PSD2 und DSGVO: Datenschutz auf unterschiedlichem Niveau?

Von Ralf Keuper, Bankstil und Michael Ochs, Fraunhofer IESE

Eine Ko-Veröffentlichung des Blogs Bankstil und des Blogs des Fraunhofer IESE . Lesezeit: 4:30 min (5:00 min)

In diesem Jahr werden die beiden genannten Richtlinien in Kraft treten. In beiden Richtlinien sind personenbezogene Daten ein Thema bzw. Kernthema. Der Umgang mit personenbezogenen Daten (Datenschutz) in den betroffenen Wirtschaftssegmenten wird nach aktueller Wahrnehmung einzelner Marktteilnehmer jedoch unterschiedlich gehandhabt. Wir bringen etwas Licht in den Dschungel der Verordnungen und zeigen Innovationspotenziale und Möglichkeiten für Datenschutz auf.

Zwei Richtlinien – ein Gedanke bei personenbezogenen Daten?

Mit der Umsetzung der PSD2 sind Banken unter anderem dazu verpflichtet, auch Dritten, sogenannten Third Party Providern, den Zugang zu den Kundenkonten zu gewähren, sofern die Kunden dem zuvor zugestimmt haben. Von besonderem Interesse sind dabei die Kontoinformationen, die zu verschiedenen Zwecken verwendet werden können. Da wäre zum einen die Möglichkeit, die Daten zu kategorisieren, z.B. nach Ausgaben, womit der Kunde eine bessere Übersicht seiner finanziellen Situation bekommt, und zum anderen die Variante, die Transaktionshistorie für die Bewertung der Kreditwürdigkeit heranzuziehen, so dass die Bearbeitung von Kreditanträgen in wenigen Minuten möglich ist. Aber auch viele andere neue und innovative Dienste auf Grund von PSD2 sind denkbar und machbar, von der Optimierung bestimmter Kostenkategorien wie z.B. Telekommunikationskosten über Abo-Alarme bis hin zur Führung von Haushaltsbüchern ist alles möglich. Als Profiteure von PSD2 betrachten sich die zahlreichen Fintech-Startups, die hier die Chance sehen, weitere Erlösquellen zu erschließen; entweder indem sie ihre Dienste, wie im Bereich Credit Scoring, den Banken anbieten, oder aber in Form zusätzlicher Services, wie die Einholung von Vergleichsangeboten bei Versicherungen. Die Banken reagieren unterschiedlich. Einige, wie die Deutsche Bank mit ihrer dAPI, wollen mit eigenen Services in einem digitalen Ökosystem zwischen Bank und Dienstanbietern (Platform Economy) zusätzliches Geschäft generieren, andere warten erst einmal die weitere Entwicklung ab.

Konfliktzone Datenschutz und Datensouveränität bei PSD2 

Bislang werden die Themen PSD2 und DSGVO überwiegend getrennt behandelt, obwohl in beiden Regelungen der Umgang mit den personenbezogenen Daten der Verbraucher eine große Rolle spielt. Es bestehen dennoch einige Unterschiede, die für Banken wie für Fintech-Startups, und natürlich auch für andere Third Party Provider, einige Herausforderungen mit sich bringen dürften. Und zwar sind die Anforderungen der DSGVO in einigen zentralen Punkten deutlich restriktiver als die der PSD2, was auch darauf zurückzuführen ist, dass die PSD2 noch an der aus dem Jahr 1995 stammenden Richtlinie 95/46/EG (Datenschutzrichtlinie) ausgerichtet ist. Exemplarisch für diesen Konflikt ist die Weitergabe der Kontobewegungen auf Basis von Artikel 67 (2) f PSD2. Demnach wäre es nach aktueller Lesart der Fintech-Startups ausreichend, wenn die Bank bei Anfrage eines TPP alle Kontobewegungen des Kundenkontos im relevanten Zeitraum komplett übergeben würde. Das könnte jedoch dazu führen, dass sensible Informationen , wie Parteizugehörigkeiten, Medikamentenrechnungen und damit Gesundheitsdaten und Vieles mehr in die Datenverarbeitung einfließen und einem Profiling zugeführt werden. Das könnte für die Verbraucher negative Konsequenzen haben, wenn diese Informationen bei einem TPP ohne tatsächlichen Zweckbezug und Zustimmung des Verbrauchers gespeichert, verarbeitet und möglicherweise sogar weitergegeben werden.

