Mit großem Weitblick hat schon im Jahr 2005 und damit bereits vor elf Jahren Kim Cameron, Chef-Architekt für das Identitätsmanagement bei Microsoft, seine sieben „Laws of Identity“ veröffentlicht. Oft referenziert und selten gelesen, legten diese schon damals eine belastbare und bis heute valide Grundlage für ein angemessenes Management von Identitätsdaten in einem globalen und nicht zuletzt auch feindlichen Internet. Camerons Ziel war die Beschreibung eines übergreifenden, interoperablen und globalen Metasystems für die Verwaltung von Identitätsdaten als Infrastrukturschicht. Diese Schicht sollte dafür sorgen, dass auch in einem kontinuierlich wachsenden Internet die Konzepte Vertrauen, Sicherheit, Privatsphäre und Gewissheit in der Kommunikation mit Dritten erhalten bleiben.
Der informierte und selbstbestimmte Anwender im Mittelpunkt
Neben vielen wichtigen weiteren Aspekten postulieren diese Gesetze insbesondere ein Höchstmaß an Selbstbestimmtheit der einzelnen Person als Inhaber der Identität, die es zu verwalten gilt. Schon das erste „Gesetz“ fordert, dass Identitäts-verwaltende Systeme nur dann die Identität einer Person auch nur preisgeben dürfen, wenn diese explizit einwilligt. Verweigert diese die nun notwendige Einwilligung, bleibt sie anonym.
Wird diese Einwilligung aber gewährt, ist einer uneingeschränkten Preisgabe aller Identitäts-bezogenen Informationen nicht etwa Tür und Tor geöffnet: Das zweite „Law of Identity“ fordert vielmehr die minimale Offenlegung nur der für einen definierten Einsatzzweck unbedingt notwendigen Informationen. Hiermit wird die Einwilligung um die wichtigen Konzepte der Zweckbindung und der Datensparsamkeit ergänzt. Der Inhaber einer Identität entscheidet also selbst, ob und welche Informationen, wenn überhaupt, übermittelt werden. Die Weiterverwendung einmalig bewilligter Informationen für weitere Zwecke ist unzulässig.
Die Laws of Identity im Realitätstest
Die von Cameron definierte, starke Rolle eines mündigen und informierten Anwenders ist in der heutigen Realität in vielen Fällen nur noch in Schemen erkennbar. Viel zu oft geben wir heute im Alltag unsere Identität preis, wenn eigentlich eine anonyme Identifizierbarkeit und potentielle Wiedererkennbarkeit völlig ausreichen würde. Die mangelnde Granularität bei der Auswahl, welche Informationen ein neuer Dienst aus unserem Social Log-In bei Facebook oder Twitter verwenden darf, zwingt uns häufig dazu, entweder deutlich mehr Informationen als offensichtlich notwendig offen zu legen oder andernfalls den gewünschten Service nicht nutzen zu können.
Liest man heute aber die Entwürfe des in nicht allzu ferner Zukunft gültig werdenden Textes für die Europäische Datenschutz-Grundverordnung (EU-DSGVO) aufmerksam durch, begegnen einem Konzepte, die man schon von Cameron kennt. Diesmal heißen diese aber nicht nur „Gesetz“, sondern diese werden mit hoher Sicherheit tatsächlich Gesetzescharakter erlangen. Das bedeutet: Die Verarbeitung personenbezogener Daten ist demnach nur dann zulässig, wenn eine explizite Einwilligung erfolgt ist. Diese Einwilligung als eine „für den konkreten Fall und in Kenntnis der Sachlage erfolgte explizite Willensbekundung“ (Artikel 4, Ziffer 8) erfolgt dann immer nur zweckbezogen. Eine solche aus Sicht des individuellen Anwenders bislang nur höchstens wünschenswerte Handhabung personenbezogener und damit schützenswerter, sensibler Daten wird damit nun eine zwingende Voraussetzung. Als besondere Herausforderung wird sich für die Unternehmen wohl der Nachweis der jeweils tatsächlich erteilten, individuellen Einwilligung herausstellen.
Es herrscht Handlungsbedarf
Es ist offensichtlich und nachvollziehbar, dass sich bei der Handhabung personenbezogener Daten in der nahen Zukunft grundlegend sehr viele heute übliche Vorgehensweisen ändern müssen. Die Erfüllung der Anforderungen aus der Datenschutz-Grundverordnung wird eine flächendeckende Voraussetzung für den Betrieb praktisch jeder relevanten Plattform im Internet sein. Diese gilt dann auch für Unternehmen, die nicht in der EU angesiedelt sind, aber Daten von EU-Bürgern speichern, was den Kreis von Unternehmen, für die sie nicht gilt, sehr übersichtlich machen wird.
