Artikel aus dem Handelsblatt Journal CYBERSECURITY & DATENSCHUTZ
Chancen & Risiken digitaler Identitäten
Im Alltag unerkannt zu bleiben, ist eine Errungenschaft unserer freiheitlich-demokratischen Gesellschaft. Wir brauchen im Analogen und im Digitalen Räume, in denen wir ohne Furcht vor Überwachung Informationen suchen, an Debatten teilnehmen oder Geheimnisse haben können. Ein positives Beispiel aus der Rechtsordnung dazu: In Deutschland ist höchstrichterlich bestätigt, dass soziale Netzwerke keinen Klarnamenzwang durchsetzen dürfen.
Natürlich gibt es auch Dienstleistungen, für die eine Identifizierung erforderlich ist. Wer beispielsweise Alkohol oder bestimmte Computerspiele kaufen will, sollte an der Kasse nach dem Ausweis gefragt werden. Online sollen digitale Identitäten oder eIDs dazu dienen, sich mit einem „digitalen Ausweis“ bei verschiedenen Dienstleistern anmelden zu können. Sie ermöglichen Zugang und Teilhabe in einer zunehmend digitalisierten Gesellschaft – vom Informationszugang über Bürgerbeteiligungsverfahren bis zur Beantragung von Leistungen.
Digitale Identitäten sind also ein wichtiger Baustein der Digitalisierung und sie schützen Zugänge zu personenbezogenen Daten. Heute besteht dazu eine große Vielfalt, von bloßer Kennwort- oder Passworteingabe bis hin zur zwingenden Identifizierung mit staatlichen Ausweispapieren. Im Interesse der Nutzenden sind Zugangsverfahren, die möglichst komfortabel zu bedienen und dabei dem Risiko angemessen sind. Für ein Diskussionsforum reicht meistens ein Kennwort. Sensible Gesundheitsdaten sollten durch zwei sichere Faktoren abgesichert sein.
Anbieter hingegen haben häufig eher ein Interesse an Zugangsverfahren, die für sie günstig und schnell zu implementieren sind. Am Beispiel der Videoidentifikation sieht man, dass das zu Verfahren führen kann, die weder bequem zu nutzen noch ausreichend sicher sind.
Mehr Datenschutz durch Technikgestaltung
Zu Digitalen Identitäten gehören aber mehr als Apps und Zugangsverfahren, beispielsweise eine technische Infrastruktur zum Teilen der Daten und ein Regelwerk über die Teilnahme am System. Infrastruktur und Regelwerk müssen so gestaltet sein, dass Bürgerinnen und Bürger die Vorteile der Digitalisierung nutzen können und gleichzeitig die Hoheit über ihre Identitäten behalten. Wenn beispielsweise eine digitale Identität zum Login verwendet wird, sollte nicht automatisch der Klarname der Person mitgeliefert werden.
Bürgerinnen und Bürger müssen auch wissen, wer ihre Identitätsdaten abfragt. Deshalb müssen die Dienstleister, die die digitalen Identitäten annehmen wollen, sich für die Teilnahme am System registrieren. Die Infrastruktur muss dann sicherstellen, dass die Dienstleister nur notwendige personenbezogene Daten abfragen können.
Gut gemachte digitale Identitäten können dabei sogar datenschutzfreundlicher als analoge Ausweise sein. So ist es mit Selective Disclosure beispielsweise möglich, nur einzelne Datenfelder zu teilen. Wenn nur der Nachweis des Wohnorts benötigt wird, muss nicht der gesamte Ausweisinhalt mitgeschickt werden. Zero-Knowledge- Proofs gehen noch einen Schritt weiter und ermöglichen, dass die digitalen Identitäten nur Fragen beantworten, ohne überhaupt ein Datum preiszugeben. Bei Kontrolle der Volljährigkeit beantwortet die digitale Identität nur genau diese Frage mit „ja“ oder „nein“, ohne das Geburtsdatum zu nennen. Gute eID-Systeme sollten Selective Disclosure und Zero-Knowledge-Proofs beherrschen.
Weil digitale Identitäten so wichtig sind, versuchen Konzerne ihre eigenen eIDs zu etablieren und so Macht über diese Schlüsselstelle zu erhalten. Für die Unternehmen ist die Kenntnis, wann und wo wir uns einloggen, sehr wertvoll. Sie wollen die Regeln für die Nutzung der eIDs selbst bestimmen. Deshalb ist es gut, dass in der EU Verhandlungen für eine europäische und geregelte eID-Infrastruktur laufen.
