Intellias
Fallstudie

DSGVO Sicherheitsprotokolle für eine Enterprise eLearning-Lösung

Wir halfen einem globalen Anbieter von eLearning-Plattformen die DSGVO-Anforderungen bezüglich Datenschutz und Schutz der personenbezogenen Daten der Nutzer zu erfüllen

Hauptmerkmale

  • Einhaltung der gesetzlichen Bestimmungen der Europäischen Union

    Einhaltung der gesetzlichen Bestimmungen der Europäischen Union

  • Recht des Nutzers auf Schutz der Privatsphäre

    Recht des Nutzers auf Schutz der Privatsphäre

  • Implementierung automatisierter Funktionen, damit Nutzer ihre Daten kontrollieren können

    Implementierung automatisierter Funktionen, damit Nutzer ihre Daten kontrollieren können

Branche:
eLearning, EdTech
Hauptsitz:
American Fork, Utah
Markt:
Vereinigte Staaten, Asien, Australien, Europa
Teamgröße:
45 Mitglieder
Zusammenarbeit:
seit 2011
Technologien

Hangfire Jobs / MS Application Insights / MS Azure

Über den Kunden

Unser Kunde ist ein globaler Anbieter einer Cloud-basierten eLearning-Plattform, die Menschen beibringt, wie man Software einsetzt und nutzt. Das Unternehmen hat seinen Sitz in den Vereinigten Staaten und bietet seine Dienstleistungen für Fortune-500-Unternehmen an. Die eLearning-Plattform vermittelt Mitarbeitern, wie sie das Beste aus ihrer Unternehmenssoftware herausholen können und zwar auf eine Art und Weise, die für ihre Arbeit, und ihren Lernstil relevant ist. Unser Kunde verfügt über zwanzig Jahre Erfahrung in der Schulung von Anwendern durch tausende von durchsuchbaren und teilbaren Video-Tutorials, Online-Sitzungen, Assessments, Dateien und Web-Quellen zu Novell-, Corel- und Microsoft-Produkten (Windows, Office, OneDrive, Skype, usw.).

DSGVO Sicherheitsprotokolle für eine Enterprise eLearning-Lösung

Unser Kunde kam mit einer Herausforderung

Unsere Zusammenarbeit mit diesem Kunden begann im Jahr 2011, als man sich entschloss, vom Publikations- zum SaaS-Geschäftsmodell überzugehen. Das Unternehmen musste eine völlig neue Cloud-basierte eLearning-Plattform entwickeln und wollte diese auf dem neuesten Stand der Technik entwickeln. Sie wählten Microsoft Azure, da es frisch auf dem Markt war und das Potenzial hatte, alle ihre Bedürfnisse zu decken. Intellias hatte bereits Softwareentwickler, die sich bemühten, diese neue Technologie zu beherrschen, so dass es perfekt passte.

Als sich unsere Zusammenarbeit zu einer langfristigen Partnerschaft entwickelte, begann unser Kunde kontinuierlich neue Funktionen für seine Benutzer bereitzustellen. Auch expandierten Sie auch in neue Märkte. Das Unternehmen erreichte Firmenendkunden in Europa. Dann führte eine neue Welle von Datenlecks und Datenschutzverletzungen bei einigen weltbekannten Marken zu neuen Vorschriften und strengen Anforderungen an den Datenschutz.

Eine der bekanntesten dieser neuen Regelungen ist die Datenschutz-Grundverordnung (DSGVO). Unser Kunde musste die Anforderungen der DSGVO erfüllen, da seine Plattform personenbezogene Nutzerdaten verarbeitet.

Endkunden – in der Regel große Unternehmen – erhalten Zugriff auf die eLearning-Plattform unseres Kunden, um das Potenzial ihrer Mitarbeiter freizusetzen, indem sie ihnen den Umgang mit Unternehmenssoftware beibringen. Um Zugang zur Plattform zu erhalten, müssen Mitarbeiter Nutzerprofile erstellen, die personenbezogene Daten enthalten: Vor- und Nachname, Berufsbezeichnung, E-Mail-Adresse, Foto und IP-Adresse. Da unser Kunde Endkunden in der EU hat, musste er eine ganze Reihe an Sicherheitsmaßnahmen anbieten, um die Anforderungen der DSGVO zu erfüllen.

