Digitale Identitäten in Datenräumen
Hintergrund
Kontext dieser Zusammenfassung
Das vorliegende Papier entstand im Rahmen des Implementation Forum “Access & Usage Policies and Enforcement”, welches durch die wissenschaftliche Begleitung des BMWK-Förderwettbewerbs „Innovative und praxisnahe Anwendungen und Datenräume im digitalen Ökosystem Gaia-X“ seit September 2022 veranstaltet wird wird. In diesem Austauschformat kommen Vertreter*innen aus mehreren Projekten regelmäßig zusammen, um die Implementierung von Gaia-X-kompatiblen Lösungen für Digitale Identitäten auf Basis von ‣ & ‣ und persönlichen digitalen Brieftaschen (https://gaia-x-hub-germany.github.io/Data-Space-Wiki/credential) zu diskutieren. Die Akteure tauschen sich zu Best Practices aus und gehen gemeinsame Herausforderungen projektübergreifend an. Im Folgenden werden die Ergebnisse dieser Diskussionen dargestellt.
Was sind digitale Identitäten und wofür werden sie gebraucht?
Zur Realisierung eines vertrauensvollen Datenaustausch werden in offenen, interoperablen Daten-Ökosystemen souveräne Identitäten (‣) genutzt. Diese erlauben ein dezentrales Identitäts- und Zugangsmanagement. Die für den Austausch notwendigen Informationen und Verifizierungen können vom jeweiligen Nutzer bzw. „Inhaber“ der Daten selbst verwaltet und bedarfsgerecht an andere Akteure zur Verfügung gestellt werden. In der Regel können Nutzer dabei Behauptungen (‣s) von vertrauenswürdigen Dritten (z.B. Behörden) verifizieren lassen, wodurch entsprechend automatisiert überprüfbare Berechtigungen (‣s) erstellt werden. Die für sie ausgestellten Berechtigungen können in sog. ‣ oder ‣s gespeichert und verwaltet werden. Physisch gespeichert werden können diese Applikationen auf Endgeräten oder individuellen Cloud-Services. Mit ‣ können weitergegebene Daten auf den für die Interaktion wesentlichen Informationsgehalt reduziert und ständig anwendungsübergreifend aktuell gehalten werden. Auch die bloße Überprüfung von Berechtigungen (Ja/Nein) oder eines Status (An/Aus) ohne jegliche darüberhinausgehende Datenweitergabe ist so möglich. Durch entsprechendes technisches "Enforcement" (‣) kann der Vertragspartner trotzdem sicherstellen, dass ein Zugang oder eine Nutzung nach gegebenen Kriterien erfolgt. So können juristische Personen bspw. Qualitäts-Zertifikate oder die Einhaltung gesetzlicher Bestimmungen bei Datenschutz oder Lieferkettenmanagement nachweisen, ohne konkrete Details weitergeben zu müssen. Bei natürlichen Personen können zum Beispiel individuelle Zugangsberechtigungen, Geschäftsfähigkeit oder das Innehalten eines Führerscheins überprüft werden, ohne das entsprechende Dokumente mit weitergehenden Informationen eingereicht und gespeichert werden müssen. Dabei kann auch zwischen einmaliger, temporärer oder permanenter (auf Widerruf) Bereitstellung dieser Informationen unterschieden werden. Die Aktualität sich ändernder Kriterien kann so bei jeder Nutzung eines Services neu automatisiert überprüft werden. Ablaufende oder änderbare Kriterien können im ‣n vom Inhaber einmalig erneuert werden, woraufhin alle entsprechend autorisierten Vertragspartner diese ohne erneute bilaterale Übermittlung nutzen/überprüfen können (bspw. Zertifikate, Zahlungsinformationen, Adressen etc.). Statt den Fokus wie heute üblich auf Plattformbetreiber und dort abgespeicherte Informationen in zentralen Identitätsmanagement-Systemen (i.e. Accounts) zu legen, wird mit ‣ der Nutzer und seine souveräne Datenverwaltung in den Mittelpunkt gestellt. Für diese wird die Möglichkeit geschaffen, auch im Zeitalter dutzender oder hunderter digitaler Vertragspartnerschaften einen transparenten Überblick über bereitgestellte Informationen zu gewinnen und diesen Zugriff auch wieder zu entziehen. Auch im Umgang mit öffentlichen Stellen und Behörden kann eine so sichere, diversifizierte und stets aktuelle Informationsgrundlage erhebliche zusätzliche Potentiale in der Digitalisierung schaffen und Bearbeitungs-Geschwindigkeiten wesentlich erhöhen.
