Technologieunabhängige Datensouveränität mit ODRL-Profilen
Heutzutage ist die Gewährleistung der Datensouveränität von entscheidender Bedeutung. Wir freuen uns, Ihnen die neuesten Entwicklungen im Bereich der Datennutzungskontrolle, insbesondere im Bereich der Richtliniensetzung, vorzustellen: ODRL-Profil zur technologieunabhängigen Spezifikation von Datensouveränitätsanforderungen. Damit auch Anforderungen an die Datensouveränität sicher definiert werden können, haben wir die Sprache der standardisierten ORDL-Richtlinie erweitert. Auch unsere MYDATA-Steuerungstechnologien sind auf die Anforderungen an Datensicherheit und -kontrolle zugeschnitten. Erfahren Sie in diesem Blog mehr über Entwicklungen im Bereich Datensouveränität und wie unsere Innovationen die Art und Weise verbessern, wie wir Daten verwalten.
Einführung und Hintergrund zur Datensouveränität im internationalen Datenraum
Was ist Datensouveränität?
In einer zunehmend vernetzten Welt wird der Datenaustausch zu einem zentralen Bestandteil vieler Geschäftsprozesse und technologischer Innovationen. Dabei kommt der Gewährleistung des Datenschutzes eine zentrale Rolle zu. Das Ziel der Datensouveränität besteht darin, dass Dateneigentümer die volle Kontrolle über ihre Daten haben, unabhängig davon, wo und wer sie nutzt. Um diese Kontrolle sicherzustellen, bedarf es klarer Richtlinien und technischer Standards.
Der International Data Space (IDS) ist eine Initiative, die darauf abzielt, einen sicheren Datenraum zu schaffen, der es Unternehmen aller Branchen und Größen ermöglicht, ihre Daten vertrauensvoll zu verwalten. Grundlage hierfür ist ein Referenzarchitekturmodell, das von zwölf Instituten des Fraunhofer-Verbunds im Rahmen eines vom Bundesministerium für Bildung und Forschung geförderten Forschungsprojekts entwickelt wurde. Die Initiative ist europäisch und international ausgerichtet und wurde später in Form der eingetragenen International Data Spaces Association institutionalisiert.
Eines der Ziele des International Data Space (IDS) ist unter anderem, die digitale Souveränität der Dateneigentümer zu wahren und so die Grundlage für intelligente Dienste und innovative Geschäftsprozesse zu bilden. Die Initiative wurde Ende 2014 ins Leben gerufen und zielt darauf ab, ihre Entwicklung und Nutzung auf europäischer und internationaler Ebene zu etablieren.
Unsere Arbeit zum Thema Datensouveränität
Die Datennutzungskontrolle ist eine Möglichkeit, die Datensouveränität sicherzustellen und umzusetzen. Vor mehr als zehn Jahren begann am Fraunhofer IESE die Forschung zur Kontrolle der Datennutzung, die ein wichtiger Bestandteil der informationellen Selbstbestimmung ist. Basierend auf dieser Expertise haben wir auch das Thema Datensouveränität im Rahmen des IDS-Projekts (Kontrolle der Datennutzung im Internationalen Datenraum) vertreten und gemanagt.
Im Rahmen des IDS-Projekts befassten wir uns mit der Definition von Richtlinien, der Verwaltung von Richtlinien, der Vertragsverhandlung und der Durchsetzung von Richtlinien. Dieser Artikel befasst sich speziell mit der Frage der Richtlinienspezifikation.
Bei der Richtlinienspezifikation handelt es sich um die Extraktion und Spezifikation von Nutzungskontrollrichtlinien mithilfe von Richtliniensprachen. Eine Richtliniensprache kann technologieunabhängig oder technologieabhängig sein. Eine Richtliniensprache außerhalb der Technologie ist häufig maschinenlesbar und kann als gemeinsame Sprache verwendet werden, die von allen Partnern, Datenanbietern und Datennutzern verstanden wird. Es ist also eine gute Verhandlungsbasis. Eine technologieabhängige Politiksprache hingegen basiert auf der zugrunde liegenden Technologie. Im Gegensatz zu technologieabhängigen Richtlinien können technologieabhängige Richtlinien als auf den jeweiligen Systemen durchsetzbar interpretiert werden. Ein Beispiel für eine solche technologieabhängige Sprache ist die MYDATA Policy-Sprache von MYDATA Control Technologies. MYDATA Control Technologies ist ein vom Fraunhofer IESE implementiertes Framework zur Datennutzungskontrolle. Diese technische Lösung kann diese technologieabhängigen Richtlinien interpretieren und sie technisch in ihren jeweiligen Systemen anwenden.