Unser Kunde musste alle Berührungspunkte mit seinen Nutzern erkennen, um sie über die neuen Geschäftsbedingungen zu informieren, den Nutzern zu zeigen, wie sie ihre personenbezogenen Daten kontrollieren können und sicherzustellen, dass die Nutzerdaten sicher geschützt sind. Eine weitere Herausforderung war, die notwendigen Aktionen zu automatisieren, nachdem ein Nutzer eine Aufforderung zur Datenentnahme, zum Löschen von Daten oder zur Überprüfung der gesammelten Daten gestellt hat. Unser Kunde musste all diese Änderungen an jedem Berührungspunkt mit problemlosen Synchronisationsoptionen vornehmen, damit laufende Änderungen überall implementiert werden konnten.

Wir entwickelten ein Sicherheitsprotokoll nach DSGVO

Unser Kunde beschäftigte sich sehr ernsthaft mit der Einhaltung von DSGVO, um seine Dienstleistungen für europäische Kunden erbringen zu können. Sie setzten einen eigenen Datenschutzbeauftragten ein, der alle Schritte zur Einhaltung der DSGVO-Standards überprüft. Seit dem ersten Tag unserer Zusammenarbeit deckt Intellias den gesamten Entwicklungsprozess für die MS Azure-basierte eLearning-Plattform unseres Kunden ab, weshalb wir mit der Entwicklung eines DSGVO-Sicherheitsprotokolls für dieses Produkt beauftragt wurden.

Unsere Hauptaufgabe bestand darin, alle Anforderungen der DSGVO zu erfüllen und alle notwendigen Schritte zur Einhaltung der Sicherheitsstandards durchzuführen.

Ziele und Erfolge

  1. Personenbezogene Daten definieren. Wir mussten klar definieren, welche Nutzerdaten als personenbezogene Daten anzusehen sind und in welchen Situationen diese Daten durch DSGVO geschützt sind. Wir haben uns mit Juristen zu diesem Thema beraten und personenbezogene Daten als Daten definiert, die eine Person identifizieren. Wir entschieden uns für die IP-basierte Standortkennzeichnung um die DSGVO-Regeln anzuwenden. Wenn sich ein Nutzer in Europa befindet, wenden wir alle notwendigen Prozesse an. Wir berücksichtigten auch den speziellen Fall, wenn ein Nutzer über VPN aus einem anderen Land arbeitet, aber eine IP-Adresse in Europa zugewiesen hat. Um diese Möglichkeit in Betracht zu ziehen, haben wir uns entschlossen, den Nutzern immer die Möglichkeit zu geben, ihren Standort manuell zu bestätigen. Ein Nutzer sieht ein Popup-Fenster mit Informationen über seinen Standort und hat dann die Wahl, ob er weiteren DSGVO-Verfahren zustimmt oder nicht.
  2. Einwilligung zur Datenerhebung einholen. Wir brauchten ein klares Einverständnis der Nutzer, um personenbezogene Daten wie Vor- und Nachnamen, Tätigkeitsfelder, E-Mail-Adressen, Fotos und IP-Adressen zu sammeln. Diese Zustimmung muss an jedem Berührungspunkt gesehen werden, an dem die Nutzer mit der Lösung des Kunden interagieren und Daten über sich selbst angeben können. Ein spezieller Anwendungsfall wurde für Nutzer im Alter von 13 bis 16 Jahren entwickelt, da sie die Erlaubnis der Eltern oder eines anderen verantwortlichen Erwachsenen benötigen, um ihre personenbezogene Daten weiterzugeben. Dieser Fall galt jedoch nicht für unseren Kunden, da er nur für Mitarbeiter von Unternehmen gilt, die unbedingt älter als 16 Jahre sein müssen. Dennoch mussten wir sicherstellen, dass alle Standards eingehalten werden und ein spezielles Szenario für diese Altersgruppe enthalten.
  3. Nutzerrechte kommunizieren. Wir mussten den Nutzern ihre Rechte auf Löschung ihrer personenbezogenen Daten mitteilen, auf ihre personenbezogenen Daten zugreifen, sie ändern, einen Bericht darüber anfordern, welche Daten gesammelt wurden sowie vergessen werden und die Datenerhebung einstellen. Die Rechte sicherzustellen ist für die Einhaltung der Vorschriften unerlässlich und wir mussten alle diese Anfragen der Nutzer innerhalb der folgenden Fristen bearbeiten: 72 Stunden, um den Nutzer über einen möglichen Datenverlust zu informieren, 72 Stunden, um Anfragen bezüglich personenbezogener Daten zu beantworten und 30 Tage, um alle Daten zu löschen.
  4. Datenschutz durch Design und Datenübertragbarkeit. Wir haben ein Berichtsystem entwickelt, das alle gesammelten Informationen über Nutzer erfasst, einschließlich der personenbezogenen Daten, die sie in ihren Nutzerprofilen und ihren Log-Stories teilen. Diese Berichte bieten eine wesentlich einfachere Möglichkeit, die Daten nach jeder einzelnen Anfrage eines Nutzers einzusehen. Sie verbessern auch die Übertragbarkeit der Daten, indem sie alle Nutzerdaten an einem Ort ablegen. Dies ermöglicht eine schnelle Reaktion, wenn ein Nutzer alle seine Daten herunterladen möchte. Wir integrierten die Berichtserstellung in die Lösungsarchitektur.

