Georg`s Blog

Mit fortschreitender Vernetzung von Menschen, Maschinen und Diensten sowie insbesondere durch die strengeren Regelungen zum Umgang mit personenbezogenen Daten im Rahmen der DSGVO, wird das Thema Identitätsmanagement immer wesentlicher im Zeitalter der Digitalisierung. Während die Verwaltung von digitalen Identitäten derzeit in erster Linie von nationalen Behörden oder Internet Anbietern verwaltet werden, gibt es bereits Ansätze, diese zukünftig von der betroffenen Person selbst verwalten zu lassen, wodurch sie somit die komplette Hoheit über ihrer digitalen Identität erhält. Diese Verwaltung der eigenen digitalen Identität kann dabei nicht national erfolgen, sondern muss global und über die Landesgrenzen hinweg funktioneren.  In der nachfolgenden Zusammenfassung des Artikels von Der et al. werden nun einige Rahmenbedingungen und Herausforderungen erläutert, die ein solches System an selbstverwalteten digitalen Identitäten mit sich bringt.

Digitale Identität vs. tatsächliche Identität

Unter einer digitalen Identität verstehen die Autoren einen „Schnappschuss der tatsächlichen Identität“ einer Entität, also egal ob das nun eine Person, eine Institution oder ein Ding ist. Denn nicht nur die eindeutige Identifikation von Menschen (bspw. klassisch per eID eines Personalausweises, Chipkarten, etc.) mag in vielen Bereichen relevant sein. Auch wenn es um den Austausch von Daten, Werten, Gelder etc. kann deren Herkunft oder Quelle ein wesentlicher Aspekt sein. Während die tatsächliche Identität alle Merkmale umfasst, die einer bestimmten Entität zugewiesen werden können und die sie somit einzigartig macht, ist bei der digitalen Identität nur ein Bruchteil der Merkmale der betroffenen Entität enthalten, die für einen bestimmten Zweck und teilweise auch nur für eine bestimmte Zeit (zB. Wohnort, Gesundheitszustand, etc.) Gültigkeit haben. Eine Entität hat somit nur eine einzige Identität, aber kann unbegrenzt viele digitale Identitäten haben. 

Bei Verwaltung von digitalen Identitäten sind besonders zwei Eigenschaften relevant, nämlich Schutz der Privatsphäre und Vertrauenswürdigkeit. Unter Privatsphäre versteht man in diesem Kontext, dass wenn jemand (eine andere Person, eine Institution, ein System, etc.) einen Zugriff auf die digitale Identität einer bestimmten Person haben möchte, diese Person den Zugriff explizit zulassen muss. Die Vertrauenswürdigkeit sagt hingegen aus, dass die Informationen, die hinter einer digitalen Identität stecken, korrekt sind und dass diese tatsächlich zur betroffenen Person/ Entität gehören.

Selbstverwaltete digitale Identitäten für Personen

Während digitale Identitäten zunächst zentral verwaltet wurden (bspw. IP-Adress-Zuweisung über IANA), wurden mit Initiativen wie OpenID sogenannte User-centric Identities populärer, da sie den Nutzern mehr Kontrolle über ihre eigenen Identitäten versprechen sollten. Fakt ist jedoch, dass die Erstellung der Identitäten zumeist nach wie vor bei großen Dienstanbietern wie Facebook, Google und Co erfolgt, die die Kontrolle über die digitalen Identitäten ihrer Nutzer haben und diese auch jederzeit löschen können. Um sich dieser Kontrolle der mächtigen Internetriesen zu entziehen, gibt es eben nun Konzepte einer selbstverwalteten Identität. Dabei kann jede Person sich seine eigenen digitalen Identitäten erstellen und verwalten und ist darüberhinaus auch für die Wahrung der Privatssphäre und Vertrauenswürdigkeit selbst verantwortlich. Für ein reibungsloses Funktionieren sind laut den Autoren folgende  Punkte zu beachten: 

• „Existenz des „Ichs“ einer Person unabhängig von Identitätsverwaltern,
• Kontrolle der digitalen Identitäten durch die Person selbst,
• vollständiger Zugang zu den eigenen Daten,
• Transparenz von Systemen und Algorithmen,
• Persistenz (Langlebigkeit) digitaler Identitäten,
• Portabilität digitaler Identitäten,
• Interoperabilität digitaler Identitäten,
• Datensparsamkeit,
• Schutz der Rechte der Person.“ (Q1)

Wenn nun jeder seine eigenen Identitäten anlegen kann, stellt sich natürlich die Frage, wie diese verifiziert, also der Person zugeordnet werden können?  Nun dafür muss die Person, die die digitale Identität erstellt hat, Belege von Dritten einholen, die bestätigen, dass die enthaltenen Informationen korrekt sind. Beispielsweise kann mittels einer Bestätigung vom Meldeamt die Echtheit des angegebene Wohnsitzes bei Bedarf bescheinigt werden.  Es muss dabei auch nicht die Echtheit der Information als solche bewiesen werden, sondern die Echtheit der Belege muss glaubhaft gemacht werden, indem diese bspw. von Dritten signiert werden.

