Foto von Possessed Photography auf Unsplash
Damit Menschen ihre Daten freiwillig teilen, müssen sie sich sicher sein, dass sie die Kontrolle über ihre Daten stets behalten. Um das zu garantieren, hat Gaia-X durch vier Dokumente das Trust Framework geschaffen. Dieses ermöglicht es jedem Teilnehmer des Datenraums, Vertrauen in die Souveränität seiner eigenen Daten zu haben.
Lediglich 17 % der Unternehmen teilen ihre Daten. Das ergab eine Studie der Bitkom im Juni 2024. Gleichzeitig gehen lediglich 6% der Unternehmen davon aus, ihre Daten vollständig zu nutzen. Auch die Nachfrage nach Daten jeder Art ist in den letzten Jahren stark gestiegen, nicht zuletzt dank KI. Daher stellt sich die Frage, wieso nur so wenige Unternehmen das offensichtliche Potential ihrer Daten nutzen. Die erwähnte Bitkom-Studie liefert hierauf die Antwort. So ist das größte Hemmnis für Unternehmen der Datenschutz, gefolgt von rechtlichen Bedenken und der Angst, die Kontrolle über die bereitgestellten Daten zu verlieren. Diese Sorgen sind nachvollziehbar, erinnert das Internet heute doch eher an den Wilden Westen als an einen geschützten Rechtsraum, in dem teils sensible Daten ohne Bedenken geteilt werden können: Identitäten sind häufig unklar, Daten fließen unkontrolliert und der Schutz dieser ist im besten Falle dem Wohlwollen einzelner Akteure überlassen.
Datenräume sind wie digitale Marktplätze: überprüfte Anbieter:innen dürfen dort ihre Waren und Dienste anbieten – und das transparent, standardisiert und sicher.
Datenräume können diese Bedenken mildern. Einen Datenraum kann man sich vorstellen wie ein digitaler Marktplatz. Auf diesem können überprüfte Anbieterinnen und Anbieter ihre Waren und Dienste transparent anbieten. Und das ohne Angst, Datenschutzbestimmungen zu verletzen, sich in rechtlichen Grauzonen aufzuhalten oder die Kontrolle über die Verwendung ihrer Daten zu verlieren. Doch wie kann das funktionieren?
So wie Ausweise, Zertifikate und behördliche Vorgaben Vertrauen und Sicherheit auf einem realen Marktplatz schaffen, muss auch für den digitalen Datenraum eine Vertrauensgrundlage geschaffen werden. Denn klar ist: Vertrauen kann im digitalen Raum nicht einfach vorausgesetzt werden. Stattdessen muss es gezielt und systematisch aufgebaut werden. Daher stellt sich für jede Datenraum-Initiative die Frage, wie vertrauensbildende Strukturen geschaffen werden können.
Gaia-X zeigt: Vertrauen braucht kein Zentrum
Um dies zusätzlich zu erschweren, handelt es sich bei Datenräumen um offene Systeme mit vielen verschiedenen, souveränen Akteuren. Auch ist eine starke, zentrale Instanz, die alle Aspekte der Datensicherheit und -nutzung steuern könnte, aufgrund der Offenheit und des Souveränitätsgedankens weder vorgesehen noch wünschenswert. Stattdessen muss Vertrauen dezentral entstehen – durch klare Regeln, gegenseitige Transparenz und die verlässliche Wahrung der Autonomie aller Beteiligten. Das macht die Vertrauensbildung in Datenräumen zu einer komplexen, aber unverzichtbaren Aufgabe.
Vertrauen umfasst hierbei nicht nur die ständige Kontrolle über die eigenen Daten sowie deren Nutzung. Selbstverständlich dürfen bereitgestellte Daten ausschließlich sachgerecht und gemäß den festgelegten Verträgen genutzt werden. Aber es muss auch das Vertrauen in die Identitäten der anderen Teilnehmenden und die technische Umsetzung des Datenraums gewährleistet sein. Nur so behält jedes Mitglied tatsächlich die volle Autonomie über die bereitgestellten Daten.