Um den beschriebenen Konflikt zu umgehen, bieten sich mehrere Verfahren an. So könnte die Bank z.B. Teile der Daten anonymisieren, d.h. es werden nur die Beträge oder nur Beträge und ggfs. grobe Kategorien mitgeteilt. Ein anderer Ansatz wäre, die internen Compliance-Daten, die den Datenschutzbestimmungen weitestgehend entsprechen, für die Weitergabe zur verwenden. Weiterhin kann die Bank, ähnlich wie bei YES, die Digitale Identität zum zentralen Element machen. Diese Digitale Identität (Identity API) unterliegt der Kontrolle des Verbrauchers, der selbst bestimmen kann, welche Daten Dritten zur Verfügung gestellt werden dürfen. Daneben kann die Bank die Daten so anonymisieren, dass nur die relevanten Daten bzw. Merkmale herausgegeben werden, die keinen Rückschluss auf die wahre Identität des Verbrauchers bzw. Kunden zulassen, wie bei Angaben zu Einkommen oder zum Alter. Die Bank würde damit zu einem Identity Service Provider.

Mit Blick auf die Kontotransaktionen, die auch sensible Informationen enthalten, wäre ein Ansatz, dass die Bank dem Kunden die Möglichkeit gibt mitzubestimmen, welche spezifischen Kategorien von Kontotransaktionen beim Zugriff welches TPP oder AISP vor eine Übermittlung beispielsweise teilanonymisiert, anonymisiert oder ganz aus den Daten entfernt werden. Zu diesem grundsätzlich auf Privatsphäre ausgerichteten Ansatz herrscht derzeit eine erhitzte Diskussion zwischen verschiedenen Fintechs und Banken. Dabei berufen sich Fintechs darauf, dass die PSD2 eine lex specialis zur DSGVO ist und somit ein von der Bank für den Kunden angebotene Lösung zum Schutz sensibler Kontodaten nicht zulässig, mindestens jedoch nicht erforderlich, sei. Doch ist diese Aussage so als korrekt zu bewerten? Immerhin würden durch solch eine lex specialis unterschiedliche Niveaus beim Datenschutz in beiden Richtlinien zementiert. Schauen wir einmal genauer auf Inhalte und Zeitlinie von DSGVO (1995/46/EC sowie 2016/679/EU) und PSD2 (2015/2366/EU). PSD2 wurde zu einem Zeitpunkt von EU Rat und Kommission beschlossen als die „neue“ DSGVO noch nicht beschlossen war. PSD2 referenziert aktiv die „alte“ DSGVO. Unter diesem Gesichtspunkt darf PSD2 als lex specialis zu „alten“ DSGVO gesehen werden, da diese keinen Artikel zum „Recht auf Datenübertragbarkeit“ enthielt, wie wir ihn mit Artikel 20 der „neuen“ DSGVO vorfinden. Somit wäre, auch mit Zustimmung des Verbrauchers, ohne die Regelungen in Artikel 67 PSD2, die Herausgabe der Daten von der Bank an den TPP rechtlich bedenklich. Ab Mai ändert sich die Situation: die „neue“ DSGVO ist dann voll in Kraft. Durch das dann in Artikel 20 verbriefte „Recht auf Datenübertragbarkeit“ würden Teile von Artikel 67 PSD2 gegebenenfalls obsolet werden. Auch die anderen Aspekte der DSGVO wie enge Zweckbindung der Verarbeitung, Datensparsamkeit und „Privacy by Design und by Default“ würden greifen. Eine selektive und vom Kunden mitbestimmte Übermittlung von Kategorien von Kontotransaktionen durch die Bank an einen AISP wäre zulässig. Es bedarf einer Möglichkeit, dass nur bezogen auf den Zweck des Kontoinformationsdienstes Daten von der Bank an einen AISP zur Verarbeitung weitergegeben werden.

Technische Konzepte zur Durchsetzung von Datensouveränität und Datenschutz

Dies kann mittels eines Privacy Cockpits seitens der Bank als technische Maßnahme im Bereich „Privacy by Design und by Default“ umgesetzt werden. Hier wird der Kunde in die Lage versetzt für seine von ihm beauftragten TPPs und AISPs festzulegen, wie mit den an den jeweiligen Dienstleister zu übermittelnden Daten hinsichtlich Schutz seiner Privatsphäre umzugehen ist – dabei kann dem Zweckbezug bei der Verarbeitung von personenbezogenen Daten voll Rechnung getragen werden.

Die Abbildung stellt konzeptionell die Wirkweise eines Privacy Cockpits für Kunden Ende-zu-Endezum Privacy Enforcement an der PSD2-Schnittstelle dar.

