Einwilligungsarchitektur

Einwilligung ist kein Kontrollkästchen.

Die DSGVO verlangt dies seit 2018; EHDS Article 71 hat es im vergangenen Jahr durchsetzbar gemacht. Decentralized Key Management ist die einzige Architektur, die einen Widerruf über institutionelle Grenzen hinweg einlösen kann.

Architekturüberprüfung für Einwilligung buchen — 30 Minuten

Fünf Regelungsregime konvergieren in einem 24-Monats-Fenster

Einwilligung ist keine organisatorische Kür mehr. In Europa und der Schweiz haben fünf separate Regulierungsregime das Opt-out zu einer verbindlichen gesetzlichen Pflicht gemacht — und jedes wurde unabhängig vom anderen formuliert. Sie teilen eine gemeinsame Anforderung: Der Verantwortliche muss in der Lage sein, die Verarbeitung identifizierbarer Daten auf Abruf einzustellen, diesen Stopp an jede nachgelagerte Stelle zu propagieren und dies später nachzuweisen. Zentralisierte Identitätsinfrastruktur war für keine dieser Garantien ausgelegt.

  • EHDS Article 71

    In Kraft seit 26. März 2025

    Opt-out als Rechtsanspruch; Article 71(8) schließt Re-Identifikationsregister aus; Recital 54 schreibt Reversibilität vor.

  • GDPR Art 7(3) + Art 17(2)

    In Kraft seit 25. Mai 2018

    Der Widerruf muss so einfach sein wie die Einwilligung selbst; Verantwortliche müssen die Löschung an jeden nachgelagerten Empfänger weiterleiten.

  • eIDAS 2.0 Article 5a

    In Kraft seit 20. Mai 2024; Wallets bis Q4 2026

    Bürgergesteuerte Identitätswallets mit selektiver Offenlegung und Nichtverknüpfbarkeitspflichten für vertrauende Parteien.

  • Schweizer FADP / HFG-Revision

    FADP in Kraft seit 1. September 2023; HFG-Revision in Konsultation

    Pflicht zum Widerruf der Einwilligung für sekundäre Forschungsnutzung; ausdrückliches Verbot der Re-Identifikation pseudonymisierter Daten.

  • Deutsches PDSG

    In Kraft seit 20. Oktober 2020

    Patientengesteuerter Zugang zu ePA-Akten; granulares Opt-out je Datenkategorie, durchsetzbar über alle Leistungserbringer.

Jedes einzelne davon ist bewältigbar. Zusammen machen sie zentralisierte CA-Architektur unzureichend.

Die fünf technischen Invarianten

Betrachten Sie die fünf Regime aus der Perspektive eines Ingenieurs. Lässt man die Rechtssprache weg, bleibt eine Liste von fünf technischen Invarianten übrig, die die umsetzende Infrastruktur erfüllen muss. Keine davon ist optional. Keine davon kann durch vernünftige Vertragssprache wegverhandelt werden. Jede ist namentlich in primärem Recht verankert.

Five engineering invariants: X.509 PKI vs Federated IAM vs DKMS Vergleich: Welche Architektur welche technische Invariante erfüllt. X.509 erfüllt keine einzige. Föderierung erfüllt keine einzige (Propagierung nur durch Verletzung der Nichtverknüpfbarkeit). DKMS erfüllt alle fünf. Technische Invariante X.509 PKI Federated IAM DKMS Personenbezogene Identifikatoren i Verifizierbares, zeitgestempeltes Opt-out Reversibilität ohne Re-Identifikation Verantwortungsübergreifende Propagierung i i i Nichtverknüpfbarkeit i i i eIDAS 2.0 Art 5a engineering invariants -- X.509 satisfies 0/5, Federation 0/5, DKMS 5/5 Vereign AG -- Engineering Invariants for Lawful Consent

