Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Im Mittelpunkt der Arbeit von PrimeLife steht die Entwicklung von Softwarekomponenten für datenschutzförderndes Identitätsmanagement, die unmittelbar zum Einsatz kommen können. Diese Lösungen sollen zum Teil zur kostenfreien Benutzung unter freien und/oder Open-Source-Lizenzen zur Verfügung gestellt werden.

Zusätzlich widmet sich PrimeLife neuen Herausforderungen, wie sie beispielsweise durch soziale Netzwerke entstehen. Die datenschutzrechtliche Einordnung der Datenverarbeitung in solchen Netzwerken wirft ebenso neue Fragen auf wie die Anforderungen an technisch-organisatorische Schutzmaßnahmen.
Für Nutzer von sozialen Netzwerken gilt aus Datenschutzsicht die Empfehlung, möglichst wenige personenbezogene Daten über sich preiszugeben oder lediglich unter Pseudonym aufzutreten. Dieser Rat ist aber in der Praxis of schwer umsetzbar, weil ein Großteil der Funktionalität in den sozialen Netzwerken auf der Mitteilung von Daten über sich beruht. PrimeLife arbeitet an Konzepten, bei denen die Daten verschlüsselt vorliegen und die Betroffenen definieren können, für welche ihrer Freunde welche Daten im Klartext sichtbar sind. Diese Methode verringert die Missbrauchsmöglichkeiten deutlich. Anhand eines Prototyps wird erprobt, wie gut sich die Datenschutzkonzepte in der Praxis behaupten.

Ein weiterer Fokus der Arbeit liegt auf der Entwicklung von Konzepten für Delegation bei der Wahrnehmung der eigenen Datenschutzrechte. Wenn in Systemen zum „nutzergesteuerten Identitätsmanagement“ die Nutzer stärker einbezogen werden, ist es nötig, ihnen Hilfe zu bieten, wenn sie für eine kurze oder längere zeitliche Periode ihre Rechte nicht selbst wahrnehmen können. Sie sollen Personen ihres Vertrauens benennen können, die in ihrem Auftrag handeln und sie insbesondere in Datenschutzfragen nach außen vertreten. Heutzutage nicht selten praktizierte Lösungen, einfach seinen Log-in-Namen und das Passwort oder eine Chipkarte und die dazugehörige PIN an eine andere Person zu geben, die online so dem Diensteanbieter gegenüber auftritt, sind unbefriedigend und sogar riskant für die Beteiligten – es ist nämlich für den Diensteanbieter nicht unterscheidbar, ob ein Identitätsdiebstahl oder ein autorisiertes Delegationsverhältnis vorliegt. Auch ist es für den Betroffenen schwierig nachzuprüfen, was in seinem Namen getan wurde, und effektiv einzugreifen, wenn er damit nicht einverstanden ist. Diese Probleme lassen sich lösen, indem der Betroffene für seine Vertreter eigene Zugriffsdaten besorgt und die Regeln, nach denen die Vertreter für ihn agieren sollen, im Vorfeld festlegt. Im PrimeLife-Projekt untersuchen wir, wie eine solche Delegation in Identitätsmanagementsystemen praktisch umsetzbar ist.