![[externer Link]](../../images/link.gif)
www.teletrust.de abrufbar sein."Weniger ist mehr" gilt bei Zugangskennungen im Internet, summarisch heute meist als elektronische Identitäten (eID) bezeichnet: Die Zusammenfassung verschiedenster Anmeldevorgänge unter eine gemeinsame eID verspricht etliche Vorzüge für alle Beteiligten. Doch auch Risiken sind immanent: Nicht zuletzt durch die Gefahr unerwünschter Datensammlungen und einen freizügigen Umgang mancher Anbieter mit personenbezogenen Informationen. Um hier – ohne das starre Korsett gesetzlicher Regelungen – einen vernünftigen Kompromiss zu ermöglichen, entwickelt der TeleTrusT e. V. derzeit einen Selbstverpflichtungskodex mit acht Kernpunkten.
Letztlich kann kein großer Anbieter im Internet, der Beziehungen zu Konsumenten pflegt, auf ein eID-Schema verzichten. Auch die öffentlichen Verwaltungen auf Bundes-, Landes und Kommunalebene haben dieses Thema entdeckt; sie bedürfen schließlich im Rahmen des verwaltungsrechtlichen Handelns einer verbindlichen Kommunikation mit Bürgern und juristischen Personen. So entstehen im Moment vielfältige Ansätze wie Bürgerportale, elektronische Personalausweise, Jobkarten und Gesundheitskarten mit einer starken Betonung der elektronischen Identität. Aber auch der B2C-Bereich hat erhebliche Interessen, sei es im Konsumgeschäft mit Audio und Video, aber auch für Handelsaktivitäten und den Abruf von Dienstleistungen, die schlussendlich fakturierbar gestaltet werden müssen.
Überhaupt steht beim Identity- und Access-Management (IAM) ein starker wirtschaftlicher Aspekt im Vordergrund: Vor zehn Jahren konnten sich digitale Signaturen (nach dem Signaturgesetz) noch nicht durchsetzen, da es schlicht keine ökonomischen Anreize gab – doch das ist heute anders! Viele erfolgreiche Geschäftsmodelle, die auf Internettechnologie aufsetzen, benötigen eine angemessen sichere und verbindliche – zurechenbare – Identifizierung ihrer Geschäftspartner. Der Markt ist vorhanden und eID-Lösungen boomen: Da in den vergangenen Jahren jeder Anbieter seine eigenen Identitäts-Datenbanken vorgehalten hat, ist nun ein enormer Konsolidierungsaufwand erkennbar.
Diese grundsätzlich positive Entwicklung kann einerseits dazu führen, dass der Einzelne sich nicht mehr eine Unmenge an elektronischen Identitäten "merken" muss, die ihm den Zugang zu bislang getrennten Bereichen ermöglicht – und Anbieter können auf eine gut definierte Basisidentität zurückgreifen, die spezialisierte Unternehmen bereitstellen. Andererseits entstehen neben den Chancen auch neue Risiken, die es nicht zu verschweigen gilt: Bei eIDs handelt es sich um die Abbilder persönlicher Identitäten, mit denen man sich geschäftsfähig im Internet bewegen kann. Angriffe und Missbrauch erscheinen extrem lohnenswert!
Darüber hinaus ist zu bedenken, dass sich Unternehmen aufgrund der "Kostenlos-Mentalität" im Internet durchaus überlegen müssen, womit sie Geld verdienen können, wenn ihre eigentliche Dienstleistung kostenfrei, aber bei weitem nicht kostenlos für sie selbst ist. Die Versuchung ist naheliegend, durch die Verknüpfung, Abfrage und Weitergabe von wertvollen Identitätsinformationen den Anforderungen der marktwirtschaftlichen Rahmenbedingungen gerecht zu werden.
Nun kann man als Verbraucher nicht das eine wollen und das andere verweigern – andererseits kann ein zügelloser Umgang mit eID-Infos keine vertrauensvolle Geschäftsgrundlage zwischen Nutzern und Anbietern sein. Es sind also Kompromisse einzugehen! Die Ausgestaltung des zugehörigen Rahmens ist eine gesellschaftspolitische Aufgabe, an der TeleTrusT sich mit seinem Kodex für elektronische Identitäten beteiligen möchte.