Auf das (i) klicken für die Begründung · Zum Vergrößern klicken

Five engineering invariants: X.509 PKI vs Federated IAM vs DKMS Vergleich: Welche Architektur welche technische Invariante erfüllt. X.509 erfüllt keine einzige. Föderierung erfüllt keine einzige (Propagierung nur durch Verletzung der Nichtverknüpfbarkeit). DKMS erfüllt alle fünf. Technische Invariante X.509 PKI Federated IAM DKMS Personenbezogene Identifikatoren i Verifizierbares, zeitgestempeltes Opt-out Reversibilität ohne Re-Identifikation Verantwortungsübergreifende Propagierung i i i Nichtverknüpfbarkeit i i i eIDAS 2.0 Art 5a engineering invariants -- X.509 satisfies 0/5, Federation 0/5, DKMS 5/5 Vereign AG -- Engineering Invariants for Lawful Consent

Warum X.509 keine personenbezogenen Identifikatoren liefert

X.509 identifiziert Entitäten über Zertifikate, die von einer Certificate Authority ausgestellt werden — nicht über vom Subjekt kontrollierte Schlüssel. Der Bürger hat keine architektonische Handlungsfähigkeit am Vertrauensanker — die CA entscheidet, wer wer ist. EHDS Recital 54 und eIDAS 2.0 Article 5a verlangen vom Subjekt kontrollierte Identifikatoren; X.509 erfüllt dies nur durch eine subjektseitige Zeremonie, die das zugrunde liegende PKI-Protokoll nicht nativ unterstützt.

Warum X.509 Widerruf nicht propagieren kann

X.509 hat keine native Propagierungsprimitive. Widerruf läuft über CRLs und OCSP-Responder, deren Prüfung jeder Verifier explizit aktivieren muss — und es gibt keinen Weg, einen Widerruf rückwärts zu Daten zu schicken, die bereits geteilt wurden. Sobald ein Zertifikat den Datenfluss autorisiert hat, liegt der Widerruf im Ermessen des Verifiers.

Warum X.509 die Nichtverknüpfbarkeit verletzt

Jedes X.509-Zertifikat trägt eine stabile Seriennummer und einen Issuer-DN, die für jeden Verifier sichtbar sind. Zwei vertrauende Parteien können dasselbe Subjekt über Transaktionen hinweg korrelieren, indem sie Seriennummern vergleichen. Pseudonymisierung erfordert eine erneute Ausstellung, was operativ aufwändig ist — Verknüpfbarkeit ist hier Design, kein Fehler.

Warum Föderierung die Propagierung nur teilweise erfüllt

Federated IAM erfüllt die verantwortungsübergreifende Propagierung nur durch Verletzung der Nichtverknüpfbarkeit — der Identitätsanbieter sieht jeden Login bei jeder vertrauenden Partei und schafft so eine unzulässige Korrelationsfläche über Relying Parties hinweg (eIDAS 2.0 Art 5a(16)(b)). Propagierung über Föderierung gilt daher als nicht erfüllt.

Warum Föderierung keine Nichtverknüpfbarkeit liefern kann

Ein föderierter Identitätsanbieter sieht jeden Login-Versuch bei jeder vertrauenden Partei. Selbst wenn einzelne Credentials pseudonym sind, hält der IdP qua Konstruktion den Cross-RP-Korrelationsgraphen. eIDAS 2.0 Article 5a(16)(b) verbietet genau diese Oberfläche.

Wie DKMS Widerruf propagiert

Autorisierungen verketten sich an das Key Event Log (KEL) des Subjekts. Wenn das Subjekt Schlüssel rotiert, sieht jeder nachgelagerte Verifier, der das KEL zum Verarbeitungszeitpunkt erneut prüft, die Rotation und behandelt veraltete Credentials als ungültig. Kein Betreiber-Push, kein zentrales Register — Propagierung ist Verifier-Pull zur Nutzungszeit.

Wie DKMS Nichtverknüpfbarkeit erhält

Subjekte können für jede vertrauende Partei eine frische AID erzeugen. Das KEL hinter jeder AID ist unabhängig — es gibt kein zentrales Identitätsregister und keinen IdP, der jede Transaktion sieht. Cross-RP-Korrelation erfordert, dass das Subjekt AIDs bewusst verknüpft.

  1. Personenbezogene Bezeichner

    Der Bezeichner, den die betroffene Person kontrolliert, muss die Vertrauenswurzel sein — kein Bezeichner, der von einer vertrauenden Partei vergeben wird. EHDS Recital 54 und eIDAS 2.0 Article 5a benennen dies ausdrücklich: Die Bürgerin oder der Bürger muss handlungsfähig sein, ohne dass der Verantwortliche sie oder ihn in einem gesonderten Register nachschlagen muss. Jede Architektur, die darauf beruht, dass der Verantwortliche den Bezeichner prägt und speichert, scheitert hier von Anfang an.

