DE102012102867A1

DE102012102867A1 - Vorrichtung und Verfahren zum Online-ID-Handling

Info

Publication number: DE102012102867A1
Application number: DE201210102867
Authority: DE
Inventors: Oliver Eiler; Christopher Eiler; Attila Sirman; Robert Schmid; Wolfgang Stadler; Florian Gamper
Original assignee: EILER2 GmbH
Current assignee: EILER2 GmbH
Priority date: 2012-04-02
Filing date: 2012-04-02
Publication date: 2013-10-10
Also published as: US20150095243A1; BR112014024542A2; WO2013150041A1; CA2868687A1

Abstract

Das vorliegende Erfindung dient zur Einführung eines mandantenfähigen postmortalen Online-Identitäten-Handling. Mit diesem Konzept ist der Betreiber in der Lage, eine Web- bzw. Clientanwendung zu erstellen um die Online Identitäten eines Verstorbenen bei zertifizierten Online Anbietern zu löschen. Dabei werden sowohl kostenpflichtige Verträge des Verstorbenen mit Onlineportalen gekündigt, bestehende Guthaben an die Erben zurückgeführt, und alle weiteren identifizierbaren Online-Accounts gelöscht oder deaktiviert. Hierzu werden webbasierende Dienste wie auch Desktop-Anwendungen erstellt, die in geeigneten Technologien und Programmiersprachen implementiert werden. Um Anwendungen mit langlebigen (persistenten) Daten realisieren zu können, besteht die Notwendigkeit der Einbindung einer Datenbank, welche in einem hoch verfügbaren und gesicherten Modus betrieben wird. Die Auswahl der geeigneten Technologien erfolgt im Rahmen der Feinspezifikation und wird auf Anforderungen der Dimensionierung, Leistungsfähigkeit und Verfügbarkeit der Systeme basieren.

Description

Zusammenfassung der Erfindung
Mit den zu erstellenden Services zum postmortalen Online-Identitäten-Handling, welche in der vorliegenden Anmeldung beschrieben werden, soll den zunehmend aufkommenden Anforderungen nach einem vollständigen Lebenszyklus von Online-Identitäten Rechnung getragen werden. Die hierfür genutzten Vorrichtungen, Systeme, Verfahren und Technologien werden nachfolgend unter der Bezeichnung „COLUMBA“ zusammengefasst und sollen künftig am Markt als die zuverlässige, seriöse und nachhaltige Marke zur digitalen Nachlassverwaltung diesen.
Aktuell werden im Internet große Mengen von Online-Identitäten geschaffen, konkrete und zuverlässige Prozesse und Dienstleitungen, die es ermöglichen im Todesfall diesen digitalen Nachlass zu regeln fehlen jedoch. In den kommenden Jahren wird der Anteil unter den Verstorbenen, die zu Lebzeiten das Internet intensiv genutzt haben kontinuierlich steigen, was einen Bedarf an Lösungen zu diesem Thema stark anwachsen lassen wird. Es ist zu erwarten, dass der Gesetzgeber mittelfristig Lösungen durch die Anbieter von Online Services einfordern wird.
Das Columba Verfahren zeichnet sich neben dem erteilten Mandat der Hinterbliebenen zur Löschung von Online-Identitäten der Verstorbenen, der behördlichen Verifizierung der Identität des Verstorbenen als auch durch die direkte Zusammenarbeit mit den Bestattern als zentrale Vertriebspartner der Dienstleistung aus. Auf Seiten der Online Anbieter sorgt deren Zertifizierung für einen gesicherten Abgleich mit den gesammelten Daten des Columba-Sterberegisters. Online Konten bei Columba-Zertifizierten Partnern werden in der Behandlung eines Todesfalles zuverlässig entdeckt, aufgelöst und etwaige Guthaben an die Hinterbliebenen zurückgeführt.
Columba spricht auch lebende Personen an, die über eine Registrierung sicherstellen wollen, dass ihre Online Konten im Falle des Todes in ihrem selbst bestimmten Interesse behandelt werden. Es kann durch das verwendete Verfahren sichergestellt werden, dass im Todesfall alle durch den Anwender registrierte Konten erfasst und geschlossen werden. Für Online Anbieter stellt eine Zertifizierung durch Columba einen attraktiven Mehrwert für seine Kunden dar, da Seriosität und Transparenz glaubhaft vermittelt werden. Die in diesem Dokument beschriebenen Verfahren beziehen sich konzeptionell auf den Sterbefall, jedoch ist mit dem Verfahren grundsätzlich auch das aktuell stark diskutierte „Recht auf Vergessen“ für noch lebende Online-Nutzer zu begegnen.
Die Erfindung ist in den Ansprüchen definiert. Die Beschreibung zusammen mit den Figuren dient der Erläuterung der Erfindung und umfasst weitere erfinderische Aspekte.
Konzept und Rahmenbedingungen
Ziele
Das vorliegende Erfindung dient zur Einführung eines mandantenfähigen postmortalen Online-Identitäten-Handling. Mit diesem Konzept ist der Betreiber in der Lage, eine Web- bzw. Clientanwendung zu erstellen um die Online Identitäten eines Verstorbenen bei zertifizierten Online Anbietern zu löschen. Dabei werden sowohl kostenpflichtige Verträge des Verstorbenen mit Onlineportalen gekündigt, bestehende Guthaben an die Erben zurückgeführt, und alle weiteren identifizierbaren Online-Accounts gelöscht oder deaktiviert.
Hierzu werden webbasierende Dienste wie auch Desktop-Anwendungen erstellt, die in geeigneten Technologien und Programmiersprachen implementiert werden. Um Anwendungen mit langlebigen (persistenten) Daten realisieren zu können, besteht die Notwendigkeit der Einbindung einer Datenbank, welche in einem hoch verfügbaren und gesicherten Modus betrieben wird. Die Auswahl der geeigneten Technologien erfolgt im Rahmen der Feinspezifikation und wird auf Anforderungen der Dimensionierung, Leistungsfähigkeit und Verfügbarkeit der Systeme basieren.
Um die notwendige Sicherheit und Authentizität der personenbezogenen und sensiblen Daten zu gewährleisten, werden die Informationen und Daten eines Verstorbenen ausschließlich in verschlüsselter und signierter Form gespeichert und übermittelt. Darüber hinaus wird die Korrektheit der Informationen bei den zuständigen Behörden verifiziert.
Ziele und Nutzen des Anwenders
Die Angehörigen von Verstorbenen wollen die digitale Hinterlassenschaft des Verstorbenen bereinigt, aufgelöst und geklärt wissen. Wenn Online-Guthaben aufgespürt wird, soll dies den Erben zugeführt werden.
Betreiber von Onlineplattformen wollen Ihre Datenbestände bereinigen und gegenüber ihren Kunden Seriosität durch eine Zertifizierung bei COLUMBA vermitteln. Es liegt im Interesse dieser Anbieter, dass sie ihre Kundenstammdaten regelmäßig bereinigen und verstorbene Personen in ihren Datenbeständen als solche kennzeichnen und notwendige Maßnahmen einleiten.
Benutzer / Zielgruppe

• Bestatter / Bestattungsunternehmen
• Hinterbliebene von Verstorbenen, die zu Lebzeiten online aktiv waren.
• Betreiber von Online-Portalen.
• Personen, die den eigenen digitalen Nachlass zu Lebzeiten steuern wollen.

Übersicht
1 veranschaulicht den gesamten Prozess mit seinen modularen Teilprozessen und den wesentlichen Prozessschritten in stark abstrakter Form. Anhand dieser Darstellung lässt sich das Projekt in zwei Hauptmodule und vier Schnittstellenmodule aufgliedern.
Als zentrale Hauptmodule

• Modul 1 – Daten-Management
• Modul 2 – Auftrags-Management

Als Schnittstellenmodule

• Modul 3 – Auftragseingang
• Modul 4 – Datenvalidierung Behörde
• Modul 5 – Konten-Suche (Auch Abgleich-Management)
• Modul 6 – Selbst-Registrierung

1 ist eine Übersicht der Module (grafische Darstellung).
2 ist ein Übersichtsdiagramm des Prozesses.
3 ist ein abstraktes Datenmodell.
4 ist ein abstraktes Prozessmodell.
Datenmanagement – Modul 1
Das Modul Datenmanagement beinhaltet die zentrale Datenbank-Applikation für die Verwaltung von Kunden, Partnern, Vorlagen für die Workflows und das eigentliche Sterberegister. Das Modul besitzt definierte Schnittstellen für den Datenaustausch zwischen den Partnern, zur Selbstregistrierung und zum Auftrags Management. Sobald ein Auftrag erfolgreich validiert wurde, wird dieser in das Datamanagement übernommen und im Auftragsmanagement als übertragen markiert. Im Zuge dieser Übertragung werden automatisch alle notwendigen Workflows für diesen Datensatz generiert und gestartet.

Die Datenbank besteht aus den Haupt-Komponenten

• Sterberegister	(Alle aufgelaufenen Sterbefälle)
• Partner	(Alle angemeldeten Partner)
• Treffer	(sogenannter R-Typ zwischen Sterberegister und Partner)
• Selbst-Registrierung	(Personen die eine Columba Online-ID verwenden)
• Registrierte Online Konten	(Online Konten die der Anwender selbst registriert hat)

5 ist eine grafische Darstellung des Datenmanagements.
6 zeigt das Datenmanagement Kontensuche.
Datenübernahme aus Auftrag
Der eingehende Datensatz ist behördlich validiert (vgl. 0). Die Daten des Verstorbenen werden darauf hin in das Sterberegister übernommen. Dabei wird jeder Sterbefall, für den keine Columba Online-ID übermittelt wurde, gegen die registrierten Anwender der Online-ID Datenbank abgeglichen. Sollte dir Person dort gefunden werden, wird die Columba Online-ID übernommen.
Bei der Speicherung im Datenmanagement erfolgt eine Datentrennung in einzelne Tabellen in derselben Datenbank oder in autarke Datenbanken differenziert nach:

• Basisdaten wie Akademischer Titel, Staatsangehörigkeit, Vorname(n), Nachname, Adresse, Geburtsort und Geburtsdatum und Columba Online-ID deren Schutzbedürftigkeit nicht als „besonders hoch“ einzustufen ist. (Siehe entsprechende Ausführungen der Datenschutzgesetzgebungen)
• E-Mail-Adressen und andere Daten, die speziell zur Identifizierung von Online-Konten dienen können, außerhalb des Internets jedoch keine Relevanz besitzen.
• Sterbeort, Sterbedatum, Sterbeurkundendaten Daten die als besonders sensibel einzuschätzen sind.
• Übermittelte Dokumente (diese sind ebenfalls als sehr sensibel zu betrachten entsprechend zu behandeln.)

Wechselwirkungen

• Auftragsmanagement

Datenspeicherung
Die Daten, die in das zentrale Sterberegister übernommen wurden, werden chronologisch mit einem Zeitstempel versehen, damit Partner Ihre Datenbestände mit einem Sterbefall auch nur einmal abgleichen müssen. Da sich im zentralen Register sehr große Mengen an Daten ansammeln, ist die Architektur und in der folgenden Umsetzung auch die entsprechende Dimensionierung sehr großzügig zu wählen.
Da sich vorgeschriebene Löschungen von Datensätzen nach Ablauf bestimmter Fristen (nationale Bestimmungen zum Datenschutz) richten, ist die Herkunft der Daten und der Zeitpunkt der Speicherung zu protokollieren. Da diese Fristen und die zugrundeliegenden rechtlichen Vorgaben veränderlich sind, ist diese Dynamik beim Layout und bei den Prozessen zur Datenpflege vorzusehen.
Technische Voraussetzungen
Das Sterberegister ist der zentrale technische Faktor des Columba Geschäftsmodell, daher ist diese Datenbank

• hoch verfügbar zu halten
• in ihrer Leistungsfähigkeit ausreichend zu dimensionieren
• gegen Angriffe geeignet zu schützen
• gegen Manipulation abzusichern
• als streng vertrauliches Betriebsgut zu behandeln

Datendokumentation
Die Ergebnisse der durchgeführten Abgleiche mit den zertifizierten Partnern ist im Datenmanagement zu dokumentieren. D.h. es wird protokolliert

• welcher Datensatz (Gebündelt zu Update-Paketen) ist bei welchem Partner wann abgeglichen worden.
• welches Ergebnis ist bei der Überprüfung zustande gekommen, wobei nur die Treffer festgehalten werden.
• welche Aktionen / welcher Status zu gefunden Konten durch den Online-Betreiber rückgemeldet wurden (ggf. mit Zeitversatz).

Diese Informationen dienen sowohl dem Tätigkeitsnachweis als auch der internen Prozessteuerung. Es ist auf diese Weise möglich dem Kunden (Bestatter, ggf. Hinterbliebene) im Detail aufzuzeigen, was seine Beauftragung bewirkt hat, welche Konten gefunden werden konnten und welche Aktionen hierzu eingeleitet wurden. Es ist vorzusehen, dass der Beauftragende nicht gegen seinen Willen mit Ergebnissen der Recherche konfrontiert wird.
Auch als Nachweis gegenüber dem zertifizierten Partner, bei späteren Reklamationen oder aufkommenden Klärungsbedarf ist die Speicherung dieser Daten notwendig.
Die Ergebnisse der Recherche können bestimmte Aktionen (Prozesse) auslösen, dies wird zentral über das Datenmanagement gesteuert. Hierzu zählen:

• Übergabe von Kontoinformationen an Inkasso Agenturen die bei der Rückführung von Guthaben helfen.
• Einleiten von formalen Kündigungen, in Fällen bei denen keine pauschalen Kündigungsprozesse initiiert werden können (auch hier können dies ggf. Dritte tun).

