Wir sind heute mit einem neuen Leitfaden zurück, der diesmal ein spezielles Thema zu Datenschutz, digitaler Identität und GDPR ansprechen soll.

 

Was ist GDPR?

Privatsphäre und der Schutz persönlicher Daten ist ein zunehmend wichtiges Thema in der täglichen Debatte. Das wachsende Bewusstsein der “Nutzer” hat in der internationalen politischen Arena die Notwendigkeit hervorgebracht, Regelungen zu schaffen, die darauf abzielen, bestimmte Kardinalprinzipien der westlichen Kultur zu schützen: die Bedeutung der Privatsphäre und den Schutz des persönlichen Eigentums im Zeitalter der Infosphäre.

 

Eine der wichtigsten Regelungen in diesem Bereich, insbesondere für uns europäische Bürger, ist sicherlich die Verordnung (EU) Nr. 2016/679, die jeder als GDPR (General Data Protection Regulation) kennt. 

Die GDPR war sicherlich eine der wichtigsten Verordnungen der Welt, die sich auf den Schutz personenbezogener Daten bezieht. Diese Verordnung stellt durch die Vielzahl ihrer Artikel eine Reihe von Regeln auf, die darauf abzielen, mehr Privatsphäre und Kontrolle über die persönlichen Daten der Bürger zu bieten. Insbesondere wurde die GDPR geschaffen, um auf die digitalen Makrotrends und den Schutz der persönlichen Daten von Einzelpersonen zu reagieren. Die Verordnung schützt nämlich speziell die digitalen Rechte von Bürgern, Verbrauchern und generell all jenen, die als “natürliche Personen” und nicht als Gewerbetreibende (z. B. Unternehmen oder juristische Personen) handeln. 

Self-Sovereign und GDPR

In früheren Leitfäden haben wir erklärt, wie digitale Identitätsmanagement-Modelle nicht mit der Regulierung Schritt gehalten haben… wie oft haben Sie allein in diesem Monat davon gehört, dass Daten bei Hacking-Vorfällen gestohlen wurden oder Unternehmen persönliche Daten von Nutzern verloren haben?

 

Der unten stehende Fall ist nur ein Beispiel…

Glücklicherweise gibt es, wie wir bereits gesehen haben, eine mögliche Lösung für einige der Probleme, die die Welt der digitalen Identitäten heute weniger “sicher” machen: Self-Sovereign Identity (SSI). 

 

Indem sie den Nutzern die volle Kontrolle über ihre digitale Identität ermöglicht, zielt die SSI darauf ab, die Notwendigkeit, alle Grundrechte zu garantieren, die bisher bei der Gestaltung und Umsetzung des bekannten Webs vergessen wurden, wieder in den Mittelpunkt zu stellen. Das Kernprinzip dieser neuen technologischen Infrastruktur ist es, die Menschen endlich “souverän” über ihre persönlichen Daten zu machen.

 

Die Möglichkeit, keine persönlichen Daten in zentralisierten Datenbanken oder Registern zu registrieren und zu speichern (wo sie heute meist zur Aufbewahrung der persönlichen Daten der Nutzer verwendet werden), macht dieses neue Identitätsmanagement-Modell näher an den Bedürfnissen der Nutzer im Web und, wie wir sehen werden, auch für Unternehmen, die sich endlich dem Web nähern.

 

Koexistenz zwischen GDPR und Self-Sovereign Identity

Die bisher existierenden digitalen Identitätsmodelle koexistieren nicht gut mit den aktuellen Regelungen zu personenbezogenen Daten. 

Die Ankunft der SSI könnte in diesem Fall eine echte Revolution darstellen: Die Prinzipien des Schutzes, der Einschränkung und der Minimierung, die dem IT-Protokoll, aus dem die SSI besteht, innewohnen, sind mit denen der GDPR abgestimmt, die zum Schutz und zur Einschränkung der Nutzung und Verarbeitung der personenbezogenen Daten der Bürger geschaffen wurden.

Normalerweise könnte die Verwendung der Blockchain zur Speicherung personenbezogener Daten potenziell gefährlich sein und nicht mit den Prinzipien der GDPR übereinstimmen. Die Blockchain ist, wie Sie sich vielleicht aus dem vorherigen Leitfaden erinnern, in der Tat ein unveränderliches Hauptbuch, in dem Daten öffentlich angezeigt werden können. Jede Art von Daten, die einmal innerhalb eines Blocks platziert wurde, bleibt danach unveränderbar und kann zudem nicht mehr aus der Kette entfernt werden. Diese beiden Eigenschaften sind, wenn man darüber nachdenkt, ein großes Problem; vor allem, wenn ein Bürger beschließt, einige seiner persönlichen Daten zu entfernen, zum Beispiel aus dem Web.

