Digitale Identitäten: Faule Eier der Kommission

In zwei Jahren soll die europäische digitale Brieftasche starten. Die Anforderungen an ihren Einsatz werden derzeit in Brüssel verhandelt. Dabei versucht die Kommission, rechtliche Vorgaben für mehr Sicherheit und Transparenz auszuhebeln, so die Kritik aus der Zivilgesellschaft.

Ein Adventskalender aus Schokolade
Süße Weihnachtszeit? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Nick Fewings

Hinter den Türchen des Adventskalenders, die dieser Tage vielerorts geöffnet werden, verstecken sich süße Überraschungen. In den Entwürfen für Durchführungsrechtsakte, die die EU-Kommission derzeit nach und nach zur sogenannten „European Digital Identity Wallet“ vorlegt, verbirgt sich hingegen so manches faule Ei.

Ende November veröffentlichte die EU-Kommission fünf neue Entwürfe zur öffentlichen Konsultation. Bis zum 2. Januar können Interessierte dazu noch ihr Feedback abgeben. Es ist die zweite Charge an Entwürfen, die die technischen und organisatorischen Anforderungen für die geplante „European Digital Identity Wallet“ (EUDI-Wallet) benennen. Und erneut gibt es deutliche Kritik aus der Zivilgesellschaft, wonach die Kommission die Vorgaben der zugrunde liegenden EU-Verordnung unterlaufe.

Die EUDI-Wallet ist derzeit das größte digitalpolitische Projekt der Europäischen Union. Ihr liegt die eIDAS-Reform zugrunde, die im Mai dieses Jahres in Kraft trat. Bevor die Wallet aber wie geplant im Herbst 2026 starten kann, braucht es noch sogenannte Durchführungsrechtsakte. Insgesamt 40 dieser detaillierten Vorschriften für eine einheitliche Durchführung der eIDAS-Reform sind vorgesehen.

Drama um die ersten fünf Akte

Die ersten fünf Entwürfe für Durchführungsrechtsakte hatte die Kommission im August vorgelegt. Bereits diese hatten für erhebliche Kritik aus der Zivilgesellschaft gesorgt, weil sie nicht den rechtlichen Vorgaben der reformierten eIDAS-Verordnung entsprochen hätten.

Im Fokus standen Probleme bei der Nutzung von Pseudonymen und einer drohenden Überidentifizierung. Letzteres bedeutet, dass etwa Unternehmen mehr private Daten als erforderlich aus den Wallets abfragen können. Und auch die Bundesregierung hatte sich in einem Brief an den damaligen EU-Binnenmarktkommissar Thierry Breton besorgt gezeigt „über die notwendige Gründlichkeit und Qualität der technischen Spezifikationen und der Durchführungsbestimmungen“.

Die Unstimmigkeiten konnte die Kommission offenbar noch gerade rechtzeitig beilegen, um ihren Zeitplan zur Umsetzung der eIDAS-Reform beizubehalten. Am 28. November erließ sie die ersten fünf Durchführungsrechtsakte, sie sind inzwischen im Amtsblatt der EU veröffentlicht. Damit tickt nun die Uhr: Denn genau zwei Jahre nach der Veröffentlichung müssen die EU-Mitgliedsstaaten ihren Bürger:innen eine EUDI-Wallet anbieten.

Wiederholt sich das Spielchen?

Doch kaum dass die Kommission vor wenigen Tagen die nächsten fünf Entwürfe veröffentlicht hat, hagelt es gleich wieder Kritik. Die Kommission wiederhole ihre Spielchen, das sie bei den ersten Entwürfen aufgeführt hat, so die Kritik aus der Zivilgesellschaft.

So kritisiert epicenter.works den Entwurf, der die Anforderungen für den Zugriff auf die digitalen Brieftaschen durch sogenannte relying parties formuliert. Aus Sicht der Bürgerrechtsorganisation droht die Kommission hier „einen zentralen Pfeiler der Schutzmaßnahmen des eIDAS-Ökosystems“ einzureißen. Konkret geht es um den Vorschlag der Kommission, die Ausgabe sogenannter Registrierungszertifikate für sogenannte relying parties (deutsch: „vertrauenswürdige Parteien“) optional zu machen.

