In der heutigen Zeit ist die Sicherstellung der Datensouveränität von entscheidender Bedeutung. Wir freuen uns, die jüngsten Fortschritte im Bereich der Datennutzungskontrolle, speziell im Bereich der Richtlinienspezifikation vorzustellen: Das ODRL-Profil zur technologieunabhängigen Spezifikation der Anforderungen an die Datensouveränität. Wir haben die standardisierte Policy-Sprache ORDL erweitert, sodass nun auch Datensouveränitätsanforderungen sicher spezifiziert werden können. Unsere MYDATA Control Technologies wurden zusätzlich angepasst, um den Anforderungen an Datensicherheit und -kontrolle gerecht zu werden. Erfahren Sie in diesem Blog mehr über die Entwicklungen im Bereich der Datensouveränität und wie unsere Innovationen den Umgang mit Daten verbessern.
Einführung und Hintergründe zu Datensouveränität im International Data Space
Was ist Datensouveränität?
In einer zunehmend vernetzten Welt wird der Austausch von Daten zu einem zentralen Bestandteil vieler Geschäftsprozesse und technologischer Innovationen. Dabei spielt die Sicherstellung der Datensouveränität eine entscheidende Rolle. Das Ziel der Datensouveränität besteht darin, dass Datenbesitzer die volle Kontrolle über ihre Daten behalten, unabhängig davon, wo und durch wen diese genutzt werden. Um diese Kontrolle zu gewährleisten, bedarf es klarer Richtlinien und technischer Standards.
Der International Data Space (IDS) ist eine Initiative, die darauf abzielt, einen sicheren, domänenübergreifenden Datenraum zu schaffen, der Unternehmen verschiedener Branchen und Größen die souveräne Bewirtschaftung ihrer Daten ermöglicht. Die Grundlage dafür bildet ein Referenzarchitekturmodell, das im Rahmen eines vom Bundesministerium für Bildung und Forschung geförderten Forschungsprojekts durch zwölf Institute der Fraunhofer-Gesellschaft entwickelt wurde. Die Initiative hat eine europäische und internationale Ausrichtung und wurde später in Form des eingetragenen Vereins International Data Spaces Association institutionalisiert.
Ein Ziel des International Data Space (IDS) ist unter anderem die Wahrung der digitalen Souveränität der Eigentümer der Daten und bildet damit zugleich die Basis für smarte Services und innovative Geschäftsprozesse. Die Initiative wurde Ende 2014 ins Leben gerufen und verfolgt das Ziel, sowohl Entwicklung als auch Nutzung auf europäischer und internationaler Ebene zu etablieren.
Unsere Arbeiten zu Datensouveränität
Datennutzungskontrolle ist eine Möglichkeit, Datensouveränität zu gewährleisten und praktisch umzusetzen. Vor über zehn Jahren begann am Fraunhofer IESE die Forschung im Bereich Datennutzungskontrolle (Data Usage Control), die ein wichtiger Bestandteil für die informationelle Selbstbestimmung ist. Aufgrund dieser Expertise vertraten und steuerten wir das Thema Datensouveränität auch im Rahmen des IDS-Projekts (Datennutzungskontrolle im International Data Space).
Im Rahmen des IDS-Projekts haben wir uns mit den Themen Richtlinienspezifikation, Richtlinienverwaltung, Vertragsverhandlung und Durchsetzung von Richtlinien beschäftigt. Dieser Artikel geht speziell auf das Thema Richtlinienspezifikation ein.
Bei der Richtlinienspezifikation geht es um die Extraktion von Nutzungskontrollrichtlinien und deren Spezifikation mithilfe von Policy-Sprachen. Eine Policy-Sprache kann technologieunabhängig oder technologieabhängig sein. Eine technologieunabhängige Policy-Sprache ist oft maschinenlesbar und kann als gemeinsame Sprache verwendet werden, die von allen Partnern, Datenanbietern und Datennutzern verstanden wird. Sie eignet sich daher gut als Grundlage für Verhandlungen. Eine technologieabhängige Policy-Sprache basiert hingegen auf der ihr zugrunde liegenden Technologie. Technologieabhängige Richtlinien können im Gegensatz zu technologieunabhängigen Richtlinien so interpretiert werden, dass eine technische Durchsetzung in den jeweiligen Systemen möglich ist. Ein Beispiel für eine solche technologieabhängige Sprache ist die MYDATA Policy Sprache der MYDATA Control Technologies. Die MYDATA Control Technologies sind ein Framework für Datennutzungskontrolle, das vom Fraunhofer IESE implementiert wurde. Diese technische Lösung kann diese technologieabhängigen Richtlinien interpretieren und sie technisch innerhalb des jeweiligen Systems durchsetzen.
