Foto von Jimmy Chang auf Unsplash
Teil 4 der Tech-Blogreihe widmet sich dem Gaia-X Data Exchange Document (23.11 Release). Er vereinfacht die technischen Inhalte und liefert einen kompakten Überblick. Die vorangegangenen Teile dieser Blogreihe zu den Themen Architecture Document, Compliance Document und Identity, Credential and Access Management Document finden Sie über die hinterlegten Links.
tl;dr
Das Gaia-X Data Exchange Document legt fest, wie der Datenaustausch im Gaia-X Ökosystem funktionieren sollen. Es beschreibt eine übergeordnete Architektur und zentrale Anforderungen an Datenwert, Vertrauen und Regelkonformität. Es werden Schlüsselbegriffe wie Daten, Datenkonsumenten und Datenanbieter klar definiert. Data Exchange Services, bestehend aus notwendigen und optionalen Services, ermöglichen den konkreten Datenaustausch. Das Dokument beschreibt Modelle für Datenprodukte und deren Nutzung, einschließlich Vertrags- und Ausführungsrichtlinien. Zugangskontrollen regeln den Zugriff, während die Nutzungssteuerung festlegt, wie Daten nach dem Zugriff verwendet werden dürfen. ODRL definiert Nutzungsrechte und -beschränkungen, etwa durch zeitlich oder lokal begrenzte Nutzung oder Datenanonymisierung.
1. Zielsetzung des Dokuments
Das Gaia-X Data Exchange Document dient dazu, Spezifikationen für Data Exchange Services festzulegen. Hierzu gehört eine High Level Architecture und die Beschreibung zentraler Anforderungen an den Datenwert, die Vertrauensstruktur sowie die Einhaltung von Vorschriften.
2. Definitionen und Vokabular
Es werden mehrere Begriffe zum Datenaustausch eingeführt und definiert. Dazu zählen: Daten, Datenkonsument, Datenproduktanbieter, Datenproduktbeschreibung und viele weitere, welche für das Dokument von Relevanz sind.
3. Data Exchange Services
Bei Gaia-X wird der Datenaustausch durch Data Exchange Services ermöglicht. Dabei wird zwischen notwendigen Services wie der Authentifizierung und optionalen Services unterschieden. Zudem gibt es mehrere empfohlene interne Services, die den Datenaustausch optimieren.
4. Konzeptionsmodell für Datenprodukte und Betriebsmodelle für die Datennutzung
Das konzeptionelle Modell des Datenprodukts und das operative Modell der Datennutzung sind im Kapitel Data Exchange Services des Gaia-X Architecture Documents beschrieben.
5. Ontologien für den Datenaustausch
5.1 Teilnehmer
Das Data Exchange Conceptual Model weist den Teilnehmern eines Gaia-X-Ökosystems basierend auf den Definitionen in Abschnitt 3 bestimmte Rollen zu. Die zugewiesene Rolle beeinflusst die Definition des Datenobjekts und die geltenden Regeln.
5.2 Datenprodukt
Ein Datenprodukt umfasst die Daten sowie eine Beschreibung des zugrunde liegenden Vertrags. Mindestens enthalten sein müssen Informationen, die dem Datenkonsumenten Vertragsverhandlungen ermöglichen. Jedoch liegt es im Interesse das Datenanbieters, seine Daten möglichst genau zu beschreiben, um diese leichter auffindbar und besser nutzbar zu machen.
5.3 Daten-Transaktion
Die Datentransaktion besteht aus einem Nutzungsvertrag und der tatsächlichen Datennutzung. Der Vertrag stützt sich auf die Beschreibung des Datenprodukts und wird sowohl vom Anbieter der Daten als auch vom Konsumenten der Daten unterzeichnet. In diesem werden die Nutzungsbedingungen festgelegt. Nach der Unterzeichnung erhält der Konsument Zugriff auf die Daten und kann diese verwenden.
6. Richtlinien für den Datenaustausch
Richtlinien für den Datenaustausch legen fest, wie Daten ausgetauscht werden sollen. Hierfür gibt es zwei Hauptarten:
- Vertragsrichtlinien: Sie bilden die Grundlage für Verträge zwischen den Teilnehmern und umfassen Zugangspolitiken und Nutzungsrichtlinien, die maschinen- und menschenlesbar sein müssen. Sie werden durch die Open Digital Rights Language (ODRL) definiert.
- Ausführungsrichtlinien: Sie leiten sich von den Vertragsrichtlinien ab und setzen diese zum Beispiel durch die Nutzung von Rego oder XACML im System der Teilnehmer um.
Im Datenaustausch liegt der Fokus auf den Vertragsrichtlinien, die durch eine Verhandlungssequenz zwischen den Teilnehmern erstellt werden und den Datenbestand sowie die Vertragsbedingungen festlegen.
Zugangskontrollen beschränken den Zugriff auf Ressourcen, etwa durch Login-Systeme oder Firewalls. Die Autorisierung hingegen beschreibt den Prozess, der den Zugriff gewährt. Dies wird durch Rollen- und Rechtemanagement umgesetzt. Die Nutzungssteuerung greift über Zugangskontrolle und Autorisierung hinaus. Sie bestimmt, wie mit Daten nach dem Zugriff umzugehen ist. So dürfen vertrauliche Dokumente beispielsweise nur gelesen, aber weder kopiert noch weitergeleitet werden, um geistiges Eigentum zu schützen oder gesetzliche Vorgaben zu erfüllen.
Für die Umsetzung der Vertragsrichtlinien sind verschiedene Informationsmodelle nötig. Diese definieren die Struktur und Semantik von Daten und umfassen sowohl allgemeine Beschreibungs- und Verhandlungsrichtlinien als auch spezifische Modelle für jedes Ökosystem und jeden Vertrag.
7. ODRL
Die Open Digital Rights Language (ODRL) regelt, wie Inhalte genutzt werden dürfen. Dazu gehört unter anderem das Erlauben, Verbieten oder Verpflichten bestimmter Handlungen. Mit ODRL lässt sich die Nutzung gezielt steuern – über reine Zugangskontrollen hinaus. Diese Nutzungssteuerungen basieren auf Lizenzen und greift vor der Datennutzung, abhängig von den Daten und ihrem Kontext. Beispiele dafür sind eine zeitlich begrenzte Nutzung, die Anonymisierung von Daten vor ihrer Verarbeitung oder das Verbot, Daten unter bestimmten Bedingungen weiterzugeben.