Der Vorteil dieser selbstverwalteten digitalen Identitäten liegt dabei definitiv darin, dass die betroffenen Personen die volle Kontrolle darüber haben, egal wo sie wohnen, ob sie in ein anderes Land immigrieren und welche sozialen Netzwerken sie angehören – oder eben nicht angehören. Dadurch erhöht sich natürlich auch die Transparenz, da der User nun selbst entscheidet, welche Daten er wem freigibt.

Auf der anderen Seite bedeutet dieser Gewinn an Kontrolle und Verantwortung jedoch auch der Verlust an Komfort, den eben Dienstanbieter wie Facebook und Co bieten, indem sie Entscheidungen für Ihre User Treffen (Technologie zur Speicherung der eigenen Daten, Erbringen von Vertrauenswürdigkeitsnachweisen,…). Im Artikel werden darüber hinaus noch weitere Herausforderungen geschildert:

• „Schutz der Privatsphäre der Personen bei der Transaktion von Nutzungsrechten, insbesondere auch weitreichende Probleme wie zum Beispiel die Erschwerung des Profiling durch Dritte,
  
  
• Transparenz zwischen den an der Transaktion beteiligten Personen und Diensten, bedeutet insbesondere auch den Konsens über den Inhalt und Ablauf der Transaktion,
  
  
• Persistenz von digitalen Identitäten und Transaktionen damit auch über längere Zeiträume Nachvollziehbarkeit besteht, 
  
  
• Vertrauenswürdigkeit der digitalen Identitäten und der dafür notwendigen Nachweise,
  
  
• Konsistenz zwischen den in einer Transaktion gewährten Nutzungsrechten und der realen Nutzung der Daten, 
  
  
• Kompatibilität und Standardisierung technischer Schnittstellen und Formate für den sicheren Austausch digitaler Identitäten“ (Q1).

Die Blockchain Technologie könnte  dabei bei einigen dieser Herausforderungen hilfreich eingesetzt werden.

ISÆN-Konzept

Für die Verwaltung von digitalen Identitäten könnte die französische Standardisierungsinitiative ISÆN (Individual perSonal data Auditable addrEss Number) (Q2) herangezogen werden, die eine verbesserte Kontrolle über personenbezogenen Daten ermöglichen soll, das mit der EU Datenschutzgrundverordnung abgestimmt ist. U.a. sollen dabei folgende Bereiche mitberücksichtigt werden:

• "die Erstellung einer eigenen Kernidentität (Namen, biometrische Merkmale,..) 
  
  
• die Ableitung transaktions-gebundener Identitäten aus der Kernidentität,
  
  
• das Einholen expliziter Einwilligung und
  
  
• die Protokollierung der Transaktionen in einem öffentlichen, verteilten Kassenbuch (public distributed ledger) Damit wird ersichtlich, wer welche der eigenen persönlichen Daten verarbeitet." (Q1)

Quellen:

[Q1]: Der, Uwe; Jähnichen, Stefan; Sürmeli, Jan (2018) Selbstverwaltete digitale Identitäten – Chancen und Herausforderungen für die weltweite Digitalisierung. In: Bär, Grädler et al. (Hg.) 2018 – Digitalisierung im Spannungsfeld von Politik. Berlin, Heidelberg

[Q2]:https://www.digitale-technologien.de/DT/Redaktion/DE/Downloads/Publikation/2017-02-09_smartdata_steckbrief_isaen.pdf?__blob=publicationFile&v=9, abgerufen am 03.06.2018.

Das Konzept klingt vielversprechend. Ich habe mir gerade vorgestellt, dass damit sogar Reisepässe in Zukunft ersetzt werden könnten. Das würde einen hohen Sicherheitsfaktor im internationalen Reiseverkehr darstellen.

Hier eine umfangreiche Beschreibung des ISÆN-Konzepts inkl. Anwenungsbeispiele:

https://www.digitale-technologien.de/DT/Redaktion/DE/Downloads/Publikation/smartdata_studie_isaen.pdf;jsessionid=17567DAA9A3C238115343EE41E5EC9AF?__blob=publicationFile&v=4