FachartikelWirtschaftsinformatik

Individual perSonal data Auditable addrEss Number (ISÆN)

Eine Analyse im Rahmen der Smart Data Begleitforschung von 

  • Prof. Dr.-Ing. Dr. h.c. Stefan Jähnichen, Forschungszentrum Informatik (FZI)
  • Peter Schaar, Europäische Akademie für Informationsfreiheit und Datenschutz (EAID)
  • Prof. Dr.-Ing. Thomas Zahn, Geschäftsführer des Gesundheitswissenschaftlichen Instituts Nordost der AOK Nordost
  • Uwe Der, IT Service Omikron GmbH

Die Datenschutz- und Verschlüsselungstechnologie ISÆN – Individual perSonal data Auditable addrEss Number – soll es Bürgerinnen und Bürgern ermöglichen, die Kontrolle über ihre personenbezogenen Daten im Internet zu behalten und die Datenspeicherung bzw. -verarbeitung transparent und nachvollziehbar zu gestalten. Mit ISÆN können betroffene Personen jederzeit feststellen, wer welche personenbezogenen Daten über sie verarbeitet und darüber hinaus die erteilte Zustimmung zur Verarbeitung und Weitergabe auch jederzeit einschränken. Das Konzept wurde in Frankreich entwickelt und seine Anwendbarkeit im Rahmen der Begleitforschung des Technologieprogramms "Smart Data - Innovationen aus Daten" des Bundesministeriums für Wirtschaft und Energie (BMWi) untersucht.

Die Anwendung des persönlichen Identifiers ISÆN

Werden beim Einkauf in einem Webshop beispielsweise Angaben des Käufers wie Name, Liefer- und Rechnungsadresse sowie Informationen zur Abrechnung erfasst, dann muss vom Käufer eine Einwilligung zur Nutzung und Verarbeitung seiner personenbezogenen Daten eingeholt werden. Doch wer erhält welche persönlichen Daten bei einer solchen Transaktion? Und wie kann sichergestellt werden, dass der digitale Einkäufer tatsächlich mit seiner echten Identität auftritt? Wie können also persönliche Daten vor Missbrauch geschützt werden?

Das ISÆN-Konzept schlägt vor die persönlichen Nutzerdaten in einem elektronischen Safe (z.B. in einem abgesicherten Bereich eines Mobiltelefons) zu speichern. Die Identität des Nutzers wird vorab sichergestellt und geeignet zertifiziert, z.B. durch biometrische Verfahren wie Fingerabdruckscan oder Gesichtserkennung. Dann wird aus diesen Identitätsmerkmalen eine Art digitale Adresse berechnet, mit der zwar die Transaktionen oder Geschäftsvorgänge des Nutzers gespeichert und geprüft werden können, mit der aber wiederum keine Identifizierung des Nutzers möglich ist.

Ein persönlicher Identifier wird über Blockchain-Technologie verwaltet

Das Konzept von ISÆN sieht die Einführung eines eindeutigen Bezeichners (ISÆN-Identifier) vor. Dieser Identifier wird aus den personenbezogenen Daten des Benutzers gebildet und ist als Erweiterung von eIDAS konzipiert. Bei der Identifikation gegenüber Internet-Dienstanbietern werden nicht die Daten des Nutzers verwendet, sondern stattdessen ein aus den Daten generierter Hashwert, der keinen unmittelbaren Rückschluss auf die tatsächliche Identität des Nutzers zulässt.

Eine mögliche Realisierung des Konzepts baut auf auf der Blockchain-Technologie auf, mit der auch die elektronische Währung Bitcoin verwaltet wird. In dieser Blockchain, einer Art Datenkette, werden die Informationen über die Weitergabe der Daten protokolliert. Kommt es nun zu einem Kaufabschluss wird wiederum nur über die Blockchain eine Anfrage an den Nutzer gestellt, ob der Internet-Händler (z.B. ein Webshop) auf die für den Kauf benötigten Daten zugreifen darf. Erst nach der Freigabe durch den Nutzer erfolgt dann der Datenaustausch.

Alle Informationen über die Datenweitergabe (Transaktionen) werden inklusive rechtlicher Verarbeitungsrestriktionen und einer ggf. erteilten Zustimmung der Benutzer in der Blockchain – in Form eines Art Kassenbuchs – weitgehend manipulationssicher, transparent und nachvollziehbar gespeichert.

