nach oben

Erschienen in:

Open Access 2022 | OriginalPaper | Buchkapitel

15. Datensouveränität in Digitalen Ökosystemen: Daten nutzbar machen, Kontrolle behalten

verfasst von : Christian Jung, Andreas Eitel, Denis Feth

Erschienen in: Datenwirtschaft und Datentechnologie

Verlag: Springer Berlin Heidelberg

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config

KI-gestützte Suche

Patentsuche

Aus

Zusammenfassung

Digitale Ökosysteme entstehen in allen Branchen und Domänen, leben von einer starken Vernetzung und ermöglichen neue, datenzentrierte Geschäftsmodelle. Die Umsetzung von Datensouveränität – also die größtmögliche Kontrolle, Einfluss- und Einsichtnahme auf die Nutzung der Daten durch den Datengebenden – ist essenziell, um eine vertrauensvolle und sichere Nutzung von Daten zwischen allen Beteiligten des digitalen Ökosystems zu ermöglichen. Datennutzungskontrolle ist hierfür ein wesentlicher Baustein, um eine organisations- und unternehmensübergreifende Selbstbestimmung und Transparenz bei der Verwendung von Daten durch Ökosystemteilnehmer zu gewährleisten. Das Kapitel befasst sich mit den Grundlagen der Umsetzung von Datensouveränität durch Datennutzungskontrolle und der Verwendung von Datendashboards für Datensouveränität in digitalen Ökosystemen. Hierzu wird ein Anwendungsbeispiel eines digitalen Ökosystems aus der Automobilbranche eingeführt und die Umsetzung von Datensouveränität anhand konkreter Szenarien verdeutlicht und diskutiert.

15.1 Einführung

Digitale Ökosysteme entstehen in allen Branchen und Anwendungsbereichen, leben von einer starken Vernetzung und ermöglichen neue, datenzentrierte Geschäftsmodelle. Die Vielfalt der Anwendungsbereiche und Technologien für Digitale Ökosysteme zeigen die 21 ausgewählten Projekte, die das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) im Technologieprogramm Smarte Datenwirtschaft fördert, sowie die mittlerweile 25 geförderten Projekte im Rahmen des KI-Innovationswettbewerbs. Unternehmen müssen sich allerdings konkreten Herausforderungen Digitaler Ökosysteme wie Komplexität, hohe Dynamik und notwendige Geschwindigkeit stellen. Insbesondere zählen hierzu auch Themen der Datensicherheit, des Datenschutzes und der Datensouveränität. Die Umsetzung von Datensouveränität (das heißt die größtmögliche Kontrolle, Einfluss- und Einsichtnahme auf die Nutzung der Daten durch den Datengebenden) ist hierbei essenziell, um eine vertrauensvolle und sichere Nutzung von Daten zwischen den Teilnehmenden des Digitalen Ökosystems zu ermöglichen. Ein vertrauensvoller und sicherer Umgang mit Daten sind Grundvoraussetzung, damit sich ein Digitales Ökosystem am Markt etablieren und wachsen kann. Durch Wachstum entstehen mehr Daten (auch Daten über die Nutzung), was wiederum neue Geschäftsmodelle für den Plattformbetreibenden ermöglicht. Die damit einhergehenden Netzwerkeffekte können das gesamte Geschäftsvolumen enorm steigern, wovon einerseits Betreibende des Digitalen Ökosystems, aber auch alle Teilnehmenden profitieren.

Trotz steigender Sensibilisierung bezüglich des Umgangs mit Daten, mangelt es an einer flächendeckenden und einheitlichen Umsetzung von Datensouveränität. Dabei beschäftigt sich das Forschungsfeld der Datennutzungskontrolle (engl. Data Usage Control) schon seit Anfang der 2000er (Park und Sandhu 2002, 2004; Sandhu und Park 2003) mit der Schaffung entsprechender Konzepte, die über traditionelle Zugriffskontrolle hinausgehen. Diese Erweiterung ermöglicht es, die Nutzung der Daten auch nach dem grundlegenden Zugriff zu kontrollieren. Aus unserer Erfahrung heraus werden diese aber in Deutschland und Europa weiterhin selten eingesetzt. Ohne Datennutzungskontrolle ergeben sich in der Praxis typischerweise nur zwei Alternativen:

Man bringt die eigenen Daten in das Ökosystem ein und partizipiert an den entsprechenden digitalen Geschäftsmodellen. Dies geht in der Regel mit einem Verlust der Datensouveränität einher.

Die eigenen Daten verbleiben in der eigenen Obhut. In der Folge können sie dann aber nicht nutzbar gemacht werden, der eigentliche Wert wird nicht gehoben und Opportunitäten für digitale Geschäftsmodelle werden verspielt.

Daher widmen wir uns in diesem Kapitel der Datennutzungskontrolle, die konzeptionelle und technische Lösungsbausteine zur Umsetzung und Sicherstellung von Datensouveränität in Digitalen Ökosystemen bietet und damit einen Mittelweg, der die Vorteile beider Alternativen vereint (s. Kap. 9).

Im folgenden Abschnitt führen wir Begrifflichkeiten wie Digitale Souveränität, Datensouveränität und Datennutzungskontrolle ein und grenzen diese voneinander ab. Danach führen wir ein Anwendungsbeispiel für ein Digitales Ökosystem in der Automobilbranche ein, gefolgt von einem Abschnitt, der die Umsetzung von Datensouveränität mittels Datennutzungskontrolle beschreibt. Im Abschn. 15.5 beschäftigen wir uns mit Dashboards für Datensouveränität, um Transparenz und Selbstbestimmung in Digitalen Ökosystem sicherzustellen und stellen im nachfolgenden Abschnitt konkrete Szenarien für Datensouveränität im Anwendungsbeispiel vor. Wir schließen unser Kapitel mit einer Diskussion und Zusammenfassung.

15.2 Begrifflichkeiten

Zunächst klären wir jedoch einige Begrifflichkeiten, um Unklarheiten und Verwechslungen zu vermeiden.