Daten als neue Währung – vom Open Banking zum Personal Data Banking

Wenn Daten, wie häufig zu lesen ist, tatsächlich neue Währung und Rohstoff sind, dann ist das Banking davon in besonderer Weise betroffen. Der Bedarf an Institutionen oder Lösungen, welche die personenbezogener Daten sowie die digitalen Identitäten der Verbraucher in sichere Verwahrung nehmen, wird steigen. Mit PSD2 und DSGVO werden hierfür einige wichtige rechtliche Voraussetzungen geschaffen. Bislang ist die Datenökonomie von einem großen Ungleichgewicht, einer Informationsasymmetrie geprägt, deren Profiteure Internetkonzerne wie Google und facebook sind.

Das Geschäftsmodell beruht auf der Verwertung der Nutzerdaten. Bislang werden die Verbraucher an den Erträgen aus ihren Daten nicht beteiligt – die Rendite fällt anderen zu, die mit vermeintlich kostenlosen Angeboten werben. Die Kunden zahlen für die Nutzung kostenloser Services bereits – und zwar mit ihren Daten.

Es ist daher nur eine Frage der Zeit, bis die ersten Personal Data Banks, Banken für Digitale Identitäten oder Identity Banks erscheinen. Vorreiter auf diesem Gebiet ist Japan, wo derzeit die weltweit erste Personal Data Bank entsteht. In Deutschland und Europa sind wir davon derzeit noch weit entfernt. Gleichwohl fehlt es nicht an Initiativen, wie IND²UCE oder Idento.one

Die Abbildung stellt konzeptionell die Wirkweise des nutzerbasierten Einwilligungsmanagements von Idento.one dar.

Gemeinsames Merkmal der Initiativen, ist, dass sie Datenhoheit der Nutzer erhalten und zentrale Datenhaltung vermeiden. Dritte bekommen, wie von der DSGVO vorgesehen, nur nach expliziter Zustimmung

durch den Nutzer den Zugriff auf bzw. Nutzungsrechte für personenbezogene Daten. Der Nutzer bestimmt dabei die Regeln, nach denen der Zugriff erfolgt, wie Gültigkeitsdauer und Zweck. Ferner erhält die Nutzer die Möglichkeit, mit seinen Daten zu handeln. Open Banking wäre demnach nur eine Vorstufe zum Personal Data Banking.

Fazit: Dezentralisierung versus Plattformökonomie

Obwohl das Internet vom Prinzip her dezentral organisiert ist, haben Konzerne wie Google, Amazon, Facebook, Apple und Alibaba (GAFAA) in den letzten Jahren eine dominante Stellung erlangt. Diese neue Form von Machtkonzentration wird häufig als Plattformökonomie bezeichnet. Wer sich heute im Netz bewegt, kommt an diesen zentralen Instanzen und an deren digitalen Ökosystemen und sozialen Netzwerken, nicht vorbei. Bei jedem freiwilligen oder unfreiwilligen Besuch hinterlässt der Nutzer Datenspuren, die zu Profilen zusammengesetzt und verkauft werden.

Wenn, wie mit der DSGVO, die Nutzer einen großen Teil an Datensouveränität zurückgewinnen, wird die Macht der Internetkonzerne dadurch beschnitten. Technologien mit einem betont dezentralen Ansatz, wie die Blockchain-Technologie oder generell Distributed Ledger Technologies, bieten zum ersten Mal seit Entstehung des Internet die Möglichkeit, der Zentralisierung und Machtkonzentration entgegen zu wirken und die Frage der gerechten Verteilung der Erträge in der Datenökonomie auf die Tagesordnung zu setzen. Dezentrale Datenhaltung, intelligente Verträge (Smart Contracts) und

Verschlüsselung, kombiniert mit einem Höchstmaß an Datensouveränität können ein wirksames Gegenwicht zu den großen Internetkonzernen bilden. Das gilt nur nicht nur für den Endverbraucher, sondern auch für Unternehmen. Die neuen Richtlinien wirken weit über einen reinen Regulierungscharakter (nicht selten als Gängelung wahrgenommen) hinaus: Sie bieten Raum für Innovationen in Form von Produkten und Dienstleistungen auf Basis von personenbezogenen Daten, beispielsweise durch das „Recht auf Datenübertragbarkeit“, also die wunschgemäße Nutzung und Verwendung von Daten, die bei einem Dienstleister liegen, durch weitere Dienstleister. Dabei, und das ist die regulierende Seite, dürfen der Schutz und sorgsame Umgang mit personenbezogenen Daten jedoch nicht zu kurz kommen. Neben den Innovationen in den jeweiligen Marktsegmenten sind daher auch Innovationen beim technischen Datenschutz notwendig. Dienstleistungen werden zunehmend in Ökosystemen (Platform Economy und vernetzte Dienste) stattfindenden, so dass auch ein Austausch von Daten immer mehr im Vordergrund stehen wird. IND²UCE und Idento.one sind Technologien, die einen Austausch von personenbezogenen Daten sicher und gezielt ermöglichen und dabei die Datensouveränität der Konsumenten technisch umsetzbar machen. Im Ergebnis wäre ein New Deal on Data möglich.

