In einem kürzlich erschienenen Bericht wird dargelegt, wie die Blockchain-Technologie die digitalen Identitätssysteme in der Europäischen Union neugestalten könnte. Blockchain-basierte selbstbewusste Identitäten können es Benutzern ermöglichen, ihre Daten jederzeit zu besitzen, zu kontrollieren und darauf zuzugreifen.

Das Blockchain Observatorium und Forum der Europäischen Union hat einen Bericht mit dem Titel „Blockchain and Digital Identity“ veröffentlicht. Der Bericht kommt zu dem Schluss, dass die derzeitigen digitalen Identitätssysteme fragmentiert sind und es an Sicherheit und Interoperabilität mangelt, und zeigt Wege zur Verbesserung des derzeitigen Systems auf. Die Blockchain-Technologie könnte eine Schlüsselrolle spielen.

Status quo: Fragmentierte, unsichere und mangelnde Interoperabilität

„Es gibt anhaltende und immer schwerwiegendere Probleme mit der Funktionsweise der digitalen Identität“, heisst es im Bericht. Die Hauptursache für diese Probleme ist die Tatsache, dass digitale Identitäten fast immer von Dritten – oft privaten Unternehmen – bereitgestellt werden, die ihr eigenes Eigeninteresse haben.

Jeder dieser Drittanbieter erfasst nur einen Teil der ID-relevanten Daten und nicht eine ganzheitliche digitale Identität. Zum Beispiel sammeln Krankenkassen die Gesundheitsdaten der Benutzer, Banken erfassen Finanzdaten, Regierungen speichern Ausweispapiere und Führerscheine – aber es gibt keine Einheit, die alle Daten speichert, verwaltet und kontrolliert.

So stehen die Daten im derzeitigen zentralisierten System im Allgemeinen unter der Kontrolle von Einheiten, die ausserhalb der Person liegen, auf die sie sich beziehen. Im dezentralen System hat der Benutzer die Kontrolle über seine eigenen Daten, wodurch die Notwendigkeit der Datenaggregation durch Dritte entfällt.

Die Möglichkeit, Identitätsdaten auf einer sicheren Blockchain zu kontrollieren und darauf zuzugreifen, führt zu mehr Effizienz, da Benutzer jederzeit auf ihre Daten zugreifen und sie bei Bedarf anderen zugänglich machen können. Das ist besonders wichtig, wenn Daten gestohlen oder zerstört werden. Wie kann ein syrischer Flüchtling nach seiner Rückkehr in die Heimat den Besitz seines Hauses, seine berufliche Zertifizierung und seine Bildungsunterlagen nachweisen? Wenn es auf einer sicheren Blockchain gespeichert wäre, wäre das einfach.

Use Case Blockchain: Rationalisierung des Identitätslebenszyklus

Dem Bericht zufolge ermöglicht die Blockchain die Erstellung einer Self-Sovereign-Identity (SSI), bei der der Benutzer die Daten besitzt und kontrolliert. Stefaan Verhulst, Mitbegründer des Governance Laboratory (GovLab) an der New York University, erklärt, dass Identität mehr ist als nur das Speichern von Dokumenten in einer Blockchain.

Der „Identity Lifecycle“ umfasst auch Prozesse der Bereitstellung, Authentifizierung, Administration, Autorisierung und Auditierung. „Jede Stufe hat heute ihre eigenen Herausforderungen, die durch die Mobilisierung relevanter Blockchain-Attribute gelöst werden können oder auch nicht“, sagt Verhulst.

Er fügt hinzu, dass die Blockchain-Technologie einige, aber nicht alle Herausforderungen während des Identitätslebenszyklus lösen kann. Verhulst sieht das grösste Potenzial der Blockchain in der Autorisierungs- und Auditierungsphase sowie in mehr Benutzerführung und Sicherheit. Das hat „Auswirkungen auf die Menschenrechte, die nationale Sicherheit, das Wahlrecht und die Finanzdienstleistungen, neben vielen anderen Themenbereichen“, sagt er.