Digitale Geschäftsmodelle: Themen wie Digitalisierung und digitale Transformation prägen den Veränderungsprozess von Unternehmen, vor allem in wirtschaftlicher Hinsicht. Diese Veränderungen reichen von inkrementellen Veränderungen (beispielsweise der Optimierung und Verbesserung bestehender Verfahren und Prozesse) bis hin zu radikalen Veränderungen, die etablierte Geschäftsmodelle über Bord werfen und komplett neue Wege gehen. Ein Bereich, in dem beide Dimensionen zusammenkommen sind sogenannte Digitale Ökosysteme (s. Abschn. 3.4, s. auch Kap. 4).
Digitale Ökosysteme: Bei Digitalen Ökosystemen handelt es sich um sozio-technische Systeme, die Menschen, Organisationen, technische Systeme und deren komplexe Beziehungen untereinander umfassen. Im Kern eines solchen Ökosystems steht eine digitale Plattform, die einen Ökosystem-Dienst bereitstellt, von dem alle Teilnehmenden profitieren. Hinzu kommen Skalen- und Netzwerkeffekte mit dem Wachstum der Plattform, was diese für die Teilnehmenden und Partnerinnen und Partner noch attraktiver macht. Daher redet man in diesem Zusammenhang auch oft über Plattformökonomie. Da der Ökosystem-Dienst vollständig digital ist (wie beispielweise der Vermittlung von Daten), fallen in der Praxis große Datenmengen an, inklusive Meta-, Transaktions- und Nutzungsdaten, die wiederum zusätzliche Mehrwertdienste ermöglichen. Ein Beispiel: Der Ökosystem-Dienst, den Spotify bereitstellt, ist das Streamen von Musik. Auf Basis der Nutzungsdaten kann Spotify wiederum passende Musik vorschlagen, da andere Nutzer mit ähnlichem Nutzungsprofil ebenfalls diese Musik gehört haben. Zusammenfassend können wir festhalten, dass digitale Geschäftsmodelle und Digitale Ökosysteme Hand in Hand gehen. Mit dem Wachstum des Ökosystems verstärken sich die Skalen- und Netzwerkeffekte, die sich wiederum auf die Menge der Daten und die damit verbundenen Möglichkeiten niederschlagen. Dadurch werden mehr und mehr digitale Geschäftsmodelle ermöglicht (s. Abschn. 9.1.2).
Digitale Souveränität: Bisher gibt es keine einheitliche Definition für Digitale Souveränität. Das Kompetenzzentrum Öffentliche IT definiert sie wie folgt: „Digitale Souveränität ist die Summe aller Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können.“ (Goldacker 2017). Diese Sichtweise wurde im Rahmen des Digital-Gipfels durch die Fokusgruppe „Digitale Souveränität in einer vernetzten Wirtschaft“ um staatliche Sichtweisen erweitert. Die GI (Gesellschaft für Informatik 2020) fasst dies in die nachfolgenden Dimensionen zusammen: „(1) Kompetenz, (2) Daten, (3) Software- und Hardware-Technologie sowie (4) Governance-Systeme“. Punkt (1) befasst sich mit der Kompetenz von Individuen beim Umgang und dem Verständnis von digitalen Technologien. Datensouveränität und der souveräne Umgang mit Daten sind unter Punkt (2) gefasst, die neben der technologischen Souveränität (Punkt 3) im Fokus der Politik stehen. Der Abschluss bilden sogenannte Governance-Strukturen (unter anderem rechtliche und regulatorische Rahmenbedingen) zur Erreichung der digitalen Souveränität.
Datensouveränität: Man sieht an dieser Stelle, dass Datensouveränität aus dieser Sichtweise als Teilgebiet der Digitalen Souveränität verstanden wird. Allerdings existiert auch für Datensouveränität bisher keine offizielle und einheitliche Definition. Der überwiegende Konsens in der aktuellen Literatur geht jedoch davon aus, dass man unter Datensouveränität die größtmögliche Kontrolle, Einfluss- und Einsichtnahme auf die Nutzung der Daten durch den Datengebenden versteht. Dieser soll zu einer informationellen Selbstbestimmung berechtigt und befähigt werden und Transparenz über die Datennutzungen erhalten. Betrachtet man dies im Kontext des Datenschutzes, so handelt es sich hier nicht nur um die Einhaltung von Rechtsvorschriften. Vielmehr geht es darum, Nutzende zu befähigen, selbstbestimmt über ihre Daten verfügen zu können. Datensouveränität ist also kein Ersatz zum Datenschutz, sondern ergänzt ihn.
Datennutzungskontrolle: Datennutzungskontrolle ist ein technischer Baustein zur Umsetzung von Datensouveränität. Sie versetzt Datengebende in die Lage, frei über die die Verwendung ihrer Daten zu bestimmen. Dazu werden feingranulare Auflagen für die Datennutzung spezifiziert und durch spezielle Kontrollmechanismen umgesetzt. Die Auflagen erweitern somit das Konzept der Zugriffskontrolle, das seit Jahrzehnten etabliert, aber inzwischen nicht mehr ausreichend ist. Denn alle Umsetzungen von Zugriffskontrolle haben gemein, dass sie nur wenige elementare Zugriffsarten unterscheiden und die Entscheidung am Ende binär ist: Dürfen Nutzende die Ressource lesen, schreiben oder ausführen? Die anschließende Nutzung der Daten wird nicht mehr kontrolliert. Das nachfolgende Beispiel soll diesen Unterschied verdeutlichen. Wenn Sie ihr Auto einem Freund oder einer Freundin verleihen, dann geben Sie die Kontrolle über ihr Auto vollständig aus der Hand, sobald Sie den Autoschlüssel übergeben. Sie können nach der Gewährung dieses Zugriffs die Nutzung aber nicht weiter einschränken. Erweitern Sie allerdings das Auto um Nutzungskontrolle, so wäre es möglich festzulegen, dass das Auto nur mit einer maximalen Höchstgeschwindigkeit bewegt werden kann, die Fahrstrecke begrenzt wird oder der Aktionsradius eingeschränkt wird.

15.3 Anwendungsbeispiel: Ein Digitales Ökosystem in der Automobilbranche

Die Bedeutung von Datensouveränität für Digitale Ökosysteme und ihre Teilnehmenden lässt sich am besten anhand eines konkreten Beispiels erklären. Der zentrale Bestandteil unseres Szenarios ist ein Digitales Ökosystem in der Automobilbranche, das Fahrzeugdaten zwischen den verschiedenen Teilnehmenden harmonisiert (zum Beispiel durch das Konvertieren von Dateiformaten oder das Umrechnen von Einheiten) und über standardisierte Schnittstellen zur Verfügung stellt. Derartige Plattformen entstehen derzeit bereits und werden von Automobilunternehmen sowie herstellerübergreifend aufgebaut, zum Beispiel durch Unternehmen wie Otonomo (2021) oder CARUSO dataplace (Caruso 2021). Abb. 15.1. zeigt eine visuelle Darstellung dieses Digitalen Ökosystems.