Wie die Wirtschaftsgeschichte zeigt, ist der Erfolg Europas in besonderer Weise auf seine dezentrale Struktur in Wirtschaft und Gesellschaft zurückzuführen. Ständiger Wettbewerb sowie geringe Machtkonzentrationen schafften den nötigen Raum für Innovationen – sowohl technischer wie auch sozialer Art. Das gilt auch in der Datenökonomie. In der Datenökonomie ist Datenschutz ist ein Standort- bzw. Wettbewerbsvorteil für Europa.

Crosspost von Bankstil

Veröffentlicht unter Datensouveränität, Identity Economy, Personal Data | Verschlagwortet mit , , , | Hinterlasse einen Kommentar

Personal Data Banking im Jahr 2025 – Eine Transformationsstory

Wir befinden uns im Jahr 2025. Michael Hartmann spielt mit dem Gedanken, seinen Energieversorger zu wechseln, da die Stromkosten für seinen vierköpfigen Haushalt in den vergangenen Jahren überproportional gestiegen sind. Sein Haus steuert er bereits mit einer Smart Home – Lösung, über die er den Stromverbrauch regulieren und messen kann. Seine Personal Data Bank hat ihn bereits vor einiger Zeit darauf hingewiesen, dass sein Stromverbrauch im Vergleich zu Haushalten ähnlicher Größe und Ausstattung an technischen Geräten deutlich zu hoch ist.

Seit Michael seine Daten über die Personal Data Bank managt, wird ihm nur noch die Werbung angezeigt, die er zuvor in seinem Dashboard als zulässig deklariert hat. Er hat die Wahl, zwischen verschiedenen Digitalen Identitäten zu wählen und seine Anonymität so weit wie möglich zu wahren. Nur in bestimmten Fällen legt er seine Identität offen. Eine Verkettung digitaler Identitäten ist nicht möglich bzw. deutlich erschwert. Es sind nur die Services (Smart Home, Connected Car, E-Health) als Datenkonsumenten zugelassen, die Michael zuvor dazu berechtigt hat (Intelligente Verträge/Smart Contracts).

Auf seinem Personal Data Banking –  Dashboard werden Michael nun die verschiedenen Geräte mit ihrem Verbrauch, unterstützt von grafischen Darstellungen, angezeigt. Michael beschließt, eine Anfrage bei mehreren Energieversorgern zu starten.  Er definiert die Bedingungen, die sein neuer Versorger erfüllen muss. Mit der Export-Funktion seiner Personal Data Bank (PDB) werden die Daten (Anzahl und Art der Geräte, Stromverbrauch, Historie) extrahiert, verschlüsselt und automatisch auf einer Plattform für Stromkunden und Energieversorger eingestellt. Auf der Plattform ist Michael mit seiner PDB-ID angemeldet, die jedoch keine Rückschlüsse auf seine Person zulässt. Michael hat die Möglichkeit ein spezielles Profil (Energiekunde) zu verwenden, die an seiner PDB-ID gekoppelt ist. Interessierte Energieversorger bekommen die neuen Anfragen mit den nötigen Daten und den Konditionen angezeigt.

In einer Auktion geben die Energieversorger ihre Angebote ab. Da Michael mit seiner PDB-ID bei der Plattform angemeldet ist, hat der Energieversorger die Gewissheit, dass es sich um eine echte Identität handelt. Zwei Energieversorger A und B gehen auf das Angebot ein und fragen nach personenbezogenen Daten (Wohnort, Anzahl Familienmitglieder, bisheriger Versorger) an. Er beschließt, die gewünschten Daten beiden Versorgern für 24 h freizugeben. Da Anbieter A die Frist hat verstreichen lassen, gibt Michael Anbieter B vorläufig den Zuschlag und schaltet über sein PDB-Dashboard seine Scoring-Informationen/Bonitätsdaten (Zahlungshistorie, Kontobestätigung) frei. Anbieter B nimmt den Auftrag offiziell an woraufhin Michael seine personenbezogenen Daten (Name, Kontoinformationen) freigibt.

