Identität und ihre Identifikatoren

Fachbeitrag

Identität und ihre Identifikatoren

Muss jede Identität einen eindeutigen Identifikator besitzen und wie weit kann diesem vertraut werden?

In der physischen Welt ist unsere Identität durch Abgleich innerer und äusserer Wahrnehmungen geformt. Der amtliche Name spielt nur in rechtsverbindlichen Interaktionen eine Rolle und dient als verbindlicher Identifikator. Der Mensch bleibt aber der «Anker»; von ihm werden die Attribute erfasst und an ihm können sie überprüft werden. Bei der digitalen Identität ist die physische Person durch einen meist eindeutigen Bezeichner – den Identifikator – ersetzt. Die der Person zugeordneten Merkmale werden von dem «Besitzer» des Identifikators kontrolliert. Dieser bestimmt, unter welchen Umständen Daten in die Sammlung aufgenommen respektive angepasst werden. Auch wenn die Person nicht bekannt ist, kann doch mit den gesammelten Merkmalen ein Personenprofil aufgebaut und schlussendlich die Person (wieder)erkannt werden. Dabei ist eine gewisse Ungenauigkeit tolerierbar, wie zum Beispiel beim Browser-Fingerprint – einem Identifikator, der für Marketingzwecke eine ausreichende Identifikation erlaubt.

Identifizierung in der virtuellen Welt

Fachbeitrag

Identifizierung in der virtuellen Welt

Was heisst Identifizierung eigentlich und wo braucht man welche Art von Identifizierung?

In der virtuellen Welt geschieht die Identifizierung in der Regel anhand weniger, meist selbst deklarierter Attribute. In der realen Welt und im E-Government hingegen ist die staatliche (zivile) Identität gefordert. Während Letztere in der realen Welt durch den Staat sichergestellt ist, sollen dies nun in der virtuellen Welt private Identifizierungsdienstanbieter (IdP) im Auftrag des Staats übernehmen. Diesen IdP muss absolut vertraut werden können, da IdP nicht nur von Kunden angewählte Stellen im Internet sehen können, sondern theoretisch auch Identitätsdiebstahl begehen könnten. Die Überprüfung der Sicherheit von IdP umfasst alle Elemente und Verfahren von der Registrierung über die Authentisierung bis hin zu organisatorischen und rechtlichen Fragen wie Verfügbarkeit, Aufsicht, Haftung und Maturität.

Personendaten ohne Identifizierbarkeit?

Fachbeitrag

Personendaten ohne Identifizierbarkeit?

Das Zauberwort «Singularisierung» ist seit der DSGVO in aller Munde. Ändert sich nun der Begriff des Personendatums?

Am Begriff des Personendatums hat sich auch mit der DSGVO nichts geändert. Es gilt nach wie vor der «relative» Ansatz, der darauf abstellt, ob derjenige, der Zugang zu bestimmten Daten hat, die davon betroffenen Personen identifizieren kann oder nicht. Das gilt auch in der EU, wo dies der EuGH mit seinem Entscheid betreffend IP-Adressen jüngst bestätigt hat. Daran ändert auch der Begriff der «Singularisierung» nichts. Ein Datensatz singularisiert eine Person, wenn er wie ein Fingerabdruck so speziell ist, dass er sich nur auf sie beziehen kann, auch wenn nicht bekannt ist, um wen es geht. Wie etwa bei genetischen Daten. Die DSGVO erwähnt die Singularisierung zwar als Indiz für eine Identifizierbarkeit, aber sie alleine genügt eben nicht. Hierzu stellt der Beitrag den «Referenzdaten-Test» vor: Demnach liegen Personendaten vor, wenn zwischen den fraglichen Daten und dem Bearbeiter bereits vorliegenden oder zugänglichen Datensätzen einer einzelnen, realen Person eine Übereinstimmung hergestellt werden kann. Genetische Daten und IP-Adressen sind daher nie per se Personendaten.

Identifizierbarkeit von Personen