In unserem Szenario wird die Plattform durch ein Automobilunternehmen betrieben. Die Daten werden dabei primär durch die Fahrzeuge und deren Fahrende generiert und in die Plattform des Automobilunternehmens übermittelt. Die Plattform bereitet die Rohdaten auf und bietet standardisierte Schnittstellen für die Nutzung durch die Dienstleistungsunternehmen an. Im Anwendungsbeispiel handelt es sich dabei um Zulieferunternehmen, Werkstätten und Versicherungen, die wiederum Dienste für ihre Kunden (zum Beispiel dem Fahrzeughaltenden) zur Verfügung stellen.

Das digitale Geschäftsmodell dieser Plattform besteht somit aus mehreren Säulen:

Dem Sammeln von Daten (zum Beispiel Diagnosedaten der Werkstätten und Herstellenden, Bewegungsprofile der Fahrenden)

Dem Bereitstellen der Daten (zum Beispiel zur Qualitätsverbesserung der Zulieferunternehmen)

Der Bereitstellung von Mobilitätsdienstleistungen auf Basis ausgewerteter Daten durch die Dienstleistungsunternehmen (zum Beispiel dem Anbieten von Telematik-Tarifen durch Versicherungen).

Wir werden in den weiteren Kapiteln immer wieder Bezug auf dieses Anwendungsbeispiel nehmen.

15.4 Datensouveränität durch Datennutzungskontrolle

Eine Kernherausforderung bei der Umsetzung und Etablierung von Digitalen Ökosystemen ist der sichere und vertrauensvolle Umgang mit Daten.

Die in unserem Anwendungsbeispiel beteiligen Datenlieferanten sehen ihre Daten häufig als integralen Bestandteil ihres Geschäftsmodells an (zum Beispiel die Automobilunternehmen) und möchten diese daher ungern öffentlich machen. Die Bereitschaft, Daten zu teilen, ist in der Regel mit einem gewissen Maß an Kontrolle über die Daten verbunden. Auf der anderen Seite stehen die Unternehmen, die ihr eigenes Geschäftsmodell auf genau diese Daten aufbauen wollen (zum Beispiel die Versicherungen) und sich daher möglichst wenig Einschränkungen erhoffen. Es wird klar, dass die Umsetzung von Datensouveränität für alle beteiligten Akteure eine Herausforderung darstellt, aber gleichzeitig entscheidend für eine erfolgreiche Etablierung ihres Geschäftsmodells ist. In der Praxis werden derzeit in der Regel bilaterale Verträge ausgehandelt, für den jeweiligen Kunden vorbereitet und anschließend ausgeliefert. Dies soll zwar eine gewisse Datensouveränität gewährleisten – eine technische Kontrolle gibt es in der Regel aber nicht.

Daher widmen wir uns in diesem Abschnitt der Datennutzungskontrolle als treibendes Paradigma zur technischen Umsetzung von Datensouveränität. Sie befasst sich mit Anforderungen, die sich auf den Umgang mit Daten beziehen, nachdem der Zugriff darauf gewährt wurde. Ist die Datennutzungskontrolle vollständig implementiert, ist es möglich, die Daten auch nach der Freigabe weiter zu kontrollieren. Dabei können zudem individuelle Richtlinien zum Einsatz kommen, die die Datenweitergabe ermöglichen und dabei die Datensouveränität des Dateneigentümers wahren und technisch durchsetzen. Hierbei kann man primär zwei Bausteine unterscheiden.

Der erste Baustein ist angelehnt an vertragliche Regelungen und thematisiert die Frage, was der Datengebende erreichen will. Er oder sie muss (möglichst formal und präzise) Auflagen beschreiben, die festlegen, was mit den Daten nach deren Herausgabe geschehen darf und was nicht.

Der zweite Baustein thematisiert die Frage der technischen Realisierung und Durchsetzung der zuvor festgelegten Auflagen. Der Datennehmende muss also über geeignete technische Maßnahmen verfügen, um die Anforderungen des Datengebenden hinsichtlich Datensouveränität durchzusetzen. In Unternehmen gibt es unterschiedliche Systeme (beispielsweise Client-Systeme, mobile Geräte wie Smartphones und Tablets sowie dedizierte Server- und Netzwerkinfrastruktur), die Daten verarbeiten. Um eine umfassende Kontrolle der Datennutzung zu gewährleisten, muss jedes dieser Systeme entsprechend seiner Potenziale für die Umsetzung der Auflagen gerüstet werden. In unserem Anwendungsbeispiel könnte dies bedeuten, dass die Versicherungen und Werkstätten Schnittstellen für Löschanfragen durch die Plattform bereitstellen müssen (siehe hierzu auch Abschn. 15.6, Szenario 3).

Zur Umsetzung der vorgenannten Auflagen gibt es zwei Methoden: präventive und reaktive Mechanismen. Erstere stellen die Einhaltung der Auflagen sicher, indem sie unerwünschte Handlungen verhindern, wie etwa die Weitergabe von Daten. Im Gegensatz dazu können reaktive Mechanismen unerwünschte Handlungen nicht verhindern, sondern unterstützen lediglich die Aufdeckung von Verstößen gegen die Auflagen. Im Nachgang, also nach der Erkennung, können weitere Maßnahmen zur Kompensierung des aufgetretenen Schadens erfolgen. Dieses Prinzip kann mit der Durchsetzung von Geschwindigkeitsbegrenzungen verglichen werden. Die Polizei kann zwar nicht verhindern, dass zu schnell gefahren wird, aber sie kann Verstöße aufdecken und Bußgelder auferlegen. Auf ähnliche Weise können in unserem Anwendungsbeispiel, durch Protokollierung von Datennutzungen und nachgelagerte Auditierungen, Verstöße gegen die Auflagen aufgedeckt werden.

