UMA-Protokoll: Die neue Nutzerrolle im Identitätsmanagement

Die EU-Cookie-Richtlinie ist nicht alles. Die Nutzer können ihre Persönlichkeitsrechte im Internet nur eingeschränkt wahrnehmen, so die Bundesdatenschutzbeauftragte. Dabei mahnt sie die Umsetzung der Vorgaben der EU-Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie) an, häufig auch als EU-Cookie-Richtlinie bezeichnet.

Bei der teils heftigen Diskussion um den richtigen Umgang mit Cookies könnte man fast den Eindruck bekommen, die Nutzerrechte im Internet wären nur dadurch bedroht, dass Cookies ohne explizite Einwilligung der Betroffenen gespeichert und ausgelesen werden. So wichtig die Rechtssicherheit bei der Verwendung von Cookies auch ist: Die Nutzer im Internet werden auch bei vielen anderen Gelegenheiten nicht gefragt, wenn es um ihre personenbezogenen Daten geht.

Gerade im Identitäts- und Zugriffsmanagement geht es um persönliche Daten

Wenn Nutzer sich für einen Online-Dienst registrieren, geben sie viele Daten über sich preis, oftmals sogar mehr, als für den eigentlichen Zweck der Registrierung erforderlich wäre. Ähnlich verhält es sich bei der Installation von Anwendungen (Apps) auf mobilen Endgeräten. Viele Apps verlangen mehr Zugriffsrechte auf die Daten des Nutzers, als diesem lieb und bewusst ist.

Ob die personenbezogenen Daten des Nutzers auch für andere Zwecke genutzt werden, als es die App oder der Online-Dienst suggeriert, bleibt oftmals unklar. Gerade im mobilen Bereich fehlen in vielen Fällen die rechtlich geforderten Datenschutzerklärungen. Was ebenfalls häufig fehlt, ist die technische Umsetzung der informierten Einwilligung, also die Möglichkeit zur expliziten Freigabe der Datennutzung durch den betroffenen Anwender.

 Loading ...

IAM-Lösungen brauchen weitere Datenschutz-Funktionen

Das Identity and Access Management (IAM) regelt die Zugriffsrechte, die ein bestimmter Nutzer, eine bestimmte digitale Identität erhalten soll. Das gilt nicht nur für interne Nutzer, sondern auch für externe Anwender und zunehmend für die Kunden. Dabei können zwar die Nutzer in einigen IAM-Lösungen mittels Self-Service-Funktionen beantragen, welche Berechtigungen sie gerne hätten. Sie können aber bisher selbst keine Berechtigungen an ihren Daten vergeben. Die Entscheidung über die Freigaben wird immer durch andere getroffen, durch das Management, den Kundenservice, den Support oder die Systemadministration.

Die vom Datenschutz vorgesehene Einwilligung findet nur durch den Abschluss von Verträgen oder das Einverständnis zu den AGBs statt. Eine explizite und informierte Einwilligung, auch zu möglichen Zweckänderungen bei der Verarbeitung der Nutzerdaten, kann der Nutzer über technische Funktionen weder vornehmen noch verwehren, eine Opt-In-Funktion fehlt. Das aber kann und sollte im IAM geändert werden. Möglich wird dies insbesondere durch den UMA-Standard (User-Managed Access), der kürzlich die Version 1.0 erreicht hat.

Einwilligung des Nutzers braucht technisches Fundament

Genau wie die Einwilligung zur Speicherung von Cookies eine technische Umsetzung braucht, bedarf es auch Funktionen, mit denen der Nutzer in IAM-Systemen seine personenbezogenen Daten freigeben kann und mit denen er festlegen kann, wer genau welche Zugriffe auf die Daten für welchen Zeitraum und welchen Zweck erhalten soll. Dem Nutzer muss es möglich sein, seine eigenen Regeln aufzustellen, wie mit seinen Daten verfahren wird, genau wie ein Unternehmen dies auch in einer Policy macht.

Der UMA-Standard ermöglicht es für Nutzer, ihre eigenen Zugriffsrichtlinien zu definieren und durchzusetzen, vorausgesetzt, es gibt einen Dienst, der die Nutzerdaten sicher vorhält und nur entsprechend der Nutzervorgaben die jeweiligen Daten preisgibt. Wie dies technisch aussehen kann, zeigen verschiedene Implementierungsbeispiele von UMA, darunter zum Beispiel das OpenUMA-Projekt.

UMA hilft bei der Umsetzung des Datenschutzes

Der Einwilligung des Nutzers in die Verarbeitung seiner Daten kommt im Datenschutz eine zentrale Stellung zu. Mit dem UMA-Standard werden dieses Einwilligungsprinzip und damit der Online-Datenschutz unterstützt. Der Nutzer wird in seiner Rolle gestärkt und erhält eine der Entscheider-Rollen.

Wichtig ist es dabei aber, dass die konkrete Umsetzung von UMA dazu führt, dass die Nutzerdaten sicher vorgehalten und vor unerlaubten Zugriffen und vor Zweckentfremdung geschützt sind. Der Betreiber eines solchen „UMA-Dienstes“ muss vertrauenswürdig sein und einer Datenschutzkontrolle standhalten. Aus deutscher Sicht sind dabei die Vorgaben für eine Auftragsdatenverarbeitung zu erfüllen oder aber bei Verarbeitung außerhalb des EU/EWR-Raumes ein gleichwertiges Datenschutzniveau.