Schnittstellen
Das zentrale Datenmanagement enthält funktionale Schnittstellen zu den Partnern und zu dem Auftragsmanagement. In der Konzeption werden diese Schnittstellen von Columba definiert, entworfen und betrieben. Die Sicherheitsrisiken können daher gut abgeschätzt und in einer Feinplanung entsprechend beschrieben werden.
Hinweis: Wartungs- und Pflegeschnittstellen, die für den Betrieb der Systeme und entsprechenden Datenbank-Software notwendig sind, werden im Rahmen des Betriebskonzeptes genau beschrieben und im Betreib mit qualitätssichernden Maßnahmen versehen.
Schnittstelle Auftragsmanagement
Die Kommunikation zwischen den Modulen 1 und 2 ist als interne Kommunikation anzusehen und dabei sicher und leistungsfähig zu realisieren. Kommen redundante Rechenzentren zum Einsatz, ist die Daten-Verbindung zwischen den einzelnen Standorten in hohem Maß abzusichern und nach Möglichkeit ebenfalls redundant auszulegen.
Wechselwirkungen

• Auftragsmanagement

Risiken

• Ausfall von Schnittstellen Betrifft die Verfügbarkeit des Datenmanagement gegenüber dem Auftragsmanagement. Selbst ein mehrstündiger Ausfall ist nicht als kritisch zu betrachten und durch konstante Überwachung, kurze Reaktionszeit des Supports und durch redundante Auslegung der Systeme zu minimieren.

Erforderliche Maßnahmen

• Programmierung und Integration der Schnittstelle

Schnittstelle Kontensuche aktuelle Änderungen
Diese Schnittstelle stellt Daten für den Abgleich mit den Datenbeständen der Partner bereit. Insofern das Blackbox Verfahren oder ein Software-Erweiterungsmodul (Siehe Kapitel 0, 0) Verwendung findet, werden aus Berücksichtigung der datenschutzrechtlichen Vorgaben und der alleinigen Datenhoheit seitens Columba diese Daten für den Partner zu keinem Zeitpunkt als Klartext zugänglich sein. Als unmittelbarer Empfänger der bereitgestellten Daten tritt die Columba Blackbox bzw. das Softwaremodul beim Partner auf.
In Bezug auf die Sicherheit bedeutet dies, dass die Daten das innere System des Datenmanagement (Core) ausschließlich gesichert verlassen. Dies wird zum einen durch die Verschlüsselung der Daten selbst, zum anderen durch eine abgesicherte Verbindung zwischen dem Datenmanagement und der Blackbox erreicht (Siehe auch Kapitel 0).
Auch wenn ein Zertifizierungspartner über einen längeren Zeitraum keinen Abgleich durchgeführt hat, werden ihm alle bis dahin aufgelaufenen Datensätze als (Wochen-)Pakete zum Abgleich bereitgestellt.
Die vollständige und korrekte Übertragung der Datensätze lässt sich an der Blackbox feststellen, da die Pakete mit einer Fortlaufenden ID versehen und über eine Signatur verfügen. Zentral wird geprüft, welcher Partner auf welchem Abgleichungsstand steht, so dass bei Verzug Kontakt mit dem Partner aufgenommen werden kann, um die Ursache der Verzögerung zu beheben.
Hinweis: Das Verfahren ist analog dem Ausbringen von Virensignaturen zu sehen, wie es bei zentral gesteuerten Virenscanner Infrastrukturen angewendet wird. Eine Konsole zeigt auf, welche Systeme noch zur Aktualisierung ausstehen.
Die jeweils bereitgestellten Daten umfassen nur diejenigen verstorbenen Personen, welche seit dem letzten durchgeführten Abgleich hinzugekommen sind. Somit basiert das Verfahren auf einem zyklischer Abgleich in regelmäßigen Zeitintervallen (Ähnlich kumulativer Signaturen bei Virenscannern).
Die Daten werden in einer verschlüsselten Datei im lokalen Columba-Dateisystem (innerhalb der Blackbox) abgelegt und dort verarbeitet. Es kommt ein geeignetes Datenformat und Zugriffsverfahren zum Einsatz, dies kann aus heutiger Sicht z.B. XML, SOAP o.ä. Formate sein.
Die übermittelten Daten an die lokale Blackbox beim Online Anbieter dienen der Suche nach Übereinstimmungen in den Datenbeständen anhand des Abgleiches von Attributen, die geeignet sind eine eindeutige Identifizierung der zu Grunde liegenden Person zu ermöglichen. Dies sind bezogen auf den Deutschland die Merkmale:

• Akademischer Titel
• Vorname(n) und Name
• Geschlecht
• Geburtsort und -datum
• Sterbedatum
• Adresse (Straße, Hausnummer, PLZ, Ort) des letzten Wohnsitzes
• Staatsangehörigkeit
• Insofern vorhanden, die Columba Online-ID

In der internationalen Betrachtung sind weitere landestypische Merkmale vorhanden wie z.B.

• Steuernummer
• Schuldnernummer
• Ausweisnummer
• Etc.

Die übertragenen Daten entsprechen den Mindestanforderungen an die eindeutige Identifikation einer Person, wie sie auch beispielsweise für Melderegisterauskünfte üblich sind.
Die gespeicherten personenbezogenen Daten sind unter dem Aspekt des Datenschutzes nur als „bedingt sensibel“ zu bewerten, der besondere Schutzbedarf der Daten liegt in der Information begründet, dass die betreffende Person verstorben ist.
Wechselwirkungen

• Blackbox

Risiken

• Kompromittieren und Manipulation der Verstorbenen-Daten durch Unbefugte Datenübermittlung erfolgt angemessen verschlüsselt.

Erforderliche Maßnahmen

• Programmierung und Implementierung der Schnittstelle

Schnittstelle Kontensuche Gesamtbestand
Beschreibung
Die Funktionalität entspricht der vorangegangenen Schnittstelle (vgl. 0) mit dem Unterschied, dass nicht nur neu hinzugekommene Datensätze bereitgestellt werden, sondern auch alle zurückliegenden Datenpakete.
Dies hat Service bezogene Gründe, da neu gewonnene Partner, zunächst ihre Datenbestände gegen den Gesamtbestand des Columba-Sterberegisters abgleichen sollen.
Wechselwirkungen

• Blackbox

Risiken

• Kompromittieren und Manipulation der Verstorbenen-Daten durch Unbefugte. Datenübermittlung erfolgt angemessen verschlüsselt.

Erforderliche Maßnahmen

• Programmierung und Implementierung der Schnittstelle

Schnittstelle Informationsübermittlung Partner (Feedback)
Beschreibung
Sowohl für ein internes wie auch für externes Reporting der erzielten Treffer (Übereinstimmung zwischen Onlinekonten und Sterbefällen) ist es erforderlich, dass die Partner den Status des erfolgten Abgleiches an Columba übermittelt.
Zunächst werden im Rahmen des erfolgreich abgeschlossenen Abgleiches der Daten in der Blackbox beim Onlineanbieter folgende Daten unmittelbar an die Columba übertragen:

• Die ID des Columba Partners
• Die ID des verarbeiteten Datenpakets, Datum des Abgleiches
• Die Liste der IDs die einem Kunden-Datensatz des Online Anbieters zugeordnet werden konnte (inklusive des Wahrscheinlichkeitswertes der Übereinstimmung)

Die Tatsache, dass der Columba Datensatz abgeglichen wurde, ohne eine Übereinstimmung zu finden, muss nicht explizit gespeichert werden, da diese Information aus der Protokollierung der erfolgreich abgeglichen Daten-Pakete und der ID des Columba Partners geschlossen werden kann.
Für die Partnerfirmen werden die übereinstimmenden Datensätze (und nur diese) durch das Blackbox Verfahren ebenfalls, aber diesmal in unverschlüsselter Form, bereitgestellt. Wegen der zeitlichen Verzögerung zwischen Abgleich im Blackbox Verfahren und der durchgeführten Maßnahme (Löschung/Deaktivierung, Guthaben vorhanden, Vertrag vorhanden, Auflösung) ist es erforderlich, dass der abschließende Status zu einem späteren Zeitpunkt an Columba ergänzend übermittelt werden kann. Dies erfolgt über eine definierte Schnittstelle der Blackbox, über die die Datensatz-ID und ein definierter Status Code, an Columba übertragen wird. Auf Seiten Columba wird bei Eingang dieser Information der zugehörige Datensatz des Tupel (Verstorbener / Onlineanbieter), der als „Treffer“ bereits angelegt wurde, entsprechend im Status aktualisiert/ergänzt.
Persönliche Daten des Verstorbenen werden nicht erneut übermittelt, es reichen die IDs ergänzt um einen Status-Code. Die Schnittstelle empfängt über einen Server-Port Datensätze bestehend aus Columba-ID, Partner-ID und den Status der Bearbeitung beim Partner, der im Columba Datenmanagement zugeordnet und abgespeichert wird. Die beschriebenen Daten sind weniger vertraulich dafür ist die Korrektheit der Daten bei der Übertragung zu Columba umso wichtiger.
Wechselwirkungen

• Partner
• Columba Datenmanagement
• Blackbox

Risiken

• Ausfall der Schnittstelle Durch geeignetes Monitoring kann man die Verfügbarkeit der Schnittstelle überwachen. Selbst bei einem Ausfall über einen längeren Zeitraum hat der Online-Anbieter die Möglichkeit die Daten erneut zu senden sobald die Schnittstelle wieder bereit ist.

Erforderliche Maßnahmen

• Programmierung und Implementierung der Schnittstelle

Schnittstelle Selbst-Registrierung (Modul 6)
Es ist möglich, sich bei Columba zu registrieren, um den „digitalen Nachlass“ bereits zu Lebzeiten selbst zu regeln. Vergleiche hierzu Kapitel 0 in diesem Dokument.
Dem Anwender wird es ermöglicht, seine eigenen Daten bei der Registrierung einzutragen, und diese Informationen später auch zu pflegen und aktuell zu halten. Darüber hinaus kann der Anwender mit der ihm zugewiesenen Columba Online-ID Konten bei Onlinedienstleistern registrieren und gegebenenfalls hinterlegen, was im Falle des Todes mit diesem Konto erfolgen soll. Dafür wird dem Anwender eine Webschnittstelle bereitgestellt, mit der er die angesprochenen Aufgaben erledigen kann.
Die Webschnittstelle soll ihm darüber hinaus eine Übersicht geben, bei welchen Columba zertifizierten Unternehmen er ein Konto registriert hat. Soll eine dieser Konto-Registrierungen gelöscht werden, kann das unmittelbar erfolgen (Warum auch immer der Anwender das tun will). Besteht der Wunsch, das Online-Konto ganz aufzulösen, wird ein Link bereitgestellt, der zu einer entsprechenden Seite des Onlineanbieters verweist. Damit erhält der Anwender die Gelegenheit Übersicht über seine Onlinekonten zu wahren.
Risiken

• Ausfall der Schnittstelle Durch geeignetes Monitoring kann man die Verfügbarkeit der Schnittstelle überwachen.
• Angriff durch DoS Automatisierte Massenanfragen können die Performance der Schnittstelle kritisch beeinflussen. Zur Erkennung und Bekämpfung existieren Standardlösungen.

Erforderliche Maßnahmen

• Programmierung und Implementierung der Schnittstelle

Auftragsmanagement – Modul 2
Das Columba-Auftragsmanagement verwaltet die eingehenden Aufträge, prüft diese und leitet die Validierung ein. Die Aufträge werden je nach Ergebnis der Prüfungen zurückgewiesen, zur Überarbeitung zurückgegeben oder im Erfolgsfall an das Datenmanagement (Sterberegister) übergeben.
An Columba übertragene Daten werden mit den zuständigen Behörden abgeglichen und bei erfolgreicher Validierung in das Columba-Datenmanagement übernommen. Andernfalls werden die Daten im Auftrags-Management zur Löschung markiert und der Auftraggeber entsprechend benachrichtigt.
7 ist eine grafische Darstellung des Auftragsmanagements.
Datenspeicherung
Wenn das zur Eingabe und Übermittlung der Daten benutzte Zertifikat und die digitale Signatur gültig sind, werden die empfangenen Daten in die Columba-Auftragsdatenbank übernommen.
Sollte der Auftrag durch einen Hinterbliebenen direkt erfolgt sein, so ist neben der rechtssicheren Identifizierung des Meldenden auch die Berechtigung zur Auftragserteilung (Nachlassschein, Sterbeurkunde etc.) sicher zu verifizieren.
In der oben gezeigten Grafik wurden aus Gründen der Übersichtlichkeit alle Auftragsdaten in einer schematisch dargestellten Datenbank-Tabelle abgelegt. In der Umsetzung des Projektes wird geprüft, ob die persönlichen Daten der Aufträge auf verschiedene Datenbanken (Tabellen) verteilt gespeichert werden.
Die Tabellenstruktur kann zum aktuellen Planungsstand folgendermaßen angegeben werden:

• Contracts (ContractOID, TransmissionID, TransmissionDate, TransmissionTime, CustomerOID)
• Persons (PersonOID, ContractOID, ac. Title, Firstname, Last Lastname, ZipCode, City, Country, Address)
• PersonsInfo (ContractOID, Birthdate, Birthplace, DayOfDeath, PlaceOfDeath, NumberDeathCertificate, DateDeathCertificate, NamePublicAuthority, PlacePublicAuthority)
• PersonsEmails (ContractOID, Email)

Wechselwirkungen

Auftragsschnittstelle

Risiken

• Keine spezifischen Risiken

Erforderliche Maßnahmen

• Bereitstellung Rechenzentrum
• Programmierung und Implementierung der Datenbank
• Bereitstellung benötigter Bandbreite

Auftragsschnittstelle Bestatter
Die Columba-Auftragsschnittstelle Bestatter stellt die Verbindung für die Aufnahme von Datensätzen von registrierten Bestattern dar und wird im Kapitel 0 genauer beschrieben. Sie überprüft in Echtzeit, ob das gesendete Zertifikat und die digitale Signatur gültig sind und verweigert andernfalls die Annahme der Daten. Sollte das Zertifikat oder die digitale Signatur ungültig sein, wird der Bestatter über das Übertragungsprotokoll seiner Software informiert und der Prozess endet. Es werden keine Daten im System angelegt.
Wechselwirkungen

• Zertifikation / Signatur
• Identifizierung und Berechtigungsprüfung

Spezifikation der Schnittstelle
Die Technische Spezifikation der Schnittstelle ist Bestandteil der Betaentwicklung und ergibt sich weitgehend aus den zu übermittelten Daten. Hier ist eine Standardlösung zu wählen.
Risiken

• Keine spezifischen Risiken

Erforderliche Maßnahmen

• Programmierung und Implementierung der Schnittstelle

Auftragsschnittstelle Hinterbliebene
Die Columba-Auftragsschnittstelle Hinterbliebener stellt die Verbindungen für die Aufnahme von Datensätzen von Hinterbliebenen dar und wird im folgenden Kapitel (Modul 3) beschrieben. Sollten die Daten nicht verarbeitet werden können, wird der Hinterbliebene unter seiner bei Auftragsvergabe angegeben E-Mailadresse über den Fehler benachrichtigt und der Prozess endet.
Wechselwirkungen

• Identifizierung und Berechtigungsprüfung
• Datentransfer Kunde

Spezifikation der Schnittstelle
Die Technische Spezifikation der Schnittstelle ist Bestandteil der Betaentwicklung und ergibt sich weitgehend aus den zu übermittelten Daten. Hier ist jede Standardlösung denkbar.
Risiken

• Angriff von Hackern. Erhebliche Maßnahmen zur Absicherung der Website notwendig.
• “Spaß-Einträge“. Erhebliche Maßnahmen zur Absicherung der Website notwendig.
• DoS Angriffe (Denial of Service). Erhebliche Maßnahmen zur Absicherung der Website notwendig.
• SQL Injection. Erhebliche Maßnahmen zur Absicherung der Website notwendig.