  2. Verifizierbares, zeitgestempeltes Opt-out

    Der Widerruf muss ein kryptografisch signiertes, zeitgestempeltes Ereignis sein, das die Aufsichtsbehörde — und ein künftiges Gericht — verifizieren kann, ohne den Protokollen des Verantwortlichen vertrauen zu müssen. GDPR Article 7(3) macht dies ausdrücklich: Der Verantwortliche trägt die Beweislast. Ein Datensatz in einer internen Datenbank ist in keinem Forum, in dem der Verantwortliche Beklagter ist, als Beweis geeignet.

  3. Reversibilität ohne Re-Identifikation

    Recital 54 des EHDS verlangt, dass das Opt-out reversibel bleibt — die betroffene Person kann wieder einwilligen — ohne dass jemand die zugrundeliegenden Datensätze re-identifizieren muss. Dazu muss das Opt-out gegen ein Credential wirken, das das Subjekt kontrolliert, nicht gegen eine serverseitige Zuordnungstabelle. Zentralisierte Einwilligungsregister scheitern hier strukturell.

  4. Verantwortungsübergreifende Propagierung

    GDPR Article 17(2) und EHDS Article 71 verlangen beide, dass der Widerruf an jeden nachgelagerten Empfänger weitergeleitet wird. In der Praxis bedeutet dies, dass der ursprüngliche Verantwortliche nicht einfach seine lokale Zeile aktualisieren kann — jede Partei, die die Daten jemals erhalten hat, muss die Autorisierung erneut authentifizieren und feststellen, dass sie widerrufen wurde. Föderierung kann dies nur durch das Teilen von Bezeichnern erreichen, was die nächste Invariante verletzt.

  5. Nichtverknüpfbarkeit

    eIDAS 2.0 Article 5a verlangt, dass vertrauende Parteien dieselbe Bürgerin bzw. denselben Bürger ohne Einwilligung nicht über verschiedene Transaktionen hinweg korrelieren können. Article 71(8) des EHDS schließt den zentralisierten organisationsübergreifenden Bezeichner aus, der eine federated Propagierung trivial machen würde. Die beiden Invarianten zusammen — propagieren, aber nicht korrelieren — sind das, was die konventionellen Architekturen zu Fall bringt.

X.509 erfüllt keine einzige. Föderierung erfüllt die Propagierung durch Verletzung der Nichtverknüpfbarkeit. DKMS erfüllt alle fünf.

Die Article 71(8)-Falle

Die naheliegende technische Antwort auf „Opt-out im gesamten Netzwerk durchsetzen" ist, eine Liste mit abgemeldeten Bezeichnern zu führen — ein zentral gepflegtes Ausschlussregister, das jedes nachgelagerte System abfragt, bevor es einen Datensatz verarbeitet. Article 71(8) des EHDS verbietet genau diese Konstruktion ausdrücklich. Die Klausel untersagt Datenverantwortlichen, zusätzliche Identifikationsdaten allein zum Zweck der Opt-out-Durchsetzung zu erwerben oder zu speichern.

Die in Recital 54 ausdrücklich dargelegte Begründung ist, dass das Register selbst zu einer Re-Identifikationsdatenbank wird — genau der Schaden, den die Verordnung verhindern soll. Sobald eine Liste von „Personen, die sich abgemeldet haben" geführt wird, hat man den zentralen Angriffspunkt neu geschaffen. Die strukturelle Schlussfolgerung ist unausweichlich: Das Opt-out-Signal muss mit einem Credential mitgeführt werden, das das Subjekt kontrolliert — nicht in einer Liste, die der Verantwortliche pflegt.

The DKMS thesis DKMS ist die Antwort

Decentralized Key Management ist die erste strukturell tragfähige Grundlage, um Opt-out durchgängig zu wahren — in organisationsübergreifenden, nach der Offenlegung wirksamen, regulatorisch beaufsichtigten Konstellationen.

