Individual perSonal data Auditable addrEss Number ISÆN-Studie

Das Internet ist für viele Menschen ein unverzichtbarer Bestandteil des gesellschaftlichen Lebens. Von der Digitalisierung werden zunehmend alle Lebensbereiche erfasst. Fast alle Nutzer*innen von Internet-Diensten hinterlassen beim täglichen Gebrauch "elektronische Spuren". Einen Teil ihrer persönlichen Daten geben die Nutzer*innen nach dem Prinzip "Bezahlen mit Daten" freiwillig preis. Die meisten Dienstanbieter sammeln diese erhobenen Daten mit oder ohne bewusste Zustimmung der Nutzer*innen. Mittels Big-Data- Anwendungen können diese Daten genutzt werden, um das Verhalten einer Person oder Gruppe durch personenbezogene Auswertungen (bspw. Scoring, Profiling, Personalising, Tracking) zu analysieren und vorherzusagen. Nicht immer steht dieser Prozess im Einklang mit den Anforderungen des Datenschutzes und des Rechts auf informationelle Selbstbestimmung.

Eine unkontrollierte Datensammlung und das Geschäft mit persönlichen Daten, die freiwillig (Opt-in) und widerstandslos (Opt-out) gesammelt wurden, kann die Privatsphäre der Bürger*innen unserer Gesellschaft gefährden. Zum berechtigten Schutz seiner Privatsphäre müssen dem Internet-Nutzer Mechanismen zur Verfügung gestellt werden, die ihm das Grundrecht auf den Schutz seiner Daten gewährleisten können. Es müssen Rahmenbedingungen geschaffen werden, die es den Nutzer*innen ermöglichen, Internet-Dienste zu verwenden, ohne auf seinen berechtigten Anspruch auf Datenschutz und informationelle Selbstbestimmung zu verzichten.

Für die Nutzer*innen ist es kaum noch nachvollziehbar, welche Daten von welchen Dienstanbietern über sie erhoben, verarbeitet und an Dritte weitergegeben werden. Es droht nicht nur ein Kontroll - verlust über die Verwendung der Daten, auch die potentielle und reale Gefahr eines sogenannten Identitätsdiebstahls wird stetig größer. Um Missbrauch vorzubeugen, sollte der bzw. die Internet-Nutzer*in über Informationen verfügen, wer Daten über ihn gespeichert hat, welche Daten das sind und auf welchem Weg (freiwillig, direkt, über Dritte, ...) diese Daten an den Internet-Dienstanbieter gelangt sind.

Dieser Ansatz wird von einer französischen (Standardisierungs-) Initiative verfolgt. Allen Nutzer*innen werden eindeutige Nummer ISÆN (Individual perSonal data Auditable addrEss Number) so zugeteilt, dass jederzeit alle Informationen über die Lokalisierung und Nutzung der persönlichen Daten, die mit dieser Nummer verknüpft sind, abgerufen werden können. Die Daten der Nutzer*innen sollen dazu mit Watermarks versehen und der Transfer von Daten durch Blockchains verwaltet werden. Die Navigation der Nutzer*innen durch seine Daten(-spur) im Internet könnte dann mit einem GPS verglichen werden: ein GDPS (Global Data Positioning System). In der ISÆN-Studie wurde untersucht, inwiefern eine eindeutige ISÆN und die eingesetzten Technologien Blockchain und Watermarking geeignete Optionen sind, um Datenschutzziele zu erreichen und den Konflikt zwischen dem Recht der Nutzer*innen auf Datenschutz und der Sammlung von Daten durch Internet-Dienstanbieter zu entschärfen.

Die französische Standardisierungsinitiative ISÆN (Individual perSonal data Auditable addrEss Number) beschreibt ein Konzept, welches es Bürger*innen bei der Nutzung von Internet-Dienstleistungen ermöglichen soll, die Kontrolle über ihre personenbezogenen Daten zu behalten. Die Datenschutzprinzipien Transparenz und Nachvollziehbarkeit sollen hierbei durch technische Maßnahmen gestärkt werden. Mit ISÆN sollen betroffene Personen jederzeit nachvollziehen können, wer welche ihrer personenbezogenen Daten verarbeiten darf. Darüber hinaus sollen sie diese Rechte jederzeit einschränken können. Eine Weitergabe personenbezogener Daten findet nur dann statt, wenn die betroffenen Personen dazu eingewilligt haben.

Technologisch sieht das ISÆN-Konzept die Einführung eines eindeutigen Bezeichners (der ISÆN-Identifier), eines Blockchain-Netzwerks sowie Anwendungen für Personen (Benutzer*innen), bspw. durch eine Smartphone-App, vor. In der Blockchain sollen Repräsentationen von Datenschutzeinwilligungen manipulationssicher, transparent und nachvollziehbar gespeichert werden. Die individuellen, personenbezogenen Daten sollen - z. B. durch biometrische Verfahren geschützt - in der jeweiligen Anwendung der Benutzer*innen gespeichert und durch diese, erst nachdem die Person eine Autorisierung erteilt hat, an Dienstleister übertragen werden.

Die auf Basis von ISÆN angedachte Unterstützung zur Umsetzung von Datenschutzgrundsätzen mittels technischer Maßnahmen stellt einen vielversprechenden Ansatz dar. Die Verwendung eines einsehbaren, manipulationssicheren Speichers kann sowohl für Dienstanbieter im Hinblick auf entsprechende Dokumentations- und Informationspflichten hilfreich sein, als auch für Personen, um jederzeit Erkundigungen über Zugriffe auf ihre personenbezogenen Daten einholen zu können.

Die im ISÆN-Konzept zum Einsatz kommende Blockchain-Technologie stellt ebenso einen vielversprechenden Ansatz zur nachvollziehbaren und sicheren Aufzeichnung der Datenbewegungen von Benutzer*innen dar. Insbesondere die für eine datenschutzkonforme Ausgestaltung bzw. Umsetzung notwendigen Implementierungsentscheidungen sollten in Folgeprojekten (insbesondere mit den französischen Partnern) untersucht werden.

ISÆN, so die Hypothese des Forschungsteams, könnte das Potenzial besitzen, der elektronischen Identifizierung und dem Anbieten von Vertrauensdiensten für elektronische Transaktionen im EU-Binnenmarkt zu einem Durchbruch zu verhelfen. Grundsätzlich ist es wünschenswert, die Verwendung von Identifizierungssystemen auch im Privatsektor weiter voranzutreiben, insbesondere, um das Vertrauen in den elektronischen Geschäftsverkehr zu stärken.

Die bbw Hochschule übernahm im Projekt drei Arbeitspakete:

Arbeitspaket 1:
Die Erarbeitung einer Übersicht und einer kurzen Einschätzung vergleichbarer Ansätze wie z. B. von

• Identifikationssystemen in Deutschland und
• ein Überblick über rechtliche Rahmenbedingungen für Identitätsmanagementsysteme.

• eines "Daten-GPS" und der regulatorischen Anforderungen an ein "Daten-GPS", insbes. im Hinblick auf Datenschutz und ggf. die Einbindung beweisrechtlicher Aspekte,
• die Bewertung der technischen Umsetzungsmöglichkeiten rechtlicher Rahmenbedingungen und
• die Einschätzung des Nutzenpotentials zur Erreichung von Datenschutzzielen.