Sogar Google, wie unten gezeigt, um im Einklang mit der Gesetzgebung zu sein, erlaubt es den Benutzern nun, die Löschung ihrer persönlichen Daten zu beantragen:

 

Lassen Sie uns nun zeigen, wie auf einer allgemeinen Ebene Self-Sovereign Identity mit dieser Verordnung koexistieren und eine Lösung im Einklang mit den vorgeschlagenen Prinzipien bieten könnte.

Wie in Artikel 5 der Verordnung definiert, basiert die GDPR auf sechs Grundprinzipien in Bezug auf den Schutz personenbezogener Daten:

  1. Fairness und Transparenz bei der Verarbeitung der personenbezogenen Daten der Nutzer.
  2. Begrenzung der Verarbeitung von Daten im Hinblick auf die Zwecke, für die sie erhoben werden: Das bedeutet, dass die personenbezogenen Daten der Nutzer von verschiedenen Unternehmen nur für die notwendigen Zwecke verwendet werden dürfen.
  3. Minimierung der verarbeiteten personenbezogenen Daten. Wie oben beschrieben, müssen die Daten so minimal wie möglich verarbeitet werden, entsprechend den Zwecken, für die sie verarbeitet werden;
  4. Richtigkeit und Aktualität der verarbeiteten personenbezogenen Daten, einschließlich der rechtzeitigen Löschung von personenbezogenen Daten, die gemäß den Zwecken der Verarbeitung unnötig oder unrichtig sind;
  5. Aufbewahrung der Daten nicht länger als für die Zwecke, für die die Daten verarbeitet werden, erforderlich ist; 
  6. Sicherstellung der Integrität und Vertraulichkeit von personenbezogenen Daten, die verarbeitet werden.

 

Lassen Sie uns nun sehen, wie sich das SSI-Konzept in Bezug auf diese Prinzipien verhält:

 

  1. Fairness und Transparenz: Die von SSI verwendeten Technologien ermöglichen es den Nutzern, genau zu wissen, wie persönliche Daten an Dritte gesendet werden.
  2. Begrenzung: SSI ermöglicht es den Nutzern zu entscheiden, welche Daten sie zu diesem Zeitpunkt mit dem betreffenden Dritten teilen möchten und somit zu wissen, welche Daten der Dritte besitzt.
  3. Minimierung: SSI ermöglicht das, was technisch als selektive Weitergabe bezeichnet wird. Das bedeutet, dass der Benutzer nur die notwendigen Daten senden kann, und zwar absichtlich.
  4. Aktualisierung: Wie bei der Einschränkung ermöglicht SSI die Überprüfung der Daten durch Dritte, ohne dass diese die Daten zwangsläufig behalten müssen. Auf diese Weise können Online-Dienste und Unternehmen sicher sein, dass sie die notwendigen Daten verifiziert haben, ohne sich um die Verwaltung und den Schutz persönlicher Daten kümmern zu müssen.
  5. Aufbewahrung: SSI ermöglicht es den Benutzern, ihre Daten selbst aufzubewahren, ohne sich auf Dritte verlassen zu müssen. Es kann daher argumentiert werden, dass SSI im Vergleich zu den derzeitigen Praktiken der Datenaufbewahrung für alle Beteiligten mehrere Vorteile bringen könnte.
  6. Vertraulichkeit: Die Vertraulichkeit der Daten in der SSI wird durch die selektive Offenlegung und die Tatsache ermöglicht, dass die persönlichen Daten der Benutzer nur bei Bedarf und nur nach Zustimmung des Benutzers gespeichert werden können.

Durch diese Sechs-Punkte-Analyse können wir feststellen, dass Self-Sovereign Identity sich perfekt mit den in der GDPR ausgedrückten Datenschutzprinzipien überschneidet.

 

SSI und GDPR Fazit

Die GDPR-Verordnung ist Teil eines sehr komplexen Themas, das alle Gesetze betrifft, die den Schutz der persönlichen Daten der Bürger zum Ziel haben. In dieser ersten und einfachen Analyse haben wir die Nähe zwischen den von der SSI vorgeschlagenen Prinzipien und denen der europäischen Verordnung untersucht. Wie oben hervorgehoben, scheint die SSI ein wirklich interessantes Paradigma zu sein, sowohl um die eigenen persönlichen Daten zu schützen, als auch um es Unternehmen selbst zu erleichtern, die europäische Verordnung damit einzuhalten.

In den nächsten Leitfäden wird das Thema weiter vertieft, um zu versuchen zu verstehen, ob SSI und GDPR zusätzlich zu den Grundprinzipien der Verordnung wirklich nebeneinander bestehen können.