ODRL als Richtliniensprache für den Austausch von Datensouveränitätsanforderungen
Was ist ODRL?
ODRL (Open Digital Rights Language) ist eine standardisierte Richtliniensprache zur Definition von Rechten, Pflichten und Einschränkungen für digitale Inhalte. Damit können Unternehmen und Organisationen genau festlegen, wie ihre Daten genutzt, geteilt und geschützt werden sollen. ODRL ist technologieunabhängig und eignet sich gut zum Erstellen spezifischer Regeln, die sicherstellen, dass Daten nur unter bestimmten Bedingungen verwendet werden.
Aufgrund seiner Technologieunabhängigkeit wurde ODRL als Richtliniensprache für Datensouveränitätsanforderungen im IDS-Projekt ausgewählt. Eine Stärke von ODRL ist die spezifische Anpassung der Verwendung von ODRL-Profilen. Ein ODRL-Profil ist im Wesentlichen eine spezifische Konfiguration der ODRL-Sprache, die es Ihnen ermöglicht, die individuellen Anforderungen eines Unternehmens oder einer Organisation zu berücksichtigen. Diese Profile sind flexibel und können an verschiedene Szenarien angepasst werden. Um die Anforderungen an die Datensouveränität perfekt abzubilden, haben wir im Rahmen des IDS-Projekts ein eigenes ODRL-Profil entwickelt. Mit diesem Profil haben wir eine Möglichkeit geschaffen, Anforderungen an die Datensouveränität technologieunabhängig mit ODRL abzubilden. Unser Richtlinieneditor hilft bei der Spezifikation, Übersetzung, Interpretation und Übertragung zwischen den beiden Sprachen.
Eigenes ODRL-Profil zur Ermittlung der Anforderungen an die Datensouveränität
Unser als W3C-Standard veröffentlichtes ODRL Data Sovereignty Profile (ODS) erweitert das Kerninformationsmodell von ODRL durch die Definition von Begriffen, die Nutzungsbeschränkungen, Verpflichtungen und Änderungen darstellen. Dieses Profil ist besonders kompatibel mit der XACML-basierten Architektur von MYDATA Control Technologies, die Nutzungskontrollkomponenten wie Policy Enforcement Point (PEP) und Policy Execution Point (PXP) umfasst. Datenanbieter können die Schnittstellenbeschreibung und den Endpunkt-URI ihrer Nutzungskontrollkomponenten in Richtlinien angeben. Das bedeutet, dass Technologien, die diese Richtlinien einhalten, wissen, wo sie Informationen erhalten und Maßnahmen ergreifen können.
Nachfolgend finden Sie ein Beispiel für eine ORDL-Richtlinie, die unser hier dargestelltes Profil verwendet. Diese Pflichtenrichtlinie (in der DSGVO als „Pflicht“ bezeichnet) legt fest, dass eine Partei benachrichtigt werden muss, wenn die Datennutzung genehmigt wird. Ein Datennutzungskontroll-Framework wie MYDATA Control Technologies implementiert ein Benachrichtigungssystem und verpackt es in eine PXP-Komponente. Wenn die Richtlinie den Endpunkt-URI für dieses PXP angibt, weiß das Framework explizit, welches Benachrichtigungssystem aufgerufen werden muss. Dies stellt die erfolgreiche Erfüllung der Pflicht sicher.
der Abschluss
Forschung im Bereich der Datennutzungskontrolle ist ein wesentlicher Bestandteil zur Sicherung der Datensouveränität und der informationellen Selbstbestimmung. Durch die Entwicklung und Anwendung technologieunabhängiger und technologieabhängiger Richtliniensprachen, wie z. B. der Richtliniensprachen ODRL und MYDATA, können klare und prägnante Richtlinien erstellt und durchgesetzt werden. Insbesondere das im IDS-Projekt entwickelte ODRL-Profil für Datensouveränität zeigt eindrucksvoll, wie flexibel und anpassungsfähig solche Lösungen sein können. Die Integration einer technologieunabhängigen standardisierten Richtliniensprache in unsere MYDATA-Kontrolltechnologien ermöglicht eine zuverlässige, effiziente und sichere Verwaltung von Datennutzungsrichtlinien auf mehreren Ebenen, was für Unternehmen und Organisationen von entscheidender Bedeutung ist.