Um dieses umfassende Vertrauenssystem zu ermöglichen, hat die Gaia-X Association in verschiedenen Gremien unter Einbeziehung der Gaia-X Mitglieder vier grundlegende Dokumente erarbeitet und veröffentlicht. Diese adressieren zentrale Aspekte von Datenräumen – vom technischen Aufbau über den Datenaustausch bis hin zu Identifikationsmechanismen und Compliance. Das gesamte Ergebnis wird häufig als Gaia-X Trust Framework bezeichnet. Sie bilden ein kohärentes Vertrauenssystem, das sich über den gesamten Datenraum erstreckt und dessen Integrität bei gleichzeitiger Offenheit absichert.
Das Architecture Document: Das Fundament von Gaia-X
Von grundlegender Bedeutung für das Vertrauen in einem System ist dessen technischer Aufbau. Genau hier setzt das Architecture Document an: Es definiert die zentrale Struktur eines Gaia-X-konformen Datenraums und legt die Prinzipien fest, auf denen dieser beruht. Dazu zählen insbesondere Dezentralität, Interoperabilität sowie der Einsatz offener, eigens spezifizierter Open-Source-Software. Das Architecture Document legt fest, dass das Trust Framework durch den Einsatz kryptografisch signierter Gaia-X Credentials erreicht wird. Unter Credentials werden hierbei Berechtigungsnachweise verstanden, über die Teilnehmende verschiedene Eigenschaften wie Identität, Kompetenzen und vieles mehr innerhalb des Datenraums nachweisen können. Damit dienen sie als überprüfbare Vertrauensbasis zwischen den Akteuren – und zwar ohne zentrale Kontrollinstanz. Deshalb haben Gaia-X Credentials eine zentrale Rolle in der Umsetzung einer funktionierenden Datenökonomie.
Das Identity-Dokument: Der Schlüssel zur digitalen Vertrauenswürdigkeit
Ein solider technischer Aufbau allein genügt jedoch nicht, um Vertrauen im gesamten Datenraum zu schaffen. Ebenso wichtig ist, wer auf welche Weise am Datenraum teilnimmt. Das Identity, Credential and Access Management Document beantwortet diese Frage, indem es festlegt, wie Teilnehmende eindeutig identifiziert, authentifiziert und autorisiert werden. Hierfür beschreibt es die nötigen Informationen und die Struktur der Selbstauskünfte, die als Grundlage der Gaia-X Credentials dienen. Die Struktur, in der die Angaben getätigt werden müssen, gewährleistet die Interoperabilität und Maschinenlesbarkeit der Informationen. Somit ist eine automatisierte Verarbeitung möglich.
Das Compliance-Dokument: Verlässlichkeit durch Transparenz und Kontrolle
Nicht alle Gaia-X Credentials können dabei gleichgesetzt werden, da bestimmte Informationen wie etwa der Speicherort von Daten für bestimmte Anwendungsfälle von entscheidender Bedeutung sind. Das Compliance Document schafft ein differenziertes Bewertungssystem, das Teilnehmende anhand einer Kombination aus Selbstauskünften und externer Zertifizierung in vier Compliance Levels einteilt. Dabei werden Kriterien wie Datenschutz, Cybersicherheit, Portabilität, europäische Kontrolle und Nachhaltigkeit bewertet. Mit jeder höheren Stufe steigen auch die Anforderungen. Auf diese Weise ermöglicht das Dokument eine transparente, vergleichbare und leicht nachvollziehbare Einordnung von Angeboten innerhalb des Datenraums.
Das Data Exchange Dokument: Souveränität trotz Datenteilen
Die bisherigen Dokumente legen die Grundlage für eine sichere Infrastruktur, definieren vertrauenswürdige Identitäten und ermöglichen eine abgestufte Bewertung der Teilnehmenden. Doch der Kern eines Datenraums liegt letztlich im Teilen von Daten. Das Data Exchange Document adressiert genau diese zentrale Frage: Wie kann ein Datenprodukt gestaltet und sicher geteilt werden? Das Data Exchange Document beschreibt, wie Datenprodukte aufgebaut sein müssen, welche vertraglichen Vereinbarungen vor dem Datentransfer notwendig sind und sichergestellt wird, dass Daten nur zweckgebunden genutzt werden können. Das Ziel ist es, die Kontrolle der Datenurheber*innen über ihre Daten auch nach dem Teilen aufrechtzuerhalten – ein zentraler Baustein für echte Datensouveränität.
