Steffen Holly, Patrick Aichroth
Anonymisierung von Fahrzeugdaten, Datenaustausch mit entkoppelten Pseudonymen, Authentifizierung ohne Identifizierung
Datenaustausch ist die Basis für Mehrwerte und neue Geschäftsmodelle. Aber das Risiko, kritische Informationen preiszugeben – im schlimmsten Fälle an potenzielle Konkurrenten – oder gegen rechtliche Vorgaben zu verstoßen, verhindert in vielen Fällen einen solchen Austausch. Dahinter steht ein Dilemma zwischen dem Schutz von Datenquellen bzw. Datenschutz einerseits, und dem Bedarf nach einer differenzierten Datenanalyse andererseits: Der Einsatz von Pseudonymisierung erlaubt zwar eine differenzierte Datenanalyse, birgt aber erhebliche Risiken, dass reale Identitäten und Datenquellen im Ernstfall wieder aufgelöst werden können – besonders dann, wenn über eine Authentifizierung gewährleistet sein soll, dass hinter den entsprechenden Pseudonymen reale Nutzer oder andere reale Entitäten stehen. Anonymisierung wiederum kann dieses Problem zwar vermeiden, erlaubt aber keine differenzierten Analysen mehr, und ist daher für solche Anwendungsfälle ungeeignet.
Eine Möglichkeit zur Lösung dieses Dilemmas ist in ↗Kapitel 2.3 mit der Entkopplung von Pseudo-nymen beschrieben. Das Protokoll17 liefert eindeutige IDs bzw. Pseudonyme für die Datenanalyse, eine etwaige Rückführung der IDs auf reale Identitäten durch Dritte wird aber im Gegensatz zu herkömmlichen Pseudonymisierungsverfahren verhindert – das gilt auch dann, wenn sich Dritte absprechen oder Daten unabsichtlich bzw. vorsätzlich abhandenkommen. Auf diese Weise wer-den schwierige Datenschutz- und Sicherheitsprobleme bereits im Ansatz vermiewer-den, die reale Identität des Datenbereitsteller bleibt geschützt.
So können Anwendungsfälle realisiert werden, bei denen reale Nutzer, Geräte, Dinge oder Organi-sationen einen vorab definierten Authentifizierungsprozess durchlaufen und anschließend diffe-renzierte Datenanalysen nach IDs möglich sein sollen, gleichzeitig aber die Datenherkunft und damit verbundene sensible Informationen außen vor bleiben sollen. Damit lassen sich Privatsphä-re und Datenschutz bei der Speicherung und Verarbeitung von personenbezogenen Daten (in Apps, Anwendungen), datenschutzfreundliche Personalisierungs- und Empfehlungssysteme, Datenaustausch zwischen Partnern und Konkurrenten in Wertschöpfungsketten, kollaborative verkettete Routenplanung, B2B Benchmarking, datenschutzfreundliche Umfragen und andere Fälle realisieren, die normalerweise an dem beschriebenen Widerspruch zwischen funktionalen Anforderungen bzgl. Datenanalyse und Authentifizierung von Akteuren oder Objekten einerseits und den Sicherheits- und Datenschutzanforderungen andererseits scheitern würden.
17 White Paper Pseudonyme Authentifizierung ↗www.psoido.com
5.1 Privatsphäre und differenzierte Datenanalysen für Fahrzeugdaten
Um vernetzte Services mit Fahrzeugen zu nutzen, muss der Besitzer des Fahrzeuges sein Einver-ständnis gegenüber dem Automobilhersteller geben, wobei i.d.R. auch die Nutzung der sonstigen Fahrzeugdaten und Sensoren für die Analyse beim Hersteller erlaubt wird. Verarbeitung und Speicherung dieser Daten erfolgt dann beim Hersteller oder in dessen Auftrag entsprechend der DSGVO. Das gilt auch bei der Verwendung von Pseudonymen für differenzierte Datenanalysen, und bei jeder neuen Verwendungsform ist ein explizites Einverständnis des Nutzers erforderlich.
Parallel dazu werden Daten z. B. von Navigationssystemen aggregiert und anonymisiert, um sie für die Verbesserung von Karten und Diensten zu nutzen. Aufgrund der Anonymisierung ist ein Einverständnis des Nutzers hierfür nicht erforderlich, die Daten sind allerdings auch nicht mehr differenzierbar und auch nicht für Personalisierungen verwendbar.