Erforderliche Maßnahmen

• Programmierung und Implementierung der Schnittstelle

Prozessbeschreibung Bestatter
Beschreibung
Damit ein Bestattungsinstitut an das Auftrags-Management einen Antrag zur Löschung der Online-Identitäten stellen kann muss sich das Bestattungs-Unternehmen zuerst bei Columba registrieren. Erst nach erfolgreicher Registrierung sind Bestattungsunternehmen in der Lage, Aufträge der Hinterbliebenen für eine Löschung der Online-Identitäten an Columba zu übermitteln.
Im Rahmen der Auftragserfassung durch den Bestatter erfolgt eine Prüfung der vorgelegten Unterlagen (Sterbeschein, Nachlassschein, ...), wozu ein Bestatter grundsätzlich in der Lage ist.
Wurden Aufträge an Columba übermittelt, werden diese, bevor es zum tatsächlichen Abgleich mit den Online-Dienstleistern kommt, mit den Behörden abgeglichen. Erst wenn die Datenvalidierung erfolgreich war wird der Auftrag formal entgegengenommen und ausgeführt. Der Bestatter kann sich über den Status seiner Aufträge jederzeit Informieren.
Wechselwirkungen

• Digitale Signatur
• Zertifikation
• Downloadcenter

Risiken

• Keine spezifischen Risiken

Erforderliche Maßnahmen

• Erstellen der Bestatter-Software
• Herstellen der Übermittlungssicherheit (Bereitstellung Zertifikate ...)
• Registrierungswebsite
• Support
• Dongle

Registrierung Bestatter
Die Erstanmeldung eines Bestatters wird über die Columba Internetpräsenz möglich sein. Auf dieser Seite wird es eine offene Registrierung und ein Login zu einem geschlossenen Bereich für die Bestattungsunternehmen geben. Bei der Registrierung sind zwei Szenarien zu berücksichtigen:

• Der Bestatter ist ein Einzelunternehmen mit nur einem Standort

• Der Bestatter ist ein größeres Unternehmen mit mehreren Filialen

Im zweiten Fall gibt es genau einen Beauftragenden, welcher die administrativen Prozesse und Verantwortungen übernimmt, unabhängig davon, wie viele Filialen und Mitarbeiter berechtigt sein werden, die Auftragsschnittstelle funktional zu nutzen.
Unterlagen, Software, Dongles etc. werden an die zentrale Firmenadresse versandt und von dort im Unternehmen verteilt.
Zur Registrierung eines Bestatters sind folgende Informationen erforderlich:

• Firma
• Ansprechpartner: Vorname, Name, Funktion
• Kontaktdaten: Adresse, PLZ, Ort, Telefon, Fax, Email
• Bankverbindung (Wenn das Geschäftsmodell vorsieht, dass Kosten durch den Bestatter zu tragen sind)
• Gewerbenachweis (z.B. Handelsregisterauszug und -nummer), Zulassung als Bestatter
• Anzahl der benötigten Lizenzen (Key´s, Dongles mit Zertifikat und Software)

Im Anschluss an eine erfolgreiche Online-Registrierung und einer geeigneten Verifizierung seiner Identität erhält der Bestattungsunternehmer eine Bestätigung seiner Registrierung. Auch ein technisch unerfahrener Bestatter soll das das Columba-Angebot sicher und fehlerfrei nutzen können.
Wechselwirkungen

• Zertifikation
• Downloadcenter

Risiken

• Keine spezifischen Risiken

Erforderliche Maßnahmen

• Erstellen der Bestatter-Software

Auftragseingang – Modul 3
Das Modul Auftragseingang beschreibt die Funktionalitäten und technischen Voraussetzungen, mit deren Hilfe Kundenaufträge erfasst und in das Auftragsmanagement übergeben werden. Als Alternative wird beschrieben, wie Aufträge verarbeitet werden, die durch die Hinterbliebenen direkt erteilt werden.
Die beiden Schnittstellen unterscheiden sich sowohl konzeptionell wir auch in der technischen Ausprägung:

• Das Bestattungs-Unternehmen verfügt über eine Software in die Authentifizierungs- und Verschlüsselungsmethoden basierend auf Zertifikaten integriert sind, um die Integrität und Sicherheit der Daten zu vor und während der Übertragung an Columba zu gewährleisten – Columba kennt die Identität der Meldenden Stelle.
• Über eine solche Software verfügt der Hinterbliebene selbst nicht, er arbeitet über eine Webschnittstelle. Die Identität des Meldenden ist nicht verifiziert.

In der Variante Bestatter/Desktopanwendung wird das digitale Zertifikat (welches sich ggf. auf einem Dongle befindet), dass zur Übermittlung der Aufträge genutzt wurde, geprüft. Nur wenn dieses gültig ist, wird die weitere Verifizierung der Daten fortgesetzt. Wenn das Zertifikat ungültig oder abgelaufen ist, wird dies dem Kunden mitgeteilt und der Verbindungsaufbau zur Daten-Übermittlung abgewiesen.
Es kann eine vorübergehende oder dauerhafte Abschaltung des Dienstes für Kunden erfolgen, deren Aufträge widerholt eine ungenügende Datenqualität besitzen oder deren Verifizierung mit den Behörden regelmäßig fehlschlägt.
In der Variante Privatanwender/Hinterbliebener wird die Datenübertragung über eine sichere verschlüsselte Internetverbindung (https:) mit Hilfe einer Webapplikation abgewickelt.
In diesem Fall ist die Identifikation des Auftraggebers schwierig, da der Benutzer nicht vorab zertifiziert wurde. Mittel- bis langfristig kann als Möglichkeit zur Identifizierung des Auftragsgebers der digitale Personalausweis in Betracht gezogen werden, bisher kann das Verfahren aus technischen Gründen nicht erfolgreich umgesetzt werden. Die übrige Prozedur der Datenübermittlung und Validierung ist ident mit der Variante Bestatter.
8 ist eine grafische Darstellung des Auftragseingangs.
Anträge zur Bereinigung und gegebenenfalls Löschung der Online-Identitäten eines Verstorben können Bestatter beauftragen, sofern Sie über die Vollmacht der Erbberechtigten verfügen. Bestatter können die Anträge über eine für diese Anforderung entwickelte Desktop-Software erteilen. Die Applikation macht es möglich, Aufträge einfach zu verwalten. Die Software kann entweder über das Internet über einen Downloadbereich bezogen werden. Alternativ kann sie direkt auf den Zertifikats-Dongle geschrieben und mit diesem verteilt werden. Die Software soll einen Update-Mechanismus beinhalten, so dass künftige Programmupdates automatisch über die Internetverbindung an die Bestattungsunternehmen verteilt und dort installiert werden können.
Falls die Software über den Downloadbereich bezogen werden soll, sind darüber hinaus ein gültiges Zertifikat und ein Freischaltungscode zu beziehen. Dieses Zertifikat wird auf einem Dongle, einer Chipcard oder vergleichbarem Speichermedium, welches unveränderbar ist, ausgeliefert. Erst wenn die Software fehlerfrei installiert und ein gültiges Zertifikat vorhanden ist, kann der Bestatter mit der Auftragsverwaltung beginnen.
Um einen sicheren Austausch der Daten mit der Columba-Auftragsverwaltung zu ermöglichen werden die Daten während der Kommunikation mit dem Columba Server und beim Transfer über das Internet digital verschlüsselt. Der Datentransfer erfolgt über ein sicheres Protokoll, hierzu zählt aktuell „SSL“, es kann bei Bedarf auch eine höhere Form der Absicherung in Betracht gezogen werden. Eine hardwarebasierende Lösung ist, auch wenn als sicherer einzustufen, aus logistischen Gründen nicht bevorzugt zu betrachten.
Nach einem erfolgreichen Transfer eines Auftrages in das Auftragsmanagement der Columba wird der Auftrag in der Clientapplikation beim Bestatter als „übertragen“ markiert und entsprechend abgelegt. Es verbleiben auf dem Rechner der Bestatters jedoch nur die Daten, die dieser zur Darstellung seiner Geschäftsbeziehung zum Hinterbliebenen benötigt (ggf. für Finanzbehörden, Abwehr von Reklamationen und Regressansprüche gegen den Bestatter).
Um eine Auftragshistorie zu gewährleisten, wird ein Übertragungsprotokoll von der Columba-Auftragsverwaltung an die den Bestatter gesendet, in der die relevanten Informationen enthalten sind. Über die Protokolldatei können alle erteilten Aufträge nachvollzogen und dokumentiert werden.
Für Hinterbliebene soll eine Webapplikation entwickelt und bereitgestellt werden, die den direkt eingegebenen Auftrag in vergleichbarer Weise annimmt. Bei der Verifizierung der Identität des Hinterbliebenen (Auftraggeber) und bei der Überprüfung seiner Berechtigung, die Löschung der Online Identitäten des Verstorbenen beauftragen zu dürfen, werden Verfahren heran gezogen, die am Markt bereits etabliert sind (z.B. Post-Ident Verfahren).
Software Bestatter
Die Clientsoftware wird auf den lokalen Rechnern der Bestattungs-Unternehmen laufen und sollte deswegen für die am Markt vorzufindenden Plattformen (z.B. Windows, MacOS, Linux) entwickelt werden. Sie enthält die Benutzeroberflächen für die Datenerfassung und Datenanzeige. Ebenso erstellt Sie automatisch die digitale Signatur für den Datentransfer zur Columba-Auftragsverwaltung um zu gewährleisten, dass die Daten ab diesem Zeitpunkt nicht mehr verändert werden können. Beim Starten der Applikation überprüft sie selbstständig, ob das Zertifikat vorhanden und gültig ist. Sollte dies nicht der Fall sein, wird über eine entsprechende Mitteilung der Bestatter informiert und nach Bestätigung die Applikation automatisch geschlossen.
Das Layout der Anwendung ist einfach zu halten und die Bedienung muss leicht erlernbar sein. Über eine Menüstruktur sind alle Ein- und Ausgabemasken direkt zu erreichen. Die Dialoge sind in nicht technischer Sprache zu verfassen. Die Software prüft selbständig in regelmäßigen Abständen, ob ein Update auf dem Columba-Server vorhanden ist und installiert dieses nach Bestätigung des Benutzers.
Dia Applikation lässt sich sowohl mit einer Online Verbindung zum Columba-Server wie auch in einem „Offline-Modus“ ohne Netzanbindung verwenden.
Installationsroutine
Die Software kann über einen Downloadbereich des Columba Internet-Portals dem Bestatter bereitgestellt werden oder alternativ auf einem Dongel zusammen mit dem digitalen Zertifikat dem Bestatter zur Verfügung gestellt werden.
Der Kunde soll mit Hilfe des Softwareinstallationspaketes durch den Prozess der Installation geführt werden. Er kann den Installationsordner sowie die Generierung eines Desktopsymbols auswählen. Der Kunde wird über die einzelnen Schritte und den Erfolg der Installation Informiert.
Wechselwirkungen

• Zertifikation
• Digitale Signatur
• Software für Bestatter
• Datenübertransfer/Protokoll
• Downloadcenter

Risiken

• Fehlkonfiguration auf Clientseite
• Lokale Firewalls, fehlende Rechte

Eingabemaske
Beschreibung
Der Bestatter kann über die Eingabemaske komfortabel die benötigten Stamminformationen eintragen. Die Daten werden auf Vollständigkeit, Plausibilität und Datenformate geprüft. Erst wenn alle Daten korrekt eingetragen sind können sie für die weitere Verarbeitung gespeichert werden. Pflichtinformationen sind alle Eingabefelder
Eingabefelder:

• Akademischer Titel
• Geschlecht
• Vornamen
• Nachname
• Geburtsdatum
• Geburtsort
• Todestag
• Verstorben am Ort
• Letzter Wohnort (Adresse, PLZ, Ort)
• Liste der bekannten E-Mails
• Nummer der Sterbeurkunde
• Adresse der Behörde die die Sterbeurkunde ausgestellt hat
• Ausstellungsdatum Sterbeurkunde
• Staatsangehörigkeit

Schaltflächen:

• Speichern
• Schließen
• Abbrechen

Wechselwirkungen

• Bestatter-Software

Risiken

• Keine spezifischen Risiken

Auftragsmaske
Der Bestatter kann über das Anzeigeformular alle noch nicht freigegebenen Aufträge einsehen. Für das leichtere Auffinden von Aufträgen hat der Kunde die Möglichkeit, über Filter die Anzeige einzugrenzen. Zudem hat er die Möglichkeit, noch korrigierend auf die Aufträge einzuwirken. Die Schaltfläche „Freigabe“ stößt die Übermittlung der gefilterten Aufträge an das Auftragsmanagement an. Der Bestatter erhält nach der Übermittlung einen Status für jeden einzelnen Auftrag zurück sowie ein Übermittlungsbestätigung. Diese beinhaltet Informationen ob der Transfer fehlerfrei war. Aufträge die ohne Störung übermittelt wurden, werden automatisch im System als abgeschlossen markiert und können nicht mehr editiert werden. Wenn ein Auftrag bearbeitet werden soll, wird für den ausgewählten Auftrag die Eingabemaske geöffnet und alle Eingabefelder sowie die hinterlegten Dokumente vorab ausgefüllt.
Filter:

