Die Frage „Ist Keycloak DSGVO-konform?“ taucht häufig auf – nicht nur bei Keycloak, sondern bei nahezu jeder Software, die personenbezogene Daten verarbeitet. Doch so einfach lässt sich diese Frage nicht mit Ja oder Nein beantworten. Tatsächlich ist sie in dieser Form sogar etwas irreführend.
DSGVO-Konformität ist keine Produkteigenschaft
Ein Produkt – ob Open Source oder kommerziell – ist nie „per se“ DSGVO-konform oder nicht. Die Datenschutz-Grundverordnung stellt Anforderungen an die Verarbeitung personenbezogener Daten durch Unternehmen. Ob eine Software diese Anforderungen unterstützt oder behindert, hängt vom konkreten Einsatzszenario, der Konfiguration und dem betrieblichen Umfeld ab.
Mit anderen Worten: Es geht nicht nur darum, was Keycloak technisch kann, sondern wie ein Unternehmen Keycloak einsetzt.
Beispiel:
Sowohl Unternehmen A als auch B aktivieren die Login-Protokollierung in Keycloak.
Bei A dient sie der Zugriffskontrolle im internen Netzwerk, mit klarer Information, begrenzter Aufbewahrung und legitimer Interessenabwägung – DSGVO-konform.
Bei B erfolgt keine Nutzerinformation, es gibt keine klare Zweckbindung oder Löschregelung – also nicht DSGVO-konform. Die Maßnahme ist technisch identisch, aber rechtlich unterschiedlich zu bewerten.
Worauf es wirklich ankommt
Wer die DSGVO ernst nimmt, sollte sich bei der Nutzung von Keycloak (und jeder anderen IAM-Lösung) folgende Fragen stellen:
- Transparenz: Werden Nutzer transparent darüber informiert, welche Daten erhoben und wie sie verwendet werden?
- Zweckbindung: Werden personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke verarbeitet?
- Datensparsamkeit: Werden nur die wirklich notwendigen Daten gespeichert?
- Rechte der Betroffenen: Gibt es Funktionen zur Erfüllung von Auskunfts-, Berichtigungs- oder Löschanfragen?
- Sicherheit: Ist die Verarbeitung durch technische und organisatorische Maßnahmen geschützt (z. B. Verschlüsselung, Zugriffskontrolle)?
- Protokollierung: Wird dokumentiert, wer wann auf welche Daten zugegriffen hat?
- Datenverarbeitung im Auftrag: Wird Keycloak durch einen Hoster betrieben, der den Anforderungen an Auftragsverarbeitung entspricht?
Keycloak als Enabler für Datenschutz
Das Gute: Keycloak bringt viele Funktionen mit, die nicht nur einen DSGVO-konformen Betrieb ermöglichen, sondern sogar bei der Umsetzung von Datenschutzpflichten unterstützen. Ein Beispiel:
Recht auf Auskunft umsetzen:
Keycloak speichert detaillierte Informationen zu Benutzern, Anmeldungen, Gruppen- und Rollenmitgliedschaften. Diese Daten lassen sich gebündelt exportieren oder anzeigen, um sie einem Benutzer auf Anfrage zur Verfügung zu stellen – eine wichtige Voraussetzung für das Recht auf Auskunft nach Art. 15 DSGVOMit entsprechendem Customizing lassen sich auch weitere Datenschutzprozesse wie automatisierte Löschkonzepte, Token-Ablaufsteuerung oder die Anonymisierung von Logs realisieren.
Fazit
Keycloak ist kein „DSGVO-Produkt“, sondern ein mächtiges Werkzeug zur Benutzer- und Rechteverwaltung. Ob es DSGVO-konform genutzt wird, liegt in der Verantwortung des Unternehmens. Gut zu wissen: Die Plattform bietet viele Möglichkeiten, um gesetzliche Anforderungen technisch zu unterstützen – wenn man weiß, wie.