Digitale Selbstbestimmte Identitäten bieten sowohl Bürger*innen als auch der öffentlichen Verwaltung die Chance, Prozesse digital und vertrauenswürdig zu gestalten. Dies ist ein wichtiger Paradigmenwechsel hin zu einem interoperablen und nahtlosen Austausch von Identitätsinformationen in Wirtschaft und Verwaltung. In diesem Artikel werden die Prinzipien und technischen Aspekte von SSI (Self-Sovereign Identities) in Bezug auf die Grundsätze und Nutzerrechte der Datenschutzgrundverordnung vorgestellt. Autor ist Sebastian Zickau, der bei unserem Konsortialpartner Stadt Köln im Amt für Informationsverarbeitung tätig ist.
Erstmals erschienen ist dieser Artikel in Ausgabe 01-2022 der „Vitako aktuell“
Technische Standards ermöglichen eine breite Nutzung von digitalen Diensten, auch über Ländergrenzen hinaus. Hierbei sind gesetzliche Vorgaben nötig, wenn nationale und regionale Werte sich unterscheiden oder wenn Anforderungen nicht vorgegeben werden können. Durch die Europäische Datenschutzgrundverordnung (DSGVO) werden Vorgaben gemacht, wie Dienstanbieter mit persönlichen Daten umgehen müssen. Die hierbei geltenden Grundsätze beruhen auf Werten, die bereits 1950 in der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten genannt wurden.
Technische Standards ermöglichen auch den Austausch von Daten im Internet. Seit den Anfängen des World Wide Web Ende der 1980er sind die hierbei grundlegenden Prinzipien und Protokolle noch immer gültig, wie DNS, HTTP und HTML. Das Web hat sich zwar in unterschiedlichen Schüben von einem passiven Informationsmedium hin zu einem Netz, bestehend aus vielen Informationsproduzenten, Marktplätzen und Technikgiganten weiterentwickelt. Ein wichtiger Aspekt wurde dabei allerdings vernachlässigt: Einen Standard für sichere digitale Identitäten zu etablieren und in den Protokollen zu verankern. Damit sind nicht die üblichen Login-Prozeduren mit Benutzername und Passwort gemeint. Vielmehr geht es neben der Authentifizierung darum, die Kontrolle über die mit den Identitäten gespeicherten Nutzer*innen-Daten zu behalten.
Seit einigen Jahren findet daher ein neuer Ansatz immer mehr Anhänger. Es sind die Prinzipien der „Self-Sovereign Identity (SSI)“, also der „Selbstbestimmten Identitäten“. Die Projekte und Standardisierungsverfahren rund um SSI wollen eine Identitätsschicht im Internet etablieren, die zum einen klare Vorgaben hinsichtlich des Datenaustauschs macht, aber zum anderen offen genug ist, dem Großteil der digitalen Dienste als Mehrwert zu dienen. Die SSI-Prinzipien und -Techniken basieren dabei auf Grundsätzen und Rechten, wie sie auch von der DSGVO genannt werden.
Das SSI-Modell nennt drei Rollen: Die ausgebende Stelle (Issuer), die haltende Stelle (Holder) und die verifizierende Stelle (Verifier). Ausgebende Stellen von digitalen verifizierbaren Nachweisen (Verifiable Credentials) sind beispielsweise Behörden, Banken oder Dienstanbieter. Die haltenden Stellen sind meist natürliche Personen, an die Credentials von Issuern ausgegeben werden. Die verifizierende Stelle kann etwa eine Bank, ein Shop oder eine Behörde sein.
Die Frage, die sich stellt, ist: Welche weiterführenden technischen Möglichkeiten bietet SSI, um die Grundsätze und Rechte der DSGVO zu adressieren?
Die Grundsätze der Richtigkeit, Integrität und Vertraulichkeit und das Recht auf Berichtigung können durch die Holder dadurch bestimmt werden, dass diese ihre aktuellen Identitätsdaten in ihren Smartphone-Wallets vorliegen haben. Im Falle einer notwendigen Korrektur haben sie die Möglichkeit, die Issuer über bereits bestehende verschlüsselte und signierte Kommunikationskanäle (Connections) zu kontaktieren. Diese Kanäle können auch für die Rechte auf Löschung und Auskunft genutzt werden.
Der Holder hat durch die Kontrolle über seine Verifiable Credentials (VC) auch eine Möglichkeit, von seinem Recht auf Datenübertragbarkeit Gebrauch zu machen. Dabei kann ein Holder seine Daten zu einem neuen Anbieter mitnehmen, wenn dieser zunächst als Verifier fungiert und die Daten dann als neue VC ausstellt.
Die einzelnen Attribute eines Credentials können beim SSI-Ansatz auch einzeln genutzt werden. Im Gegensatz zur Übergabe eines physischen Personalausweises an eine andere Person, bei der alle Daten des Ausweises preisgeben werden, kann man bei VCs nur die Attribute abfragen, die zur Ausübung eines Dienstes notwendig sind (Zweckbindung, Datenminimierung, Recht auf Einschränkung der Verarbeitung). Neue kryptographische Verfahren machen es möglich, auch nur einzelne Eigenschaften der Attribute zu prüfen, ohne dass diese offengelegt werden müssen (Zero-Knowledge Proofs). Die Holder können Beweise generieren, die nur eine Boolesche-Antwort geben, z.B. „Besitzen Sie eines der folgenden Credential: genesen, geimpft oder getestet?“. Der Beweis darauf wäre eine signierte und überprüfbare Ja/Nein-Antwort, ohne die Offenlegung, welchen Status die Person gerade innehat.
Ein wichtiger Aspekt im SSI-Modell ist, dass die Beweise, die an einen Verifier geschickt und von diesem überprüft werden können, nicht dazu benutzt werden können, sich selbst als die Person auszugeben (Rechtmäßigkeit, Integrität). Die sichere und signierte Kommunikation zwischen zwei Parteien (Issuer-Holder, Holder-Holder, Holder-Verifier) ist immer einzigartig. Außerdem müssen Verifier nicht direkt mit Issuern in Kontakt treten, um die VC der Holder verifizieren zu können. Durch öffentlich zugängliche Informationen wird dies vertrauensvoll sichergestellt, ähnlich den Prinzipien von DNS-Einträgen.