• Geschlecht
• Vorname
• Nachname
• Geburtsdatum
• Geburtsort
• An welchen Ort verstorben
• Todestag
• Nummer der Sterbeurkunde
• Ort der Behörde
• Ausstellungsdatum der Behörde

Schaltflächen:

• Selektierten Auftrag bearbeiten
• Aufträge freigeben
• Schließen

Wechselwirkungen

• Bestatter-Software

Risiken

• Keine spezifischen Risiken

Auftragsübermittlung Bestatter
Beschreibung
Die Auftragsübermittlung besteht aus folgenden Schritten

• Mit der Columba-Software und dem benötigten digitalen Zertifikat kann der Bestatter zunächst eingehende Sterbefälle lokal erfassen.
• Die erfassten Sterbefälle mit den Daten des Verstorbenen werden auf Veranlassung des Bestatters an das Columba-Auftragssystem mittels der gesicherten Verbindung übertragen und beim Bestatter protokolliert.
• Die übertragenen Daten werden mit einer digitalen Signatur bereits beim Bestatter versehen, so dass eine Manipulation zu keinem späteren Zeitpunkt mehr möglich ist.
• Unmittelbar nach der Übermittlung erhält der Bestatter eine Übermittlungsbestätigung (je Auftrag und mit Informationen zu den übermittelten Daten). Dies erfolgt ebenfalls in verschlüsselter Form.
• Damit ist die aktive Meldung des Bestatters an das Columba-System abgeschlossen.
• Es erfolgt eine Datenprüfung durch den Abgleich der Sterbedaten mit der zuständigen Behörde (siehe Kapitel 0).
• Im Falle einer fehlgeschlagenen Validierung: • wird der Auftrag bei Columba entsprechend markiert • erhält der Bestatter eine Nachricht, seine Daten zu prüfen und ggf. erneut zu erfassen sowie die Meldung, dass der Auftrag nicht ausgeführt wird • wird der Vorgang protokolliert und gegebenenfalls verrechnet. Zur Verrechnung sind Regelungen zu definieren, die länder- oder geschäftsmodellspezifisch gestaltet werden können.
• Im Falle einer erfolgreichen Validierung: • wird der Auftrag (Sterbedaten) ins Columba Datenmanagement (Zentralregister) überführt. • Erhält der Bestatter eine Bestätigung, dass sein Auftrag in positiv geprüft wurde und nun ausgeführt wird. Dieses Protokoll verbleibt beim Bestatter.

Wechselwirkungen

• Zertifikation
• Digitale Verschlüsselung und Signatur
• Software für Bestatter
• Datenübertransfer/Protokoll

Risiken

• Ungenügende Datenqualität bei der Eingabe

Protokollmaske
Beschreibung
Damit der Kunde nachvollziehen kann welche Aufträge er übermittelt hat, werden die gespeicherten Protokolldateien in einer Liste angezeigt. Es werden Filter bereitgestellt um die Daten einzugrenzen.
Angezeigte Informationen:

• Transaktions-ID
• Datum der Übermittlung
• Geschlecht
• Akademischer Titel
• Vornamen
• Nachname
• Geburtstag
• Geburtsort
• Todestag

Filter:

• Vorname
• Nachname
• Todestag
• Übermittlungsdatum

1.1.1 Wechselwirkungen

• Bestatter-Software

1.1.2 Risiken

• Keine spezifischen Risiken

Prozessbeschreibung Hinterbliebener
Damit ein Hinterbliebener an das Auftrags-Management einen Antrag zur Löschung der Online-Identitäten seines Angehörigen stellen kann, muss er die Columba-Webapplikation in seinem Webbrowser aufrufen. Die entfallende Identifikation muss im Rahmen der Auftragserteilung stattfinden. Entsprechend ist eine Identifizierung über seine Adressdaten in Verbindung mit einem Double-OptIn und einem Captcha sinnvoll. Nach Vervollständigung des Formulars mit den Daten des Verstorbenen, der Sterbeurkunde und dem Erbschein können die Hinterbliebenen den Auftrag zur Löschung der Online-Identitäten an Columba übermitteln.
Der Auftraggeber erhält per E-Mail eine Auftragsnummer sowie einen Zugangscode anhand dessen er sich über den Status seines Auftrags jederzeit auf der Columba-Webapplikation informieren kann.
Die weitere Bearbeitung des Auftrages erfolgt durch Columba analog zum Bestatter-Auftrag, mit dem Unterschied, dass fehlerhafte Datenvalidierungen per E-Mail an den Auftraggeber übermittelt werden.
Wechselwirkungen

• Identifikationsverfahren
• Datentransfer

Risiken

• Dumme Benutzer
• Hacker
• Öffentliches erreichbares Interface
• Echtheit der Unterlagen

Erforderliche Maßnahmen

• Klärung der Übermittlungssicherheit (Zertifikate ...)
• Support

Identifikation Hinterbliebener
Beschreibung
Wenn ein Hinterbliebener die Webapplikation in seinem Browser öffnet, wird er dazu aufgefordert seine persönlichen Daten, Adresse und Erreichbarkeit einzutragen. Nach Bestätigung des Captcha kann er diese Angaben an Columba absenden und erhält daraufhin eine E-Mail mit Registrierungscode (Link), der Ihn zur Eingabe der Daten des Verstorbenen berechtigt.
Wechselwirkungen

• Webinterface Hinterbliebener

Risiken

• Ein Hinterbliebener täuscht vor, berechtigt zu sein.

Eingabemaske
Beschreibung
Der Benutzer kann über die Eingabemaske die benötigten Stamminformationen eintragen. Die Daten werden auf Vollständigkeit und Plausibilität geprüft. Wenn alle Daten korrekt eingetragen sind, können sie für die weitere Verarbeitung gespeichert werden. Pflichtinformationen sind alle Eingabefelder.
Eingabefelder Auftraggeber:

• Akademischer Titel
• Geschlecht
• Vornamen
• Nachname
• Wohnort(Adresse, PLZ, Ort)
• Kontakt-Email

Eingabefelder Sterbedaten:

• Staatsangehörigkeit
• Akademischer Titel
• Geschlecht
• Vornamen
• Nachname
• Geburtsdatum
• Geburtsort
• Todestag
• Verstorben am Ort
• Letzter Wohnort(Adresse, PLZ, Ort)
• Nummer der Sterbeurkunde
• Adresse der Behörde die die Sterbeurkunde ausgestellt hat
• Ausstellungsdatum Sterbeurkunde

Wechselwirkungen

• Webinterface Hinterbliebener

Risiken

• Siehe unter "Prozessbeschreibung Hinterbliebener"

Auftragsübermittlung Hinterbliebener
Die Auftragsübermittlung besteht aus folgenden Schritten:

• Auf der Eingabemaske kann der Hinterbliebene die Sterbedaten erfassen.
• Der erfasste Auftrag mit seinen Informationen wird dem Hinterbliebenen nochmals zur Prüfung angezeigt und erst wenn er die Richtigkeit der Dateneingabe bestätigt, wird er in das Bezahlmodul weitergeleitet.
• Im Bezahlmodul kann er die Bezahlung Online per Sofortüberweisung, Kreditkartenzahlung, "Paypal" usw. tätigen. Es erfolgt eine sofortige Prüfung der Zahlungsdaten auf Gültigkeit.
• Nur bei erfolgreicher Bestätigung vom Zahlungsanbieter werden die Daten an das Columba-Auftragssystem mittels der gesicherten Verbindung übertragen und erhalten den Status „Zahlung offen“ bis zum erfolgten Zahlungseingang.
• Unmittelbar nach der Übermittlung erhält der Hinterbliebene ein Übermittlungsprotokoll per E-Mail als Empfangsbestätigung.
• Damit ist die aktive Meldung des Hinterbliebenen an das Columba-System abgeschlossen.
• Vor der Weitergabe des Auftrags für den Behördenabgleich bedarf es einer vollständigen Inkasso-Prozedur (Erfassung von Zahlungseingang, Zuordnung, Mahnstufen, ...)
• Scheitert das Inkasso, wird der Datensatz zur Löschung markiert und der Hinterbliebene darüber informiert. Der Prozess der Auftragsübermittlung endet.
• Bezahlte Aufträge werden durch den Abgleich der Sterbedaten mit der zuständigen Behörde validiert.
• Im Falle einer fehlgeschlagenen Validierung: • erhält der Hinterbliebene eine Nachricht mit dem genauen Grund und einem Editcode, der die Änderung der erfassten Daten ermöglicht. • werden die korrigierten Daten des Auftraggebers in Columba berichtigt. • die geänderten Daten werden erneut validiert. • wird der Vorgang protokolliert.
• Im Falle einer endgültig Fehlgeschlagenen Validierung • werden die Daten gelöscht • erhält der Hinterbliebene eine Nachricht mit der Information, dass die Daten nicht von der Behörde validiert wurden und der Auftrag nicht ausgeführt werden wird.
• Im Falle einer erfolgreicher Validierung • wird der Auftrag (Sterbedaten) ins Columba Datenmanagement (Zentralregister) überführt. • Erhält der Hinterbliebene eine Bestätigung, dass sein Auftrag in Ordnung ist und nun ausgeführt wird.

Wechselwirkungen

• Auftragsmanagement
• Webinterface

Risiken

• Editcode wird abgefangen
• Emails werden abgefangen

Datenvalidierung Behörde – Modul 4
Eines der wesentlichen Merkmale des Postmortalen Identitätsmanagement durch Columba, ist die Zuverlässigkeit und Belastbarkeit der genutzten Informationen. Daher ist es vorgesehen, keine Daten in das Columba Sterberegister zu übernehmen, deren Authentizität nicht durch eine behördliche Stelle validiert wurde. Damit wird ausgeschlossen, dass selbst bei einem kriminellen Hintergrund der handelnden, Online-Konten oder generell die Interessen von noch lebenden Personen geschädigt werden können.
Es wird jeder einzelne Auftrag durch eine Behörde bestätigt, die hierzu in der Lage ist. In Deutschland sind dies die Meldebehörden / Standesämter.
9 ist eine grafische Übersicht der Validierung.
Schnittstelle Behörde
Diese Schnittstelle dient ausschließlich zur Verifizierung der vom Bestatter oder den Erbberechtigten übermittelten Sterbedaten. Durch die behördliche Validierung wird sichergestellt, dass die angegebene Person tatsächlich verstorben ist. Dies ist erforderlich, um jeden Missbrauch zu verhindern, der dazu führen könnte, dass die Online-Identitäten lebender Personen gelöscht werden.
Die konkrete Zusammenarbeit mit den jeweiligen Behörden ist eine Frage von rechtlichen sowie verwaltungstechnischen Regelungen, die höchst unterschiedlich anzutreffen sind. Da es Onlinedienstleister gibt, die nachweislich auf zentrale Meldestellen zugreifen, ist davon auszugehen, dass es auch für Columba möglich sein wird, eine Lösung mit den Behörden herzustellen.
Erster Prozessschritt dieses Moduls ist die Identifizierung der jeweiligen Behörde die in Abhängigkeit des letzten Wohnortes oder des Ort des Todes Abhängig sein kann.
Angedacht ist eine Columba-API, welche die in der Auftragsdatenbank gespeicherten Daten kontinuierlich mit den Behördendatenbeständen abgleicht. Dabei wird bei der Behörde angefragt, ob der Vorname, Nachname, Geburtsdatum, Geburtsort, Todestag, Sterbeort sowie Nummer und das Ausstellungsdatum der Sterbeurkunde übereinstimmen.
Dazu werden die benötigten Informationen an die zuständige Behördenschnittstelle übergeben, welche mit den entsprechenden Melderegistern kommuniziert. Die Übermittlung dieser Daten muss in verschlüsselter Form (Vertraulichkeit) erfolgen und muss gegen Manipulation (Integrität) geschützt werden.
Die bestätigende Stelle antwortet mit einer Statusmeldung und im Fall einer negativen Antwort mit einem Fehlercode, der auf die Ursache schließen lässt (mangelnde Datenqualität, Person ist nicht tot, Person existiert nicht, ...).
Wechselwirkungen

• Schnittstelle Behörde

Risiken

• Vielzahl von Schnittstellen / Heterogene Infrastruktur Es ist zu prüfen, ob es Dienstleister gibt, die die Aufgabe der Validierung zuverlässig durchführen können und die Komplexität für Columba auf eine einzige Schnittstelle reduzieren.
• Behörden sind nicht erreichbar Es wird im Geschäftsprozess berücksichtigt, dass der Prozess zur Validierung durchaus mehrere Tage dauern kann, so gesehen ist auch die temporär fehlende Erreichbarkeit einer Behörde nicht als kritisch zu bewerten.

