2005 haben die Datenschutzbeauftragten in der „Erklärung von Montreux“ an international anerkannte Datenschutzprinzipien erinnert. Diese sind:
- Prinzip der Zulässigkeit und Rechtmäßigkeit der Erhebung und Verarbeitung der Daten
- Prinzip der Richtigkeit
- Prinzip der Zweckgebundenheit
- Prinzip der Verhältnismäßigkeit (vgl. Verhältnismäßigkeitsprinzip)
- Prinzip der Transparenz
- Prinzip der individuellen Mitsprache und namentlich der Garantie des Zugriffsrechts für die betroffenen Personen
- Prinzip der Nicht-Diskriminierung
- Prinzip der Sicherheit
- Prinzip der Haftung
- Prinzip einer unabhängigen Überwachung und gesetzlicher Sanktionen
- Prinzip des angemessenen Schutzniveaus bei grenzüberschreitendem Datenverkehr
Diese Prinzipien ergeben einen Rahmen für die Identity-Management-Prozesse und -Systeme in Unternehmen.
§ 9 BDSG plus Anlage
Hier finden sich Angaben zu den erforderlichen Datensicherheitsmaßnahmen für IT-Systeme. Diese enthalten ganz konkrete Anforderungen zum Identity- und Access Management:
- Verhinderung unbefugter Zugriffe
- Gewährleistung des Need-to-know-Prinzips
- Sicherstellung der Überprüfbarkeit von Datenübermittlungen
- Nachvollziehbarkeit der Zugriffe
- Zweckbindung der Datenverarbeitung durch die getrennte Verarbeitung personenbezogener Daten