Daten schützen mit Blockchain-basierten digitalen Identitäten

Mit offenen Standards digitale Souveränität erhalten

Wie kann man Sicherheit und Souveränität auf dem digitalen Markt gewährleisten, ohne sich national abzuschotten? Die Dominanz der US-Konzerne wie Facebook oder Google stellt europäische Unternehmen vor eine große Herausforderung. Daten werden dort in einem unglaublichen Maße getrackt und zu Persönlichkeitsprofilen ausgewertet - und das alles, ohne dass die Kunden ein Mitbestimmungsrecht oder eine dezidierte Einsicht in die algorithmische Erhebung und Weitergabe der Daten haben. Wer alternative unabhängige Wege beschreiten will, kommt in Zukunft um eine Authentifizierung durch die Blockchain-Technologie nicht herum. 

Die Blockchain-Technologie steht für ein neues Ökosystem dezentraler Informationssysteme, das Daten unveränderbar registriert und abspeichert, indem sie über das ganze Netzwerk distribuiert werden. Der Konsensmechanismus zur Validierung kommt dabei ohne zentrale Autorität aus. Besonders die Finanzbranche hat früh die enormen Vorteile erkannt, wie man mit Blockchain-Applikationen Zahlungsanwendungen und Handelsplattformen günstig, schnell und transparent anbieten kann. Blockchain-Anwendungen unterstützen nicht nur die Beschleunigung von Transaktionen, sondern auch intelligente Opt-In oder Know-Your-Customer-Verfahren und beugen Betrug durch Ausgleichsbuchungen vor. Werttransfer, Lieferketten, Automatisierung oder Kundendaten – praktisch jeder elektronische Datensatz oder jedes Dokument erhält mit einer Blockchain weitreichende Möglichkeiten für eine sichere Authentifizierung und Bearbeitung.

Blockchain und Self-sovereign Identity (SSI) stärken die IT-Sicherheit

Offene Standards, Interoperabilität und Open Source stellen dabei eine solide Basis für einen innovativen Wettbewerb und digitale Souveränität zur Verfügung. Der einzelne Benutzer kann über ein Blockchain-Netzwerk seine eigenen Identitätsdaten und den Zugang dazu kontrollieren. Dieses als Self-sovereign Identity (SSI) bezeichnete Identitätsmodell kann einen enormen Mehrwert bieten: es ermöglicht die Nutzung einer anbieterunabhängigen Technologie, die zuverlässig und zugleich benutzerfreundlich ist. Realisiert werden kann eine self-sovereign identity (SSI) zum Beispiel über eine mobile App des Nutzers, die als Identitäts-Wallet dient. Zurzeit basieren solche Wallets auf Blockchains oder einer ähnlichen Distributed-Ledger-Technologie (DLT).

Der Schutz von sensiblen Daten spielt eine große Rolle bei der Kommunikation mit Verbrauchern, Geschäftspartnern und öffentlichen Einrichtungen. Einige dieser Bereiche sind durch die DSGVO und die noch zu erwartende ePrivacy-Verordnung geregelt. Weitere Gesetze wie das Berufs- oder Arztgeheimnis regeln die Verschwiegenheitspflicht und stellen vertrauliche Daten wie zum Beispiel Krankenakten oder Diagnosen unter einen besonderen Schutz. 

Wer Daten speichert, verarbeitet oder elektronisch versendet, steht also vor einem dringenden Problem. Immer häufiger zielen kriminelle Cyberattacken auf das Ausspähen oder die illegale Aneignung dieser Daten ab und müssen daher unter allen Umständen durch ein systematisches IT-Sicherheitskonzept verhindert werden. Dieses gilt sowohl für Unternehmen als auch für staatliche Einrichtungen, die einer besonderen Sorgfaltspflicht unterliegen. Eine Möglichkeit dazu bietet die Authentifizierung mittels Blockchain-Technologie. Diese lässt sich unter anderem für digitale Wertpapiere, bei Einsicht in das digitale Grundbuch, bei digitalen Zeichnungsprozessen oder im Gesundheitsbereich anwenden.

Praxisbeispiel Blockchain: dezentrale digitale Krankenakte 

Ein gutes Beispiel für die Anwendung der Blockchain im öffentlichen Sektor ist die digitale Krankenakte. Sie wird aktuell zentral gespeichert, ist dabei jedoch nur bedingt vor unbefugten Zugriffen geschützt. Patienten erhalten keinen direkten Zugriff, sondern müssen eine Einsichtnahme umständlich beantragen. Wenn die Verwaltung und Speicherung der digitalen Krankenakte mithilfe der Blockchain oder einer ähnlichen Technologie erfolgen würde, wäre eine dezentrale Bearbeitung möglich. Der Patient erhielte den vollen Zugriff auf seine Daten, ohne dafür eine Zwischeninstanz aufrufen zu müssen. Wichtige Vorteile: sichere Zugriffskontrollen und eine Nachverfolgbarkeit der stattgefundenen Aktionen. 