Konten-Suche – Modul 5
Die Suche nach Konten von Verstorbenen bei Online-Portalen ist wesentliches hervorzuhebendes Merkmal des von Columba entwickelten Verfahrens.
Zertifizierte Online-Portale
Damit die Online-Portale ihre Kunden-Daten mit dem Columba-Register abgleichen können müssen sich diese zunächst bei Columba zertifizieren.
Die Kommunikation zwischen Columba und den Online Betreibern basiert auf mehreren Schnittstellen. Es wird darauf geachtet, dass alle genutzten Schnittstellen den aktuell besten Sicherheitsstandards entsprechen und für beide Seiten eine vertrauenswürdige Architektur besitzen.
Um eine Columba Zertifizierung als Online Anbieter zu erhalten und dauerhaft führen zu dürfen, ist es für den Partner erforderlich den von Columba definierten Vorgaben und Regeln zu entsprechen.
Diese beziehen sich u. anderem auf die Regelmäßigkeit des Datenabgleiches, der Reaktionszeit des Partners auf gefundene Konten und die Qualität der Bearbeitung solcher Online-Identitäten. Columba behält sich vor, zur Sicherung der Qualität und Güte angemessene und wirksame Kontrollen durchzuführen. Die Partnerunternehmen erklären sich mit diesen Überprüfungen einverstanden, andernfalls kann keine Zertifizierung erfolgen bzw. muss diese zurückgenommen werden.
Da in der Frage der Vertrauensstellung die besondere Herausforderung des geplanten Datenabgleiches liegt, werden in der Folge mehrere Varianten gegenüber gestellt. Es wird auf Vorund Nachteile hingewiesen und das Projektmanagement sollte in einem der nächsten Projektschritte ungeeignete Verfahren aus dem Projektfokus nehmen und lediglich die erfolgversprechenden Verfahren weiter untersuchen und verfeinern lassen.
10 zeigt den Datenabgleich in der Blackbox. In 10 sieht man die Black-Box / Softwaremodul Variante, wie sie nachfolgend beschrieben wird.
Registrierung der Partner
Der Abgleich der Kundenstammdaten des Online-Anbieters mit den Sterbelisten der Columba wird nur für zertifizierte Partner möglich sein. Daher muss eine verbindliche Registrierung und Zertifizierung des Partners erfolgen. In Rahmen der Zertifizierung ist durch den Partner (Online Anbieter) schriftlich zu erklären, dass er die Informationen, die ihm zur Verfügung gestellt werden, (Sterbefälle in seinem Kundenstamm) ausschließlich für die vereinbarten Zwecke verwendet.
Wenn sich die Partner bei Columba registrieren erhalten sie:

• Eine Partner ID
• Logindaten per Post
• Aktivierungscode per separater Post
• Das durch Columba erzeugte digitale Zertifikat
• Zugang zu einer Blackbox (ggf. Soft- oder Hardwarebasierend, je nach Bedarf)

Wechselwirkungen

• Datenmanagement

Risiken

• Keine spezifischen Risiken

Columba Blackbox
Datenabgleich wird zyklisch automatisch gestartet, Abgleich findet beim Partner in einer Columba Blackbox statt.
11 ist eine grafische Darstellung der Variante 5.
Gedanke: Zwei Parteien sollen Listen miteinander vergleichen, ohne dass eine Partei der Gegenseite seine eigene Liste offen legt.
Es werden keine Datensätze verstorbener Personen im Klartext an den Partner übermittelt. Ebenso werden die Kundenstammdaten des Partners, mit Ausnahme der übereinstimmenden Datensätze, Columba nicht bekannt gegeben.
Der Vorgang des Abgleichs der Datensätze wird unter Kontrolle und nach der Methodik der Columba stattfinden, um sowohl die Qualität des Abgleichs sicher zu stellen als auch die tatsächliche Durchführung eines Abgleiches zu protokollieren.
Das von Columba beschriebene Verfahren entspricht einer Black Box, in die, unabhängig voneinander, beide Seiten ihre Listen einbringen. Die Columba Listen werden in verschlüsselter Form eingebracht und sind nur für die Blackbox lesbar.
Dem Partner ist es dadurch technisch nicht möglich, die übermittelten Daten zu lesen selbst wenn er den Datenaustausch mit der Black-Box abfängt. Um das notwendige Vertrauen des Partners für das Verfahren zu erlangen ist eine Trennung der Hoheiten geplant. Die logische Hoheit über Software und Verschlüsselung liegt bei Columba, die Hoheit über die Hardware verbleibt beim Partner.
12 zeigt "Geteilte Hoheiten".
Hinweis: Die Blackbox kann in einer eigenen Hardware realisiert werden, welche dem Partner zur Verfügung gestellt wird, genauso gut kann die Blackbox jedoch auch als Software auf den Systemen der Partner laufen, was erhebliche logistische Vereinfachungen mit sich bringt und Kosten spart.
Notwendig ist aber auf jeden Fall eine Registrierung des Partners durch Columba, als Basis für eine Zertifizierung nach den Columba-Standards. Dies bedeutet im Umkehrschluss, dass der Abgleich mit dem Columba Sterberegister nur für bekannte, registrierte Partner möglich ist. Dies wird sichergestellt, indem beim Abgleich durch die Blackbox Zertifikat auf Gültigkeit hin geprüft werden.
Sobald Columba (in bestimmten Zyklen) aktualisierte Daten bereithält, wird der Partner informiert. Daraufhin veranlasst die Blackbox beim Partner (manuell oder automatisch) den Datenabgleich: Die Blackbox baut eine Datenverbindung zu Columba auf und holt sich den aktuellen Datenbestand in einem geeigneten Format (wie z.B. CSV, XML, ...). Der Datenbestand ist verschlüsselt, so dass die Daten für den Partner nicht lesbar sind. Sobald Daten eingehen wird der Partner von der Blackbox benachrichtigt und dieser sendet seinen Datenbestand in Form einer geeigneten Datei an die Blackbox (bzw. in ein Verzeichnis in seinem Dateisystem).
Die Blackbox erkennt den Eingang neuer Daten und startet den Abgleich. Das Ergebnis in Form der übereinstimmenden Treffer wird in geeignetem Format an Columba und den zertifizierten Partner übermittelt. Damit wird sichergestellt, dass der Partner nur Kenntnis von Daten erlangt, die er auch selbst in seinem System hält. Alle weiteren Daten aus der Columba Sterbeliste werden von der Blackbox nach dem Abgleich nachhaltig gelöscht. Mit Übersendung der Daten werden diese im Columba-Register als übermittelt gekennzeichnet. Über eine API bei Columba berichtet der Partner in der Folge den Status der betreffenden Datensätze an Columba zurück (Datensatz-ID, Statuscode, Datum der Löschung).
13 zeigt ein Blackbox-Verfahren.
Wechselwirkungen

• Datenmanagement

Risiken

• Verfügbarkeit und Wartung der Blackbox da kein unmittelbarer Zugriff möglich ist

Software Erweiterung
Datenabgleich wird zyklisch automatisch gestartet, der Abgleich findet beim Partner mit Hilfe einer Server-Erweiterung / eines zertifizierten Software-Moduls statt.
14 ist eine grafische Darstellung der Variante 6.
Diese Variante basiert in wesentlichen Zügen auf der vorangegangenen Variante (Blackbox) mit dem Unterschied, dass statt einer Blackbox ein zertifiziertes Software Modul zum Einsatz kommt, welches direkt vom Hersteller der CRM-, ERP- oder Onlineshop-Software stammt. Dieses Modul übernimmt in verschlüsselter Form die Updatepakete aus dem Columba Sterberegister.
Da es sich um eine Erweiterung der lokal beim Partner eingesetzten Software handelt, ist diese auch zuverlässig in der Lage Datensätze nicht nur zu erkennen, sondern gefundene Treffer im Kundenstamm der Onlineplattform direkt als verstorben zu markieren.
Es ist beabsichtigt, die marktführenden Anbieter für Webshops und CRM Systeme dazu zu bewegen, ihren Kunden ein Erweiterungsmodul anzubieten, welches den Abgleich zur Columba Datenbank automatisiert im Hintergrund übernimmt. Der Abgleich wäre in diesem Fall nicht von einer Aktion des Partners abhängig, sondern kann in geplanten Zyklen automatisiert gestartet werden.
Die beschriebenen Softwaremodule müssen durch Columba zertifiziert werden, ansonsten kann das Modul keine Verstorbenen-Daten von Columba empfangen. Die Art der Verschlüsselung in der die Daten an das Softwaremodul übergeben werden, wird durch Columba vorgegeben und überprüft. Das Modul darf die Daten der Verstorbenen nicht in in unverschlüsselter Form lokal ablegen oder dem Partner offen legen. Dieses Modul hat damit eine sehr ähnliche Funktion zur oben beschrieben Blackbox.
Der Partner wird über Änderungen in seinem Kundenstamm fortlaufend informiert, und hat daher die nötige Kontrolle über das Verfahren.
Diese Variante basiert auf ausreichend Vertrauen sowohl des Online-Anbieters als auch von Columba in den Softwarehersteller als unabhängigen Dritten. Das benötigte Vertrauen in die Softwarehersteller kann durch klare Spezifikation der Schnittstellen und einem zugesicherten Recht auf Einsicht in Architektur und Quellcode der Software hergestellt werden (Recht zum Audit).
Das Verfahren ist nicht auf Systeme beschränkt, bei denen der Online Betreiber seine Systeme in direktem Zugriff hat, es kann genauso in das Angebot von Web-Shop Providern und anderen Dienstleistern realisiert werden, die Online Plattformen für Dritte hosten. Dort ist dem zertifizierten Partner die Option auf „Abgleich mit Columba“ beim Zusammenstellen des Web-Anbgebotes mit anzubieten.
Wechselwirkungen

• Datenmanagement

Risiken

• Versionsstände der Module sind vom Versionsstand der eingesetzten Plattform Software abhängig.
• Fehler in dem Modul werden durch Softwarehersteller verursacht, schaden jedoch dem Ruf von Columba

Modul 6 – Selbst-Registrierung bei Columba
15 ist eine grafische Darstellung der Selbst-Registrierung.
Selbst-Registrierung bei Columba (Online-ID Management)
Es besteht die Möglichkeit, bereits zu Lebzeiten selbst ein Columba Konto zu eröffnen. Ziel ist es, für den Anwender eine Plattform bereit zu stellen, auf der er seine eigenen Online Konten bei Columba-Zertifizierten Partnern verwalten kann.
Registrierung
16 ist eine grafische Darstellung der Anmeldung.
Meldet sich ein Anwender bei einem zertifizierten Online-Dienstleister an, so wird er im Rahmen der Anmeldung bereits nach der Columba Online-ID gefragt. Liegt eine solche nicht vor, so wird direkt auf die Anmeldeseite von Columba verwiesen. Dort kann unmittelbar eine „vorläufige“ Columba Online-ID generiert werden.
In einem geeigneten Verfahren wird Columba die Identität im erforderlichen Rahmen überprüfen. Diese dann verifizierte Information kann gegebenenfalls auch für das Anmeldeverfahren beim Onlineanbieter selbst benutzt werden. (Anmelden nur mit Columba Online-ID, die weiteren Daten holt der Partner von Columba und übernimmt sie in die Anmeldemaske.)
Kann zu einer vorläufig erstellten Columba Online-ID nicht innerhalb einer definierten Frist die Identität der zugehörigen Person verifiziert werden (z.B. über ein Ident-Verfahren), so erlischt das Konto und die zertifizierten Partner wird hierüber informiert.
Nachdem die Anmeldung beim Onlinedienstleister erfolgt ist, übermittelt dieser die eingegebene Columba Online-ID an Columba. Ist die ID Korrekt, bestätigt Columba dies an den Partner und nimmt die Informationen in das Columba Datenmanagement auf. Der Online-Anbieter übernimmt die Columba Online-ID ebenfalls in seine Kundendaten.
Um Fehleingaben der Columba Online-ID zu verhindern, wird ein geeignetes Verfahren implementiert, dies kann z.B. mit einer PIN abgesichert werden, oder der Inhaber der eingegebenen Columba Online-ID wird per Email über die Registrierung informiert. Es ist schwer vorstellbar, warum jemand für seinen eigenen Online-Account die Columba Online-ID eines Fremden nutzen soll, passiert dieses dennoch, so kann der berechtigte Anwender über ein sehr einfaches Verfahren die Registrierung löschen.
Digitale Nachlassregelung Für alle bei Columba registrierten Konten kann der Anwender selbst definieren, was im Todesfall mit dem Konto geschehen soll, dabei wählt er aus vorgegebenen Kategorien aus wie:

• Konto auflösen
• Guthaben an Erben zurückführen
• Konto an Erben übertragen

Wobei bei bestimmten Kontentypen, abhängig vom Online Anbieter, bestimmte Optionen nicht angeboten werden, oder sogar nur eine Option zur Verfügung steht (z.B. geldwerte Onlinekonten können nur den Erben zugeführt werden). Es wird aber immer, je nach Online Anbieter eine „default“ Einstellung geben, die dem Anwender bei der Registrierung bereits angezeigt wird.
Kontenpflege
Über das Columba Webinterface „Online-ID Verwaltung“ kann der Anwender stets nachsehen, bei welchen Columba zertifizierten Onlineanbietern er Konten hat. Columba Registrierungen können jederzeit gelöscht werden.
Bei Bedarf kann über einen Direktlink zum Anbieter die Auflösung der Konten gestartet werden. Damit wird das „Recht auf Vergessen“ berücksichtigt.
Todesfall
17 ist eine grafische Darstellung für den Todesfall.
Tritt der Todesfall ein, bedarf es eines Ereignisses, um den Columba Prozess anzustoßen. Das kann sein:

• Der Bestatter fragt, ob eine Columba Mitgliedschaft bestand und eine Columba Online-ID vorliegt. Sollten die Angehörigen nicht wissen, ob ein Columba Account bestand, so kann der Bestatter in der Columba Datenbank nach dem Verstorbenen suchen*. Der Bestatter hat bei einem gefundenen Columba Konto die Aufgabe, den Todesfall zu melden und den Prozess für den Todesfall zu starten. Der Teilprozess „Validierung Behörde“ folgt dieser Eingabe.
• Ein Notar / Rechtsanwalt startet den Prozess in einem Webinterface, da dieser Wunsch in der Nachlassregelung des Verstorbenen formuliert wurde und das „Sterbe-Passwort“ vorliegt. Einem Rechtsanwalt (z.B. spezialisiert auf Erbrecht und Nachlassverwaltung) kann ebenfalls die Möglichkeit zur Suche* eingeräumt werden, wenn er sich bei Columba entsprechend zertifiziert.
• Ein Hinterbliebener verfügt über das „Sterbepasswort“ und startet den Prozess in einem Webinterface.
• Eine zuständige Behörde informiert Columba über den Tod der Person. Hierbei ist jedoch zu klären, woher die Behörde die Columba Online-ID hat, oder wie Übereinstimmungen festgestellt werden sollen.