Standards, Technologien und Plattformen
Systemen, die sich dem expliziten Schutz personenbezogener Informationen widmen, also insbesondere sogenannte Life Management Platforms, war bislang eine Verbreitung in großem Stil verwehrt. Plattformen wie meeco existieren aber heute schon und ermöglichen ihren Anwendern eine sichere Verwaltung personenbezogener Daten. UMA (User Managed Access) als wichtiger Standard erweitert moderne Authentisierungsmethoden wie OAuth oder OpenID Connect um die Handhabung und sichere Kommunikation von Einwilligungsinformationen (Consent) als Autorisierung für den Zugriff auf sensitive personenbezogene Informationen. Mit OpenUMA liegt eine Open Source-Implementation vor. Initiativen, die Mechanismen zur wirksamen Beschränkung des Zugriffs auf personenbezogene Daten auf Basis einer individuellen Einwilligung auch in der für den Einsatz im Internet notwendigen Skalierbarkeit umsetzen wollen, entstehen und existieren ebenfalls bereits, beispielsweise bei Scalable Consent. Die Erkenntnis, dass personenbezogene Daten in jedem Einzelfall individuell schützenswert sein können, setzt sich auch außerhalb zwingender, rechtlicher Anforderungen mehr und mehr durch. Dass diese Entwicklung dem Online-Marketing und vielen Big Data-Apologeten ein Dorn im Auge ist, liegt wiederum ebenfalls auf der Hand.
Umsetzung im Mai 2018
Bis die Europäische Datenschutz-Grundverordnung voraussichtlich rechtsverbindlich wird, gehen noch fast zwei Jahre ins Land. Die dann notwendigen Anforderungen liegen aber heute schon für jedermann nachlesbar und unmissverständlich vor. Mit den notwendigen Schritten kann also durchaus bereits begonnen werden. Gerade für kritische und aufmerksame Benutzer, denen an einer sensiblen Umsetzung der Gewährleistung Ihrer persönlichen Privatsphäre auch im Internet gelegen ist, kann eine frühzeitige Umsetzung dieser Anforderungen durchaus auch als Alleinstellungsmerkmal für Datenschutz-bewusste Unternehmen gelten. Es bleibt zu hoffen und zu erwarten, dass bis dahin angemessene Mechanismen zur Handhabung personenbezogener Daten unter Wertschätzung des mündigen Anwenders geschaffen und umgesetzt werden. Einwilligung, Zweckbindung und Minimalprinzip werden die auch weiterhin notwendige massenhafte Verarbeitung personenbezogener Daten grundlegend verändern und erhebliche Auswirkungen auch auf das Consumer Identity und Access Management haben.
Die Zeit, die uns bis zur ersten konkreten Umsetzung angemessener Konzepte verbleibt, kann man sicher unter anderem auch mit der Lektüre der verbleibenden fünf Gesetze von Kim Cameron verbringen. Diese sind nämlich ebenfalls lesenswert sind und sollten in Zukunft genauso tiefgreifende Auswirkungen auf die Verwaltung von Identitäten im Internet haben, wie sie die ersten beiden hoffentlich bald haben werden.
Matthias Reinwarth ...
... ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Basierend auf einer kombinierten Ausbildung in Wirtschaft und IT, entwickelte Matthias Reinwarth einen starken Hintergrund in Identity und Access Management sowie Identity und Access Governance und Compliance. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Seine praktische Erfahrung als IAM-Berater reicht über 25 Jahre hinaus. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.
Neueste Kommentare
1 Kommentar zu EU-Datenschutz-Grundverordnung: Verarbeitung von personenbezogenen Informationen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Jetzt stellt sich mir die Frage, wie wir mit dem neuen US-amerikanischen Präsidenten Trompeter umgehen sollen, der ja alle möglichen Informationen haben will, um sie anschließend wohl in alle Welt zu Prosaunen. Wie sollen sich Unternehmen verhalten, wenn Mitarbeiter in die USA reisen wollen oder gar müssen? OK, für mich hat der Typ eh nen Knall. Nur wenn der, der in die USA einreisen wil, alle Zugänge zu in Clouds gespeigerten Daten offen legen soll, dann ist es mit den EU-Vorschriften wohl kaum vereinbar. Also Einreiseverbot für alle EU-Bürger, wenn sie sich an die EU-Vorschriften halten?