(Decentralized Key Management baut auf KERI auf, einer offenen Trust over IP Foundation Spezifikation.)

So funktioniert es:

  1. Die steuernde AID der Nutzerin bzw. des Nutzers ist die Vertrauenswurzel. Autorisierungen sind kryptografisch mit ihr verkettet — nicht mit einem vom Verantwortlichen ausgestellten Konto.
  2. Jede Autorisierung ist im Key Event Log (KEL) der AID verankert — einem append-only, hash-verknüpften Protokoll, dessen Zustand das Subjekt unilateral nachweisen kann.
  3. Der Widerruf ist eine Schlüsselrotation, die das Subjekt selbst durchführt. Der alte Schlüssel wird ungültig; das Rotationsereignis wird im KEL signiert und zeitgestempelt.
  4. Nachgelagerte Parteien, die veraltete Credentials halten, müssen sich gegen den aktuellen KEL-Zustand erneut authentifizieren. Der Widerruf propagiert sich, indem er bei jedem nachgelagerten Prüfer fail-closed auslöst.

Das Protokoll erfordert weder einen zentralen Betreiber noch das Teilen von Bezeichnern durch die vertrauenden Parteien noch das Vertrauen der Aufsichtsbehörde in die Protokolle des Verantwortlichen anstelle derjenigen des Subjekts. Jede der fünf Invarianten ist konstruktionsbedingt erfüllt — nicht durch Audits.

Wo DKMS dominiert — und wo es keinen Nutzen bietet

Ehrlichkeit über den Anwendungsbereich ist das, was die These verteidigbar macht. DKMS dominiert unter vier Bedingungen: organisationsübergreifende Datenflüsse, Widerruf nach der Offenlegung, regulatorisch überwachte Verarbeitung und adversariale Gegenparteien. Außerhalb dieser Bedingungen — Single-Tenant-Workloads, Derivate wie trainierte ML-Modellgewichte, bereits genommene Backups und einzelne unkooperative Gegenparteien — liefert DKMS forensische Erkennung, aber keine Prävention.

Wo DKMS dominiert Wo DKMS keinen Nutzen bietet Organisationsübergreifende Datenflüsse Zeile anklicken für die Begründung Einwilligungspersistenz nach der Offenlegung Zeile anklicken für die Begründung Regulatorisch determinative Verwahrung Zeile anklicken für die Begründung Parteien setzen DKMS End-to-End um Zeile anklicken für die Begründung Derivate (Analysen, ML-Gewichte) Zeile anklicken für die Begründung Bereits erstellte Backups Zeile anklicken für die Begründung Einzelne unkooperative Gegenpartei Zeile anklicken für die Begründung Single-Tenant-Workloads Zeile anklicken für die Begründung Wo DKMS dominiert — und wo es keinen Nutzen bietet. Zeile anklicken für die Begründung.

Organisationsübergreifende Datenflüsse

Betreiberseitige Löschung kann Daten, die bereits an nachgelagerte Parteien weitergegeben wurden, nicht mehr erreichen. DKMS erweitert die inhaber-kontrollierte Schlüsselung entlang der gesamten Verarbeitungskette — jeder Empfänger prüft das KEL zum Nutzungszeitpunkt erneut. Zentralisiertes CMK bietet Löschung nur innerhalb der Mandantengrenze des Betreibers.

Einwilligungspersistenz nach der Offenlegung

EUDIW ARF §6.6 räumt ausdrücklich ein, dass ein Widerruf eine rechtmäßige frühere Verarbeitung nicht rückwirkend rückgängig macht. DKMS verringert diese Lücke: Prüfer lesen das veröffentlichte KEL zum Verarbeitungszeitpunkt erneut, sodass veraltete Credentials als solche auditierbar werden. Das architektonische Primitiv ist inhabergesteuert, nicht betreibergesteuert.

Regulatorisch determinative Verwahrung

Schrems II / EDPB Recommendations 01/2020 Use Case 3 verlangen, dass der Datenimporteur die Schlüssel NICHT hält. Zentralisiertes CMK scheitert per Definition an diesem Test (z. B. US-Gesundheitsdaten in Azure unter FISA 702-Zugang). DKMS macht die Schlüsselverwahrung zu einer inhaberseitigen Eigenschaft — der Importeur kann ohne den fortgesetzten KEL-Zustand des Inhabers nicht entschlüsseln.