* Hinweis zur Suche um Missbrauch zu verhindern:

• Es können keine Listen generiert werden
• Nur wenn die angegebenen Suchkriterien einen eindeutigen Treffer anzeigen, wird das Columba Konto bestätigt. Keine weiterführenden Daten zum Verstorbenen werden übermittelt.
• Alle Suchanfragen werden protokolliert. Besondern viele Anfragen durch einzelne zertifizierte Stellen, oder gehäufte Anfragen die zwar einen Treffer liefern aber keine Sterbemeldung zur Folge haben werden untersucht.
• Die Columba Online ID des Verstorbenen wird nicht vor einer behördlichen Bestätigung bekannt gegeben, sollte dies überhaupt erforderlich sein.

Nach der Behörden-Validierung des Sterbefalls folgen die Schritte:

• Der Verstorbene wird von der „Lebenden-Datenbank“ in das Sterberegister mit der Columba Online-ID überführt, um auch die Konten zu finden, die er bei zertifizierten Partnern hatte, die jedoch nicht registriert wurden.
• Die Blackbox wird um folgende Funktion erweitert: Zuerst wird geprüft, ob die Columba Online-ID auch beim Onlineanbieter bekannt ist. Sollte dies der Fall sein ist der Treffer zu 100% bestätigt und es erfolgt kein Adressabgleich. Wenn die Columba Online-ID nicht bekannt oder nicht mit übermittelt (leer) wurde werden die „default“ Aktionen eingeleitet.

Fazit
Es ist anzunehmen, dass sich über den Weg der Registrierung als „Lebender“ deutlich schneller eine „kritische Masse“ in den Datenbanken anzutreffen sein wird als über den Weg der Verstorbenen. Die Wirkungsweise ist des Verfahrens ist erheblich höher, da davon ausgegangen werden kann, dass alle registrierten Konten zu 100% gefunden und dem Wunsch des Verstorbenen entsprechend behandelt werden.
Sicherheit und Vertrauen
Die gesamte Konzeption des Projektes (Columba) setzt in wesentlichen Teilen auf einem durchgängigen und nachhaltigen Sicherheitskonzept. Das Prozess-Modell basiert auf Vertrauen, welches durch ein schlüssiges Konzept sichergestellt und den Beteiligten verdeutlicht und dargestellt werden muss. Im Ergebnis muss eine lückenlose Vertrauenskette zwischen allen Prozessschritten und -beteiligten hergestellt werden.
Es ist sicherzustellen, dass die

• Authentizität der Daten über den gesamten Prozess sichergestellt wird
• Der Zugriff durch Unbefugte auf sensible Daten unterbunden wird
• Die Dokumentationspflichten basierend auf rechtlichen Verpflichtungen erfüllt werden
• Datenschutzrechtliche Anforderungen zu Speicherung, Auswertung und Übermittelung von personenbezogenen Daten berücksichtigt werden
• International sehr heterogene Randbedingungen und Anforderungen im Verfahren Berücksichtigung finden können

Stakeholder
Die Interessen und Anforderungen an Sicherheit und Vertrauen der „Stakeholder“ müssen durch Columba Berücksichtigung finden. Es lassen sich in der konzeptionellen Phase bereits folgende Bedürfnisse erkennen:

• Columba Es ist Ziel, die Datenbasis schnell wachsen zu lassen, da nur auf diesem Wege der Service für die zertifizierten Online-Anbieter attraktiv ist. Daher ist es im Interesse der Columba gewonnene Daten dauerhaft nutzen zu können. Die Sicherung der Daten gegen Zugriff von Unbefugten wie auch die Sicherstellung, dass Daten nicht verfälscht werden ist im Hauptinteresse. Es besteht kein Interesse die „Sterbelisten“ offen und unverschlüsselt weiterzugeben, da es sich bei diesen Informationen um ein wesentliches Betriebskapital der Columba handelt und dieses der „Konkurrenz“ nicht zur Verfügung gestellt werden darf. Kompromittierte Daten von Verstorbenen, egal an welcher Stelle des Prozesses und durch wen verschuldet (also auch wenn Dritten Fehler unterlaufen), führen zu einem Verlust von Ansehen und Vertrauen für Columba, welches aber wesentliches Merkmal der Geschäftsgestaltung ist.
• Hinterbliebene Ein besonders wichtiges Interesse der Angehörigen ist es, dass die der Columba überlassenen Daten zu keinem anderen als dem vereinbarten Zweck verwendet werden (z.B. keine Übermittlung an Dritte zu Werbezwecke). Sind im Zuge der durch Columba erbrachten Services Guthaben oder andere Werte erkannt worden, so haben die Hinterbliebenen ein großes Interesse an Zuverlässigkeit (Wer stellt sicher, dass sich niemand „unterwegs“ bereichert?) und gegebenenfalls Diskretion (Geld auf ausländischen Konten unklarer Herkunft wird erkannt). Anmerkung: Der Wunsch nach Diskretion kann selbstverständlich nur im Rahmen der geltenden Gesetzgebung berücksichtigt werden.
• Zu Lebzeiten registrierte Anwender Die hinterlegten persönlichen Daten und registrierte Konten bei Onlinedienstleistern dürfen nicht ohne Wissen und Einwilligung des Anwenders an Dritte weitergegeben werden. Da auch „sensible“ Konten hinterlegt und gepflegt werden sollen, ist es außerordentlich wichtig, dass die Daten Dritten nicht zugänglich gemacht werden. Es darf auch nicht vorkommen, dass der „Todesfall“ noch zu Lebzeiten ausgelöst wird und damit Konten fälschlicher Weise aufgelöst werden.
• Bestatter Der Bestatter erwartet eine zuverlässige und nachvollziehbare Abwicklung und Dokumentation der eigenen Leistungen, da diese sein primäres wirtschaftliches Interesse an den Services sichern.
• Behörden Behörden haben zunächst ihren gesetzlichen Auftrag zu erfüllen. Gleichzeitig werden sich involvierte Behörden maßgeblich an der Gesetzesgrundlage zur Verarbeitung der anfallenden Daten orientieren. Die Behörden ihrerseits haben ein weitreichendes Interesse, das jede erteilte Auskunft verbindlich und fehlerfrei ist.
• Zertifizierte Partner Die Partner, die sich durch die Columba zertifizieren lassen, tun dies um ihren Kunden gegenüber darzustellen, dass sie die Persönlichkeitsrechte ihrer Kunden auch über ihren Tod hinaus respektieren werden. Jedoch werden die Partner in der Regel nur wenig Bereitschaft erkennen lassen, Ihre Kundenstämme Dritten offen zugänglich zu machen, da es sich dabei um das Fundament ihres Geschäfts handelt. Des Weiteren ist für die Partner sehr wichtig, dass die Informationen zum Sterbefall korrekt sind und keine Verwechslung von Identitäten erfolgt ist. Ein fehlerhaft gelöschtes Benutzerkonto wäre für den zertifizierten Partner ein erheblicher Schaden für das Ansehen am Markt und für die Integrität der eigenen Datenbestände.

Maßnahmen
Um die Menge an Interessen und Forderungen bedienen zu können, sind einige Maßnahmen als Grundlagen im Prozessmodell vorzusehen. Daraus lässt sich für alle Beteiligten eine nachvollziehbare und durchgängige Vertrauenskette ableiten

• Alle Angaben zu Daten, die der Hinterbliebene macht, werden vom Erfasser (Bestatter) auf Plausibilität und Berechtigung hin überprüft. Er tut dies bereits heute in derselben Form und Verantwortung in einer Vielzahl von Fragen rund um die Bestattung. Er kennt die lokalen Regelungen und Dokumente der Behörden.
• Daten und notwendige angehängte Dokumente werden bereits bei der Erfassung mit einer digitalen Signatur versehen, so dass eine spätere Veränderung der Informationen nicht mehr möglich ist, ohne dass dieser Umstand feststellbar und nachweisbar wäre.
• Daten werden auf jedem Teilschritt ausschließlich in verschlüsselter Form übertragen. Die Partner identifizieren/verifizieren sich bei jedem Prozessschritt gegenseitig mithilfe von digitalen Zertifikaten. Hierzu kommen übliche und standardisierte Verfahren zum Einsatz. Da diese Technologien einem steten Wandel unterzogen sind, ist eine Festlegung auf solche Standards im Rahmen der Realisierung zu entscheiden und in einer definierten Regelmäßigkeit neu zu betrachten.
• Alle zentralen Systeme werden in einer sicheren Umgebung betrieben. Die genutzten Rechenzentren / Infrastrukturen verfügen über einen international anerkannten Sicherheits-Standard was die physische, logische und organisatorische Sicherheit betrifft.
• Das System protokolliert zuverlässig und verfälschungssicher in einem notwendigen Umfang alle Aktivitäten der involvierten Systeme. Diese Aufzeichnungen dienen auch den kontinuierlich durchzuführenden Überprüfungen der Systeme (möglichst durch unabhängige Stellen).

Qualitätssicherung
Die Qualität des gesamten Prozesses drückt sich in einer Vielzahl von Merkmalen aus. Um die Zuverlässigkeit der Prozessschritte zu garantieren wird es notwendig sein, geeignete Verfahren zur Überprüfung von Qualitätsmerkmalen zu definieren.
Dabei sollten folgende Aspekte im Fokus des Interesses stehen:

• Qualität der aufgenommen eingehenden Daten durch die Bestatter, Registrierte Anwender und Hinterbliebene.
• Werden alle Kundendaten in ausreichender Häufigkeit durch den Partner abgeglichen
• Leitet der Partner in angemessenem zeitlichen Abstand die richtigen Aktionen zu gefundenen Treffern ein

Da sich sowohl die Bestatter als auch die zertifizierten Partner im Rahmen der Nutzung der Services von Columba zu einigen grundlegenden Fragen verpflichten müssen, wird empfohlen, im Zuge dieser Vereinbarungen auch qualitätssichernde Maßnahmen festzulegen. Diese können sich auf

• Stichproben-Überprüfungen (Audits)
• Vollständige Überprüfungen von Teilprozessen und durchgängige Prüfung einzelner Fälle
• Arbeit mit Testkonten zur Überprüfung der Qualität

Die genannten Überprüfungen können durch unabhängige Dritte durchgeführt werden und sollten Grundlage für die Zertifizierung von Partnerunternehmen sein. Die Häufigkeit und eine detaillierte Beschreibung der qualitätssichernden Maßnahmen kann sinnvoll erst definiert werden, wenn das Geschäftsmodell vorliegt und zu Grunde liegende rechtliche Fragen geklärt wurden.
Zertifikate
Zertifikate sichern die Identität der Prozessbeteiligten gegenüber den Prozesspartnern. Mit Hilfe dieser Zertifikate können Berechtigungen sicher zugesprochen werden und bestimmte Ressourcen gegen die Nutzung von Unbefugte gesichert werden.
Beschreibung
Die Erteilung von Zertifikaten bedingt ausnahmslos die Akzeptanz der beteiligten Parteien einer übergeordneten Zertifizierungsstelle. Es wird davon ausgegangen, dass bei ausreichend vorhandenem Vertrauen in die Zertifizierungsstelle, ebenfalls Vertrauen in die Identität einer zertifizierten Person/Organisation gesetzt werden kann. Es muss dabei unterschieden werden ob ein öffentliches oder ein prozessinternes Zertifikat benötigt wird.

• Öffentliche Zertifikate sind immer dann unumgänglich, wenn die eindeutige Identifizierung der zu zertifizierenden Stelle nicht eigenständig durchgeführt werden kann, sondern eine dritte Stelle dies durchführen muss. Hierfür bieten sich am Markt verfügbare Zertifizierungsstellen an, die entsprechend anerkannte Zertifikate ausgeben können. Muss die Identität der Prozessbeteiligten auch außerhalb des eigentlichen Geschäftsprozess nachweisbar bleiben, ist ein öffentliches Zertifikat einer akkreditierter Stelle (siehe auch Seiten der Bundesnetzagentur) dringend zu empfehlen.
• Eine interne Zertifizierung kann innerhalb des Prozessmodells durch Columba selbst erfolgen, wenn die einmalige sichere Identifizierung der zertifizierten Stellen (z.B. Bestatter) ebenfalls prozessintern erfolgen kann.

Digitale Zertifikate können auf Personen oder Server ausgestellt werden. Dabei wird das Zertifikat in Form einer Datei vorliegen, welche jedoch auch an Medien wie Smartcards, Dongles oder anderer USB Devices gebunden sein kann. Damit wird die Sicherheit erneut erhöht, da ein Kopieren des Zertifikats alleine durch die ausgebende Stelle möglich ist.
Eine auf Hardware basierendes Zertifikat (Dongle, Smartcard, ...) unterstützt höhere Anforderungen an Sicherheit, als ein Softwarebasierendes, denn in der Nutzung wird vorausgesetzt, das erst die Kombination aus dem Wissen (Passphrase) und dem Besitz (Dongle, Smartcard) den Zugriff auf geschützte Ressourcen ermöglicht. Der Zugriff kann nicht unautorisiert weitergereicht werden (Mangels Hardware) und das Entwenden der nötigen Hardware ermöglicht ebenfalls keinen Zugriff (Mangels Passphrase).
Benötigte Zertifikate
Für die Prozessbeteiligten sind Zertifikate zu verwenden, die gegenseitig anerkannt werden. Daher wird vorgeschlagen, dass diese digitalen Zertifikate bei einer akkreditierten Zertifizierungsstelle beschafft werden. Für deren Beschaffung und Verlängerung sind die Prozessbeteiligten selbst verantwortlich, sie stellen eine Bedingung der Zusammenarbeit dar. Columba gibt jedoch Zertifizierungsstellen bekannt, die anerkannt werden.

• Columba Die Identität von Columba muss für alle Prozesspartner die Daten an Columba übermitteln oder erhalten nachvollziehbar und überprüfbar sein.
• Bestatter Der Bestatter (explizit die Stelle, die die Aufträge verantwortlich einpflegt) ist eindeutig zu identifizieren, zum einen weil sichergestellt werden muss wer den Auftrag erteilt hat (Abrechnung) als auch ob dieser zur Vorab-Prüfung eines Antrages überhaupt geeignet ist. Dafür muss seine Identität sichergestellt werden.
• Schnittstelle der Behörde / Prüfende Instanz Da alle Aufträge gegen die zuständigen Behörden geprüft werden, muss sichergestellt werden, dass die Daten an die zuständige Stelle, und nur an diese, übermittelt werden.
• Partner Alle Rückmeldungen des Partners bezüglich Aktionen die mit gefundenen Konten erfolgt sind, sind mit einem Zertifikat dem Partner zuverlässig zuzuordnen.
• Blackbox / Softwaremodul (Kapitel 0 und 0) Da an die Blackbox / das Softwaremodul die gesamten Listen der Verstorbenen übertragen werden, ist die Gegenstelle beim Datentransfer stets eindeutig zu identifizieren. Die Übertragenen Daten können nur gegen das in der Software fest integrierte Zertifikat entschlüsselt werden. Das Zertifikat kann auch nicht aus der Blackbox / dem Softwaremodul herausgelöst und übertragen werden.