Eine breite Angebots-Vielfalt von ‣n & ‣s sollte dabei angestrebt werden. Von einer „One-Size-fits-all“-Lösung ist allein aufgrund der großen Unterschiede in den Anwendungsszenarien nicht auszugehen. So muss nicht nur zwischen Nutzern im Sinne von natürlichen oder juristischen Personen differenziert werden, auch die Interoperabilität zwischen staatlichen und privaten Services kann bei manchen Lösungen besser als bei anderen dargestellt werden, während sie bei anderen ggf. sogar unerwünscht ist. Für manche Nutzer stehen ggf. Design und Einfachheit im Vordergrund, während andere auf eine breite Palette von Einstellungs-, Automatisierungs- und Personalisierungsmöglichkeiten angewiesen sind. ‣-Projekte, welche ein hohes Maß an Interoperabilität und Anschlussfähigkeit anstreben, sind aus gesellschaftlicher Perspektive hierbei unbedingt zu unterstützen.
Wofür werden digitale Identitäten in Datenräumen gebraucht?
In Datenräumen können organisationsübergreifend Daten und Services nach vorher vereinbarten Regeln ausgetauscht werden. Um den Zugriff richtlinienkonform durchführen zu können, ist eine eindeutige und nicht manipulierbare Identifizierung der Teilnehmer und eine Authentifizierung ihrer ‣ notwendig. Die Initiative ‣ bietet hierfür einen vertrauenswürdigen Rahmen. ‣-Lösungen mit von den Datenraum-Teilnehmern selbst-verwalteten Applikationen bieten sich dabei besonders an, weil sie ihnen die Möglichkeit geben, ein breites Spektrum von Informationen, insbesondere sensiblen oder personenbezogenen Daten abzubilden, und diese dann selektiv weiterzugeben oder wieder zu entziehen. So können gesetzliche Bestimmungen auch bei Anwendungen mit hohen datenschutzrechtlichen Anforderungen erfüllt werden.
Welche Komponenten sind für digitale Identitäten verfügbar?
Im Projekt GXFS-DE werden unter anderem Komponenten entwickelt, welche die standardisierte Implementierung von ‣-Lösungen für Datenräume erlauben soll, unabhängig von der jeweiligen Anwendungsdomäne. Der GXFS-DE Organisational Credential Manager (OCM) erlaubt die selbstsouveräne Verwaltung von Identitäten und Credentials für juristische Personen, während der GXFS-DE Personal Credential Manager (PCM) das Pendant für natürliche Personen darstellt. Dabei wurde sich insbesondere auf die Nutzung dieser Komponenten in einem B2B Kontext fokussiert, d.h. auf Szenarien, in denen die beteiligten Partner die Konditionen des Datenaustauschs frei festlegen können, beispielsweise in individuell festgelegten Verträgen, oder in automatisierten Smart Contracts. Szenarien, in denen personenbezogene Daten ausgetauscht werden, welche unter die Bestimmungen der DSGVO fallen, können mit diesen Komponenten bislang nicht abgebildet werden, da eine souveräne Steuerung dieser Daten nicht ohne zusätzlichen Entwicklungsaufwand möglich ist.
eIDas und die Entwicklung
weitere Wallet-Lösungen am Markt
weitere Wallet-Entwicklungen innerhalb von Datenraum-Projekten
Praxisbeispiel: Digitale Identitäten im Bildungsdatenraum MERLOT
Status Quo: Die effektive Nutzung von Bildungs-Daten ist in Deutschland zurzeit kaum möglich
In Deutschland liegen die Bildungsdaten von Bürger:innen - beispielsweise Zeugnisse und Weiterbildungszertifikate - verteilt in vielen verschiedenen in sich geschlossenen „Datensilos“, in einzelnen Schulen, Universitäten, Unternehmen und Bildungsinstitutionen. Die föderale Struktur des deutschen Bildungssystems erschwert eine Zusammenführung dieser Daten zusätzlich.