Beide Arten von Mechanismen haben in verschiedenen Anwendungsszenarien ihre Vor- und Nachteile. Die optimale Lösung hängt daher vom Einsatzgebiet ab. Präventive Mechanismen haben den Vorteil, dass die Einhaltung der Nutzungsrestriktionen und Auflagen garantiert werden kann. Diese können aber zu einer geringeren Akzeptanz führen, da die Benutzenden im Allgemeinen misstrauisch und in ihrem Handeln eingeschränkt werden. Außerdem ist eine Integration präventiver Mechanismen in Bestandssysteme häufig schwerer oder teilweise gar nicht möglich. Reaktive Mechanismen sind hingegen einfacher umzusetzen und lassen dem Benutzenden mehr Spielraum. Da sie unerwünschte Nutzungen aber nicht verhindern können, muss ein nachgelagerter Prozess für die Erkennung und Kompensierung des aufgetretenen Schades etabliert werden. In unserem Anwendungsbeispiel könnte der Abruf von Daten hinsichtlich Häufigkeit limitiert werden. Somit könnte beispielsweise die Versicherung nur einmal im Monat Daten von der Plattform abrufen. Die Plattform könnte jeden weiteren Abruf technisch verhindern (präventiv) oder erlauben, oder aber bei Überschreitung der Limitierung protokollieren und diese nachgelagert ahnden (reaktiv).

Im Allgemeinen werden Daten auf mehreren Abstraktionsschichten eines Systems verarbeitet. Beim Empfang von Inhalten über das Netz wird beispielsweise eine temporäre Datei geschrieben, der Inhalt wird in einem Anwendungsfenster dargestellt und in einer anwendungsspezifischen Datenstruktur gespeichert. Um Daten in einem gesamten System oder einer Infrastruktur vor unerwünschter Nutzung zu schützen, müssen entsprechende Mechanismen also auf allen notwendigen Systemebenen integriert werden, um den bestmöglichen Schutz zu erreichen. Dabei kann man grundlegend festhalten, dass auf höheren Systemebenen mehr Semantik und Kontextwissen für die Nutzungsentscheidungen zur Verfügung steht. So hat beispielsweise die Kontonummer auf Anwendungsebene eine konkrete Semantik. Auf Speicherebene, beispielsweise in der Datenbank, handelt es sich lediglich um eine Zeichenkette.

Datennutzungskontrolle lässt sich auf verschiedene Weisen implementieren. Es hat sich jedoch gezeigt, dass es in der Praxis immer wieder ähnliche Komponenten gibt, die die beiden zuvor beschriebenen Bausteine (Auflagen und Durchsetzung) umsetzen.

Zur Durchsetzung der Auflagen müssen zunächst relevante Datenflüsse überwacht und abhängig von den Auflagen maskiert (siehe hierzu Lane 2012), gefiltert oder unterbrochen werden. Diese Aufgabe übernimmt ein sogenannter Policy Enforcement Point (PEP).

Die Entscheidung darüber, wie der PEP im konkreten Fall agieren muss, liegt bei einer weiteren Komponente, dem Policy Decision Point (PDP). Dieser hat die Aufgabe, die mitunter zahlreichen und komplexen Auflagen zu einer stimmigen Gesamtentscheidung für den aktuellen Datenfluss zu überführen. Somit stützt sich die Durchsetzung auf der getroffenen Entscheidung des PDP.

Wie wir oben bereits beschrieben haben, sind mitunter nicht alle semantischen (zum Beispiel der Art der Daten) oder kontextuellen (zum Beispiel dem aktuellen geografischen Standort) Informationen auf der aktuellen Systemebene verfügbar. In solchen Fällen wird vom PDP ein Policy Information Point (PIP) einbezogen. Der PIP ist eine eigenständige Komponente, die dem PDP zusätzliche Informationen zur Verfügung stellen kann und damit die Daten des PEPs vervollständigt. Hierbei könnte es sich um eine Nutzungskennung handeln, für die Entscheidungsfindung wird allerdings die Rolle des Nutzenden benötigt (zum Beispiel verantwortlicher Projektleiter). Eine PIP-Komponente kann diese Information durch Verwendung eines Verzeichnisdienstes auflösen.

Eine weitere Komponente kommt insbesondere bei reaktiven Maßnahmen zum Tragen: der Policy Execution Point (PXP). Diese Komponente kann vom PDP angesprochen werden, um gewisse Aktionen durchzuführen. Hierbei kann es beispielsweise um die Benachrichtigung des Datengebenden, das Schreiben eines Log-Eintrags oder Änderungen am System handeln. Eine oft benötigte Funktion ist die Benachrichtigung des Datengebenden. In diesem Fall könnte die PXP-Komponente das Versenden einer E-Mail technisch umsetzen, um damit den Datengebenden über eine Datennutzung zu informieren.

Kernstück des beschriebenen Zusammenspiels sind die Auflagen, die in der Praxis schnell zahlreich und komplex werden können. Um diese Situation unter Kontrolle zu bekommen, werden Policy Management Points (PMP) eingesetzt, die die Auflagen verwalten und dem PDP zur Verfügung stellen. Um die notwendige formale Spezifikation der Auflagen zu unterstützen, kommen spezielle Editoren, sogenannte Policy Administration Points (PAP) zum Einsatz, mit deren Hilfe der Datengebende seine Bedürfnisse hinsichtlich der Datensouveränität spezifizieren kann. Natürlich könnte die Spezifikation ohne Hilfsmittel beziehungsweise unter Verwendung eines einfachen Texteditors erfolgen. Diese Vorgehensweise sollte vermieden werden, da hierdurch fehlerhafte oder ungewollte Nutzungsrestriktionen erzeugt werden können. Es können unterschiedliche PAPs mit verschiedenen Benutzeroberflächen oder Spezifikationsparadigmen existieren, die schlussendlich in der gleichen Ausgabe münden. Somit können je nach Eignung und Qualifikation der Nutzenden passende Schnittstellen gestaltet werden.

