2005 haben die Datenschutzbeauftragten in der „Erklärung von Montreux“ an international anerkannte Datenschutzprinzipien erinnert. Diese sind:

  • Prinzip der Zulässigkeit und Rechtmäßigkeit der Erhebung und Verarbeitung der Daten
  • Prinzip der Richtigkeit
  • Prinzip der Zweckgebundenheit
  • Prinzip der Verhältnismäßigkeit (vgl. Verhältnismäßigkeitsprinzip)
  • Prinzip der Transparenz
  • Prinzip der individuellen Mitsprache und namentlich der Garantie des Zugriffsrechts für die betroffenen Personen
  • Prinzip der Nicht-Diskriminierung
  • Prinzip der Sicherheit
  • Prinzip der Haftung
  • Prinzip einer unabhängigen Überwachung und gesetzlicher Sanktionen
  • Prinzip des angemessenen Schutzniveaus bei grenzüberschreitendem Datenverkehr

Diese Prinzipien ergeben einen Rahmen für die Identity-Management-Prozesse und -Systeme in Unternehmen.

§ 9 BDSG plus Anlage
Hier finden sich Angaben zu den erforderlichen Datensicherheitsmaßnahmen für IT-Systeme. Diese enthalten ganz konkrete Anforderungen zum Identity- und Access Management:

  • Verhinderung unbefugter Zugriffe
  • Gewährleistung des Need-to-know-Prinzips
  • Sicherstellung der Überprüfbarkeit von Datenübermittlungen
  • Nachvollziehbarkeit der Zugriffe
  • Zweckbindung der Datenverarbeitung durch die getrennte Verarbeitung personenbezogener Daten