Zudem unterliegen die persönlichen und daher hochsensiblen Bildungsdaten strengen datenschutzrechtlichen Vorgaben. An Weitergabe und Verarbeitungen werden hohe Anforderungen gestellt, welche zumeist einen hohen Abstimmungs- und verwaltungstechnischen Aufwand nach sich ziehen. Die Speicherung aller Daten auf einer zentralen Plattform ist daher nicht zweckmäßig
Der Status Quo verhindert daher einen gleichzeitigen, einfachen und digitalen Zugriff von Dateninhaber:innen auf ihre Bildungs-Daten. Sie können weder über die Bereitstellung und Kontrollrechte ihrer Daten bestimmen, noch lassen sich die verteilt gespeicherten Datensätze für eine Analyse und Verwertung nutzbar machen. Dies erschwert datengetriebene Innovationen in der gesamten deutschen Bildungslandschaft und hemmt die Entwicklung von digitalen Maßnahmen zur Erhöhung der Bildungsqualität.
Das Projekt MERLOT will den Zugriff auf Bildungsdaten dezentral ermöglichen
Das Förderprojekt MERLOT entwickelt einen Data Space nach den im ‣-Framework definierten Standards und Regeln. Mit diesem soll ein digitaler Marktplatz für Organisationen und Bildungsanbieter geschaffen werden, der Data Sharing sowie das Anbieten und Nachfragen von KI-basierten Diensten unter vertrauensvollen Bedingungen ermöglicht und so neue Innovationspotenziale aus Daten der Bildungsdomäne freisetzt. Als dezentrales, offenes und föderiertes Datenintegrationskonzept unterscheidet sich der „Data Space Approach“ von konventionellen Marktangeboten. Der Austausch erfolgt hier nicht als physische Übertragung (data to compute) auf eine zentrale Plattform, sondern als begrenzter Zugriff auf dezentral gehaltene Daten (ComputeToData ). So müssen diese nicht mehr von einem Ort zum anderen kopiert werden, sondern können jederzeit effizient und ressourcenschonend von ihrem Speicherort aus abgerufen werden. Durch interoperable Schnittstellen werden die Datensilos aufgebrochen und das Data Sharing über standardisierte Föderationsdienste automatisiert und regelbasiert ermöglicht. Datengebende behalten hierdurch stets die Hoheit über ihre Daten und können die technische Durchsetzung der rechtlichen Regulatorik selbst erzwingen. Denn mittelst Zugriffs- und Nutzungskontrolle (Access & Usage Policies and Enforcement) lässt sich vorab festlegen, welche Daten zu welchen Bedingungen ausgetauscht werden. Die negativen Folgen des Status Quo wie Datensilos, Informationsasymmetrien, Kontrollverluste und Lock-In Effekte werden vermieden, hingegen Schulen, Verwaltungen oder private Bildungsdienstleister dazu befähigt werden, DSGVO-konform Bildungsdaten auszutauschen, ohne ihre Souveränität an eine zentrale Instanz abgeben zu müssen. Anstelle der Fremdverwaltung eigener Daten tritt also die souveräne Selbstverwaltung. Das erleichtert die Interaktion der Akteure in föderalen Systemen und eröffnet neue Möglichkeiten bei der Verwertung der Datenressourcen. MERLOT entwickelt zu diesem Zweck beispielhafte Advanced Smart Educational Services, verschiedene Dienste auf Basis von datensicheren KI-gestützten digitalen Assistenten. Diese sollen künftig Lernende bei der Bildungs- und Berufsorientierung unterstützen oder Angestellte beim lebenslangen Lernen durch digitale, individualisierte Karriere- oder Weiterbildungsassistenten begleiten.
Wofür werden in MERLOT digitale Identitäten benötigt?