Dazu soll die sogenannte eIDAS-Verordnung zu elektronischen Identifizierungsmitteln reformiert werden. Die bestehenden Regelungen zu Online-Ausweisen sollen erweitert werden und zu digitalen Identitäten mit einer Wallet führen. Dann sollen in einer App nicht nur der Ausweis, sondern auch beliebige andere Attribute abgelegt werden können. Z. B. Fahrerlaubnis, Zugangsberechtigungen und Zeugnisse, aber auch Mitgliedschaften oder Konzerttickets. Die dazugehörige Infrastruktur soll den grenzüberschreitenden Einsatz ermöglichen. Akzeptieren sollen die Wallet dann sowohl staatliche Stellen als auch private Dienstleister.
Exakte Informationen statt Datenflut
In den aktuell stattfindenden Trilogverhandlungen muss jetzt das Recht auf pseudonyme Nutzung gestärkt werden. Soll die EU-Wallet ein Erfolg werden, darf sie nicht die Klarnamenpflicht durch die Hintertür einführen. Weiteren Nachbesserungsbedarf gibt es beim Schutz der Bürgerinnen und Bürger vor unberechtigten Anfragen. Akzeptierende Stellen – in der Sprache der Verordnung „Relying Parties“ – geben bei ihrer Registrierung ihren Anwendungsfall und die Daten, die sie abfragen möchten, an. Jetzt muss in der Verordnung geregelt werden, dass die Infrastruktur technisch sicherstellt, dass die Relying Parties dann nur die zum Anwendungsfall passenden Daten abfragen. So wäre der Grundsatz der Datenminimierung als einer der Kerngedanken des Datenschutzrechts umgesetzt. Warum sollte eine Stelle, die nur einen Altersnachweis braucht, auch nach einem Zeugnis fragen können? Wenn diese Beschränkung nicht durch das System überwacht, sondern auf die Nutzenden abgewälzt wird, werden diese regelmäßig große Mengen an irrelevanten Datenfeldern „wegklicken“ müssen. Eine Situation wie bei den Cookiebannern sollte vermieden werden.
Erfolgsmodell elektronischer Personalausweis
Bis es eine EU-Wallet zum Download gibt, wird es noch einige Jahre dauern. Bis dahin sollten Stellen, die eine Identifizierung auf hohem Vertrauensniveau benötigen, die Online-Ausweis-Funktion des Personalausweises (und der technisch gleichen elektronischen Aufenthaltstitel und eID-Karte) einbinden. Diese stellt nämlich schon heute ein eID-System dar, das die Anforderungen an eine digitale Identität unter Hoheit der Bürgerinnen und Bürger erfüllt.
Unter anderem kann man damit pseudonym nachweisen, ein Mensch und keine KI zu sein. Damit stellt die Online-Ausweis-Funktion eine einfache Alternative zu hoch riskanten Vorstößen zur Entwicklung globaler, biometrischer, digitaler Identitäten dar.
Da KI immer besser darin wird, uns Menschen zu kopieren, fragen Staaten und Unternehmen, wie sich zukünftig sicher feststellen lässt, wer Mensch und wer Maschine ist. Vor diesem Hintergrund hat beispielsweise gerade das Projekt Worldcoin von OpenAI-Gründer Sam Altman Schlagzeilen gemacht. Mit der Erfassung und Speicherung biometrischer Daten durch Irisscans der Weltbevölkerung als sogenannte „WorldID“ soll das Geschäftsmodell des Unternehmens KI-sicher gemacht werden. Doch große biometrische Datensammlungen gefährden die Grundrechte erheblich, ohne eine geeignete Lösung anzubieten. Körperliche Merkmale sind als Authentisierungsmittel in der Regel nicht besonders sicher. Dass die entsprechenden Scanner verhältnismäßig leicht zu überlisten sind, wurde in der Vergangenheit immer wieder gezeigt.
Der BfDI setzt sich auf allen Ebenen dafür ein, dass die Datenschutzbehörden sich mit der zentralen Frage einer guten und rechtsstaatlichen Authentifizierung in der Digitalisierung befassen und dem pauschalen Einsatz unverhältnismäßiger biometrischer Authentifizierungsverfahren entschieden entgegentreten. Davon unabhängig empfehlen wir allen Menschen bei der Preisgabe von biometrischen Daten besonders sorgsam zu sein und die Risiken genau abzuwägen. Damit wir alle auch zukünftig die Vorteile von Digitalisierung und KI nutzen können, ohne die Freiheit relativer Anonymität im Alltag zu opfern.
