Unter welche Voraussetzungen vertrauen Bürgerinnen und Bürger in sichere, digitale Identitäten und Systeme, wie den digitalen Impfausweis und den elektronischen Personalausweis? Im Interview sprechen wir mit dem Bundesdatenschutzbeauftragten Prof. Ulrich Kelber über Self-Sovereign Identities (SSI) und digitale Geschäftsmodelle nach dem DSGVO-Goldstandard. Welche Chancen bietet sich für Unternehmen, die datenschutzkonforme Produkte und Services anbieten?
Herr Kelber, warum ist es wichtig, dass Unternehmen Datenschutz schon von Anfang an in ihr Geschäftsmodell integrieren?
Kelber: Wenn man Datenschutz von Anfang an mitdenkt, erspart man sich später teure und zeitaufwändige Korrekturen. Sofern zu diesem Zeitpunkt überhaupt noch Korrekturen möglich sind. Man baut ja auch kein Haus und überlegt danach, wie man die Leitungen vorschriftsgemäß verlegen will. Abgesehen davon gibt es einen großen Bedarf an datenschutzkonformen Dienstleistungen und Produkten. Europäische Unternehmen könnten hier mit ihrem Erfahrungsvorsprung punkten, wenn sie die Anforderungen glaubwürdig umsetzen und damit werben.
Wie können Unternehmen sich im Bereich Datenschutz weiter verbessern?
Kelber: Viele Unternehmen sitzen bereits auf riesigen Datenmengen, die zum größten Teil ungenutzt bleiben. Sowohl für die Kundinnen und Kunden als auch für die Unternehmen wäre es viel besser, wenn man vielleicht noch einmal genau hinsieht, welche dieser Daten man wirklich braucht und was man damit datenschutzkonform machen kann. Die Unternehmen sollten sich auch unabhängiger von der Marktmacht der großen US-Tech-Konzerne machen und nicht aus Bequemlichkeit bedenkliche Services in ihre Produkte integrieren. Und nicht zuletzt zahlt sich auch Transparenz aus. Nicht Daten sind das neue Öl, sondern Vertrauen. Nur wem man vertraut, wird man auch seine Daten anvertrauen.
Wie können wir sichere digitale Identitäten (Self-Sovereign Identities) für Nutzerinnen und Nutzer gewährleisten?
Kelber: Der Grundgedanke von SSI-Systemen besteht darin, dass die Nutzenden verschiedene Ausweise und Attribute an einer Stelle auf ihrem eigenen Gerät selbst verwalten. Das hat zwei Vorteile: Anders als bei zentralen digitalen Systemen kann die Stelle, die Ausweise oder Attribute ausgestellt hat, nicht nachvollziehen, wann Nutzende sie bei Dritten „vorzeigen“. So war es bislang in der analogen Welt: Wenn eine Person bei einer Bewerbung ihren Abschluss nachweist, erhält die Universität davon keine Kenntnis. Zudem können die Nutzenden bei diesen speziellen digitalen Systemen nur die jeweils relevanten Informationen zeigen und alles andere verbergen. Beispielsweise muss nicht die Wohnanschrift übermittelt werden, um nachzuweisen, dass eine Person älter als 65 ist.
Damit diese guten Konzepte aber auch sicher umgesetzt werden können, braucht es Spielregeln für alle Teilnehmenden. Besonders relevant sind hier die sogenannten Wallets, also die Speicher- und Verwaltungsprogramme für die Ausweise und Attribute. Die Nutzenden installieren die Wallets auf ihrer eigenen Hardware. Ihnen darf aber nicht die Verantwortung für die Sicherheit der Produkte zugeschoben werden. Die Bürgerinnen und Bürger müssen sich bei den zur Verfügung gestellten Wallets darauf verlassen können, dass diese sicher sind und beispielsweise vor Identitätsdiebstahl schützen. Darüber hinaus muss die Infrastruktur so gestaltet sein, dass die Möglichkeit zu missbräuchlicher Profilbildung ausgeschlossen ist.
Wie bewerten Sie aus Sicht des Datenschutzes die Einführung des digitalen Impfpasses?