ODRL als Policy-Sprache zum Austausch von Datensouveränitätsanforderungen
Was ist ODRL?
ODRL (Open Digital Rights Language) ist eine standardisierte Policy-Sprache, die entwickelt wurde, um Rechte, Pflichten und Einschränkungen in Bezug auf digitale Inhalte zu definieren. Sie ermöglicht es Unternehmen und Organisationen, präzise festzulegen, wie ihre Daten genutzt, geteilt und geschützt werden sollen. ODRL ist technologieunabhängig und eignet sich gut für die Erstellung detaillierter Regeln, die sicherstellen, dass Daten nur gemäß den festgelegten Bedingungen verwendet werden.
Aufgrund seiner Technologieunabhängigkeit wurde ODRL als Policy-Sprache für die Datensouveränitätsanforderungen im Laufe des IDS-Projekts ausgewählt. Eine Stärke von ODRL ist die spezifische Anpassbarkeit durch die Nutzung von ODRL-Profilen. Ein ODRL-Profil ist im Wesentlichen eine spezifische Konfiguration der ODRL-Sprache, die es ermöglicht, die einzigartigen Anforderungen eines Unternehmens oder einer Organisation zu berücksichtigen. Diese Profile sind flexibel und können an verschiedene Szenarien angepasst werden. Um Anforderungen aus dem Bereich der Datensouveränität ideal abzubilden, haben wir deshalb ein eigenes ODRL-Profil im Rahmen des IDS-Projekts entwickelt. Durch dieses Profil haben wir die Möglichkeit geschaffen, Datensouveränitätsanforderungen auch technologieunabhängig mit ODRL abzubilden. Unser Policy-Editor hilft bei der Spezifikation, Übersetzung, Interpretation und dem Transfer zwischen beiden Policy-Sprachen.
Eigenes ODRL-Profil zur Spezifikation von Datensouveränitätsanforderungen
Unser als W3C-Standard veröffentlichtes ODRL-Profil für Datensouveränität (ODS) erweitert das Kerninformationsmodell von ODRL durch die Definition von Begriffen, die Nutzungsbeschränkungen, Verpflichtungen und Änderungen ausdrücken. Dieses Profil ist besonders kompatibel mit der XACML-basierten Architektur von MYDATA Control Technologies, da es Nutzungskontrollkomponenten wie den Policy Enforcement Point (PEP) und den Policy Execution Point (PXP) einführt. Datenanbieter können die Schnittstellenbeschreibung und den Endpunkt-URI ihrer Nutzungskontrollkomponenten in den Richtlinien angeben. So wissen die Technologien, die diese Richtlinien durchsetzen, wo sie Informationen abrufen und wo sie eine Aktion ausführen können.
Im Folgenden finden Sie ein Beispiel für eine Richtlinie in ORDL, die unser hier vorgestelltes Profil verwendet. Diese Pflicht-Richtlinie („duty“ in ORDL genannt) legt fest, dass eine Partei benachrichtigt werden muss, wenn eine Datennutzung genehmigt wurde. Ein Framework zur Datennutzungskontrolle wie die MYDATA Control Technologies implementiert ein Benachrichtigungssystem und verpackt es in eine PXP-Komponente. Wenn die Richtlinie den Endpunkt-URI dieses PXP angibt, weiß das Framework explizit, welches Benachrichtigungssystem es aufrufen muss. Dadurch wird sichergestellt, dass die Pflicht erfolgreich ausgeübt wird.
Fazit
Die Forschung im Bereich Datennutzungskontrolle ist ein wesentlicher Baustein zur Sicherung der Datensouveränität und informationellen Selbstbestimmung. Durch die Entwicklung und Anwendung technologieunabhängiger sowie technologieabhängiger Policy-Sprachen, wie der ODRL- und MYDATA Policy-Sprache, können klare und präzise Richtlinien erstellt und durchgesetzt werden. Insbesondere das im IDS-Projekt entwickelte ODRL-Profil für Datensouveränität zeigt eindrucksvoll, wie flexibel und anpassbar solche Lösungen sein können. Die Integration einer standardisieren technologieunabhängigen Policy-Sprache in unsere MYDATA Control Technologies ermöglicht eine verlässliche, effektive und sichere Verwaltung von Datennutzungsrichtlinien auf verschiedenen Ebenen, was für Unternehmen und Organisationen von enormer Bedeutung ist.
Schreiben Sie uns, wenn Sie Herausforderungen im Bereich Datensouveränität haben, und wir arbeiten gemeinsam an maßgeschneiderten Lösungen. Weitere Informationen finden Sie unter MYDATA Control Technologies.