Die Verwendung von »entkoppelten Identitäten« kann in diesem Zusammenhang erhebliche Vorteile mit sich bringen: Nach der Authentifizierung von Nutzern könnte automatisch und quasi im Hintergrund eine neue, nicht mehr auf die reale Identität rückführbare ID ausgegeben werden (vgl. ↗Kapitel 2.3). Diese könnte dann zur Speicherung von Nutzerdaten wie z. B. Beschleunigung, Geschwindigkeit im Verhältnis zur erlaubten Geschwindigkeit (ohne GPS-Koordinaten), Benzin-verbrauch, Drehzahlen, Gewicht der Zuladung u.ä. verwendet werden. Dabei muss allerdings darauf geachtet werden, dass diese Daten nicht per se zu einer Re-Identifizierung der betreffen-den Fahrer führen können. Dazu können verschiebetreffen-dene Standardverfahren der Anonymisierung (vgl. ↗Kapitel 2) eingesetzt werden, um das Verfahren zur Erzeugung »entkoppelter Identitäten«) zu flankieren.
Der so entstehende Datenpool bestehend aus IDs und zugehörigen Daten enthält dann differen-zierbare Profile, die durch niemanden als den Nutzer selbst auf dessen reale Identität zurückge-führt werden können. Im Ergebnis liefert dieser Ansatz eine Lösung, die eine Stärkung des Daten-schutzes erstmalig mit den Möglichkeiten differenzierter Analyse bis hin zu personalisierten Diensten verbindet.
5.2 Datenaustausch ohne preisgabe kritischer Informationen
Geradezu prädestiniert ist das Protokoll der pseudonymen Authentifizierung für Bereiche, bei denen der Austausch von Daten zwischen Partnern oder Wettbewerbern nötig ist, um die Effizienz im System zu erhöhen oder um neue Mehrwerte zu erschließen. Denn hier besteht oft die Herausforderung, dass die Teilnehmer nicht zur Bereitstellung der Daten bereit sind, weil sie Sorge haben, auf diese Weise Daten preiszugeben, die Rückschlüsse auf geschäftskritische Abläufe geben könnten. Auf der anderen Seite ist ein Austausch aber oft unbedingte Vorausset-zung zur Erschließung von Effizienzpotenzialen – ein Dilemma.
Hierzu ein Beispiel: Ein Maschinenhersteller verkauft seine vernetzten Maschinen an Kunden weltweit und möchte gerne die bei den Kunden erzeugten Maschinendaten analysieren, um Schwierigkeiten und Verbesserungspotenziale zu identifizieren und die Produkte zu verbessern.
Obwohl diese Produktverbesserungen auch den Kunden und Nutzern der Maschinen zugute kommen, möchten diese die Maschinendaten aber nicht teilen, weil sie damit Daten über deren Nutzung und z. B. Produktionsauslastung des Unternehmens preisgeben würden (die im schlimmsten Fall sogar in den Händen von Konkurrenten landen könnten).
Durch den Einsatz des beschriebenen Verfahrens zur Entkopplung von Identitäten kann dieses Dilemma aufgelöst werden: Durch die Erzeugung von nicht rückführbaren, aber dennoch ein-deutigen (und authentifizierten) Maschinen-IDs können Maschinendaten übertragen werden, ohne dass Rückschlüsse auf deren Herkunft möglich wären. Kritische Daten verbleiben beim Kunden, der Hersteller kann aber dennoch differenzierte Analysen auf Basis eindeutiger Profile durchführen und individuelle Empfehlungen zu Wartung anonym übertragen.
5.3 Mehrwerte von entkoppelten Identitäten durch pseudo-nyme Authentifizierung
Durch die Entkopplung von Identitäten werden Anbieter in die Lage versetzt, zwei oft wider-sprüchliche Anforderungen miteinander zu vereinbaren: Die Anforderung nach einem starken Datenschutz, und die Möglichkeit zu einer differenzierten Analyse und möglichst flexiblen Nutzung der Daten, bis hin zu personalisierten Diensten.
Mit potenziell nicht mehr zustimmungspflichtigen Daten haben z. B. Automobilhersteller die Möglichkeit, Daten mit Dritten zu teilen oder Versicherungen zur Verfügung zu stellen. Durch die erhaltene Differenzierung von Identitäten sind bessere Analysen möglich, und dennoch bleiben die Datenschutzanforderungen gewahrt. Der Nutzer kann von maßgeschneiderten Angeboten des Autoherstellers oder dessen Partnern profitieren, und bleibt trotzdem für Partner und Hersteller anonym.
Maschinenhersteller wiederum können über die so erhobenen Daten eine stärkere Kundenbin-dung durch Produktupdates und verbesserte Angebote, aber auch pay-per-use Geschäftsmodel-le auf Basis der anonymen DatenprofiGeschäftsmodel-le realisieren, ohne dadurch die Geschäftsmodel-legitimen Vertraulichkeits-bedürfnisse ihrer Kunden einzuschränken. Die Kunden wiederum profitieren von individuellen, auf tatsächlichen Nutzung basierenden Updates und Produktverbesserungen, und damit von einer zuverlässigen Produktion, geringeren Standzeiten und mehr Effizienz.