Das britische Rahmenwerk für digitale Identität – Eckpfeiler zuverlässiger Identität

Im heutigen technologiegetriebenen Zeitalter wird die digitale Identität immer wichtiger. Physische Interaktionen erscheinen insbesondere während der anhaltenden COVID-Pandemie nicht als sichere Option. Privatpersonen und Unternehmen verlagern ihre Aktivitäten zunehmend in den digitalen Raum, um die Abstandsregeln einzuhalten und intelligente und effiziente Kommunikationswege zu nutzen. IdentitätsprüfungIn letzter Zeit gab es viele Diskussionen um das britische Digital Identity Trust Framework – und das völlig zu Recht. Das Gesetz stellt eine wichtige Weiterentwicklung im Umgang mit digitalen Identitäten in Großbritannien dar.   

Ein Rahmenwerk zur Steuerung der digitalen Landschaft

Die britische Regierung veröffentlichte im Februar dieses Jahres ein offizielles Dokument mit dem Titel „Das britische Vertrauensrahmenwerk für digitale Identität und AttributeDiese Richtlinien legen Vorgaben für Organisationen fest, die digitale Identitäten von Endnutzern erstellen und verwenden. Unternehmen, die diese Regeln befolgen, erhalten ein spezielles Gütesiegel, das ihren Ruf als vertrauenswürdiger Dienstleister in der Öffentlichkeit garantiert. Das Rahmenwerk wurde in Zusammenarbeit mit verschiedenen öffentlichen und privaten Organisationen entwickelt, um wirksame Prinzipien für digitale Identität zu erarbeiten. 

Digitale Identität 

Gemäß dem Rahmenwerk ist die digitale Identität die Repräsentation einer Person im digitalen Raum, die es ihr ermöglicht, ihre Identität bei Online-Transaktionen und -Interaktionen nachzuweisen. Im Folgenden sind einige Arten von digitalen Identitäten aufgeführt, die nach dem Gesetz erstellt werden können:

• Eine digitale Geldbörse speichert vertrauenswürdige Informationen – auch Attribute genannt – über den Nutzer. Der Nutzer entscheidet selbst, wem er seine persönlichen Daten wann zugänglich macht. Digitale Geldbörsen enthalten Angaben wie vollständigen Namen, Geburtsdatum und Aufenthalts- oder Arbeitserlaubnis. 
• Eine digitale Identität, die die Authentifizierung in Form eines Online-Produkts oder einer Online-Dienstleistung ermöglicht. Ein Beispiel hierfür sind Online-Shops, die Käufer auffordern, ihr Alter zu bestätigen, bevor sie Produkte mit Altersbeschränkung online kaufen können. In diesem Fall müssen sich Kunden lediglich bei dem Identitätsverifizierungsdienst anmelden, der automatisch ihr Einverständnis und ihre Identitätsinformationen bestätigt und somit die Datenschutzstandards wahrt. 

Attribute    

Das Trusted Framework definiert Attribute als Informationsfragmente, die Details über eine bestimmte Person oder Organisation liefern. In Kombination bilden Attribute eine vollständige digitale Identität, die zur Authentifizierung digitaler Transaktionen verwendet werden kann. Attribute können beispielsweise dem Gesundheitszustand, der Kreditwürdigkeit oder auch der Handelsregisternummer einer Person entsprechen. Beispiele für Attribute sind das Alter, die Wohnadresse oder die Postleitzahl. 

Richtlinien für teilnehmende Einrichtungen

Unternehmen, die Produkte entwickeln oder Dienstleistungen anbieten, die sich mit Folgendem befassen digitale Identität Sie sind berechtigt, am Digital Identity and Attributes Trust Framework teilzunehmen. Einzelne Organisationen sowie solche, die Teil eines Identitätsprüfungssystems sind, müssen die folgenden Rollen übernehmen, von denen jede mit unterschiedlichen Verantwortlichkeiten verbunden ist.  

Datenschutz und Datenminimierung 

Das Digital Identity Trust Framework beinhaltet Datenschutzstandards, die für Anbieter von Identitäts- und Attributdiensten bei der Entwicklung von Produkten und Dienstleistungen verpflichtend sind. Durch die Implementierung dieser Maßnahmen wird sichergestellt, dass Nutzer die Kontrolle darüber behalten, welche personenbezogenen Daten zur Erstellung ihrer digitalen Identität verwendet werden. Darüber hinaus können sie ihre Attribute besser verwalten und festlegen, welche Organisationen Zugriff auf ihre Daten haben und diese weitergeben dürfen. 