Die Personal Data Bank managt im Hintergrund die Transaktionen und Berechtigungen, gibt Warnhinweise und leitet ggf. Gegenmaßnahmen, wenn der Verdacht auf Fraud oder Identitätsdiebstahl besteht. Weiterhin sorgt die Personal Data Bank für die Einhaltung des Bankgeheimnisses.

Für den Fall, dass Michael seinen Private Key verliert, leitet die Personal Data Bank ein entsprechendes (Social)Recovery-Verfahren ein.

Für Michael ist das Web das Betriebssystem (Internet of Me). Welche Applikationen, Geräte, Hersteller oder Dienstleister sich dahinter verbergen, ist zweitrangig.

Crosspost von Bankstil

Veröffentlicht unter Datensouveränität, Digitale Identitäten, Identity Economy, Personal Data | Hinterlasse einen Kommentar

“Komplizen des Erkennungsdienstes. Das Selbst in der digitalen Kultur” von Andreas Bernard

Von Ralf Keuper

Sind wir durch unser Verhalten im Internet – unbewusst – zu Komplizen des Erkennungsdienstes geworden? Wer das Buch Komplizen des Erkennungsdienstes. Das Selbst in der digitalen Kultur liest, gewinnt jedenfalls den Eindruck, dass dem so ist.

Noch in den 1980er Jahren sorgte die Volkszählung in Deutschland für Aufruhr. Es bestand die Befürchtung, einem Überwachungsstaat in die Hände zu arbeiten. Heute geben die Nutzer im Internet freiwillig eine Menge an personenbezogenen Daten preis, die weit über die Datenanforderungen der Volkszählung hinaus gehen. Wie ist dieser Widerspruch zu erklären? Woher kommt die “digitale Profilierungssucht”?

Die Kategorie des “Profils” ist für Bernard entscheidend, wenn man den Wandel zur ständigen Selbstvermessung und Verdatung der Nutzer verstehen will.

Das Profil der Mitglieder von LinkedIn, Instagram oder Facebook – der Ort, an dem sie ihre Selbstbeschreibung verfassen, an dem persönliche Daten, Texte, Fotos und Videos versammelt sind – ist der Knotenpunkt der Interaktion.

Es ist noch gar nicht so lange her, da war der Begriff “Profil” negativ belegt:

Bis vor 20 oder 25 Jahren waren nur Serienmörder oder Wahnsinnige Gegenstand eines “Profils”. Diese Wissensform, dieses Raster der Menschenbeschreibung hat im letzten Jahrhundert eine so rasante wie tiefgreifende Umwandlung erlebt.

Bernard resümiert:

Was eine kurze Begriffsgeschichte des “Profils” also sofort verdeutlicht, ist der Umstand, dass dieses Format ein knappes Jahrhundert lang Individuen in einer Prüfungs- oder Fahndungssituation beschrieben hat.

Die Datenspuren, die die Nutzer im Netz hinterlassen, werden von Google und anderen Internetkonzernen zu Profilen zusammengesetzt und an die Werbeindustrie verkauft – ein Milliardengeschäft.

Bernard zeigt, dass die Sammlung von Daten aus Gründen der Klassifizierung menschlichen Verhaltens eine lange Geschichte hat. Einer der Hauptprotagonisten war Hugo Münsterberg, der vor allem für seine Psychotechnik bekannt wurde (Vgl. dazu: 100. Todestag von Hugo Münsterberg. Der Psychologe des Alltags). Münsterberg lehnte den sog. hermenteutischen Zugang zum Innenleben des Menschen, wie er von Sigmund Freud und Josef Breuer angewandt wurde, ab.

Disziplinen wie die experimentelle Psychologie und die daraus hervorgehenden Schulen der Psychotechnik und des Behaviorismus interessieren sich weniger für den sprachlichen Zugang zum Menschen oder die biografischen Ursprünge von Störungen, sondern befassen sich mit der Hervorbringung körperlicher Oberflächenäußerungen. Anstelle der Introspektion des Patienten steht die Vermessung, anstelle der Produktion von Erinnerungen und Worten die Produktion von Körperströmen und Daten, anstelle des verzögerten Ausbruchs latenter Komplexe die sofortige Reaktion auf Reize.

Prominentestes Beispiel dieser Wissenschaftsdisziplin auf technologischem Gebiet ist die sog. Quantified Self-Bewegung.

„The Quantified Self“ ist ein Netzwerk aus Anwendern und Anbietern von Methoden sowie Hard- und Softwarelösungen, mit deren Hilfe sie z. B. umwelt- und personenbezogene Daten aufzeichnen, analysieren und auswerten. Ein zentrales Ziel stellt dabei der Erkenntnisgewinn u. a. zu persönlichen, gesundheitlichen und sportlichen, aber auch gewohnheitsspezifischen Fragestellungen dar (Quelle: Wikipedia).