Parteien setzen DKMS End-to-End um

Architektur zählt nur, wenn alle Parteien sie durchsetzen. Ein Prüfer, der das KEL ignoriert, hebelt die Kette aus. Wenn alle Parteien DKMS umsetzen, propagiert sich der Widerruf durch einfache Wiederprüfung — kein Betreiber muss die Löschung aktiv „pushen".

Derivate (Analysen, ML-Gewichte)

EDPB Opinion 28/2024 bestätigt ausdrücklich, dass Löschpflichten sich nicht sauber auf Modellgewichte übertragen, sobald das Training stattgefunden hat. DKMS bietet hier keine bessere Abdeckung als CMK. Ein Widerruf kann Analyseergebnisse oder bereits eingereichte Regulierungsberichte nicht rückwirkend rückgängig machen.

Bereits erstellte Backups

Keine Architektur kann Daten zurückrufen, die bereits auf Offline- oder unveränderliche Backup-Medien repliziert wurden. Verschlüsselung im Ruhezustand plus Schlüsselvernichtung bewältigt Restdaten innerhalb des Aufbewahrungsfensters; sie stellt keine Langzeitarchive zurück. DKMS ändert diese grundlegende Eigenschaft nicht.

Einzelne unkooperative Gegenpartei

DKMS bietet forensische Erkennung (Signaturen, die nach einer veröffentlichten Schlüsselrotation erstellt wurden, sind als veraltet auditierbar), aber keine Prävention. Ein vollständig unkooperativer Sub-Verarbeiter, der Klartext entschlüsselt und außerhalb des verschlüsselten Rahmens speichert, hebelt die Kette aus — DKMS macht die Verletzung sichtbar, kann sie aber nicht verhindern.

Single-Tenant-Workloads

Für SaaS unter einem einzigen Verantwortlichen ist kryptografisches Löschen gemäß NIST SP 800-88 §2.5 über zentralisiertes CMK ausreichend und einfacher. Der Wechsel zu DKMS bedeutet operativen Mehraufwand ohne architektonischen Nutzen, wenn keine organisationsübergreifenden Vertrauensgrenzen vorhanden sind.

Außerhalb der vier Bedingungen, in denen DKMS dominiert, ist zentralisiertes CMK vernünftig. Dies einzuräumen macht die These stärker.

Produktionsnachweis

HIN — Health Info Net — ist die Gesundheitsinformations-Infrastruktur der Schweiz und verbindet Spitäler, Kliniken und Fachanbieter über Kantonsgrenzen hinweg. SEAL, die von Vereign innerhalb von HIN bereitgestellte Schicht für verifizierbare E-Mail-Zustellung, ist heute produktiv im Einsatz und transportiert über 800.000 verifizierte Nachrichten pro Monat — der Beleg, dass Vereign bereits Produktionsinfrastruktur innerhalb des Schweizer Gesundheitswesens betreibt.

Stargate, die Decentralized-Key-Management-Laufzeitumgebung, die den oben beschriebenen vierstufigen Opt-out-Mechanismus in den operativen Einsatz bringt, geht im Juni 2026 in den frühen Produktionsbetrieb.

Die FHIR-Schicht von Stargate — dieselben Garantien angewandt auf den Austausch klinischer Datensätze, nicht nur auf Nachrichten — ist heute architektonisch ausgearbeitet. Die Überführung in den Produktionsbetrieb hängt vom Onboarding auf Spitalseite ab; das früheste realistische Datum ist September 2026.