Gemeinsam erzielten wir großartige Ergebnisse

Wir unterteilten den Einhaltungsprozess der DSGVO in zwei Phasen. Die erste Phase war dringender, da sie sich mit Dingen befasste, die für den weiteren Betrieb auf dem Markt der Europäischen Union notwendig waren. Die zweite Phase ist ein kontinuierlicher Verbesserungsprozess zur Optimierung der Prozesse in Bezug auf die Nutzerdaten. Die erste Phase ist bereits abgeschlossen. In dieser Phase haben wir folgende Maßnahmen umgesetzt:

  • Erstellung einer MS Azure-basierten Maschine zur Generierung von Berichten über alle Nutzerdaten an jedem Berührungspunkt mit Kundenbetreuung
  • Erstellung eines automatisierten Algorithmus zum Löschen von Daten auf Nutzerwunsch, einschließlich der Protokolldaten
  • Entwicklung einer maßgeschneiderten Benutzeroberfläche für die Interaktion mit Nutzern bei Fragen zum Datenschutz
  • Hinzufügen einer Admin-Funktionalität, damit Kunden die Daten ihrer Mitarbeiter löschen können
  • Einrichten eines Benachrichtigungssystems für Administratoren auf der Endkundenseite über die Aktivitäten der Nutzer in Bezug auf Datenoperationen
  • Synchronisieren aller Berührungspunkte, um aktualisierte Geschäftsbedingungen zu versenden, auch wenn ein Nutzer einer früheren Version der Geschäftsbedingungen zugestimmt hat
  • Implementierung eines Überwachungssystems zur Erkennung abgelaufener Kunden, die ihre Lizenz für das Produkt des Kunden nicht verlängert haben, um ihre Daten automatisch zu löschen

Jetzt durchlaufen wir die zweite Phase. Wir arbeiten an einer aufschlussreicheren Sicht für die Nutzer, welche Daten gesammelt werden. Im Einzelnen erstellen wir umfassende Berichte mit Dashboards und Diagrammen, um die Daten für die Nutzer zu visualisieren und ihnen ein besseres Verständnis dafür zu vermitteln, wie ihre Daten von unseren Kunden verwendet werden.

Danke für Ihre Nachricht.
Wir melden uns in Kürze bei Ihnen.