Ein grundsätzlicher Aspekt ist dabei die Betonung des Selbstverpflichtungsgrundsatzes: Im Idealfall werden so Gesetze vermieden, die entweder – bei konkreter Vorgabe – der technischen Entwicklung nicht nachhaltig standhalten können und so nach wenigen Jahren ihren normativen Charakter verlieren, oder – so allgemein formuliert, dass eine Langzeitwirkung sichergestellt wäre – den inhaltlichen Kontakt zu aktuellen technisch-organisatorischen eID-Schwerpunkten verlieren. Hier kann ein Kodex helfen die Eigenverantwortung der Marktteilnehmer zu stärken. Letztlich müssen auch die Anbieter großes Interesse daran haben, die aktuellen und absehbaren (elektronischen) Geschäftsmodelle vor Missbrauch und Unsicherheit zu schützen und parallel dazu den Anwendern gegenüber (eID-)verantwortliches Handeln zu demonstrieren.
Die im Folgenden wiedergegebenen Kodexinhalte sind der aktuelle – weit fortgeschrittene – Diskussionsstand. Mit einer Verabschiedung des Kodex rechnet TeleTrusT in den Sommermonaten. Derzeit richten sich die im Prinzipienstil verfassten Inhalte vor allem an die Anbieter von eID-Schemata; der Kodex ist jedoch durchaus erweiterbar und könnte später auch aus Sicht der Konsumenten oder des Staates um weitere Prinzipien ergänzt werden. Die jeweils aktuelle Fassung wird in Kürze über www.teletrust.de abrufbar sein.
Der Anwender entscheidet, wie viele persönliche Daten er offenbaren möchte: Der Anbieter verpflichtet sich, Lösungen im elektronischen Identitätsmanagement zu entwickeln und zu empfehlen, die eine Kontrolle des Anwenders über persönliche Daten als wichtiges Qualitätsmerkmal definieren.
Verlangt werden nur personalisierte und personenbezogene Daten, die tatsächlich für die Leistungserbringung notwendig sind: Für die Ausstellung und Nutzung einer "elektronischen Identität" werden von einer natürlichen Person nur jene Daten zur Vorlage und Speicherung verlangt, die für die Identitätsbereitstellung und -feststellung in den zugrunde liegenden Anwendungen unabdingbar sind. Sofern in den unterstützten Anwendungen die wahre Identität des Anwenders ohne Belang ist, können Anwender frei zwischen anonymen, pseudonymen und personalisierten elektronischen Identitäten wählen.
(eID-) Sicherheit soll Teil jedes Angebotes sein: Ein "Grundschutz" an Datenschutz und Datensicherheit muss vom Anwender bequem und ohne zusätzlichen Aufwand erreichbar sein. Anbieter sollen ihre Infrastruktur und die genutzten Mechanismen und Funktionen angemessen sicher gestalten und durch ihre Produkte und Dienste den "naiven Anwender" unterstützen. Vertrauensbildende Maßnahmen werden gefördert, während vertrauenshemmende Maßnahmen unterlassen werden. Anwender müssen sich darauf verlassen können, dass der Anbieter eID-Sicherheit nachhaltig ausgestaltet und sowohl auf abstrakte als auch auf konkrete Bedrohungen unaufgefordert reagiert. Ein in diesem Sinne ausreichender Schutz muss immer Teil jedes Angebots sein!
Kommunikation von Möglichkeiten zur Datenverknüpfung: Anbieter verpflichten sich unter dem Kodex, das Offenlegen und Herausstellen der Möglichkeiten von Hardware und Software sowie Strukturinformationen (datenbankbezogener Verknüpfungsoptionen) zu befürworten und bieten transparente Lösungen, damit Betroffene ihr Recht auf informationelle Selbstbestimmung wahrnehmen können. Dazu gehören das Bewusstmachen technischer und inhaltlicher Zusammenhänge und Abläufe sowie individueller Steuerungsmöglichkeiten und Freiheitsgrade. Transparenz und Steuerbarkeit von Datenverknüpfungsoptionen werden gefördert; grundsätzlich setzt sich der Anbieter für verknüpfungsarme Strukturen ein. Dies trägt der Situation Rechnung, dass IT-Systeme und -Prozesse schwierig (oder gar unmöglich) zu entflechten sind, wenn bestimmte Verkettungen sich bereits etabliert haben: Anwender müssen jedoch ihre Anforderungen ausdrücken, mit anderen abstimmen und auch durchsetzen können.
