Selbstbestimmte Identität

Eine selbstbestimmte Identität (englisch: Self-Sovereign Identity, kurz: SSI) erlaubt es einer Person, Organisation oder Maschine, eine digitale Identität zu erzeugen und vollständig zu kontrollieren, ohne dass es der Erlaubnis eines Vermittlers oder einer zentralen Partei bedarf. Zudem erlaubt sie die Kontrolle darüber, wie die persönlichen Daten geteilt und verwendet werden.

Beziehung zwischen Entitäten, Identitäten und Attributen/Bezeichnern

Funktionsweise

Der Benutzer hat durch ein Wallet (deutsch: Brieftasche) die Möglichkeit, dezentrale Identifikatoren^[1] (englisch: decentralised Identifiers, kurz: DID) zu generieren, sowie eine Möglichkeit zum Speichern von verifizierten Identitätsdaten^[2] (englisch: verified Credentials).^[3] Ein digitales Wallet ist eine Anwendung, die digitale Schlüssel verwaltet. Es erlaubt digitales Geld oder in diesem Fall, Identitätsinformationen, zu empfangen, zu speichern, zu verwalten und zu senden.

Eine selbstbestimmte Identität, die auch als dezentrale Identität bezeichnet wird, kann sich aus vielerlei Aspekten zusammensetzen. Dies können selbst attestierte Daten, die Daten aus einem Social-Login-Konto, einer Historie von Transaktionen auf einer E-Commerce-Website oder einer Bescheinigung von Freunden, dem Arbeitgeber oder der Universität sein.^[4]

Im zentralisierten Identitätsparadigma wird die Identität bzw. der damit verbundene Identifikator (wie z. B. einer E-Mail-Adresse oder einer Telefonnummer) einer Person von einer externen Entität bereitgestellt. Im dezentralen Identitätsparadigma erzeugt der Benutzer diesen selbst und steht im Mittelpunkt des Geschehens. Dritte Parteien können diesem verifizierte Identitätsdaten ausstellen, die nach Bedarf von dem Halter der Bescheinigung vorgezeigt werden können. Abhängig von der gewünschten rechtlichen Wirksamkeit einer selbstbestimmten Identität kann es notwendig sein, dass bestimmte Attribute einer Identität durch Dritte bestätigt sind. Dazu hinterlegt die bezeugende Partei (ein Aussteller oder Emittent) einen dezentralen Identifikator in z. B. einem Blockchain-Netzwerk, der es anderen erlaubt, die präsentierten Attribute unabhängig zu verifizieren bzw. zu überprüfen.

SSI in einzelnen Jurisdiktionen

Europäische Union

SSI-Beispiel in der Europäischen Union

Die Europäische Union untersucht im Rahmen einer Arbeitsgruppe innerhalb der European Blockchain Services Infrastructure (EBSI)^[5] ebenfalls die Möglichkeiten von SSI für Identitätsnachweise. Zusätzlich schafft sie einen eIDAS-kompatiblen europäischen Rahmen für die selbstbestimmte Identität durch das European Self-Sovereign Identity Framework (ESSIF).^[6] Mit der ersten Version der SSI eIDAS Bridge ist es bereits möglich, einen eIDAS-konformen Vertrauensdienstleister als Aussteller einer digitalen Identität im SSI-Netzwerk zu verankern.^[7]

Zusätzlich wurde das ESSIF-Lab als Horizon 2020 Projekt gestartet, das von TNO^[8] bzw. NGI^[9] geleitet wird.^[10] Die Aktivitäten im ESSIF-Lab drehen sich primär um die Interoperabilität der verschiedenen SSI Implementierungen.

Deutschland

Rechtliche Rahmenbedingungen

Im deutschen bzw. europäischen Rechtsraum gibt es zwei Regulierungen, die von besonderer Bedeutung für das Thema sind. Dazu zählt die eIDAS Verordnung, die den wichtigsten Rahmen für das Vertrauen in die elektronische Identifizierung in der EU bildet und einen elementaren Baustein des digitalen Binnenmarktes darstellt. Die Europäische Blockchain Service Infrastruktur (EBSI)^[11] hat hierzu die SSI eIDAS Bridge^[12] als technische Implementierung bereitgestellt, die ein substanzielles Vertrauensniveau ermöglicht.^[13] Der eIDAS SSI legal report beschreibt darüber hinaus mehrere Szenarien, wie SSI die notwendigen regulatorischen Bedingungen erfüllen kann.