Gemäß den Rahmenrichtlinien haben Nutzer das Recht, nur die notwendigen Informationen weiterzugeben und den Zugriff auf alle übrigen Daten einzuschränken. Die Standards zur Datenminimierung basieren auf dem in der DSGVO definierten „Recht auf Auskunft über personenbezogene Daten“. Ein Beispiel für diese Art der Datenweitergabe ist der Besuch einer Plattform mit Altersbeschränkung, bei dem Nutzer Angaben machen müssen. AltersverifikationMithilfe der digitalen Identität können Nutzer nachweisen, dass sie das gesetzliche Mindestalter erreicht haben, ohne dafür irgendwelche erforderlichen Informationen angeben zu müssen. 

Einhaltung der Datenschutzprotokolle

Das Vertrauensrahmenwerk verpflichtet die teilnehmenden Organisationen zur Einhaltung zweier Datenschutzstandards:

• ISO/IEC 27701:2019 ist eine datenschutzbezogene Erweiterung der ISO/IEC 27001, die die Zugriffsrechte von Verantwortlichen und Auftragsverarbeitern personenbezogener Daten (PII) regelt, um Datenschutzrisiken für Verbraucher zu minimieren. Diese Norm wurde von der Internationalen Organisation für Normung (ISO) verabschiedet. 
• Die Norm BS 10012:2017 der British Standards Organisation ist ein Rahmenwerk für Dienstleister zur Entwicklung von Systemen für das Management personenbezogener Daten.  

Darüber hinaus verpflichtet das Digital Identity Trust Framework konforme Einrichtungen dazu, eine eigene Infrastruktur zur Einhaltung der Datenschutzbestimmungen zu schaffen, einen Datenschutzbeauftragten (DSB) zu ernennen, eine Datenschutzrichtlinie zu entwickeln und außerdem ein Verfahren zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) zu formulieren.  

Nutzereinwilligung und -vereinbarung

Beim Zugriff auf die digitale Identität einer Person benötigen Unternehmen eine rechtmäßige Grundlage für die Verwendung dieser Informationen. Die Einwilligung ist zwingend erforderlich, nachdem die Nutzer über die Bedingungen für Datenweitergabe und -zugriff informiert wurden. Das Rahmenwerk beschränkt die Nutzung personenbezogener Daten durch Dienstanbieter für Marketingzwecke. Betroffene Personen sind identifizierbare natürliche Personen gemäß den geltenden Datenschutzbestimmungen. Datenschutz – haben auch das Recht, Attribute ihrer digitalen Identität im Rahmen ihrer Vereinbarung mit der Anbieter von digitalen Identitätsdiensten. 

Gewährung von Zugriffsrechten

Den Richtlinien zufolge müssen teilnehmende Organisationen einen Mechanismus entwickeln, der es ihren Kunden ermöglicht, nachzuvollziehen, welche personenbezogenen Daten abgerufen, weitergegeben und zu welchen Zwecken verwendet werden. Die Daten müssen aktuell und fehlerfrei sein, um jegliche Unklarheiten hinsichtlich der digitalen Identität des Endnutzers auszuschließen. 

Datenschutzbeauftragter

Das Digital Identity and Attributes Trust Framework verpflichtet Organisationen zur Benennung eines offiziellen Datenschutzbeauftragten (DSB). Zu den Aufgaben des DSB gehört die Sicherstellung der Einhaltung der Anforderungen des britischen Datenschutzgesetzes. DSGVO Artikel 39Darüber hinaus ist die Schaffung eines Datenschutzprozesses auch notwendig, um die ordnungsgemäße Einhaltung der Vorschriften gemäß der Norm ISO/IEC 29100 zu gewährleisten.    

Wichtige Erkenntnisse

• Das Digital Identity Trust Framework in Großbritannien regelt, wie Identitätsdienstleister digital verfügbare personenbezogene Daten von Einzelpersonen verarbeiten.  
• Das Rahmenwerk definiert digitale Identität als eine Sammlung von Attributen – Benutzerinformationen –, die es Einzelpersonen ermöglichen, im Online-Raum zu interagieren.
• Die teilnehmenden Einrichtungen müssen Datenschutz- und Privatsphärestandards gewährleisten, einen Datenschutzbeauftragten ernennen, die Einwilligung der Nutzer einholen und inklusive und barrierefreie Dienstleistungen anbieten.