DLT und DSGVO-Konformität in der digitalen Identität: Eine Herausforderung (DE)

Die DSGVO-Herausforderung der DLTDie unveränderliche und dezentrale Natur der Distributed-Ledger-Technologie (DLT) steht im direkten Konflikt mit zentralen DSGVO-Grundsätzen, insbesondere dem „Recht auf Vergessenwerden“ und der Datenberichtigung, was eine sorgfältige architektonische Gestaltung erfordert.

Datenminimierung ist entscheidendUm DSGVO-Risiken zu mindern, müssen DLT-Identitätslösungen die Datenminimierung priorisieren, indem nur wesentliche, nicht-personenbezogene Daten (Non-PII) On-Chain gespeichert und mit Off-Chain-Speichern für persönliche Attribute verknüpft werden, die kontrollierbar sind.

Abgrenzung von Verantwortlichem und AuftragsverarbeiterEine klare Definition der Rollen (Datenverantwortlicher, gemeinsamer Verantwortlicher oder Auftragsverarbeiter) für alle beteiligten Parteien in einem DLT-Identitätsökosystem ist entscheidend, um Verantwortlichkeiten unter der DSGVO zuzuweisen und Rechenschaftspflicht zu gewährleisten.

Didits Compliance-First-AnsatzDidits modulare, KI-native Identitätsplattform ist auf Unternehmenssicherheit und Compliance (ISO 27001, DSGVO, EU-KI-Gesetz-Ready) ausgelegt und bietet flexible Tools wie ID-Verifizierung und AML-Screening, die Datenschutz-by-Design-Prinzipien für jede Identitätsarchitektur, einschließlich solcher, die DLT nutzen, unterstützen.

Das Versprechen und die Gefahren von DLT in der digitalen Identität

Die Distributed-Ledger-Technologie (DLT), einschließlich Blockchain, birgt ein immenses Potenzial, die digitale Identität zu revolutionieren. Stellen Sie sich eine Welt vor, in der Einzelpersonen souveräne Kontrolle über ihre Identitätsdaten haben und selektiv nur die für Transaktionen notwendigen Attribute offenlegen, frei von zentralisierten Vermittlern. Diese Vision, oft als Self-Sovereign Identity (SSI) bezeichnet, nutzt die inhärenten Eigenschaften von DLT – Unveränderlichkeit, Transparenz und Dezentralisierung –, um sicherere, widerstandsfähigere und benutzerzentrierte Identitätssysteme zu schaffen. Doch gerade diese Eigenschaften führen zu erheblichen Komplexitäten, wenn sie mit den strengen Anforderungen der Datenschutz-Grundverordnung (DSGVO) konfrontiert werden.

Die von der Europäischen Union erlassene DSGVO betont den Datenschutz und die Privatsphäre aller Personen innerhalb der EU. Ihre Kernprinzipien umfassen Rechtmäßigkeit, Fairness, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität, Vertraulichkeit und Rechenschaftspflicht. Die Herausforderung besteht darin, dass das Design von DLT, insbesondere ihre Unveränderlichkeit (Daten, einmal aufgezeichnet, können nicht geändert oder gelöscht werden) und Dezentralisierung (keine einzelne Entität kontrolliert das gesamte Ledger), im Widerspruch zu den Anforderungen der DSGVO stehen kann, insbesondere zum „Recht auf Vergessenwerden“ (Artikel 17) und dem Recht auf Berichtigung (Artikel 16).

Das „Recht auf Vergessenwerden“ und die Unveränderlichkeit meistern

Einer der bedeutendsten Konflikte zwischen DLT und der DSGVO ist das „Recht auf Vergessenwerden“. Wenn personenbezogene Daten auf einem unveränderlichen Ledger gespeichert werden, wie können sie dann gelöscht werden? Dieser grundlegende Konflikt erfordert innovative architektonische Lösungen für DLT-basierte Identitätssysteme. Der vorherrschende Ansatz beinhaltet eine strikte Einhaltung der Datenminimierung auf dem Ledger selbst. Das bedeutet, dass personenbezogene Daten (PII) idealerweise niemals direkt auf einer öffentlichen, unveränderlichen DLT gespeichert werden sollten.

Stattdessen sollte DLT verwendet werden, um überprüfbare Nachweise oder kryptographische Hashes zu speichern, die die Existenz und Gültigkeit von Off-Chain-Daten bestätigen. Die tatsächlichen PII, wie Namen, Adressen oder Geburtsdaten (die möglicherweise durch Didits ID-Verifizierung oder Adressnachweis-Lösungen verifiziert werden), würden in sicheren, verschlüsselten, benutzerkontrollierten Datenspeichern oder traditionellen Datenbanken liegen, die gemäß DSGVO geändert oder gelöscht werden können. Die DLT dient dann als auditierbarer, manipulationssicherer Datensatz für Vertrauens- und Verifizierungsereignisse, nicht als die Daten selbst. Dieses Design ermöglicht den Widerruf oder die Ungültigkeit von Nachweisen auf dem Ledger, ohne die zugrunde liegenden PII löschen zu müssen, die Off-Chain verwaltet werden.

Rollen definieren: Datenverantwortlicher, Auftragsverarbeiter und gemeinsamer Verantwortlicher

Die DSGVO unterscheidet klar zwischen Datenverantwortlichen (die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmen) und Datenverarbeitern (die Daten im Auftrag des Verantwortlichen verarbeiten). In einem dezentralen DLT-Identitätsökosystem können diese Rollen verschwimmen, was zu Compliance-Unklarheiten führt. Ist beispielsweise die Person, die ihre SSI besitzt, ein Verantwortlicher? Ist der Aussteller eines überprüfbaren Nachweises ein Verantwortlicher oder ein Auftragsverarbeiter? Was ist mit den Validatoren oder Knoten, die das Ledger pflegen?