Fünf Vorfälle, die das strukturelle Muster belegen

  1. Kaiser Foundation Health Plan — Sammelklage-Vergleich über USD 47,5 Mio. (2026). Patientenportaldaten wurden über eingebettete Tracking-Pixel an Werbeplattformen weitergegeben. Die Architektur hatte keine Möglichkeit, dem Subjekt die Kontrolle über die nachgelagerte Propagierung zu geben.
  2. Sutter Health — Sammelklage-Vergleich über USD 21,5 Mio. (2026). Dasselbe Muster: portalbasierte Drittanbieter-Tags, kein subjektkontrolliertes Widerrufsprimitiv, keine Möglichkeit, die Nichtverarbeitung nachträglich nachzuweisen.
  3. NHS National Data Opt-Out (2021) — Eingestandene Nicht-Rückwirkung; das GPDPR-Programm wurde verzögert, weil die Architektur den Widerruf gegenüber Daten, die bereits an nachgelagerte Forscher weitergegeben worden waren, nicht durchsetzen konnte.
  4. SingHealth (2018) — 1,5 Mio. Datensätze wurden kompromittiert, weil Patientendaten in einer einzigen monolithischen Datenbank ohne patientenkryptografische Grenzen lagen. Für das Subjekt gab es nichts zu widerrufen; es gab keinen Schlüssel zu rotieren.
  5. DigiNotar (2011) — Ein Kompromittierung der Root-CA veranlasste Browser, jedem Zertifikat zu misstrauen, das die CA je ausgestellt hatte. Die Subjekte hatten keinerlei architektonische Handlungsfähigkeit: Ihre Bezeichner und Vertrauensbeziehungen wurden vollständig vom Betreiber kontrolliert.

Jeder zentralisierte Vorfall teilt ein Merkmal: Die Nutzerin bzw. der Nutzer hatte keine architektonische Handlungsfähigkeit.

Wo anfangen

Wenn Ihre Organisation identifizierbare Gesundheits-, Finanz- oder regulierte Personendaten verarbeitet und einem der fünf oben genannten Regime ausgesetzt ist, ist der nächste Schritt eine 30-minütige Architekturüberprüfung. Wir analysieren Ihren aktuellen Einwilligungsfluss anhand der fünf Invarianten, identifizieren die Lücken und sagen Ihnen ehrlich, ob DKMS die richtige Antwort für Ihre Umgebung ist.

Architekturüberprüfung für Einwilligung buchen — 30 Minuten Consent-These herunterladen (PDF, 24 Seiten)

Für Ihre Branche

Einwilligungsdurchsetzung im Gesundheitswesen

Mehr erfahren

Einwilligungsdurchsetzung im Finanzsektor

Mehr erfahren

Häufig gestellte Fragen

Was verlangt EHDS Article 71?
EHDS Article 71 (in Kraft seit 26. März 2025) gibt jeder EU-Bürgerin und jedem EU-Bürger das Recht, der sekundären Nutzung identifizierbarer Gesundheitsdaten zu widersprechen. Article 71(8) untersagt Datenverantwortlichen den Erwerb zusätzlicher Identifikationsdaten allein zur Opt-out-Durchsetzung — womit zentralisierte Implementierungen als „Liste abgemeldeter IDs" ausgeschlossen werden, da die Liste selbst ein verbotener Re-Identifikationsdatensatz wäre. Recital 54 schreibt vor, dass das Opt-out reversibel und formfrei sein muss.
Warum kann ein zentralisiertes Einwilligungsregister nicht funktionieren?
Article 71(8) verbietet es ausdrücklich. Das Register selbst wird zu einem Re-Identifikationsdatensatz — genau das, was die Verordnung verhindern soll. Die strukturelle Antwort erfordert subjektkontrollierte Bezeichner, keine zentral vom Betreiber kontrollierte Liste.
Garantiert DKMS die Einwilligungsdurchsetzung?
Nein. DKMS ist die erste strukturell tragfähige Grundlage, um Opt-out durchgängig zu wahren — in organisationsübergreifenden, nach der Offenlegung wirksamen, regulatorisch beaufsichtigten Konstellationen. Außerhalb dieser Bedingungen — Single-Tenant-Workloads, Derivate wie ML-Modellgewichte, bereits genommene Backups, einzelne unkooperative Gegenparteien — liefert DKMS forensische Erkennung, aber keine Prävention.
Wie interoperiert DKMS mit X.509 / S/MIME-Gegenparteien?
Über KERI-verankerte S/MIME-Bridges, die es dem Widerruf ermöglichen, sich auch über X.509-nutzende Parteien zu propagieren. Die Bridge verankert das X.509-Zertifikat an eine KERI-AID; der Einwilligungswiderruf löst eine AID-Schlüsselrotation aus; nachgelagerte X.509-Prüfer müssen das Zertifikat erneut abrufen und authentifizieren.