Des Weiteren bildet die Datenschutz-Grundverordnung (DSGVO) die gesetzliche Grundlage für den Umgang mit personenbezogenen Daten. Der GDPR Legal Report des EBSI gibt dazu mehr Informationen.^[14]

SSI-Vorhaben

In Deutschland gibt es mehrere Initiativen und Unternehmen, die daran arbeiten, das Konzept an den Markt zu bringen. Die Bundesregierung hat im Jahr 2020 den Innovationswettbewerb „Schaufenster sichere digitale Identitäten“ gestartet.^[15] Vier der elf Projekte der ersten Phase, der sogenannten Wettbewerbsphase, beinhalteten Ansätze oder konkrete Vorhaben, um eine dezentrale bzw. selbstbestimmte Identität zu ermöglichen.^[16] Drei der elf Projekte aus der Wettbewerbsphase wurden für die weitere Förderung für einen Zeitraum von drei Jahren ausgewählt. Parallel zu der Arbeit in den Konsortien wurde vom Bundeskanzleramt in Zusammenarbeit mit verschiedenen Unternehmen die Applikation "IDWallet" entwickelt. Das Pilotprojekt wurde wegen Mängeln im Design und der verwendeten Komponenten sowie ungelöster Datensicherheitsprobleme im Konzept von SSI nach massiver Kritik eingestellt.^[17]

Darüber hinaus gibt es zahlreiche Software-Anbieter am deutschen Markt, die Anwendungen für die Nutzung von selbstbestimmten Identitäten ermöglichen.

Schweiz

→ Hauptartikel: Elektronische Identität (Schweiz)

Der Bundesrat beschloss im Dezember 2021, eine staatliche elektronische Identität (E-ID) auf der Basis der SSI zu schaffen.^[18]

Einzelnachweise

1. Decentralized Identifiers (DIDs) v1.0. Abgerufen am 4. Januar 2021. 
2. Verifiable Credentials Data Model 1.0. Abgerufen am 4. Januar 2021. 
3. Blockchain and digital identity. In: eublockchainforum.eu. 2. Mai 2019, abgerufen am 9. Juli 2020 (englisch). 
4. Jens Strüker, Nils Urbach, Tobias Guggenberger, Jonathan Lautenschlager, Nicolas Ruhland, Vincent Schlatt, Johannes Sedlmeir, Jens-Christian Stoetzer, Fabiane Völter: Self-Sovereign Identity–Grundlagen, Anwendungen und Potenzialeportabler digitaler Identitäten. Fraunhofer-Institut für Angewandte Informationstechnik FIT - Projektgruppe Wirtschaftsinformatik, 2021, abgerufen am 16. Juli 2021. 
5. Introducing the European Blockchain Services Infrastructure. In: CEF Digital. Abgerufen am 9. Oktober 2020 (englisch). 
6. SSI Ambassador: ESSIF: The European self-sovereign identity framework. 30. Dezember 2020, abgerufen am 4. Januar 2021 (englisch). 
7. SSI eIDAS Bridge | Joinup. Abgerufen am 15. Mai 2022 (englisch). 
8. Self-Sovereign Identity. Abgerufen am 15. Mai 2022 (englisch). 
9. NGI eSSIF-Lab. In: Next Generation Internet. 18. Februar 2020, abgerufen am 15. Mai 2022 (amerikanisches Englisch). 
10. ESSIF-LAB | ESSIF-LAB: Help Shape a Safe and Secure Next Generation InternetT GENERATION INTERNET. Abgerufen am 4. Januar 2021 (amerikanisches Englisch). 
11. What is EBSI? In: europa.eu. European Commission, abgerufen am 15. Mai 2022 (englisch). 
12. Technical Specification (15) – eIDAS bridge for VC-eSealing. Abgerufen am 4. Januar 2021. 
13. eIDAS supported self-sovereign identity. In: European Commission. Mai 2019, abgerufen am 9. Juli 2020 (englisch). 
14. Legal Assessment Reports. Abgerufen am 4. Januar 2021. 
15. Schaufenster Sichere Digitale Identitäten. Abgerufen am 4. Januar 2021. 
16. SDI: Projekte Wettbewerbsphase. Abgerufen am 4. Januar 2021. 
17. Meike Laaff: Sind ja nur die Ausweisdaten. In: Zeit.de. 6. November 2021, abgerufen am 15. Mai 2022 (deutsch). 
18. Bundesrat trifft Richtungsentscheid zur E ID. Schweizerischer Bundesrat, abgerufen am 17. Dezember 2021.