Die Daten der Benutzer werden in einer Anwendung für mobile Endgeräte, durch biometrische Verfahren geschützt, gespeichert. Eine Weitergabe der Daten findet nur dann statt, wenn die betroffene Person dazu ihre Einwilligung erteilt hat (Opt-In/Opt-Out). Gegenüber einem Internetdienstleister können so – dem Gebot der Erforderlichkeit und Datenminimierung folgend – nur die tatsächlich für die Abwicklung des Geschäftsprozesses erforderlichen Daten übermittelt werden (bspw. nur das Alter, wenn eine entsprechende Altersfreigabe erforderlich ist).

ISÆN vor dem Hintergrund der EU-Datenschutzgrundverordnung

Die mit ISÆN konzipierte Unterstützung zur Umsetzung von Datenschutzbestimmungen, insbesondere der europäischen Datenschutzgrundverordnung (DS-GVO), mittels technischer Maßnahmen ist eine vielversprechende Technologie. Der ISÆN-Identifier kann grundsätzlich als elektronisches Identifizierungsmittel nach der eIDAS-Verordnung ausgestaltet werden, so dass eine – anzustrebende – europaweite Anerkennung möglich ist.

Da Benutzer sich jederzeit darüber informieren können, an welche Dienstanbieter ihre personenbezogenen Daten weitergegeben wurden, trägt ISÆN dazu bei, die Transparenz bei der Speicherung und Verarbeitung solcher Daten zu stärken. Beispielsweise können gezielt Verantwortliche (Internet-Dienstanbieter) identifiziert werden, gegen die der Benutzer anschließend seine Betroffenenrechte gemäß DS-GVO geltend machen kann. Er kann dann entsprechend von seinem Auskunfts-, Berichtigungs-, Sperrungs- und Löschungsrecht Gebrauch machen und bei Bedarf die Daten auch zu anderen Anbietern übertragen (Datenportabilität).

Die Ablage der Informationen über die Transaktion von Daten in einer Blockchain als manipulationssicheres „Kassenbuch“ ermöglicht Dienstanbietern, ihren Dokumentations- und Informationspflichten nachzukommen. Die Benutzer können anhand dieser Information auf einfache Art und Weise Auskunft über erteilte Genehmigungen für den Zugriff und die Verarbeitung personenbezogener Daten erlangen.

ISÆN besitzt das Potential, die elektronische Identifizierung und das Anbieten von Vertrauensdiensten für elektronische Transaktionen im EU-Binnenmarkt voranzubringen.

Im nächsten Schritt wird die Smart-Data-Begleitforschung mit den französischen Partnern, vor allem aber gemeinsam mit Partnern aus der Wirtschaft ein Netzwerk aufbauen, das an einer Weiterentwicklung des ISÆN-Konzeptes – insbesondere hinsichtlich der noch offenen technischen und rechtlichen Fragstellungen – interessiert ist. Dabei sollen weiteren Anwendungsfälle des Konzepts identifiziert und auf ihre Umsetzbarkeit hin überprüft werden.

Zur Person: Prof. Dr. Stefan Jähnichen

Prof. Dr. Stefan Jähnichen ist Leiter der Begleitforschung des Technologieprogramms „Smart Data – Innovationen aus Daten“ des Bundesministeriums für Wirtschaft und Energie (BMWi) beim FZI Forschungszentrum Informatik. Von 2008 bis 2011 war er Präsident der Gesellschaft für Informatik e.V.

Zur Person: Peter Schaar

Peter Schaar ist Vorsitzender der Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) und Schlichtungsstelle der Gesellschaft für die Telematikanwendungen der Gesundheitskarte (gematik). Der ehemalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist Lehrbeauftragter am Fachbereich Informatik der Universität Hamburg und seit 1988 Mitglied der GI.

Zur Person Prof. Dr.-Ing. Thomas Zahn

Prof. Dr.-Ing. Thomas Zahn ist Geschäftsführer des Gesundheitswissenschaftlichen Instituts Nordost (GeWINO) der AOK Nordost und Leiter des Smart-Data Projekts Smart Analysis - Health Research Access (SAHRA).

Zur Person: Uwe Der

Uwe Der ist Mitarbeiter der itso – IT Service Omikron GmbH, ein von Wissenschaftlern der TU Berlin gegründetes Softwareentwicklungs- und Beratungsunternehmen in Berlin.