Jedes Blockchain-basierte System könnte kaum eine eigenständige Lösung sein, aber es müsste in bestehende Identitätsrahmen integriert werden, in denen Regierungen die alleinigen Herausgeber einer offiziellen Identität sind. Andernfalls haben die Benutzer möglicherweise Zugang und Kontrolle über alle ihre Daten, aber niemand garantiert, dass diese Daten offiziell anerkannt werden. Diese offizielle und allgemein anerkannte Anerkennung ist jedoch erforderlich, damit ein SSI-System auf nationaler Ebene und in der gesamten EU funktionieren kann.

Das aktuelle regulatorische Umfeld lässt „offene Fragen“ offen            

Derzeit wird die digitale Identität in der EU hauptsächlich durch die Verordnung über elektronische Identifikations-, Authentifizierungs- und Treuhandservices (eIDAS) und die Allgemeine Datenschutzverordnung (GDPR) geregelt.

Der Bericht des EU Blockchain Observatory & Forum besagt, dass die aktuelle Gesetzgebung „offene Regulierungsfragen“ offen lässt – insbesondere in Bezug auf Blockchain-basierte Signaturen und Zeitstempel unter eIDAS.

Ott Vatter, Geschäftsführer des estnischen e-Residency-Programms, sagt: „Wenn der höchste Signaturstandard mit Hilfe der zeitgestempelten Blockchain-Technologie erstellt werden kann, würde dies eine wirklich dezentrale Art des Austauschs von Dokumenten und Daten in der EU ermöglichen.

Während der Bericht zwar aufzeigt, wie die Blockchain-Technologie die digitale ID verbessern kann, könnten viele dieser Vorschläge im derzeitigen regulatorischen Umfeld schwierig zu erreichen sein. Daher muss die EU zu einem gesamteuropäischen Konsens kommen, der klärt, welche der aktuellen Fragen rund um die ID sie angehen will. Schliesslich müssen die bestehenden Vorschriften geändert werden, um eine effektive Nutzung der Technologie zu ermöglichen.

Mehrere Projekte arbeiten an Blockchain-basierten ID-Initiativen

Der Bericht empfiehlt, „kleinere Städte als hervorragendes Testfeld für dezentrale Identitätsrahmen“ in Betracht zu ziehen. Das ist bereits geschehen. In der Schweiz hat der Kanton Schaffhausen zusammen mit dem Schweizer Startup Procivis eine Blockchain-basierte E-Identity- und E-Government-Plattform implementiert. Das Projekt heisst eID+ und ermöglicht es den Bürgern, sich beim öffentlichen Amt in Schaffhausen zu registrieren und über eine mobile App direkt auf die öffentlichen Dienste zuzugreifen.

In grösserem Umfang zielt die Sovrin Foundation auf die Schaffung eines digitalen Identitätssystems ab, die es den Nutzern ermöglicht, ihre eigenen lebenslang überprüfbaren digitalen Zugangsdaten, einschliesslich ihrer Regierungsausweise, Führerscheine, Eigentumsdokumente, Bildungsunterlagen und mehr, mitzuführen. Der individuelle Identitätsinhaber kann jederzeit und nach Belieben auf seine Zugangsdaten im Sovrin-Netzwerk zugreifen und diese verwenden, und die Daten sind vor Manipulationen durch Dritte geschützt.

Was im Bericht empfohlen wird, geschieht also bereits heute. Die EU muss jedoch den Rechtsrahmen anpassen, und die nationalen Regierungen sowie die supranationalen Institutionen müssen mit Initiativen des Privatsektors zusammenarbeiten, um Systeme zu integrieren und ein interoperables paneuropäisches SSI-Netzwerk zu schaffen. Die Technologie ist da, Blockchain kann es möglich machen und mehrere Projekte haben es bereits bewiesen. Was fehlt, sind die Vorschriften, die eine Lösung grösseren Umfangs ermöglichen.

Bild: ©Shutterstock