Von der Theorie zur Praxis: Die technische Architektur von Gaia-X im realen Einsatz
Die vier Dokumente lassen sich nach ihrer Ausrichtung unterscheiden. Während das Architecture Document, das Identity, Credential and Access Management Document und das Data Exchange Document einen technischen Fokus haben, führt das Compliance Document ein allgemeines Regel- und Bewertungssystem ein. Dementsprechend unterscheidet sich die Umsetzung.
Bei den technischen Dokumenten geschieht dies über das Bereitstellen von Referenzimplementierungen in Form von Toolkits. Diese Toolkits enthalten frei zugängliche Codebausteine, die zum Aufbau und Betrieb eines Gaia-X-konformen Datenraums genutzt werden können. Eine Einführung in dieses Thema und eine Erklärung, warum solche Bausteine nahezu immer Open Source Software sind, gibt es in unserem Blogbeitrag „Open Source: Freiheit, Sicherheit und Innovation für Datenräume“.
Zur Umsetzung der Regeln und zur Bewertung wurden die Gaia-X Digital Clearing Houses (GXDCH) geschaffen. Als Kernaufgabe überprüfen sie die Konformität der Teilnehmer anhand der Selbstauskünfte. Bei erfolgreicher Überprüfung erstellen sie aus diesen die Gaia-X Credentials. Zusätzlich übernehmen GXDCH eine Vielzahl weiterer Aufgaben, von einer dezentralen Speicherung der Credentials bis zu Protokollierungsdiensten. Auch zu diesem Thema gibt es einen Blogbeitrag „Gaia-X Digital Clearing Houses (GXDCH): Torwächter der Datenwirtschaft“, der einen Überblick zur Umsetzung der GXDCH, den weiteren Funktionen und dem Prüfprozess bietet.
Die folgende Grafik verdeutlicht die Aufteilung der Dokumente und die entsprechende Umsetzung:
Abb.: Das Gaia-X Trust Framework, Quelle: Gaia-X European Association for Data and Cloud AISBL
Die Entstehung der Datenökonomie
Die Nutzung von Daten wird zukünftig das Kernstück einer funktionierenden und innovativen Wirtschaft sein. Nicht zuletzt deshalb fordert der Data Act ab September 2025 viele Unternehmen auf, Nutzerdaten den Erzeugern dieser Daten und Dritten bereitzustellen. Damit diese Daten jedoch genutzt werden können, braucht es passende Strukturen. Datenräume haben das Potential, diese Rolle zu übernehmen. Voraussetzung hierfür ist jedoch, dass die Teilnehmer ihre Daten über Datenräume bereitstellen. Dies wird nur geschehen, wenn die Kontrolle über die Daten stets bei den Erzeugern bleibt. Um dies zu gewährleisten, hat Gaia-X im Rahmen des Gaia-X Trust Frameworks Regeln und Mechanismen geschaffen, dies zu garantieren. Wo in der realen Welt Gesetze, Ausweise und Zertifikate für Sicherheit und Vertrauen sorgen, übernimmt das Gaia-X Trust Framework diese Funktionen im digitalen Raum. Es schafft die Grundlage für überprüfbare Identitäten, technische Interoperabilität und klare Regeln für Datenzugriff und -nutzung. Erst wenn solche vertrauensbildenden Strukturen etabliert sind, werden Unternehmen bereit sein, ihre Daten zu teilen.
Zusammenfassung
Um das Vertrauen in das System des Datenaustausches zu stärken, hat die Gaia-X Association vier Dokumente zu verschiedenen Aspekten des Datenteilens veröffentlicht. Diese beschreiben, wie die Bereiche Architektur, Identitätsmanagement, Compliance und Data Exchange gestaltet sein müssen, um Vertrauen zu ermöglichen. Zur Umsetzung der Beschreibungen werden Gaia-X Digital Clearing Houses (GXDCH) und Toolkits bestehend aus Open Source Software-Bausteinen verwendet. Durch das Erstellen überprüfter Credentials ermöglichen GXDCH eine sichere Datenökonomie. Toolkits vereinfachen das Bauen und Betreiben eines Gaia-X-konformen Datenraums.
Verfasst von Julian Guldner und Felix Kappert