Risiken

• Die den akkreditierten Zertifizierungsstellen zugrundeliegenden Algorithmen werden durch die Behörden zunächst nur für 7 Jahre als sicher beurteilt. Längere Prognosen bestehen nicht. Das Risiko besteht darin, die gesamte Zertifikatsstruktur nach Ablauf dieser Zeit erneuern zu müssen. Um diesem Risiko zu begegnen, ist vorzusehen, dass die Sicherheitsarchitektur mindestens alle drei Jahre einer Review (Neubetrachtung) unterzogen wird.

Verschlüsselung
Beschreibung
Jede Kommunikation zwischen den beteiligten Systemen (Bestatter, registrierter Anwender, Hinterbliebener, Columba, Behörden und zertifizierte Partner) soll dann geschützt werden, wenn sensible, personenbezogene oder wirtschaftlich wichtige Daten übertragen werden. Dies kann über eine Verschlüsselung der Datenübertragung und Datenspeicherung hergestellt werden und stellt folgendes sicher

• Vertraulichkeit der Daten (Confidentiality) Kein Unbefugter kann die Daten mithören und lesen
• Unverfälschtheit der Datenübertragung (Integrity) Die Daten wurden bei der Übertragung nicht manipuliert
• Authentizität der Daten (Authenticity) Die Quelle / Ursprung der Datenübertragung ist sichergestellt

Dabei muss unterschieden werden, ob

• der Transportweg als solcher gesichert werden soll durch Verwendung eines sicheren Transportprotokolls wie z.B. • SSL z.B. Session basierend bei https: • IPsec z.B. bei Standortverbindungen Damit ist der Austausch von Daten sicher zu bewerkstelligen. Die beiden Endpunkte der Kommunikation werden dabei als „sichere Umgebung“ angesehen, innerhalb derer es keine Absicherung der Daten bedarf.

• das Transportgut gesichert werden soll. Dazu werden Daten auf Filebasis verschlüsselt und entsprechend gespeichert. Damit ist Sicherheit auch dann hergestellt, wenn die Endpunkte selbst nicht als sicher gelten, weil z.B. auch andere nicht autorisierte Personen Zugriff auf die gespeicherten Daten haben. Zum Einsatz kommen Produkte wie z.B. GnuPG, PGP, etc.

18 zeigt den verschlüsselten Tunnel.

19 zeigt die Verschlüsselung einer Datei. Anforderungen an die Verschlüsselung

• Übertragung Bestatter – Columba
• Vertraulichkeit:	Mittel – Hoch
• Integrität:	Sehr Hoch
• Authentizität:	Sehr hoch
• Übertragung Columba – Behörde – Columba
• Vertraulichkeit:	Mittel
• Integrität:	Sehr Hoch
• Authentizität:	Mittel – Hoch
• Übertragung Auftragsmanagement – Datenmanagement
• Vertraulichkeit:	Niedrig (Inhouse)
• Integrität:	Sehr Hoch
• Authentizität:	Niedrig (Inhouse)
• Übertragung Sterberegister – Blackbox
• Vertraulichkeit:	Sehr Hoch
• Integrität:	Sehr Hoch
• Authentizität:	Sehr Hoch
• Übertragung Partner – Blackbox
• Vertraulichkeit:	Niedrig (Inhouse)
• Integrität:	Sehr Hoch
• Authentizität:	Mittel (Inhouse)
• Übertragung Blackbox – Columba
• Vertraulichkeit:	Hoch
• Integrität:	Sehr Hoch
• Authentizität:	Sehr Hoch
• Übertragung Blackbox – Columba / Partner
• Vertraulichkeit:	Niedrig (Inhouse)
• Integrität:	Sehr Hoch
• Authentizität:	Mittel (Inhouse)

Risiken

• Langfristige Verfügbarkeit von verwendeten Lösungen Siehe Abschnitt zuvor

Signatur
Es ist Ziel des von Columba angebotenen Service nach dem Auffinden von Online Konten verstorbener Aktionen wie das Auflösen oder Deaktivieren dieser Konten einzuleiten. Die Authentizität der gespeicherten Informationen und der bei Bedarf gespeicherten Dokumente muss daher gesichert werden. Hierzu sind die Dokumente mit digitalen Signaturen zu versehen die

• die Quelle (Ersteller) des Dokumentes
• die Unveränderlichkeit des Dokumentes

Für die Auftragsdaten ergibt sich daraus die Notwendigkeit, die gesammelten Daten nach Abschluss der Auftragserfassung in einer Datei (Datei beispielsweise im PDF- oder XML-Format) abzuspeichern und in diesem Zuge mit einer digitalen Signatur zu versehen.
Gleiches wird mit den bei der Registrierung von Bestattern und Partnern erfassten Daten erfolgen.
Funktionsweise
Nach Eingabe der Daten und erfolgter Übermittlung an Columba, werden die Daten zusammengefasst in eine Datei geeigneten Formats gespeichert und mit einer digitalen Signatur versehen. Diese Signatur wird aus dem privaten Signaturschlüssel (PKI) von Columba und einer eindeutigen Rechenvorschrift generiert. Dabei wird über das Dokument ein kollisionsfreier Hash Wert (keine zwei Dokumente ergeben den gleichen Hashwert) gebildet, der gemeinsam mit dem privaten Schlüssel zur digitalen Signatur geführt wird.
Zu einem späteren Zeitpunkt lassen sich gegen den öffentlich bekannten Schlüssel des Bestatter (hinterlegt beim Zertifizierungsdiensteanbieter) sowohl der Urheber wie auch die Unverfälschtheit des Dokumentes nachweisen.
Ob für die Anwendung eine Signatur nach dem Standard der „Qualifizierten digitalen Signatur“ erforderlich ist, ist in der Feinplanung zu prüfen und auf den rechtlichen Hintergrund hin zu betrachten. Für die Anwendung in Deutschland scheint dies jedoch sinnvoll.
Rollen und Verantwortlichkeiten
In diesem Abschnitt werden die beteiligten Rollen benannt und beschrieben, um diese Rolle durchgehend im folgenden Konzept zu vereinheitlichen und Klarheit für deren Aufgaben, Pflichten und Rechte zu erhalten.

• Columba Als Dienstleister stellt Columba die Organisation dar, die den Wunsch von Hinterbliebenen auf Bereinigung der Onlinekonten und die Interessen von Onlineplattformen nach bereinigten Kundenverzeichnissen zusammen bringt.
• Columba-Backend-Betreiber Diese Rolle kann, muss aber nicht durch Columba selbst übernommen werden. Es sind dabei die Stellen gemeint, die im operativen Betrieb dazu beitragen, den Columba Service zu erstellen, den Betrieb sicherzustellen und die Qualität des Services abzusichern.
• Registrierter Columba Nutzer Personen, die sich bereits zu Lebzeiten bei Columba angemeldet haben, und mit Hilfe einer Columba Online-ID die Konten bei zertifizierten Columba Partnern registriert haben. Im Falle des Todes können diese Konten unmittelbar nach den Vorgaben des Nutzers abgewickelt werden.
• Hinterbliebener Der Hinterbliebene äußert den Wunsch auf Bereinigung der Online Vergangenheit eines Verstorbenen. Er ist Endkunde des angebotenen Services, ist jedoch in der Regel Kunde eines Vertragspartners (Bestatter).
• Berechtigter Hinterbliebener Unterscheidet sich vom „Hinterbliebenen“ durch den verifizierbaren Nachweis, berechtigt zu sein, den Nachlass des Verstorbenen zum entsprechenden Zeitpunkt verwalten, verändern und erforschen zu dürfen.
• Bestatter Der Bestatter ist zertifizierter Partner von Columba und bietet seinen Kunden (Hinterbliebener) die Leistung an. Er übernimmt im Rahmen seiner originären Tätigkeit als Bestatter bereits prozessrelevante Aufgaben wie Identifizierung von Hinterbliebenen und Prüfung deren Unterlagen (Nachlassschein, Sterbeurkunde, Ausweispapiere).
• Online Dienstleister Anbieter von Onlinedienstleistungen, die eine Registrierung des Anwenders erfordern und dabei personenbezogene Daten zu den Anwendern dauerhaft speichern. Beispiele: Freemailer, Soziale Netzwerke.
• Online Dienstleister mit kostenpflichtigem Konto Dies ist ein Anbieter, der von seinen Anwendern für die Nutzung der der angebotenen Dienste (z.B. Mitgliedschaft) ein Entgelt verlangt. Insbesondere sind hierbei Dienstleister zu betrachten, die Kosten auch dann berechnen, wenn der Service nicht genutzt wird. Beispiele: Premium-Mitgliedschaft in sozialen Netzwerken, Partnerbörsen, Video- & Musik-Abonnements.
• Online Dienstleister mit geldwertem Konto Dabei handelt es sich um Plattformen, die dem registrierten Nutzer ermöglichen, auf seinem Benutzerkonto Geldbeträge zu hinterlegen, welche daher dem Erbe des Verstorbenen zuzurechnen sind. Dies kann neben Geldkonten, welcher Währung auch immer, auch ein Konto mit „virtuellen“ aber geldwerten Guthaben betreffen. Beispiele: Online-Banken, Geld-Transfer-Dienste, Wett- & Spielbetreiber.
• Bestätigende Behörde Es handelt sich um die lokal (Land, Bundesland, Kommune) zuständige Behörde die den Tod einer Person von Amts wegen bestätigen und gegebenenfalls die unmittelbare Nachlassregelung prüfen kann. Dies kann, insbesondere bei internationaler Betrachtung, höchst unterschiedlich geregelt sein. Gemeint ist daher die für den jeweiligen Todesfall zuständige Behörde /Stelle. Beispiel: In Deutschland sind dies die gemeindlichen Standesämter.