Offene, undogmatische Bereitschaft zum Dialog: Anbieter, Anwender, Wissenschaft und staatliche Organe sind aufgerufen, einen nachhaltigen Diskurs um Bedürfnisse und Erwartungen über die Möglichkeiten und Notwendigkeiten von Unverknüpfbarkeit, Zurechenbarkeit, Anonymität und Authentizität elektronischer Identitätsschemata zu führen. Der Kodex fordert, diesen Diskurs inhaltlich aktiv zu begleiten, mit Fakten und Forschungsergebnissen anzureichern sowie politisch zu unterstützen und verbindliche juristische Bezüge herauszuarbeiten.
Nutzung anerkannter Standards und Normen: Bei der technischen Ausgestaltung der Infrastruktur zur Nutzung von elektronischen Identitäten kommen bereits verfügbare internationale Standards zum Einsatz. Um Interoperabilität zu erreichen, werden Profilierungen genutzt, die mit anderen Anbietern abgesprochen sind. TeleTrusT beabsichtigt, solche Profilierungen zu entwerfen oder weiterzuentwickeln und Referenzplattformen zur freien Nutzung bereitzustellen.
Anstreben internationaler eID-Übereinkünfte: Die globalisierte virtuelle Welt bricht mit nationalen Schranken. Daher sind alle nationalen Ansätze mit dem Ziel, wirtschaftliche, rechtliche und organisatorische eID-Rahmenbedingungen zu schaffen, auf ihre internationale Anwendbarkeit und Harmonisierbarkeit zu überprüfen und daran auszurichten.
Schaffen aufgeklärter Anwender: Nur "aufgeklärte Anwender", die sich über Chancen und Risiken von eIDs bewusst sind, können sich eigenverantwortlich, verantwortungsbewusst und sicher in der virtuellen Welt bewegen. "eID-Aufklärung" ist nachhaltig und erfolgreich nur interdisziplinär zu leisten: Erziehung und Bildung müssen alle Bevölkerungsschichten und Altersgruppen in ihrer jeweiligen Sprache erreichen. Schulen, wissenschaftliche Einrichtungen, Organisationen und Unternehmen sind für ihre jeweiligen Bereiche und entsprechende Angebote verantwortlich. Erkannte Defizite sind zu veröffentlichen und ein nachhaltiges "eID-2010-Programm" aktiv zu unterstützen. Anbieter verpflichten sich unter dem Kodex, relevante Aktivitäten und Prozesse zu unterstützen.
Der Umgang mit elektronischen Identitätsinformationen wird in den nächsten Jahren mitentscheiden über den Erfolg und Misserfolg von Geschäftsmodellen; betriebswirtschaftliche Verantwortung verbindet sich dabei mit gesellschaftspolitischer Verantwortung. Der TeleTrusT e. V. will sich dieser Aufgabe stellen und in diesem Zusammenhang den eID-Kodex etablieren und nachhaltig pflegen, inhaltliche Koalitionäre verbinden und öffentlich notwendige Diskussionen zum Thema moderieren.
![[Signet: TeleTrusT e-ID-Kodex]](images/08-3-070-0.jpg)
Fest geplant ist, diejenigen Teilnehmer, die sich zum Kodex bekennen, mit dem abgebildeten "Siegel" auszuzeichnen. Dieses Signet soll im elektronischen Rechts- und Geschäftsverkehr einen öffentlich wahrnehmbaren Stellenwert erreichen, ohne dass es normativer und regulativer Eingriffe der Gesetz- und Verordnungsgeber bedürfte. Dazu sind alle Interessierten herzlich eingeladen! Und: Wer den eID-Kodex aktiv unterstützt, kann (und soll) ihn auch mitgestalten!
Dr. Günther Welsch ist Geschäftsführer des TeleTrusT Deutschland e. V. Torsten Wunderlich ist Projektbeauftragter für elektronischen Rechtsverkehr bei der Datev eG.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2008#3, Seite 70
tag:kes.info,2007:lp:2008-3-B
| 