Zusammengefasst lässt sich der übliche Ablauf der Umsetzung von Datennutzungskontrolle in vier Phasen einteilen (s. Abb. 15.2):

Phase 1 (blau): Festlegen der Auflagen
- (1.1) Der Datengeber spezifiziert mit Hilfe des PAP die Auflagen.
- (1.2) Die Auflagen werden auf dem PMP gespeichert und verwaltet.
- (1.3) Die Auflagen werden auf dem PDP aktiviert.
Phase 2 (rot): Überwachen des Datenflusses
- (2.1) Der Datenfluss wird durch einen PEP überwacht.
- (2.2) Der PEP bereitet die Daten für die Entscheidungsfindung auf und sendet eine Anfrage an den PDP, wie er mit den Daten bzw. dem Datenfluss weiter verfahren solle.
Phase 3 (orange): Treffen einer Entscheidung
- (3.1) Der PDP sendet eine Anfrage an einen PIP.
- (3.2) Der PIP liefert das Ergebnis der Anfrage an den PDP.
- (3.3) Der PDP weist einen PXP an eine Aktion auszuführen.
- (3.4) Der PXP quittiert dem PDP den Erfolg oder Misserfolg.
Phase 4 (grün): Durchsetzen der Entscheidung
- (4.1) Der PDP teilt dem PEP die Entscheidung mit, wie mit dem Datenfluss weiter zu verfahren ist.
- (4.2) Der PEP setzt die Anweisungen des PDP um und der Datenfluss geht weiter, in der Abbildung dargestellt als bereinigtes Dateisymbol.

15.5 Dashboards für Datensouveränität in Digitalen Ökosystemen

Im Bereich personenbezogener Daten regelt die Datenschutzgrundverordnung (DSGVO) diverse Betroffenenrechte wie Auskunft, Korrektur und Löschung, die wichtige Bausteine der Datensouveränität für betroffene Personen darstellen. Unabhängig davon, ob die Daten im Digitalen Ökosystem nun personenbezogen sind oder nicht (in der Praxis sind sie es in der Regel), sollte man diese Rechte entsprechend umsetzen, denn auch bei nicht-personenbezogenen Daten herrschen ähnliche Bedarfe bei den Datengebenden. Eine wesentliche Herausforderung sind fehlende Lösungen oder Lösungsbausteine, die in der Praxis mit moderatem Aufwand verwendet werden können. Dabei ist es in Digitalen Ökosystemen besonders relevant, die Datenflüsse zwischen den beteiligten Unternehmen zu erfassen und darzustellen, da hier mitunter komplexe Ketten entstehen.

Ähnliche Probleme treten auf, wenn Kunden selbst Einstellungen für die Nutzung der Daten vornehmen (beispielsweise im Rahmen von Datenschutzeinstellungen oder Auflagen im Sinne der Datennutzungskontrolle). Auch diese sind in der Regel auf ein Unternehmen beschränkt und die Kunden haben Probleme bezüglich der Verständlichkeit und des benötigten Aufwands. Für Unternehmen bedeutet dies auch ein rechtliches Risiko, da etwa Einwilligungen nur bei Informiertheit der Kunden wirksam sind und das Vorliegen dieser Einwilligungen durch den Verantwortlichen nachgewiesen werden muss. Bei Digitalen Ökosystemen liegt diese Verantwortung beim Plattformbetreibenden.

Zentrale Dashboards (auch Daten-Dashboards) für Datensouveränität im Ökosystem können hier einen wesentlichen Beitrag leisten. Sie ermöglichen es Unternehmen und Kunden, die Verarbeitung ihrer Daten zu kontrollieren und die Nutzung transparent zu machen. Einerseits werden also Möglichkeiten der Kontrolle und Einflussnahme auf die Verarbeitung und Verwendung der eigenen Daten geschaffen (Selbstbestimmung und Durchsetzung). Andererseits werden die Verarbeitungen und Verwendungen in einer klar verständlichen und strukturierten Weise dargestellt (Transparenz und Auskunft). Die Nutzungsmöglichkeiten für Unternehmen und Kunden der Unternehmen reichen dabei von der reinen Darstellung von Sachverhalten bis hin zur Erbringung von Nachweisen der Verwendung von Daten. Beispielsweise könnte in unserem Anwendungsbeispiel transparent gemacht werden, welche Daten die Versicherung verarbeitet hat und auf welcher Datenbasis die Abrechnung des Telematik-Tarifs basiert.

Es wird deutlich, dass Dashboards für Datensouveränität verschiedene Aufgaben und Ziele verfolgen, die wir nachfolgend skizzieren:

Primäres Ziel ist es, Auskunft und Transparenz über die Verwendung und Verarbeitung von Daten zu schaffen. Gleichzeitig müssen aber auch die aktuell geltenden Regeln und Einstellungen verständlich präsentiert werden.

Neben dieser informativen Auskunft müssen Datengebende befähigt werden, ihre eigenen Anforderungen an die Datensouveränität im Digitalen Ökosystem allen Teilnehmenden vermitteln zu können. Das sekundäre Ziel geht also auf die Selbstbestimmung und die Formulierung sowie schlussendlich der Formalisierung der Datensouveränitätsanforderungen ein. Es handelt sich hierbei um ein komplexes Thema. Schaut man sich beispielsweise die von der Legislative geforderten Möglichkeiten bei personenbezogenen Daten an, so fallen hierunter Einwilligungen, Widersprüche und Funktionen zur Datenlöschung oder zur Datenübertragung.

Aus den vorgenannten Zielen leitet sich konsequenterweise das Ziel der Durchsetzung ab, wobei es sich hierbei sowohl um technische als auch organisatorische Umsetzungen handeln kann, wie wir bereits diskutiert haben. Letztere müssen in Bezug auf die Dashboards eine Form der Rückmeldung aufweisen, damit diese den verantwortlichen Personen auch wieder dargestellt werden kann. An dieser Stelle ist darauf hinzuweisen, dass es sich bei Digitalen Ökosystemen oftmals um sozio-technische Systeme handelt und Vertrauen nicht nur durch technische Komponenten, sondern auch durch menschliche Interaktion bzw. direkten Kontakt entsteht.

Die konkrete Ausgestaltung von Dashboards für Datensouveränität ist hochgradig spezifisch für das jeweilige Digitale Ökosystem. Auch wenn es gewisse Charakteristiken und Anforderungen gibt, die sich alle Dashboards teilen, gibt es keine Standardlösung von der Stange. Stattdessen müssen stets individuelle Anforderungen, Risiken und Rahmenbedingungen bei der Planung, der Umsetzung, der Einführung und dem Betrieb von Dashboards berücksichtigt werden. Dabei ist dem Faktor Mensch eine hohe Priorität beizumessen, da der Umgang mit Datensouveränität ein wesentlicher Erfolgsfaktor für die Akzeptanz von Digitalen Ökosystemen darstellt.

