Bring your own Privacy Selbstbestimmung bei der Datenweitergabe

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Stephan Augsten

Wenn die Nutzer die Kontrolle über die eigenen Daten behalten, steigt nicht nur das Vertrauen in Anbieter und Lösung, sondern auch der Geschäftserfolg. Dazu ist aber mehr erforderlich als herkömmliche Self-Service-Funktionen.

Firma zum Thema

Endanwender sollten bessere Möglichkeiten in die Hand bekommen, die Verwendung und Weitergabe ihrer Daten zu steuern.
Endanwender sollten bessere Möglichkeiten in die Hand bekommen, die Verwendung und Weitergabe ihrer Daten zu steuern.
(Bild: Archiv)

Die European Identity & Cloud Conference 2015 (EIC 2015) hat es deutlich gezeigt: Das klassische Identity and Access Management (IAM) braucht nicht nur Updates oder Upgrades, es sind grundsätzlich neue Konzepte gefragt.

Das drastische Wachstum an digitalen Identitäten und die neue Vielfalt an Identitäten durch das IoT (Internet of Things) sind bei Weitem nicht alles, was Unternehmen in ihren IAM-Projekten berücksichtigen müssen. Es ist vielmehr der Nutzer selbst, der mehr Beachtung erfahren muss.

Bildergalerie

Viele Nutzer wünschen sich mehr Kontrolle über ihre Daten und damit über die Berechtigungen an ihren Daten. Die Diskussionen um User Managed Identity & Access und User Empowerment machen klar: Nach Bring Your Own Device (BYOD) kommt Bring Your Own Privacy (BYOP).

Gewünscht und gefürchtet: Selbstkontrolle über die Daten

Die Ideen zur Datenhoheit der Nutzer sind nicht neu: Seit Jahren wird über sogenannte Life-Management-Plattformen gesprochen. Plattformen wie Meeco oder Only Once wollen es Nutzern ermöglichen, die eigenen Daten zentral vorzuhalten und die Datenweitergabe genau zu kontrollieren. Nur wer als vertrauenswürdig eingestuft wurde, erhält den Zugriff auf die Daten, die der jeweilige Nutzer gezielt freigibt.

Um das zu erreichen, müssen aber ausreichend viele Nutzer und natürlich Unternehmen teilnehmen, die Schnittstellen zu den Datenplattformen aufbauen. Eine Reihe interessanter Ansätze wurde jedoch in den vergangenen Monaten und Jahren eingestellt, da sie nicht die notwendige Verbreitung gefunden haben.

Der fehlende Erfolg bei Datenplattformen, die eine Selbstkontrolle über Daten ermöglichen wollen, hat zwei zentrale Ursachen: Zum einen wollen die Nutzer zwar eine Datenkontrolle über ihre Daten ausüben, aber dies muss einfach und übersichtlich sein. Fragt ein Online-Dienst eine Berechtigung an, muss der Nutzer sofort wissen, was dies für ihn bedeutet.

Die Freigabe der Daten muss sicher und gleichzeitig unkompliziert sein. Das zweite Problem für die Selbstkontrolle der Daten liegt in der mangelnden Aufklärung: Die Anbieter müssen verstehen, dass die Datenhoheit der Nutzer nicht das Ende personalisierter Online-Dienste bedeutet, im Gegenteil, letztlich bildet sie die rechtliche Grundlage.

Bring Your Own Privacy blockiert nicht das Geschäft

Umfragen zeigen immer wieder, dass Nutzer durchaus bereit sind, ihre Daten freizugeben. Allerdings möchten sie im Gegenzug etwas dafür bekommen und informiert werden, was mit den Daten geschieht. So sind zum Beispiel 35 Prozent der Autofahrer in Deutschland grundsätzlich bereit, Fahrzeugdaten an Dritte zu übermitteln, wie eine BITKOM-Umfrage ergab. Bei den 14- bis 29-Jährigen ist es mit 54 Prozent sogar die Mehrheit.

Voraussetzung ist allerdings, dass sie dafür einen Gegenwert erhalten, zum Beispiel Rabatte bei ihrer Kfz-Versicherung (25 Prozent) oder in Form nützlicher Informationen wie Routenvorschläge oder Stauinfos (21 Prozent). Auch Unternehmen können leichter als Kunden gewonnen werden, wenn sie keinen Kontrollverlust über ihre Daten befürchten müssen.

Bisher sehen 73 Prozent der befragten Unternehmen genau diesen Kontrollverlust als eine der Hauptgefahren für die deutsche Wirtschaft beim Cloud Computing, wie die NIFIS-Studie „IT-Sicherheit und Datenschutz 2015“ zeigt. Anbieter, die eine Selbstkontrolle über die Daten ermöglichen, stärken somit nicht nur das Vertrauen der Kunden, sondern auch ihren möglichen Geschäftserfolg.

Bring Your Own Privacy ist mehr als Self-Service für Nutzer

Unternehmen, die ihr Identity and Access Management auf die neuen Herausforderungen vorbereiten wollen, sollten deshalb nicht bei den klassischen Self-Service-Funktionen für die User stehen bleiben. Das Zurücksetzen vergessener Passwörter und das Beantragen von Berechtigungen durch den Nutzer sind hilfreich, um den Aufwand für den internen Support zu verringern, um die Kosten für den Help Desk zu senken.

Das Vertrauen der Nutzer und damit den zusätzlichen Schub für das Business jedoch bekommen Unternehmen erst, wenn Nutzer nicht nur Berechtigungen an Daten beantragen, sondern auch selbst freigeben können, wenn es um ihre eigenen Daten geht. Dies ist nicht nur eine klare Forderung des Datenschutzes, sondern muss funktionaler und strategischer Teil eines neuen IAM werden.

Die Selbstkontrolle wird greifbar

Damit Bring Your Own Privacy nicht zu Insellösungen führt, in denen der Nutzer seine individuellen Einstellungen zur Datenfreigabe mehrfach vornehmen und aktualisieren muss, ist natürlich ein Standard wichtig, der von IAM-Lösungen und Online-Plattformen unterstützt wird. Im Bereich von User-Managed Access ist hier vor allem UMA als Standard zu nennen.

Der UMA-Standard hat im Mai 2015 die Version 1.0 erreicht. Er kann bereits eine große Zahl von Unterstützern vorweisen und hat damit das Potenzial, die Idee von Bring Your Own Privacy technisch in der Breite umzusetzen. Während die technische Entwicklung in Richtung Selbstkontrolle fortschreitet, muss aber weitere Aufklärungsarbeitet geleistet werden.

Es genügt nicht, wenn Datenschutzbehörden und Nutzer die Selbstbestimmung bei der Datenfreigabe fordern, auch Online-Anbieter müssen den Mehrwert von Bring Your Own Privacy noch deutlicher erkennen. Viele der aktuellen Datenschutz-Probleme und Hindernisse für das Business könnten gelöst werden, wenn die Daten nach einer informierten Einwilligung genutzt würden. Bring Your Own Privacy ist ein lohnendes Ziel für alle Beteiligten und ein Ziel, das durchaus erreichbar ist.

* Oliver Schonschek, Dipl.-Phys., ist IT-Fachjournalist und IT-Analyst. Sein Fokus liegt auf Sicherheit und Datenschutz in IT-Bereichen wie Cloud Computing, Mobile Enterprise, Big Data und Social Enterprise.

(ID:43433479)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research