Selbstbestimmte Identität

Eine selbstbestimmte Identität (englisch: Self-Sovereign Identity, kurz: SSI) erlaubt es einer Person, Organisation oder Maschine, eine digitale Identität zu erzeugen und vollständig zu kontrollieren, ohne dass es der Erlaubnis eines Vermittlers oder einer zentralen Partei bedarf. Zudem erlaubt sie die Kontrolle darüber, wie die persönlichen Daten geteilt und verwendet werden.

Beziehung zwischen Entitäten, Identitäten und Attributen/Bezeichnern

Funktionsweise

Der Benutzer hat durch ein Wallet (deutsch: Brieftasche) die Möglichkeit, dezentrale Identifikatoren^[1] (englisch: decentralised Identifiers, kurz: DID) zu generieren, sowie eine Möglichkeit zum Speichern von verifizierten Identitätsdaten^[2] (englisch: verified Credentials).^[3] Ein digitales Wallet ist eine Anwendung, die digitale Schlüssel verwaltet. Es erlaubt digitales Geld oder in diesem Fall, Identitätsinformationen, zu empfangen, zu speichern, zu verwalten und zu senden.

Eine selbstbestimmte Identität, die auch als dezentrale Identität bezeichnet wird, kann sich aus vielerlei Aspekten zusammensetzen. Dies können selbst attestierte Daten, die Daten aus einem Social-Login-Konto, einer Historie von Transaktionen auf einer E-Commerce-Website oder einer Bescheinigung von Freunden, dem Arbeitgeber oder der Universität sein.^[4]

Im zentralisierten Identitätsparadigma wird die Identität bzw. der damit verbundene Identifikator (wie z. B. einer E-Mail-Adresse oder einer Telefonnummer) einer Person von einer externen Entität bereitgestellt. Im dezentralen Identitätsparadigma erzeugt der Benutzer diesen selbst und steht im Mittelpunkt des Geschehens. Dritte Parteien können diesem verifizierte Identitätsdaten ausstellen, die nach Bedarf von dem Halter der Bescheinigung vorgezeigt werden können. Abhängig von der gewünschten rechtlichen Wirksamkeit einer selbstbestimmten Identität kann es notwendig sein, dass bestimmte Attribute einer Identität durch Dritte bestätigt sind. Dazu hinterlegt die bezeugende Partei (ein Aussteller oder Emittent) einen dezentralen Identifikator in z. B. einem Blockchain-Netzwerk, der es anderen erlaubt, die präsentierten Attribute unabhängig zu verifizieren bzw. zu überprüfen.

SSI in einzelnen Jurisdiktionen

Europäische Union

SSI-Beispiel in der Europäischen Union

Die Europäische Union untersucht im Rahmen einer Arbeitsgruppe innerhalb der European Blockchain Services Infrastructure (EBSI)^[5] ebenfalls die Möglichkeiten von SSI für Identitätsnachweise. Zusätzlich schafft sie einen eIDAS-kompatiblen europäischen Rahmen für die selbstbestimmte Identität durch das European Self-Sovereign Identity Framework (ESSIF).^[6] Mit der ersten Version der SSI eIDAS Bridge ist es bereits möglich, einen eIDAS-konformen Vertrauensdienstleister als Aussteller einer digitalen Identität im SSI-Netzwerk zu verankern.^[7]

Zusätzlich wurde das ESSIF-Lab als Horizon 2020 Projekt gestartet, das von TNO^[8] bzw. NGI^[9] geleitet wird.^[10] Die Aktivitäten im ESSIF-Lab drehen sich primär um die Interoperabilität der verschiedenen SSI Implementierungen.

Deutschland

Rechtliche Rahmenbedingungen

Im deutschen bzw. europäischen Rechtsraum gibt es zwei Regulierungen, die von besonderer Bedeutung für das Thema sind. Dazu zählt die eIDAS Verordnung, die den wichtigsten Rahmen für das Vertrauen in die elektronische Identifizierung in der EU bildet und einen elementaren Baustein des digitalen Binnenmarktes darstellt. Die Europäische Blockchain Service Infrastruktur (EBSI)^[11] hat hierzu die SSI eIDAS Bridge^[12] als technische Implementierung bereitgestellt, die ein substanzielles Vertrauensniveau ermöglicht.^[13] Der eIDAS SSI legal report beschreibt darüber hinaus mehrere Szenarien, wie SSI die notwendigen regulatorischen Bedingungen erfüllen kann.

Des Weiteren bildet die Datenschutz-Grundverordnung (DSGVO) die gesetzliche Grundlage für den Umgang mit personenbezogenen Daten. Der GDPR Legal Report des EBSI gibt dazu mehr Informationen.^[14]

SSI-Vorhaben

In Deutschland gibt es mehrere Initiativen und Unternehmen, die daran arbeiten, das Konzept an den Markt zu bringen. Die Bundesregierung hat im Jahr 2020 den Innovationswettbewerb „Schaufenster sichere digitale Identitäten“ gestartet.^[15] Vier der elf Projekte der ersten Phase, der sogenannten Wettbewerbsphase, beinhalteten Ansätze oder konkrete Vorhaben, um eine dezentrale bzw. selbstbestimmte Identität zu ermöglichen.^[16] Drei der elf Projekte aus der Wettbewerbsphase wurden für die weitere Förderung für einen Zeitraum von drei Jahren ausgewählt. Parallel zu der Arbeit in den Konsortien wurde vom Bundeskanzleramt in Zusammenarbeit mit verschiedenen Unternehmen die Applikation "IDWallet" entwickelt. Das Pilotprojekt wurde wegen Mängeln im Design und der verwendeten Komponenten sowie ungelöster Datensicherheitsprobleme im Konzept von SSI nach massiver Kritik eingestellt.^[17]

Darüber hinaus gibt es zahlreiche Software-Anbieter am deutschen Markt, die Anwendungen für die Nutzung von selbstbestimmten Identitäten ermöglichen.

Schweiz

→ Hauptartikel: Elektronische Identität (Schweiz)

Der Bundesrat beschloss im Dezember 2021, eine staatliche elektronische Identität (E-ID) auf der Basis der SSI zu schaffen.^[18]