15.6 Datensouveränitätsszenarien im Anwendungsbeispiel

Die nachfolgenden Szenarien veranschaulichen die technische Umsetzung von Datensouveränität mit Datennutzungskontrolle anhand des eben vorgestellten Anwendungsbeispiels. Hierzu wird das grundlegende Szenario beschrieben und danach die konkrete Umsetzung anhand von Code-Fragmenten und Auflagen in XML-Syntax verdeutlicht. Zudem wird das technische Zusammenspiel der vorab eingeführten Komponenten der Datennutzungskontrolle beschrieben.

Die beiden Protagonisten Paul und Frieda besitzen jeweils ein Fahrzeug des Automobilunternehmens der Plattform. Mit dem Kauf des Fahrzeugs wurden entsprechende Zugänge auf der Plattform bereitgestellt. Mit ihren Zugängen auf der Plattform können Paul und Frieda einerseits ihre eigenen Daten einsehen, aber auch die Datennutzungen für die angeschlossenen Unternehmen (unter anderem Versicherung, Werkstätten) kontrollieren. Paul würde man eher als konservativ und vorsichtig bezeichnen, Frieda hingegen ist aufgeschlossen und probiert gerne neue Features aus. Allerdings ist sie auch sehr bedacht, wenn es um ihre Daten und Datenschutz geht.

Szenario 1

Paul hat beim Kauf seines Fahrzeugs bei seiner Versicherung einen konventionellen Tarif ohne Telematik, aber mit beschränkter Laufleistung abgeschlossen. Hierfür würde er der Versicherung gerne den regelmäßigen Abruf der Laufleistung ermöglichen, damit diese ihn rechtzeitig vor dem Überschreiten der vereinbarten Laufleistung informieren kann. Diesen Zugriff kann Paul über das Daten-Dashboard der Plattform regeln und legt dabei sowohl den Nutzungszweck als auch die maximale Häufigkeit für den Abruf fest. In diesem Fall erlaubt Paul den Abruf nur zum Zweck der Vermeidung einer Überschreitung und dies nur einmal im Monat sowie nur auf volle Tausenderstellen gerundet.

Zur technischen Umsetzung im Szenario wird ein PEP in der Plattform integriert, der die Schnittstelle der Versicherung kontrolliert. Die folgenden Code-Beispiele und Auflagen basieren auf der Umsetzung mit den MYDATA Control Technologies (Fraunhofer IESE 2021). Wie in Abb. 15.3 zu sehen, wird der entsprechende Datenfluss, nämlich das Auslesen und Zurückgeben des Kilometerstands, durch den PEP zunächst abgefangen (siehe Abb. 15.3, Zeile 5–12, roter Kasten).

Der PEP überprüft anschließend die geltenden Auflagen (siehe Abb. 15.4). Falls der Kilometerstand für das Fahrzeug innerhalb des vergangenen Monates noch nicht abgerufen wurde (siehe Abb. 15.4, Zeile 5–14, blauer Kasten), wird der Kilometerstand gerundet (siehe Abb. 15.4, Zeile 15–19, grüner Kasten) und durch den PEP anstatt des echten Werts zurückgegeben. Falls der Kilometerstand bereits abgerufen wurde, wird die Anfrage abgelehnt (siehe Abb. 15.4, Zeile 21–23, roter Kasten) und der PEP bricht den Datenfluss mit einer „InhibitException“ ab.

Zum Sicherstellen der Zweckbindung ist eine Integration eines PEPs bei der Versicherung notwendig. Entsprechend des aktuell laufenden Geschäftsprozesses wird die Datennutzung entweder erlaubt (Laufleistungsprüfung) oder verboten (zum Beispiel für Werbezwecke).

Szenario 2

Paul geht schon seit Jahren zur Werkstatt seines Vertrauens. Mit dem neuen Fahrzeug hat er nun die Möglichkeit, dass die Werkstatt direkt auf seine Fahrzeugdaten über die Plattform zugreifen kann. Bei seinem bisherigen Fahrzeug hat ihn die Werkstatt einmal im Jahr per Post angeschrieben, um ihn an die anstehende Inspektion zu erinnern. Mit der Plattform bietet ihm die Werkstatt nun nutzungsabhänge Wartungen an. Außerdem können die Termine besser geplant werden, da sich die Werkstatt bereits vorab über den Zustand des Fahrzeugs (beispielsweise Bremsen, Öl, Fehlerspeicher) informieren kann. Analog zum Fall mit der Versicherung hat auch die Werkstatt eine entsprechende Nutzungsanfrage über die Plattform gestellt, der Paul voll zugestimmt hat.

Die technische Umsetzung erfolgt wiederum durch einen PEP, der die Schnittstelle für Werkstätten kontrolliert. Bei Anfragen der Werkstatt werden die vom Haltenden hinterlegten Auflagen ausgewertet und der Zugriff entsprechend gewährt.

Szenario 3

Im Gegensatz zu Paul hat Frieda keine feste Vertragswerkstatt. Daher hat sie auch keine pauschale Freigabe in der Plattform eingerichtet. Stattdessen gibt sie Daten immer nur nach Bedarf für eine bestimmte Wartung oder Reparatur frei (zum Beispiel für die Dauer der Reparatur von drei Tagen). Außerdem gibt die Plattform Frieda die Möglichkeit, Daten nach Abschluss der Inspektion wieder zu löschen.

Im Szenario erfolgt die Steuerung der Daten auf der Plattform wiederum durch den PEP in der Schnittstelle für die Werkstätten. Die Löschung der Daten erfordert die Nutzung eines PXP in der Infrastruktur der Werkstatt (siehe Abb. 15.5, Zeile 6–11, roter Kasten). Somit kann dieses Feature nur von Werkstätten umgesetzt werden, die eine entsprechende Anbindung bieten. Nach dem Zurücksetzen der Inspektionsparameter im Fahrzeug wird die Löschung durch die Plattform angestoßen.