Bernard kommentiert:

Die Bezüge aktueller Quantified-Self-Verfahren auf psychotechnische und behavioristische Perspektiven fallen hier klar ins Auge. Sprache ist auch den heutigen Selbstvermessern ein unzulängliches Medium für die Erkenntnis des Menschen; die Fitnessarmbänder, Smart Watches oder die Apps zur Quantifizierung der eigenen Stimmung sollen Auskünfte über den Nutzer durch die Daten seiner Körperäußerungen geben.

Während der Behaviorismus keinen Platz für das Selbst als Urheber seines Handelns hat, zielt die Quantified-Self-Bewegung gerade auf das autonom entscheidende Individuum ab. Hier widersprechen sich Behaviorismus und Quantified-Self-Bewegung:

Die ist eine auffällige Paradoxie der Self-Tracking-Kultur: Sie übernimmt die erkenntnistheoretischen Grundsätze der Psychotechnik und des Behaviorismus, betrachtet den Menschen als Produzenten von Oberflächendaten, dessen Inneres unergründet bleiben muss, aber zieht aus ihren Praktiken ganz andere Schlüsse für den Status des Subjekts. Das “Quantified Self”- indem es seine Blutdruck-, Puls- und Bewegungsschreiber selbst anlegt und verwaltet – soll mit besonderer Emphase zu jenem “Urheber und Initiator seines Handelns werden, den Skinner verabschiedet hat. Es zeigt sich hier genau dieselbe Diskontinuität, die auch die Transformation der elektronischen Fussfessel zum GPS-fähigen Smartphone kennzeichnet: Das technische Ensemble ist beinahe identisch, die Grundfunktion der Erfassung bleibt bestehen, aber die ehemaligen Kontrollinstrumente haben sich in Werkzeuge der Selbstermächtigung verwandelt.

Obwohl die Messgenauigkeit sowie die Aussagekraft der Daten unzulänglich sind, wie Bernard am Beispiel der Schlafforschung zeigt, ist die Nachfrage an Self-Tracking-Tools ungebrochen:

Es scheint eine allgemeine Erfassungssehnsucht in der digitalen Kultur zu bestehen, eine Tendenz der Selbsttaylorisierung, die das Wissen um die fragile Verlässlichkeit der Messwerte übertrumpft.

In der Sharing Economy haben sich die Begriffe gewandelt. Gegensätze haben sich aufgelöst. Die Marktwirtschaft alter Prägung scheint obsolet geworden. Einst mächtige Institutionen, wie der Staat oder Banken, stehen vor der “Disruption”.

Sowohl die neue Wirtschaftsmentalität als auch die Cyberspace-Utopien setzen auf Selbstregulierung statt Fremdregierung, freien Wettbewerb statt übermäßiges staatliches Reglement, und ein Vokabular, das um 1968 zunächst von dezidiert linker politischer Seite kam – Eigenverantwortung, Selbstbestimmung, flache Hierarchien – , hat sich in den netzwerkhaften Dotcom-Unternehmen und Startups seit Mitte der neuziger Jahre in die Lehre der New Economy eingefügt. .. Marktwirtschaft und kritisches Engagement, Profitstreben und vorbildliche Ethik gehen eine stolze Allianz ein. Ihre Galionsfigur ist der “Social Entrepreneur”, der die Verbindung von Sozialem und Ökonomischen schon im Namen trägt. Ihre Praxis ist die “Sharing Economy”, in der die vielleicht letzten Lebensbereiche, die dem Modernisierungsimpuls entzogen waren – das eigene Bett, der eigene Kleiderschrank, der eigene Beifahrersitz -, zu einer lukrativen Einkommensquelle geworden sind.

Ende offen.

Ein wichtiges Buch.

Veröffentlicht unter Datensouveränität, Personal Data | Hinterlasse einen Kommentar

How data brokers sold my identity

Veröffentlicht unter Digitale Identitäten, Identity Economy | Hinterlasse einen Kommentar

Identity Economy: Ein kurzer Wochenrückblick #22

Von Ralf Keuper

Anbei eine Aufstellung von Beiträgen, die mir in dieser Woche besonders ins Auge gefallen sind:

 

Veröffentlicht unter Wochenrückblick | Hinterlasse einen Kommentar

Die Blockchain im Spannungsfeld der Grundsätze der Datenschutzgrundverordnung

Von Ralf Keuper

In dem Beitrag Die Blockchain im Spannungsfeld der Grundsätze der Datenschutzgrundverordnung argumentiert die Autorin, Ninja Marnau, dass die Blockchain – Stand heute – nur bedingt mit der neuen Datenschutzgrundverordnung kompatibel ist.