In MERLOT soll eine Datenverwaltung im Sinne eines ‣-Managements aufgebaut werden, welches Dateninhabern erlaubt ihre Datenbausteine in ‣s selbst verwalten können. So können die hohen Datenschutz-Anforderungen im Bildungsbereich erfüllt werden, da eine Steuerbarkeit der Datennutzung durch die jeweiligen Inhaber ermöglicht wird: Dienste, die auf persönliche Daten zugreifen und diese verarbeiten, können dies nur zweckgebunden mit dem Einverständnis (Consent) des Inhabers, welches auch zurückgezogen werden kann. Um die Vielzahl unterschiedlicher Datenbausteine steuerbar zu machen, benötigt der Nutzer dafür einen auf ihn ausgerichteten Zugang - meist in Form eines Berechtigungs-Managers als ‣ ausgeführt, wobei gespeicherte Daten in der Cloud oder auf dem Endgerät gespeichert werden können. Eine solche Applikation entwickelt MERLOT im Projekt, den “Self-Sovereignty Manager”. Über das Backend des Programms können auf den Daten aufbauende Dienste per Schnittstellen automatisiert und in Echtzeit überprüfen, ob ein Consent vorliegt. Auch Benachrichtigungen über Änderungen oder datenschutzfreundliche Empfehlungen an Dateninhaber können so ausgespielt werden. Diese können dann die Nutzung ihrer Daten individuell “orchestrieren”, indem Consent sowohl auf Datenbaustein- als auch auf Service-Ebene erklärt werden kann. Das standardisierte Verknüpfen und gesammelte Freigeben von Datenbausteinen (z.B. als digitale Bewerbungsmappe) kann dann auch mit persönlichen Profilen gestaltet werden. Eine dynamische Änderung der Datenfreigabe kann dabei voreingestellt sein (bspw. Entzug der Freigabe zu einem definierten Zeitpunkt, wie dem Ende eines Prozesses oder nach 3 Monaten).
Praxistipp: Wie wurde der Self-Sovereignty Manager bei MERLOT entwickelt?
Im Rahmen von MERLOT wurden mehrere bestehende Open-Source-Lösungen für ‣- ‣s analysiert, ob sie die im Projekt bestehenden Anforderungen erfüllen können. Dabei wurden neben domänenunabhängigen Lösungen wie der XFSC-Applikation Personal Credential Manager (PCM) oder ‣s (z.B. SOLID) auch etablierte Branchen-Lösungen (z.B. VisionsTrust) betrachtet.
~~Basierend auf dieser Analyse wurde eine Lösung ausgewählt und im Rahmen einer Proof-of-Concept-Implementierung betrieben.~~ Neben den Grundfunktionen einer nutzerzentrierten Verwaltung und Orchestrierung von Consent waren hier eine einfache Integration, dezentrale Betreibermodelle und hohe Interoperabilität zu anderen Konzepten wichtige Kriterien.
Bei der Analyse offenbarte sich eine “Design-Lücke” bei der bisherigen Konzeption von Datenräumen innerhalb der Initiativen ‣ und IDSA (International Data Spaces Association): Die Teilnahme von natürlichen Personen an Datenräumen wurde in den bestehenden Lösungen nur unzureichend berücksichtigt. Eine nutzerzentrierte Steuerung, unter welchen Bedingungen Daten mit welchen Diensten wie geteilt werden, wobei die Schnittstellen die Verbindung zu mehreren Datenräumen aus unterschiedlichen Bereichen (z.B. für Bildungsdaten, Gesundheitsdaten oder Mobilitätsdaten) erlauben, war bislang in keinem Entwicklungsprozess explizit vorgesehen. Eine Skalierung von ‣-Lösungen im Verbrauchermarkt erfordert jedoch mutmaßlich genau diese Steuerung - da wohl kaum jemand auf dutzende Berechtigungs-Manager für verschiedene Anwendungsbereiche zugreifen möchte. Im Idealfall sollte hier sogar der öffentliche Sektor mitgedacht werden, sodass für den Nutzenden eine einzige ‣ für die Interaktion mit staatlichen Stellen (z.B. Meldebehörden), öffentlichen Organisationen (z.B. Schulen oder Krankenhäusern) sowie privaten Unternehmen (z.B. Sharing-Anbieter) ausreicht.
Die Entwicklung einer solchen Interoperabilität war im Rahmen des Förderprojekts MERLOT nicht abschließend möglich, wurde aber mit weiteren Projekten wie demTeam-X