Szenario 4

Frieda würde über sich selbst sagen, dass sie eine sehr vorausschauende und ausgewogene Autofahrerin ist. Daher findet sie es auch gut, dass sie nun einen Versicherungstarif basierend auf ihrem Fahrverhalten auswählen kann. Den Antrag hat sie bei ihrer Versicherung gestellt, was zu einer Nutzungsanfrage im Daten-Dashboard führte. Hier war sehr genau aufgeschlüsselt, welche Daten die Versicherung regelmäßig abrufen möchte. Dabei handelte es sich unter anderem um Beschleunigungswerte, Leistungszahlen des Motors sowie Zeiten und Dauer, wann das Fahrzeug bewegt wurde. Frieda fühlt sich dadurch zu sehr überwacht und entschließt sich dies weiter einzuschränken und stattdessen nur zu übermitteln, ob das Fahrzeug an diesem Tag bewegt wurde oder nicht.

Technisch wird das wiederum durch den PEP in der Plattform umgesetzt. Dieser kontrolliert den Datenstrom und ersetzt in der Datenstruktur für die Versicherung die Auflistung der Nutzungszeiten durch einen aggregierten Wert.

Szenario 5

Frieda ist viel unterwegs und ist deshalb Mitglied in einem renommierten Automobilclub. Bei Vertragsschluss hat dieser eine Anfrage über die Plattform gestellt, um regelmäßig Daten über ihr Fahrzeug abrufen zu können. Frieda wollte das nicht und hat deshalb die restriktivste Auflage gewählt: „Abruf von Fahrzeugdaten ausschließlich bei Pannenhilfe“.

Technisch führen wir hierfür eine PIP-Komponente ein, die einerseits die Situation des Fahrzeugs (siehe Abb. 15.6, Zeile 5–12, blauer Kasten) und andererseits die aktuelle Goeposition des Fahrzeugs (siehe Abb. 15.6, Zeile 13–21, grüner Kasten) berücksichtigt. Bei der Meldung einer Panne werden verschiedene Daten vom Fahrzeug wie dessen Zustand an die Plattform übermittelt. Zusätzlich wird die Situation „Panne“ und die aktuelle Geoinformation übermittelt, die in der Plattform in einer PIP-Komponente gespeichert werden. Dies stellt eine Ausnahme dar, da die Nutzung normalerweise nicht erlaubt ist (s. Abb. 15.6, Zeile 33–35, roter Kasten).

Wenn der Automobilclub auf die Plattform zugreift, so wird erstmal die grundsätzliche Verknüpfung geprüft und falls die PIP-Komponente die Situation „Panne“ zurückgibt, so wird die Nutzung, inklusive der aktuellen Geoposition (siehe Abb. 15.6 1.4, Zeile 23–31, lila Kasten) gewährt. Die Ausnahme ist zeitlich beschränkt auf 24 Stunden oder bis der Zustand durch Frieda manuell zurückgesetzt wird.

Abb. 15.7. zeigt die Positionierung der verschiedenen Komponenten im Digitalen Ökosystem. In den Szenarien sind das PEPs an den Schnittstellen für die anfragenden Unternehmen, damit hier eine Filterung der Daten erfolgen oder die zweckgebundene Verwendung sichergestellt werden kann. Der zentrale PIP zur Abfrage der Situation des Fahrzeugs (Kontext-PIP) für Ausnahmesituationen und ein Lösch-PXP bei den Werkstätten, damit die Plattform die Auflagen zum Löschen von Daten bei den verbundenen Unternehmen durchsetzen kann.

Die Komponenten zur Spezifikation (PAP), Verwaltung (PMP) und Auswertung (PDP) der Auflagen würden sich in der zentralen Plattform befinden, wurden in der Abbildung aber nicht explizit eingezeichnet.

Die Szenarien zeigen die Durchsetzung verschiedener Auflagen im Anwendungsbeispiel. Verlassen die Daten das Digitale Ökosystem und sollen weiter geschützt werden, so muss das Ziel durch den Einsatz von Datennutzungskontrollkomponenten (beispielsweise Lösch-PXP) erweitert werden. Ist das nicht möglich, muss auf organisatorische Regeln zurückgegriffen werden.

15.7 Diskussion und Zusammenfassung

Digitale Ökosysteme entstehen in allen Branchen und Domänen. Das Zusammenspiel zwischen der Nutzbarmachung von Daten und der Einhaltung der Datensouveränität stellt eine enorme Herausforderung für ihre Betreibenden und Teilnehmenden dar.

Datennutzungskontrolle stellt hierfür wesentliche Bausteine zur Verfügung. Diese reichen von grundlegenden Konzepten bis hin zu konkreten technischen Umsetzungsmöglichkeiten. Dennoch sind der praktische Einsatz und die Durchdringung am Markt bisher wenig vorangeschritten. Initiativen wie die International Data Spaces (IDS) (Fraunhofer 2021) oder GAIA-X sind Vorreitende bei der Ausarbeitung der technischen und organisatorischen Rahmenbedingungen für Datennutzungskontrolle. Ein souveräner Umgang mit Daten wird auch durch die Querschnittsthemenforschung im KI-Innovationswettbewerb bekräftigt und einige Projekte setzen bereits auf die zukunftsfähigen Konzepte von GAIA-X (s. Kap. 9).

Gerade die IDS befassen sich seit einigen Jahren mit verschiedenen Themenkomplexen der Datennutzungskontrolle und setzen diese im IDS-Ökosystem erfolgreich um. Die Veröffentlichungen im Bereich „Usage Control in the International Data Spaces“ (Eitel et al. 2021) durch die International Data Spaces Association (IDSA) gewähren umfassende Einblicke in die Thematik.

Umfangreiche Datennutzungskontrolle erfordert ein geschlossenes, kontrollierbares System. Digitale Ökosysteme eigenen sich aufgrund ihrer Eigenschaften grundsätzlich dafür sehr gut. Die Umsetzungsverantwortung liegt bei Digitalen Plattformen beim Plattformbetreibenden. Dieser muss Datensouveränität im gesamten Ökosystem sicherstellen. Dies beginnt bei der Plattform selbst, muss aber auch bei allen Teilnehmenden sichergestellt werden.

