwaltete Deployments mit dedizierten Ressourcen pro Mandant, verschlüsselter Speicherung, TLS überall und regelmäßigen Schwachstellenbewertungen — um die Angriffsfläche zu reduzieren, die DSGVO Art. 32 verwaltet zu haben verlangt.

6

Art. 33 — Meldung von Datenschutzverletzungen

Eine Verletzung Ihres Identitätsproviders betrifft jeden Nutzer mit Zugang. Wir überwachen unbefugte Zugriffe und benachrichtigen Sie innerhalb von 72 Stunden nach einem erkannten Vorfall, damit Sie Ihre Meldepflicht erfüllen können.

Identitätsdaten — wo Sicherheit und Datenschutz sich treffen

Identitätssysteme sind gleichzeitig Sicherheitsinfrastruktur und Hochrisiko-Personendatenverarbeiter. Die DSGVO gilt für jedes Benutzerkonto, jedes Login-Ereignis, jedes ausgestellte Token.

  • Art. 17-Lösch-Workflows: Wenn ein Nutzer Löschung beantragt, müssen Token-Widerruf, Session-Invalidierung und Attributlöschung erfolgen — unsere verwalteten Plattformen unterstützen dies
  • Art. 20 Übertragbarkeit: Nutzer können ihre Identitätsdaten in einem portablen Format anfordern — Export-Funktionalität ist auf allen verwalteten Plattformen verfügbar
  • Art. 5 Abs. 1 lit. e Speicherbegrenzung: Konfigurieren Sie automatisches Deprovisioning inaktiver Konten, um ohne manuellen Eingriff konform zu bleiben

Was wir für DSGVO-Compliance bereitstellen

  • Auftragsverarbeitungsvertrag (AVV) auf Anfrage
  • EU-Datenspeicherung — Nürnberg (primär) + Falkenstein (DR)
  • Audit-Logs aufbewahrt und exportierbar
  • Datenexport auf Anfrage (Art. 20 Übertragbarkeit)
  • Datenlöschung auf Anfrage (Art. 17 Löschrecht)
  • 72-Stunden-Benachrichtigung an Sie (Art. 33)
  • Verschlüsselte Backups innerhalb der EU gespeichert
  • Liste der Unterauftragsverarbeiter auf Anfrage

Ihr DSGVO-konformer Identitäts-Stack

Fünf verwaltete Identitätsplattformen — mit EU-Datenspeicherung, vollständiger AVV-Abdeckung und eingebetteten Lösch-Workflows.

IAM / SSO

Keycloak

Enterprise SSO & IAM — open source, fully managed

ab €40 /Monat

IAM / SSO

Authentik

Modern open-source SSO — flow-based, developer-friendly, fully managed

ab €30 /Monat

IAM / SSO

Zitadel

Cloud-native IAM built for modern SaaS and developer teams

ab €30 /Monat

Modern LDAP / IAM

Kanidm

Modern Rust-based IAM — built for security and simplicity

ab €20 /Monat

Lightweight LDAP

LLDAP

Lightweight LDAP — simple user directory for teams that don't need complexity

ab €15 /Monat

Fragen zur DSGVO und Identitätsmanagement?

Fordern Sie unseren AVV an, fragen Sie nach Nutzer-Lösch-Workflows oder besprechen Sie die Rechtsgrundlage für Ihren spezifischen Anwendungsfall. Wir antworten innerhalb eines Werktages.

AVV anfordern