IBM arbeitet an XML-basiertem Datenschutz

Management

EPAL heißt ein von IBM entwickeltes XML-Derivat, das Datenschutz-Richtlinien dort implementieren soll, wo Daten gespeichert sind.

Der IT-Konzern IBM will ein neues und dringendes Problem der Unternehmen lösen: Die unternehmensübergreifend geltende Privacy Policy, die bislang üblich war, taugt nicht mehr für den Unternehmensalltag. Etwas Neues muss her. Firmen, die hier nicht auf dem laufenden bleiben, drohen immerhin Vertrauensverlust der Kunden und Image-Schädigung oder schlimmstenfalls ein Gerichtsverfahren wegen zu sorglosen Umgangs mit personenbezogenen Daten.
Hier soll nun EPAL abhelfen, die Enterprise Privacy Authorization Language. Das ist eine Definition von in XML geschriebenen Privacy-Regeln, die von IBM-Patenten abhängen soll und nun dem Standardisierungsgremium W3C vorgelegt worden ist. Das ‘World Wide Web Consortium’ soll in den nächsten Monaten über die Praxisreife der Regel-Sets entscheiden. Erst dann können Softwareentwickler damit die unternehmensinternen Privacy-Prozesse automatisieren, sie transparenter und sicherer machen.

Die bisher übliche internationale Privacy-Policy ‘P3P’ weist Lücken auf: Sie gilt nur für Webseiten und wird für den Anwender sichtbar, wenn er nach dem Non-Disclosure- Procedure oder anderen Einverständniserklärungen wie der Akzeptanz von Allgemeinen Geschäftsbedingungen gefragt wird. Sie bezieht sich vor allem auf E-Commerce über Plattformen wie Amazon und andere. Schwieriger wird es, wenn im B2B-Bereich und auch mit mehreren Geschäftspartnern private Personendaten wie Name, Adresse oder die Kontonummer für eine Transaktion ausgetauscht werden müssen.

Um den Unterschied zu bisheriger Privacy-Politik klar zu machen, unterscheiden die IBM-Leute folgendermaßen: P3P beinhalte nicht wie EPAL ein Autorisierungs-Schema mit Definitionen dafür, welche Aktionen erlaubt sind welche nicht. P3P, die im April 2002 vom W3C als Standard verabschiedete Spezifikation, beziehe sich auf kommerzielle Websites, sei von Web-Browsern erkennbar und enthalte einfache Alert-Funktionen, die den User auf bestimmte Anforderungen (“Lesen Sie die Allgemeinen Geschäftsbedingungen”) aufmerksam machen.

EPAL hingegen erfordere eine unternehmensinterne Management-Struktur für Privacy, sei weiter gefasst, flexibler, anpassbar und hierarchisch aufgebaut. Außerdem beinhalte es die Möglichkeit, automatisiert für die Durchsetzung der definierten Regeln zu sorgen, beispielsweise indem Zugangskontrollen bestimmte Daten nur einem bestimmten Personenkreis zugänglich machen. Allerdings wollen die IBM-Entwickler P3P nicht ganz madig machen: EPAL verstehe sich ausdrücklich als Ergänzung, nicht als Ersatz von P3P.

Denn nicht nur bei Online-Transaktionen, auch im Unternehmensalltag muss es, so die IBM-Forscher rund um Team-Sprecher Steven Adler, fest vereinbarte Regeln geben, die unternehmensintern gelten und auch eine Handhabe zur Durchsetzung, Kontrolle und Modifikation beinhalten. Schließlich sei die Reihe der Unternehmen inzwischen ziemlich lang, deren Kunden sie wegen nicht beachteter Privacy-Regeln vor Gericht zitieren.

Dazu gehört die Weitergabe von Daten an Dritte, aber auch die unternehmensinterne zweckfremde Verwendung, beispielsweise wenn Kundendaten von der Vertriebs- an die Marketing-Abteilung für Werbeaktionen weitergereicht werden. Solche Vorgänge sind ohne das ausdrückliche Einverständnis der Kunden, weitere Informationen zu erhalten, im Ernstfall sogar strafbar.

Doch es gibt weitere Gefahren. Selten werden personenbezogenen Informationen, die ein Unternehmen im Laufe der Zeit anhäuft, in Übereinstimmungen mit dem Gesetz gelagert. Auch ist den meisten Firmen nicht klar, dass sie auch für die Speicherung gewisse Regeln einhalten und die Einverständniserklärungen des Kunden mitspeichern und nachvollziehbar bereithalten müssen. Im Idealfall gebe ein Datensatz über einen Kunden schließlich nicht nur die ausschließlich für den Abrufenden autorisierte Information her, sondern auch die Einverständniserklärung. Viele Unternehmen verhalten sich demnach illegal, wenn es um Datenschutz geht.

Mit EPAL sollen nun die rechtlichen Bestimmungen nahtlos in IT-Sprache, beziehungsweise Code übertragen werden und automatisiert den Umgang mit personenbezogenen Daten regeln. EPAL sei mitnichten, so heißt es im Positionspapier der Forschungsgruppe, eine Applikation. Vielmehr gehe es darum, den besagten Umgang verbindlich zu standardisieren und diesen Standard industrieweit durchzusetzen. Schließlich gebe es, so die Forscher, bereits jetzt sichtbare Probleme, wenn Unternehmen mit Daten Dritter eine Transaktion abschließen und beide Unternehmen verschiedene Privacy-Ebenen verwenden.

EPAL sei aber kein Zaubermittel, sondern könne die unternehmensinterne Bestimmung durchsetzbar machen. B2B-Transaktionen würden hingegen nicht von EPAL berührt. Dieses Problem sei folgendermaßen zu lösen, schlagen die IBM-Leute vor: Wenn zwei Unternehmen mit widersprechenden Policy-Regeln ein Geschäft unter der Verwendung von Daten Dritter abwickeln, sollte zum Wohle des Kunden industrieweit verbindlich die Policy des sendenden Teils der Transaktion gelten.

Zum Beispiel: Wenn ein Kunde eine Kreditkarte bei einer Bank bestellt, diese Bank dann gesetzesgemäß Auskünfte über dessen Kreditfähigkeit bei den staatlichen Stellen einholt, gilt die Privacy Policy der Bank. Wobei Bank und Staat eventuell vorhandene sonstige Informationen über diesen Kunden nicht austauschen dürfen, sofern diese Informationen nicht notwendig für die Transaktion sind. Möglich wäre dies nur, wenn sie auch hierbei nach EPAL verfahren. Und ein weiterer Vorschlag: Auch die an der Transaktion teilnehmenden Parteien sollen untereinander nur nach EPAL Informationen austauschen dürfen, sofern ein Kunde EPAL einsetzt.

Seit September dieses Jahres gibt es schon erste Anwender. Für den Staat Ontario hat die zuständige Privacy-Beauftragte Ann Cavoukian zusammen mit dem IT-Konzern EPAL eingeführt. Im Rahmen eines Pilotprojektes soll hier die Tauglichkeit der Regeln für unternehmensinterne Abläufe ausprobiert werden. Cavoukian sieht den Vorteil vor allem darin, dass die Privacy-Regeln direkt in der Datenbank abgelegt sind.