Damit eine DLT-Identitätslösung DSGVO-konform ist, muss eine klare Rechtsgrundlage für die Verarbeitung geschaffen und die Rollen aller Beteiligten explizit definiert werden. In vielen SSI-Modellen wird die Person zum primären Datenverantwortlichen für ihre eigenen personenbezogenen Daten. Nachweisaussteller, wie eine Universität, die einen Abschluss ausstellt, oder eine Regierungsbehörde, die einen Ausweis ausstellt, agieren als Verantwortliche für die Daten, die sie verifizieren und bestätigen. Die DLT-Netzwerkteilnehmer (Miner, Validatoren) könnten je nach ihrem Grad des Zugangs und Einflusses auf die Verarbeitung personenbezogener Daten als gemeinsame Verantwortliche oder Auftragsverarbeiter betrachtet werden. Dieses komplexe Zusammenspiel erfordert robuste rechtliche Rahmenbedingungen und transparente Vereinbarungen zwischen allen Parteien.

Datenschutz durch Design und Sicherheitsmaßnahmen

Die DSGVO schreibt „Datenschutz durch Technikgestaltung“ und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ (Artikel 25) vor, was bedeutet, dass der Datenschutz von Anfang an in das System integriert werden muss. Für die DLT-Identität ergeben sich daraus mehrere wichtige Überlegungen:

• Datenminimierung: Wie bereits erwähnt, sollten nur wesentliche, nicht-personenbezogene Daten auf dem Ledger gespeichert werden. Beispielsweise könnte ein Ergebnis der Altersprüfung (z. B. „über 18“) als überprüfbarer Nachweis gespeichert werden, ohne das genaue Geburtsdatum preiszugeben.
• Pseudonymisierung und Anonymisierung: Nutzen Sie kryptographische Techniken zur Pseudonymisierung von Daten On-Chain, um die Verknüpfung mit einer Person ohne zusätzliche Informationen zu erschweren.
• Sicherheit: Implementieren Sie robuste Sicherheitsmaßnahmen im gesamten Ökosystem. Dazu gehören End-to-End-Verschlüsselung für Off-Chain-Daten, sicheres Schlüsselmanagement für Benutzer und starke Zugriffskontrollen. Didit ist beispielsweise ISO 27001-zertifiziert und verwendet TLS 1.3 für Datenübertragungen und AES-256 für ruhende Daten, um Sicherheit auf Unternehmensniveau zu gewährleisten.
• Transparenz: Stellen Sie sicher, dass die betroffenen Personen vollständig darüber informiert sind, welche Daten warum und von wem verarbeitet werden. Dazu gehören klare Einwilligungsmechanismen für die Datenweitergabe.

Darüber hinaus wird das EU-KI-Gesetz, das für KI-gestützte Identitätslösungen immer relevanter wird, zusätzliche Überlegungen zu Transparenz, menschlicher Aufsicht und Bias-Überwachung erfordern. Didit ist bereits EU-KI-Gesetz-Ready und demonstriert damit sein Engagement für verantwortungsvolle KI bei der Identitätsprüfung.

Wie Didit hilft

Didit, als KI-native, entwicklerfreundliche Identitätsplattform, ist einzigartig positioniert, um Unternehmen beim Aufbau von DSGVO-konformen DLT-Identitätslösungen zu unterstützen. Obwohl Didit keine direkte DLT-Infrastruktur bereitstellt, bieten seine modulare Architektur und sein Compliance-First-Design wesentliche Bausteine, die sich nahtlos in DLT-basierte Identitätsökosysteme integrieren und diese stärken können.

Didits kostenloses Core KYC, einschließlich robuster ID-Verifizierung (OCR, MRZ, Barcodes), passiver und aktiver Lebenderkennung zur Betrugsprävention und 1:1-Gesichtsabgleich, kann verwendet werden, um die Authentizität von Benutzern und deren Dokumenten auf datenschutzfreundliche Weise zu überprüfen. Die Ergebnisse dieser Prüfungen können dann auf einer DLT attestiert werden, anstatt sensible PII direkt auf dem Ledger zu speichern. Anstatt beispielsweise den vollständigen Namen eines Benutzers On-Chain zu speichern, könnte ein überprüfbarer Nachweis einfach besagen, dass „Benutzer X die ID-Verifizierung durch Didit erfolgreich bestanden hat“. Ähnlich können AML-Screening- und Überwachungsergebnisse tokenisiert oder kryptographisch mit DLT verknüpft werden, ohne detaillierte Compliance-Daten preiszugeben.

Didits Engagement für Compliance (DSGVO-konform, ISO 27001-zertifiziert, EU-KI-Gesetz-Ready) und sein Fokus auf strukturierte Identitätsdaten stellen sicher, dass alle über seine Plattform verarbeiteten Daten sicher und gemäß den gesetzlichen Anforderungen behandelt werden. Seine Modularität bedeutet, dass Sie nur die Verifizierungsschritte auswählen können, die Sie benötigen, was die Datenminimierung unterstützt. Mit keinen Einrichtungsgebühren und einem Pay-per-erfolgreicher-Prüfung-Modell bietet Didit eine flexible und konforme Grundlage für die nächste Generation digitaler Identität, sei es zentralisiert, dezentralisiert oder ein Hybridansatz.

Bereit zum Start?

Möchten Sie Didit in Aktion sehen? Holen Sie sich noch heute eine kostenlose Demo.

Beginnen Sie kostenlos mit der Identitätsprüfung mit Didits kostenlosem Tarif.