Es ist daher zielführend Datensouveränität direkt von Beginn an mitzudenken und die Schutzbedarfe für Daten früh zu konkretisieren. Dies erfordert die Einbeziehung interdisziplinärer Kompetenzen, angefangen bei der Erhebung und Formalisierung dieser Schutzbedarfe, deren einheitlichen und benutzerfreundlichen Darstellung und Einstellmöglichkeiten sowie schlussendlich der einheitlichen technischen Umsetzung im gesamten Ökosystem. Nachträgliche Anpassungen oder Änderungen lassen sich nur mit erheblichem Aufwand realisieren. (s. Kap. 8). Daher führen auch kurzfristige Lösungen, wie das programmatische Umsetzen einzelner Szenarien oder Use Cases, langfristig zu Mehrarbeit, uneinheitlichen Umsetzungen und skalieren schlichtweg nicht. Das ist jedoch für Digitale Ökosysteme entscheidend. Konfigurierbare Lösungen mit einheitlicher Umsetzung (beispielsweise Frameworks für Datennutzungskontrolle) sind daher zu bevorzugen.

Ähnlich wie die Umsetzung von Maßnahmen der klassischen IT-Sicherheit müssen auch die Maßnahmen für die Umsetzung von Datensouveränität in Relation gesetzt werden. Einfache Anforderungen wie die Bereinigung der Daten können bereits durch wenige Maßnahmen im eigenen Code umgesetzt werden. Werden allerdings weitergehende Garantien und Sicherheiten benötigt, so müssen Konzepte wie Vertrauensanker, Zertifizierung und revisionssichere Protokolle in Betracht gezogen werden, die neben der eigentlichen Umsetzung von Datensouveränität zusätzlich betrachtet werden müssen. Datensouveränität baut daher oftmals auf weiteren Technologien auf, um diesen Anforderungen gerecht zu werden. Zusätzlich gibt es unterschiedliche Möglichkeiten der Integration von Datennutzungskontrolle, die auch unterschiedliche Ausprägungen haben, beispielsweise hinsichtlich Kontrollmöglichkeiten oder Integrationsaufwand (Zrenner et al. 2019). Schlussendlich muss man bei der Umsetzung von Datensouveränität immer zwischen den Möglichkeiten der Kontrolle und den damit verbundenen Kosten abwägen.

Open Access Dieses Kapitel wird unter der Creative Commons Namensnennung 4.0 International Lizenz (http://creativecommons.org/licenses/by/4.0/deed.de) veröffentlicht, welche die Nutzung, Vervielfältigung, Bearbeitung, Verbreitung und Wiedergabe in jeglichem Medium und Format erlaubt, sofern Sie den/die ursprünglichen Autor(en) und die Quelle ordnungsgemäß nennen, einen Link zur Creative Commons Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden.

Die in diesem Kapitel enthaltenen Bilder und sonstiges Drittmaterial unterliegen ebenfalls der genannten Creative Commons Lizenz, sofern sich aus der Abbildungslegende nichts anderes ergibt. Sofern das betreffende Material nicht unter der genannten Creative Commons Lizenz steht und die betreffende Handlung nicht nach gesetzlichen Vorschriften erlaubt ist, ist für die oben aufgeführten Weiterverwendungen des Materials die Einwilligung des jeweiligen Rechteinhabers einzuholen.

Vorheriges Kapitel Verfahren zur Anonymisierung und Pseudonymisierung von Daten

Nächstes Kapitel Einleitung: Vertrauen in Daten

Caruso (2021) CARUSO. From connected cars to connected business. https://www.caruso-dataplace.com. Zugegriffen am 12.10.2021

Eitel A, Jung C, Brandstädter R, Hosseinzadeh A, Bader S, Kühnle C, Birnstill P, Brost G, Gall M, Bruckner F, Weißenberg N, Korth B (2021) Usage control in the international data spaces. International Data Spaces Association, Berlin. https://internationaldataspaces.org/download/21053. Zugegriffen am 12.10.2021

Fraunhofer IESE (2021) MYDATA control technologies – developer documentation. https://developer.mydata-control.de Zugegriffen am 12.10.2021

Fraunhofer-Gesellschaft (2021) International data spaces. https://www.dataspaces.fraunhofer.de. Zugegriffen am 12.10.2021

Gesellschaft für Informatik (2020) Schlüsselaspekte digitaler Souveränität. Arbeitspapier der Gesellschaft für Informatik e.V., Berlin. https://gi.de/fileadmin/GI/Allgemein/PDF/Arbeitspapier_Digitale_Souveraenitaet.pdf. Zugegriffen am 30.03.2022

Goldacker G (2017) Digitale Souveränität. Kompetenzzentrum Öffentliche Informationstechnologie. Kompetenzzentrum Öffentliche IT (ÖFIT), Berlin

Lane A (2012) Understanding and selecting data masking: defining data masking. https://securosis.com/blog/understanding-and-selecting-data-masking-defining-data-masking. Zugegriffen am 12.10.2021

Otonomo (2021) Otonomo. The global platform for connected car data. https://otonomo.io. Zugegriffen am 12.10.2021

Park J, Sandhu R (2002) Towards usage control models: beyond traditional access control. 7th ACM Symposium on Access Control Models and Technologies, SACMAT 2002, Naval Postgraduate School, Monterey, California, USA, June 3–4, 2002. ACM 3–4, 2002. ACM, S 57–64, ISBN 1-58113-496-7, ISBN 1-58113-496-7. https://doi.org/10.1145/507711.507722

Park J, Sandhu R (2004) The UCONABC usage control model. ACM Trans Inf Syst Secur 7(1):128–174. https://doi.org/10.1145/984334.984339CrossRef

Sandhu R, Park J (2003) Usage control: a vision for next generation access control. International workshop on Mathematical Methods, Models, and Architectures for Computer Network Security. Springer, Berlin/Heidelberg, S 17–31

Zrenner J, Möller FO, Jung C, Eitel A, Otto B (2019) Usage control architecture options for data sovereignty in business ecosystems. J Enterp Inf Manag 32(3):477–495. Emerald Publishing, BingleyCrossRef

Titel: Datensouveränität in Digitalen Ökosystemen: Daten nutzbar machen, Kontrolle behalten
verfasst von: Christian Jung
Andreas Eitel
Denis Feth
Verlag: Springer Berlin Heidelberg
Buch: Datenwirtschaft und Datentechnologie
Print ISBN: 978-3-662-65231-2

Electronic ISBN: 978-3-662-65232-9

Copyright-Jahr: 2022
DOI: https://doi.org/10.1007/978-3-662-65232-9_15

Springer Professional