Die DSGVO ist eine Verordnung zum Schutz von personenbezogenen Daten. Doch realistisch ist dieser Schutz nicht wirklich. Millionen von Menschen geben täglich ihre persönlichen Daten freiwillig über die Social Media Kanäel wie Facebook oder Instagram frei. Fotos, Selfies, Geburtsdaten, etc. sowohl von sich selbst als auch von anderen Personen werden ohne Nachfrage veröffentlicht oder weitergegeben. Die Rechte an Bildern und Texten gehen zum Teil auch noch per AGB an den Plattform-Betreiber. Auf der anderen Seite werden Journalisten davon abgehalten Situationen abzulichten bzw. die Bilder zu veröffentlichen, wenn damit die Persönlichkeitsrechte Dritter verletzt werden könnten. Abgesehen davon, dass das Recht auf Selbstbestimmung gleichwertig zum Recht auf freie Meinungsäußerung gestellt ist, drängt sich die Frage auf, ob die DSGVO schon bei Inkrafttreten überholt war.

Zum Schutz der Identität und der Transaktionen könnte anstelle der herkömmlichen Methoden auch die Sovrin Initiative herangezogen werden. Sovrin stellt eine Open Source Software (INDY) zur Verfügung, auf deren Basis digitale Identitäten selbst verwaltet werden können und nicht durch eine zentrale Stelle, wie Facebook, Google oder auch jedes andere Unternehmen, das Accounts (und somit digitale Identitäten) für seine Mitarbeiter und Partner und Kunden anlegt. Mit einer dem Sovrin Ansatz folgenden Implementierung hätte jeder Teilnehmer eine digitale Identität, die er alleine verwaltet. Nur der Besitzer der Identität bestimmt welche Daten für welchen Zweck und für welche Verbindung freigegeben werden. Im Zweifel muss nicht einmal das eigentliche Datum freigegeben werden. Nach dem Zero Knowledge Prinzip würden auch Plausibilisierungsabfragen reichen.

Beim Zero Knowledge würde zum Beispiel ein Carsharing-Unternehmen bei Indy anfragen, ob der Besitzer dieser Identität einen Führerschein der passenden Klasse hat. Die Anfrage würde nicht das Dokument mit allen möglichen Daten zurück liefern, sondern lediglich ein Ja oder Nein. Natürlich könnte man durch entsprechend viele und detailliertere Fragen auch die exakten Daten erfragen. Das wird unterbunden, indem z.B. die Anzahl der Fragen begrenzt ist.

Die eigentlichen Daten werden in einem Wallet gehalten, nicht in der Blockchain. Diese Wallet kann entweder rein offline in der Cloud oder offline mit Cloud Backup existieren. In der Wallet sind auch durch berechtigte Aussteller (z.B. das Verkehrsamt) signierte Zertifikate, etwa ein Führerschein enthalten, sowie alle weiteren Daten zur Person. Für jede Verbindung zu einem Unternehmen, einer App, einem Device, etc. wird nun ein eigener Identifier generiert, über den die Verbindung verwaltet werden kann. Nur die Daten und nur in der Form, die von der Person hinter der Identität freigegeben sind, werden auch weitergegeben. Die Wallet enthält auch Credentials, mit denen die passwortlose Anmeldung an IT Systemen möglich ist. Ein Beispiel ist hier zu finden.

Es geht also eigentlich nicht darum, ein Gesetz zu schaffen, dass meine Daten schützt. Vielmehr gilt es, eine existierende Technologie zu forcieren, die mir die Möglichkeit gibt meine Daten eigenverantwortlich zu handhaben. Sicherlich hilft das zunächst wenig gegen die Veröffentlichung von z.B. Bildern, die unter Umständen mein Persönlichkeitsrecht verletzen. Wir werden es in Zukunft nicht schaffen neue Technologien zu nutzen, ohne etwas von uns preiszugeben. Social Media, auf meine Bedürfnisse zugeschnittene Informationen, etc. kann ich nur nutzen, wenn ich die dafür notwendigen Parameter freigebe. Jeder kann dann selber entscheiden, ob er den Service nutzen möchte. KI, die heute schon dafür sorgt, dass die passenden Informationen bei mir ankommen, könnte mich auch bei der Freigabe und Verwaltung unterstützen.

Technisch geht das schon. Was benötigt wird, ist eine kritische Masse an Usern und Unternehmen, sowie der Verwaltung, die sich beteiligen. Indy ist frei verfügbar und es werden sicher mehr als eine Installation entstehen. Man wird daher eventuell erst einmal nicht mit einer ID auskommen. Mittelfristig werden wir sehen, dass sich diese Netze zusammenschließen. In Zukunft brauchen wir dann nur noch eine Identität weltweit (ok, sehr optimistisch), mit der wir uns an IT Systemen anmelden, unser Präsenz in der digitalen Welt darstellen und uns in dieser Umgebung bewegen.