Die wichtigsten Kritikpunkte:

Zweckbindung

Aufgrund der öffentlichen Verfügbarkeit der Daten sind sie jedoch im besonderen Maße dem Risiko einer zweckändernden Weiterverarbeitung durch Dritte ausgesetzt.

Recht auf Vergessen

Diese Unveränderlichkeit steht im direkten Konflikt zu Betroffenenrechten auf Berichtigung, Löschung und dem Recht auf Vergessenwerden. Zwar besteht die Möglichkeit, in einem neuen Block Informationen oder Transaktionen in älteren Blöcken für ungültig zu erklären. Die alten unrichtigen oder zu löschenden Informationen bleiben aber vorhanden und für alle Teilnehmer lesbar. Daher entspricht diese Lösung nicht den datenschutzrechtlichen Anforderungen an die Umsetzung von Betroffenenrechten.

Redactable Blockchain

Um diesen Konflikt aufzulösen, wurde 2016/17 das Konzept der „redactable blockchain“ vorgestellt, die eine nachträgliche Änderung alter Blöcke erlaubt, ohne dass alle nachfolgenden Blöcke ungültig werden.

Dieses neue Konzept der Redactable Blockchain löst allerdings den Konflikt zwischen Blockchain-Technologie und Betroffenenrechten nur bedingt auf. Die Autoren selbst gehen davon aus, dass solche Korrektureingriffe nur selten vorgenommen werden. Dies entspricht jedoch nicht der Realität der Verarbeitung personenbezogener Daten. Löschpflichten z.B. würden regelmäßig greifen.

Vorteil Permissioned Blockchain

Im zentral verwalteten Szenario der Permissioned Blockchain errechneten die Autoren hingegen nur geringen Overhead bei der Erstellung der Blockchain und dem Austausch von Blöcken. Das vorgeschlagene Konzept scheint daher für den Einsatz im Rahmen einer internen Permissioned Blockchain deutlich besser geeignet, um Betroffenenrechte effektiv umzusetzen

Nachteil Permissioned Blockchain

Bei der Permissioned Blockchain ist die Vertraulichkeit der Informationen dadurch umrissen, dass die zentrale Stelle nur selektiv Lese-Zugriff zum Netzwerk gibt. Da der Kreis der Teilnehmer am Netzwerk bei einer Permissioned Blockchain wesentlich kleiner ist, ist die Möglichkeit zur Manipulation durch Absprachen der Teilnehmer mit Schreibrechten allerdings dementsprechend größer. Die Vertraulichkeit des Netzwerkes geht damit zu Lasten der Vertrauenswürdigkeit des peer-to-peer Prinzips beim Berechnen und Hinzufügen neuer Blöcke.

Lösung / Kompromiss

Möglich wäre, dass alle Teilnehmer des Netzwerks als gemeinsam für die Verarbeitung Verantwortliche („joint controller“) gemäß Art. 26 DSGVO agieren. Dies hätte zur Folge, dass es erstens eine Vereinbarung zur Wahrung der Betroffenenrechte zwischen den Teilnehmer gäbe und zweitens jeder Teilnehmer vollumfänglich gegenüber dem Betroffenen für die Umsetzung von dessen Rechten in die Verantwortung genommen werden kann. Ob diese gemeinsame Verantwortung in bestimmten Szenarien sinnvoll und für die Umsetzung der Betroffenenrechte zielführend ist, muss anhand des Einzelfalls entschieden werden.

Einschätzung

Die Autorin bringt einige wichtige Kritikpunkte vor. Das gilt in besonderer Weise für die Themen “Recht auf Vergessen” und “Re-Anonymieserung”. Allerdings bezieht sie sich ausschließlich auf die Bitcoin-Blockchain und das Proof of Work – Verfahren. Neuere Entwicklungen, wie Smart Contracts oder Hashgraph, kommen nur am Rande oder gar nicht vor.

Stand heute sind Permissioned Blockchain-Lösungen mit einer Governance-Struktur am besten für die Umsetzung der DSGVO geeignet. Sie müssen sicherstellen, dass eine Verkettung digitaler Identitäten nicht möglich ist. Ohne dezentrale Datenverarbeitung wird das nicht klappen. Da liegt die Autorin m.E. daneben, wenn sie schreibt:

Grundsätzlich lässt sich festhalten, dass das europäische Datenschutzrecht auch in seiner neuen Fassung dezentralisierte Datenverarbeitung von personenbezogenen Daten weder fördert noch überhaupt vorsieht.