Proof of Concept, ein Beispiel
Max Mustermann, ein aufgeschlossener und agiler Mittsechziger, geboren am 17. Juni 1947 in Musterstadt, verstirbt plötzlich und unerwartet am 3. Juni 2011 bei einem Verkehrsunfall, ohne ein Testament hinterlassen zu haben. Seine beiden Kinderwissen, dass ihr Vater „ziemlich aktiv im Internet war“. Sie wissen sicher, dass er seine Bankangelegenheiten per Onlinebanking erledigt hat und viele Gegenstände über eCay sowohl ein- als auch verkauft hat. Zur Abwicklung der Käufe bei eCay hat er sich bei Paypal angemeldet, wo er ein Guthaben von 350,- Euro hinterlässt. Außerdem hat er, um mit seinen Neffen und Nichten in den USA in Verbindung zu bleiben, Konten bei Facebook und bei Skype angelegt. Bei Skype hat er noch ein kleines Guthaben für landline-Gespräche in Höhe von 15,75 €. Für seine Kommunikation und für seine Mitgliedschaften hat Max die E-Mail-Adresse seines Telefonanbieters „max.mustermann@t-online.de" genutzt.
Was weder Max’ Kinder noch seine Frau wussten ist, dass Max in seiner Freizeit gerne ein bisschen an Glücksspielen teilnahm und die dabei erzielten Gewinne teilweise für Aktiengeschäfte einsetzte. Dabei riskierte Max nie besonders hohe Beträge, aber im Laufe der Zeit hat sich bei www.paukerstars.com immerhin ein Betrag von 12.000,- Euro angesammelt und seine Puma- und Lufthansaaktien, die er für 8.000,- Euro eingekauft hat und die von seiner Online-Bank Cortal Consors geführt werden, haben inzwischen einen Wert von über 18.000,- Euro. Weil Max und seine Frau die E-Mail-Adresse in der Vergangenheit gemeinsam benutzt haben und seine Frau alle seine Emails auch lesen darf, wollte Max für seine kleinen Privatgeschäfte lieber eine eigene Email-Adresse nutzen. Deshalb hat er sich die E-Mail-Adresse max.mustermann@gmx.net eingerichtet, unter der er seine Finanzgeschäfte abwickelte.
Max’ Familie wendet sich hilfesuchend an das Bestattungsunternehmen Denk mit der Frage, wie sie denn nun das Facebook-, das eBay-, das Paypal- und das Skype-Konto von Max „löschen“ und wie sie an das dort verbliebene Geld kommen könnten. Außerdem wünschen sie sich, dass die Hinweise auf Max’ bevorstehenden Geburtstag endlich aufhören, schließlich seien sie schon genug damit beschäftigt, sich in ihrer Trauer um reichlich bürokratische Dinge zu. Sie können dem Bestattungsunternehmer nicht viel mehr Informationen geben, denn keiner von Max’ Angehörigen kennt seine Passwörter oder weiß, wo er sie aufbewahrt haben könnte.
Der Mitarbeiter der Firma Denk stellt der Familie Mustermanns sein neues Angebot vor, welches die Online-Identitäten von Max ausfindig und gegebenenfalls auch löschen kann. Noch vorhandenes Guthaben kann unter bestimmten Umständen und soweit vorhanden auch noch erstattet werden. Dieser Service würde durch seinen Partner „Columba“ abgewickelt. Allerdings müsse von den verbleibenden Guthaben jeweils eine Bearbeitungsgebühr einbehalten werden. Er klärt die Mustermanns darüber auf, dass es „eine Weile dauern kann“, bis die Mitgliedschaften gefunden sind. Bis dahin kann es leider vorkommen, dass noch Emails oder Briefe für Max ankommen.
Die Mustermanns sind einverstanden und erteilen dem Bestattungsunternehmen den Auftrag. Sofort macht sich der Bestattungsunternehmer an die Arbeit und gibt die Daten des Max Mustermann in die Eingabemaske seiner Columba-Software ein, welche er auf seinem Computer installiert hat. Die Software hat er per Post bekommen, nachdem er sich auf der Webseite von Columba als Partner registriert hat und Columba verifiziert hat, ob er ein zugelassenes Bestattungsunternehmen ist.
Er gibt den Vornamen, den Namen, das Geburts- und Sterbedatum und die letzte Adresse von Max Mustermann ein. Nachdem er alles gründlich geprüft hat, schickt er den Auftrag an Columba ab. Die Daten von Max Mustermann werden mit Hilfe eines USB-Dongle, der bei der Softwarenutzung eingesteckt sein muss und ein digitales Zertifikat enthält, verschlüsselt an Columba übertragen. Auf diese Weise wird sichergestellt, dass weder unberechtigte Personen Daten an Columba schicken, noch dass Daten von Unberechtigten eingesehen werden können.
Nun sind Max’ Daten bei Columba im Auftragsmanagement. Da der mögliche Schaden, den versehentlich falsche, absichtlich gefälschte oder missbräuchlich eingegebene Daten für eine lebende Person anrichten können, sehr groß ist, muss überprüft werden, ob die Angaben auch tatsächlich stimmen. Zuverlässig kann diese Information die Behörde bestätigen, die das Sterberegister führt. In Deutschland sind dies die zuständigen Standesämter, sowie die Meldebehörden (MRRG). Seit der Einführung des elektronischen Melderegisters erteilen diese Behörden unter den Voraussetzungen der entsprechenden Gesetze auch elektronische Auskunft über Personendaten (einfache und erweiterte Melderegisterauskunft). Diesen Mechanismus nutzt Columba, indem die Daten vom Bestatter an die zuständige Behörde zur Bestätigung übermittelt werden.
Sollten die Daten des Verstorbenen, die von Columba an die Behörde übermittelt werden, dort zu einem eindeutigen Treffer führen, bestätigt die Behörde die Angaben. Da überprüft werden muss, ob die gemeldete Person tatsächlich verstorben ist, wird die so genannte „erweiterte Melderegisterauskunft“ benötigt, die das Sterbedatum enthält.
Ab diesem Zeitpunkt sind die Daten behördlich validiert und werden vom Auftragsmanagement ins Datenmanagement weitergeleitet. Da Auftragsmanagement und Datenmanagement zwar getrennte Systeme darstellen, aber räumlich im selben Rechenzentrum stehen, kann die Datenübermittlung über eine direkte Verbindung ohne Zuhilfenahme des Internet erfolgen und ist daher im Rahmen der Standards im Rechenzentrum hinreichend abgesichert.
Ab diesem Zeitpunkt werden die Daten des Max Mustermann, bestehend aus Vorname, Name, Geburtsdatum, letzte Adresse und Sterbedatum in zyklischen Abständen an die Online-Anbieter zum Abgleich versandt, die derzeit noch unter dem Begriff der Blackbox geführt werden und die entweder als eigenständige Rechner im Rechenzentrum des Partners stehen oder auf dessen vorhandener Hardware als Software-Modul laufen, das diesem von Columba bereit gestellt wurde. Zweck der Blackbox – daher auch der Name – ist der Abgleich der Daten, die für keinen der Geschäftspartner einsehbar sein sollen, denn sowohl Columba will seinen Datenbestand aus Gründen der Sicherheit und als Geschäftsgeheimnis nicht preisgeben, noch wollen dies die Partner mit ihren eigenen Datenbeständen. Die Übermittlung an die Blackbox erfolgt also in verschlüsselter Form. Die Blackbox ist in der Lage, die empfangenen Daten zu entschlüsseln, abzugleichen, mit den entsprechenden Vermerken zu versehen (Treffer) und erneut zu verschlüsseln. Nur die Liste der erzielten Treffer wird, an Columba und ins Partner-System zurückübertragen.
Sobald das Partnerunternehmen die Trefferliste erhalten hat, kann es weitere Schritte unternehmen, z.B. das betroffene Konto löschen, deaktivieren etc. Hierfür gelten die beim Partner üblichen Prozeduren. Um Columba weiterhin darüber zu informieren, was mit dem Konto geschehen ist bzw. welche zusätzlichen Informationen von Bedeutung sind (z.B. dass mit dem Konto noch ein Guthaben verbunden ist), kann der Partner den jeweils aktualisierten Status der Bearbeitung zurückmelden. Dies geschieht mittels der Columba-ID, die dem Partner von der Blackbox mit übermittelt wurde. Auf diese Weise kann die Rückmeldung frei von persönlichen Daten übertragen werden.
Meldet der zertifizierte Partner als Status ein Guthaben, kann das Columba-Inkasso aktiv werden und das Guthaben an die Hinterbliebenen rückführen. Max‘ Erben können entscheiden, ob sie das gefundene Konto weiterführen wollen, oder ob sie die dort deponierten Aktien verkaufen und sich den Erlös abzüglich der Bearbeitungsgebühr ausbezahlen lassen wollen.
Jetzt weiß Columba, das Max Mustermann Konten bei eBay, Paypal, Facebook, Skype, aber auch bei www.paukerstars.com, Cortal Consors und gmx.net (samt der zugehörigen Guthaben und Aktien) hatte. Alle genannten Partner wissen im Gegenzug, dass der Kontoinhaber Max Mustermann verstorben ist und können die geeigneten Maßnahmen einleiten. Im Regelfall werden sie gesetzlich verpflichtet sein, die Konten zu deaktivieren und Guthaben zu erstatten.
Außerdem kennt das Columba Datenmanagement ebenfalls den Zeitpunkt, zu dem die Partner den Abgleich durchgeführt haben und wird beim nächsten Abgleich die Daten von Max Mustermann nicht erneut an die Blackbox senden. Dadurch werden die transportierten Datenvolumina sowie die Dauer des Abgleichs reduziert.
Zudem sind die Partnerunternehmen nun über den Tod ihres Mitglieds informiert und können sich bei automatisch verlängerbaren Verträgen/Mitgliedschaften nicht länger auf ihre mangelnde Kenntnis hinsichtlich der Tatsache des Versterbens ihres Mitgliedes berufen. Anhang Abkürzungen, Glossar

DB Datenbank

PC Personal Computer

PKI Public Key Infrastruktur

API
Mengengerüst
Schätzung
Die Anfallende Menge von Datensätze, die im Columba Sterberegister aufgenommen werden ist nur sehr grob zu schätzen. Der angestellten Datenschätzung liegen folgende Überlegungen zu Grunde:

• Weltbevölkerung ~7Mrd. (2012)
• @ ca. 1% Sterberate (70Mio. p.a.)
• Columba wickelt geschätzt 20% dieser Sterbefälle ab (14Mio. p.a., ca. 38.500 p.d.)
• Bei einem wöchentlichen Report/Abgleich ergibt dies Dateien mit ca. 269.500 Datensätzen.

Testdaten haben ergeben, dass 2 Mio. Datensätze ~310MB bzw. 269.500 Datensätze ~41MB (12MB komprimiert) benötigen. Sterbefälle in Deutschland

2007 2008 2009 2010

Bevölkerung 82.217.800 82.002.400 81.802.300

Gestorbene 827.155 844.439 854.544 858.768

je 1 000 Einwohner 10,1 10,3 10,4 10,5

Quelle Statistisches Bundesam, Deutschlandt
Information zum Alter beim Tod liefern bekannte Tabellen
Datenbanksystem
Zur Implementierung des Datenmanagement muss festgelegt werden, in welcher Softwareumgebung das System realisiert werden soll. Dazu gehören das Datenbankmanagementsystem (DBMS), die Programmiersprache für die Schnittstellen zur Datenbank und der notwendigen HTTP-Server, über den der Zugriff auf das Datenmanagementsystems erfolgt.
Datenbankmanagementsystem
Um große Datenbestände dauerhaft zu speichern, nach beliebigen Kriterien Daten wieder zu finden und um Daten zu verändern ist ein geeignetes Datenbanksystem erforderlich. Datenbanksysteme decken dabei verschiedene Aufgaben ab:

• Daten werden in einer gemeinsamen Datenbasis (der Datenbank) gespeichert
• Übernimmt den Zugriff und die Darstellung der Daten
• Kontrolliert den Zugang zu den Daten und schränkt diese ein.

Das Datenbanksystem besteht also aus einer Datenbasis (DB – Datenbank) und einem Datenbank-Management-System (DBMS).
Der Zugriff auf die Datenbank erfolgt ausschließlich über die „Filter“ des Datenbank-Management-System. Ein Datenbanksystem stellt an seiner Schnittstelle eine Datenbanksprache (query language) für die folgenden Zwecke zur Verfügung:

• Die Struktur einer Datenbasis aufzubauen (Datendefinition)
• Datensätze zu erfassen, zu ändern und zu löschen (Datenmanipulation)
• Informationen aus der Datenbasis zu gewinnen (Datenabfrage)
• Zugangs- und Zugriffsrechte zu verwalten (Datenkontrolle)
• Daten zu sichern, zu exportieren und importieren (Datenübertragung)

Überblick über heute verfügbare DBMS verschiedener Hersteller und das zugrundeliegende Datenbankmodell:

Hersteller	DBMS	Modell
• Borland	InterBase	relational
• IBM	DB2	objektrelational
• IBM	IMS	hierarisch, Mainframe – DBMS
• IBM	Informix	objektrelational
• InterSystems	Cache	hierarisch
• Microsoft	MS Access	relational, Desktop – System
• Microsoft	MS SQL Server	objektrelational
• Microsoft	Visual FoxPro	relational, Desktop – System
• MySQL AB	MySQL	relational
• NCR Teradata	Teradata	relationales Hochleistungs-DBMS
• ORACLE	Oracle	objektrelational
• Software AG	Adabas	NF²-Modell (nicht normalisiert)
• Sybase	Sybase A	SE relational
• Versant	Versant	objektorientiert

Programmiersprache
Die Programmiersprache, in der die Schnittstellen zur Datenbank implementiert werden, muss eine Programmierschnittstelle (API) zur verwendeten Datenbank bieten und sollte die in Kapitel 7 Anforderungen ermöglichen.
ZITATE ENTHALTEN IN DER BESCHREIBUNG
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
Zitierte Nicht-Patentliteratur

„max.mustermann@t-online.de“ [0183]

Claims

Online-ID-Handling-Computersystem, aufweisend zumindest eines der folgenden Module: a. ein Sterberegister; b. ein Teil-Modul zur Validierung von Daten; c. ein Teil-Modul zur Verifizierung der Daten hinsichtlich der verstorbenen Person durch Anfrage an eine Behörde; d. ein Teil-Modul zur Übernahme der Daten in das Sterberegister; e. ein Modul zum Erstellen einer Anzahl von Updatepaketen, welche die übernommenen Daten enthalten; f. ein Modul zur Initiierung von Abgleichen der Updatepakete mit Daten einer Anzahl von Online-Anbietern; g. ein Modul zum Empfang von Treffern, die bei Abgleichen bei den Online-Anbietern gefunden werden; h. ein Modul zur Generierung eines Protokolls über die Abgleiche; i. ein Modul zur Initiierung von Datenverarbeitungsaktionen hinsichtlich der Daten der verstorbenen Person bei denjenigen Online-Anbietern, bei denen Treffer gefunden wurden.
Computersystem, welches ausgestaltet ist, ein Verfahren zum Bearbeiten von Daten einer verstorbenen Person auszuführen, umfassend: a. ein Modul zum Entgegennehmen einer Auftragsinformation von einem Hinterbliebenen der verstorbenen Person; b. ein Verwaltungsmodul zur Prüfung der Information und Erfassung weiterer Daten hinsichtlich der verstorbenen Person und des Hinterbliebenen, wobei das Verwaltungsmodul mit dem Entgegennahme-Modul gekoppelt ist; c. ein Modul zur Übertragung der Daten an das Online-ID-Handling-Computersystem gemäß Anspruch 1.
System gemäß Anspruch 1 oder 2, weiter aufweisend: ein Modul zur Verschlüsselung von zu übertragenden Daten.
Verfahren gemäß Anspruch 1, 2 oder 3, weiter aufweisend: ein Modul zur Authentifizierung von zu übertragenden Daten.
Computer-implementiertes Verfahren zum Bearbeiten von Daten einer verstorbenen Person mittels eines Online-ID-Handling-Systems, umfassend zumindest einen der folgenden Schritte: a. Entgegennehmen einer Auftragsinformation von einem Hinterbliebenen der verstorbenen Person; b. Prüfung der Information und Erfassung weiterer Daten hinsichtlich der verstorbenen Person und des Hinterbliebenen; c. Übertragung der Daten an das Online-ID-Handling-System; d. Validierung der Daten durch das Online-ID-Handling-System; i. sofern die Daten nicht korrekt sind, Rückkehr zu Schritt b; ii. Verifizierung von Daten hinsichtlich der verstorbenen Person durch Anfrage an Behörde; 1. sofern die Verifizierung der Daten fehlschlägt, Rückkehr zu Schritt b; 2. Übernahme der Daten in ein Sterberegister des Online-ID-Handling-Systems; e. Erstellen einer Anzahl von Updatepaketen, welche die übernommenen Daten enthalten; f. Initiierung von Abgleichen der Updatepakete mit Daten einer Anzahl von Online-Anbietern; g. wenn bei einem Abgleich Übereinstimmungen von Daten gefunden werden, Übermittlung der entsprechenden Treffer an das Online-ID-Handling-System; h. Generierung eines Protokolls über die Abgleiche; i. Initiierung von Datenverarbeitungsaktionen hinsichtlich der Daten der verstorbenen Person bei denjenigen Online-Anbietern, bei denen Treffer gefunden werden.
Verfahren gemäß Anspruch 5, weiter aufweisend: Schritte des Verschlüsselns von übertragenden Daten.
Verfahren gemäß Anspruch 5 oder 6, weiter aufweisend: Schritte des Authentifizierens von zu übertragenden Daten.
Datenträger, aufweisend Instruktionen, die, wenn in einen Rechner geladen, den Rechner derart steuern, dass er das Verfahren gemäß einem der Ansprüche 5 bis 8 ausführt.