Ein Blockchain-Netzwerk könnte Anwendungsbereiche für eine digitale Krankenakte dezentral und kostengünstig verknüpfen und zugleich Mehrwert schaffen: schneller Austausch von Patientendaten zwischen Ärzten, Krankenhäusern, Pflegeeinrichtungen und Krankenkassen, passgenaues Versicherungs-Management, transparente Überwachung von Lieferketten oder institutionsübergreifende Durchführung von klinischen Studien. Gerade bei Studien zu neuen Medikamenten oder Behandlungsformen steht nicht nur das Interesse der Patienten im Vordergrund. Die wissenschaftlichen Ergebnisse spielen für die ausführenden Einrichtungen eine große wirtschaftliche Rolle und dürfen nicht in falsche Hände geraten oder vorzeitig veröffentlicht werden. Mittels Blockchain-Technologie und einer individuellen Tokenisierung der Daten kann ein Sicherheitskonzept realisiert werden, welches den hohen Anforderungen dieser Fachgebiete gerecht wird.

Internationales Regelwerk für gesetzliche Grundlagen ist gefordert

Die Blockchain-Technologie ist geeignet, um Vertrauensnetzwerke zwischen verschiedenen Parteien zu schaffen. Dies stärkt die Datenintegrität, generiert aber auch ein neues Problem. Da mittels Blockchain alle Vorgänge, die mit dem Datensatz in Verbindung stehen, gespeichert werden, liegen die Informationen zu diesen Vorgängen praktisch unlöschbar auf unbestimmte Zeit vor und bleiben fest mit diesem Datensatz verknüpft. Dies könnte in datenschutzrechtlicher Hinsicht problematisch sein. Die aktuell geltende EU-DSGVO fordert das Recht auf Vergessen, Datenminimierung sowie die Anonymisierung der Daten. Bekannte große Blockchain-Netze verstoßen oftmals gegen diese Rechte. Betreiber einer Blockchain-Node sollten dies bei der Ausgestaltung der Technologie berücksichtigen, da sie für die Verarbeitung der Daten haftbar gemacht werden können.

Wie der Umgang mit solchen Informationen geregelt werden soll, steht aus gesetzlicher Sicht noch nicht einheitlich fest. Für eine Umsetzung in die Praxis ist ein internationales Regelwerk zur Koordination unbedingt nötig. Erste Schritte der Bundesregierung und Verhandlungen auf EU-Ebene beschäftigen sich mit den Risiken und Chancen, die eine Verwendung der Blockchain im Zusammenhang mit sensiblen Daten bietet. Das Aktionspapier der Arbeitsgruppe „Digitale Identität“ des Blockchain Bundesverbands e. V. begrüßt die Hervorhebung der Bedeutung interoperabler digitaler Identitäten für die digitale Souveränität der Bundesrepublik in der Blockchain-Strategie der Bundesregierung und unterstützt das eindeutige Bekenntnis zu offenen Standards. 

Maßnahmen wie die Etablierung von Vertrauen in digitale Identitäten, wie die Verknüpfung von staatlicher Vertrauens-Infrastruktur (z.B. eIDAS) mit selbstbestimmten Identitäten auf der Basis von Blockchain-Technologie bildet einen wichtigen Meilenstein für die gesetzliche Unterstützung einer sicheren digitalen Authentifizierung. Sie benötigen jedoch eine weitere Konkretisierung und Erweiterung, besonders im Bereich der Abstimmung im europäischen digitalen Binnenmarkt und bei der Anpassung von Förderkriterien. Bis zur Umsetzung einer breiten Verwendung in der Geschäftswelt, die realwirtschaftliche Gewinne und volkswirtschaftlichen Nutzen erzeugt, dürfte noch einige Zeit vergehen.

Private Blockchain als Zwischenlösung nutzen

Solange es noch kein autorisiertes System für eine Authentifizierung von staatlicher Seite gibt, ist als Zwischenlösung eine private Blockchain denkbar. Unternhemen gehen bei diesem Prozess als innovative Vorreiter voran. Sie nutzen die private Blockchain für die sichere Speicherung, den Transport und die Auswertung sensibler Daten unter den Gesichtspunkten der Regulierung durch die DSGVO und eine allgemeine europäische Gesetzgebung. Diese Vorschriften sind zum Teil nur einhaltbar, indem Kunden aktiv einer Verarbeitung und Speicherung ihrer Daten zustimmen. 

Eine Protokollierung der Zustimmung kann mittels Blockchain plattformübergreifend für mehrere Anwendungen und Geschäftsfelder gesichert werden. Sie ermöglicht Kunden und Unternehmen bei Bedarf direkten Zugang zu ihren Daten. Weitere Anwendungen unterstützen eine digitale Signatur, den Handel mit digitalen Finanzprodukten oder mit digitalen Sachwerten. So können Unternehmen gemeinsam mit ihren Kunden und unabhängig von Großkonzernen das technologische Ökosystem der Zukunft aufbauen.