Gerade die Hacks der letzten Zeit, wie Equifax, zeigen doch, wie gefährlich die zentrale Datenhaltung ist (Vgl. dazu: Von statischen zu digitalen Identitäten).

Entscheidend ist die richtige Mischung aus Zentralisierung und Dezentralisierung, d.h. die Datenhaltung sollte möglichst dezentral sein, die Verantwortung/Governance zentralisiert sein. Ein weiteres Argument für die Errichtung von Personal Data oder Identity Banks. Wesentliches Element sind dynamische digitale Identitäten.

Veröffentlicht unter Blockchain / Distributed Ledger Technology, Digitale Identitäten, Personal Data | Verschlagwortet mit , | Hinterlasse einen Kommentar

“Gamified Control?” Chinas Social Credit Systems

Weitere Informationen:

34C3: China – Die maschinenlesbare Bevölkerung

Veröffentlicht unter Datensouveränität, Personal Data | Verschlagwortet mit , , | Hinterlasse einen Kommentar

ConsenSys and uPort: Powering Decentralized Identity

Veröffentlicht unter Blockchain / Distributed Ledger Technology, Datensouveränität, Digitale Identitäten | Hinterlasse einen Kommentar

Identity Economy: Ein kurzer Wochenrückblick #21

Von Ralf Keuper

Anbei eine Aufstellung von Beiträgen, die mir in den vergangenen zwei Wochen besonders ins Auge gefallen sind:

Veröffentlicht unter Wochenrückblick | Hinterlasse einen Kommentar

Smart Data – Innovationen aus Daten

Das Programm „Smart Data – Innovationen aus Daten“ des Bundesministeriums für Wirtschaft und Energie (BMWi) neigt sich 2018 dem Ende zu. Das Förderprogramm startete im Jahr 2014 und hat einen wichtigen Beitrag geleistet, den Markt für Smart-Data-Technologien in Deutschland breitenwirksam zu erschließen. Sechzehn Leuchtturmprojekte mit Vorbildcharakter insbesondere für die Anwendung bei kleinen und mittelständischen Unternehmen werden aktuell mit rund 36 Millionen Euro gefördert. Vier Anwendungsbereiche wurden dazu in den Fokus gerückt: Industrie, Mobilität, Energie und Gesundheit. …

Sehr früh kristallisierte sich hier die Verwaltung und Prüfung von Identitäten, das sogenannte Identity Management, als eine zentrale Herausforderung für die Entwicklung der Smart-Data-Projekte heraus. Woher stammen Daten? Sind sie vertrauenswürdig? Wer ist der Absender? Ist der Empfänger für den Erhalt bestimmter Daten legitimiert und darf er sie weitergeben? Die Bearbeitung dieser Fragen zum Identitätsmanagement steht sinnbildlich für die Verschränkung der Inhalte der drei Arbeitsgruppen – und die Herausforderung, dass hier an vielen Stellen noch Pionierarbeit geleistet werden muss, zum Beispiel bei der Erarbeitung von technischen Schutzmechanismen. …

Lösungen dürfen aber nicht nur auf nationaler Ebene gesucht werden, sondern müssen auf europäischer oder vielmehr noch internationaler Ebene gefunden werden. Die neue Datenschutzgrundverordnung (DSGVO) der Europäischen Union, die ab Mai 2018 gilt, und Datenschutzregeln für Unternehmen und Behörden deutlich verschärft, ist mehr als nur ein Indiz für die Dringlichkeit dieses Themas. …

Zur vollen Ausschöpfung des Potenzials einer Technologie, ist eine entsprechende gesellschaftliche Akzeptanz notwendig. Während die Auswirkungen und Implikationen der DSGVO noch nicht in vollem Umfang absehbar sind, gewinnen die Themen maschinelles Lernen und künstliche Intelligenz zunehmend an Stellenwert. Die Ergebnisse des Technologieprogramms „Smart Data – Innovationen aus Daten“ zeigen die Korrelation rechtlicher Rahmenbedingungen und Sicherheit sowie gesellschaftlicher Akzeptanz auf. Eine ganzheitliche und weitsichtige Vorgehensweise wurde in diesem Kontext als Chance erkannt: Die Projekte legen ihren Fokus bereits auf diese Aspekte und sind vor diesem Hintergrund als Vorreiter auf diesen Gebieten zu bewerten.

Quelle / Link: Smart Data – Innovationen aus Daten

Veröffentlicht unter Datensouveränität, Digitale Identitäten, Identity Economy, Internet der Dinge, Maschinendaten / M2M-Kommunikation, Personal Data | Hinterlasse einen Kommentar