Kelber: Grundsätzlich war die Idee eines digitalen Impfnachweises für die jetzige Situation nicht verkehrt. Man muss sich natürlich darüber im Klaren sein, dass wir die Probleme aus der analogen Welt mitnehmen. Der gelbe Impfpass war nie als „Eintrittskarte“ gedacht. Deswegen ist auch der digitale Impfnachweis anfällig für Missbrauch. Wenn man solche Zertifikate nutzen will, dann kann eine digitale Lösung sogar datenschutzfreundlicher sein. Ganz einfach, weil die prüfende Person nicht so viele Daten sieht, wie es bei Sichtung des Impfpasses der Fall wäre. Leider wird in der ersten Version des digitalen Impfnachweises zusätzlich zum blauen Haken unnötigerweise ersichtlich, ob man geimpft, genesen oder getestet ist. Aufgrund meiner Beratung wird das mit dem nächsten Update zumindest für den Unterschied geimpft oder genesen korrigiert. Insgesamt hätte ich mir gewünscht, dass meine Behörde früher eingebunden gewesen wäre. Dann hätte man sich Zeit und Geld für die Korrekturen gespart.
Mit der eIDAS-Verordnung haben elektronische Identitäten einen sicheren und europäisch einheitlichen Standard bekommen. Wie müssen wir eIDAS-Projekte wie beispielsweise den elektronischen Personalausweis eID umsetzen, sodass sie in Zukunft zum sicheren Erfolg werden? Welche Herausforderungen gibt es aktuell und welche Chancen sehen Sie darin für die Zukunft?
Kelber: Mit der elektronischen Identifizierungsfunktion (eID-Funktion) des Personalausweises, des elektronischen Aufenthaltstitels und der eID-Karte für Unionsbürger (nachfolgend Ausweiskarte genannt) haben wir sichere und anerkannte Instrumente für die grenzüberschreitende elektronische Identifizierung, die für die Abwicklung von (Verwaltungs-) Dienstleistungen immer wichtiger wird. Gerade in der Corona-Pandemie haben die digitalen Möglichkeiten in allen Lebensbereichen stark zugenommen. Diese Entwicklung wird sich nach der Pandemie fortsetzen. In Deutschland wird die Digitalisierung der Verwaltung durch das Onlinezugangsgesetz, nach dem bis Ende 2022 der Bund, die Länder und Kommunen ihre Verwaltungsleistungen auch digital anbieten müssen, vorangetrieben.Der Bedarf an rechtssicheren Verfahren zur Identifizierung sowie zur vertrauenswürdigen Abwicklung von Geschäftsprozessen besteht. In diesem Rahmen müssen die Bürgerinnen und Bürger über die sichere Nutzung elektronischer Identitäten aufgeklärt werden. Die Nutzung der elektronischen Identitäten darf nur unter datenschutzkonformen und sicheren Bedingungen erfolgen. Hier sehe ich eine erhebliche Herausforderung. Zentral ist in diesem Zusammenhang die Stärkung der Datenschutzkompetenz der Bürgerinnen und Bürger, das Verhindern unnötiger Datensammlungen und möglicher Profilbildungen, sowie die Aufrechterhaltung eines hohen Sicherheitsniveaus der Lösungen.
Welche Entwicklungen im Bereich Datenschutz werden wir in den nächsten fünf Jahren sehen?
Kelber: Die Europäische Datenschutz-Grundverordnung ist gerade der weltweite Goldstandard. Allerdings beginnen erste Länder, nach dem Vorbild der DSGVO bereits weitere Entwicklungen bei den Datenschutzgesetzen. Auch einzelne große Unternehmen haben den Wert von Datenschutz erkannt und beginnen, ihre Geschäftsmodelle in diese Richtung zu ändern. Gleichzeitig zwingen uns Digitalisierung und neue Technologien, dass wir Anpassungen und spezifische Regelungen prüfen. So sehe ich Bedarf bei der Regelung von KI und algorithmischen Systemen, der Profilbildung, der biometrischen Identifizierung, Verschlüsselung und Anonymisierung sowie Datentreuhändern und digitalen Datenschutzassistenten. In den nächsten zwölf Monaten brauchen wir endlich den Beschluss über eine datenschutzfreundliche ePrivacy-Verordnung.
Vielen Dank für das Gespräch!
Mehr über das Thema erfahren Sie auf den Internet Security Days 2021. Dort hält Prof. Ulrich Kelber am 17. September eine Keynote zum Thema „Am Anfang steht der Datenschutz“. Hier bekommen Sie Tickets.