„Die EU-Kommission macht notwendige Vorgaben, die Nutzer:innen schützen sollen, plötzlich optional. Das ist klar gegen das Gesetz“, sagt Thomas Lohninger von epicenter.works gegenüber netzpolitik.org. „Das ist erneut ein übler Taschenspielertrick der Kommission.“

Die „vertrauenswürdigen Parteien“ können Unternehmen oder öffentliche Einrichtungen sein. Gemäß eIDAS-Verordnung müssen sie sich vorab in ihren jeweiligen EU-Mitgliedstaaten registrieren und darlegen, welche Daten sie zu welchem Zweck von den Nutzer:innen anfordern werden. Das soll sicherstellen, dass sie auch grenzüberschreitend nur jene Informationen aus den Wallets abfragen, die sie laut Gesetz erhalten dürfen. Und die Zertifikate sollen dies technisch sicherstellen. Sie dienen quasi als Datenausweis, mit dem sich die relying parties gegenüber den Wallets legitimieren.

Weiße Flecken und ihre Folgen

Würden die Kommissionsentwürfe unverändert verabschiedet werden, könnten sich Unternehmen künftig in den EU-Staaten niederlassen, die eine solche verpflichtende Zertifikatsvergabe nicht vorsehen.

Welche Auswirkungen solche weißen Flecken auf der europäischen Landkarte haben, zeigt seit Jahren exemplarisch die Sonderrolle Irlands: Zahlreiche Tech-Konzerne haben die grüne Insel als ihren europäischen Sitz auserkoren – wegen der niedrigen Steuern und weil die irische Datenschutzbehörde die Datenschutzgrundverordnung überaus nachsichtig auslegt.

Das Fehlen eines Registrierungszertifikats sei für Unternehmen wie ein Joker, mit dem sie von den Nutzer:innen viel mehr Attribute abfragen können, mahnt epicenter.works, „auch solche, die über ihre Registrierung hinausgehen – und die Nutzer können nicht einmal davor gewarnt werden.“

Thomas Lohninger befürchtet weitreichende Folgen: „Mit dem Kommissionsentwurf drohen Nutzer:innen überbordende Datenanfragen aus anderen Staaten. Facebook Irland könnte dann beliebige Informationen abfragen und die deutsche Wallet kann nicht mal eine Warnung ausgeben. Das könnte das Vertrauen in die EUDI-Wallet und grenzüberschreitende Datenanfragen nachhaltig schädigen.“

Ein öffentliches Register für die Transparenz

Ausgestellte Registrierungszertifikate sollen zudem keine Information darüber enthalten, welche Daten genau Behörden und Unternehmen aus der Wallet abrufen dürfen. Damit die digitale Brieftasche aber prüfen kann, ob die von ihr angeforderten Informationen mit dem Registrierungszertifikat der relying parties übereinstimmen, müssen diese Informationen im Zertifikat enthalten sein, schreibt epicenter.works.

Darüber hinaus brauche es aus Sicht der Organisation ein öffentlich einsehbares Register aller relying parties. Nur so lasse sich die Transparenz über die zugelassen Behörden und Unternehmen herstellen und eine unabhängige Kontrolle gewährleisten.

Obwohl die eIDAS-Verordnung vorsieht, dass sämtliche Informationen über den Registrierungsprozess online verfügbar sein sollten (Artikel 5b(5)), lege der Kommissionsentwurf nur fest, dass diese Daten nur in Teilen in ein öffentliches Register einfließen. Auch sehe er nicht vor, dass Dritte auf einen Klick beispielsweise sämtliche Informationen zu den relying parties eines bestimmten EU-Landes abfragen können, was für deutlich mehr Transparenz sorgen würde.

Safety first – auch aus Sicht der Kommission

Wie wichtig solche Vorkehrungen für mehr Sicherheit und Transparenz sind, legt die Kommission in einem anderen Entwurf für einen Durchführungsrechtsakt selbst dar.

So sollen Mitgliedsstaaten bei Sicherheitsproblemen, etwa bei kompromittierten Wallets, die betroffenen Wallet-Systeme innerhalb von 24 Stunden deaktivieren. Betroffene Nutzer:innen müssen dann innerhalb der gleichen Frist davon in Kenntnis gesetzt werden.

Ziel dieser Maßnahmen sei es, „die Nutzer:innen zu schützen und das Vertrauen in das eIDAS-Ökosystem aufrechtzuerhalten“.


Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Es gibt neue Nachrichten auf friedliche-loesungen.org
:

Nur wer angemeldet ist, geniesst alle Vorteile:

  • Eigene Nachrichten-Merkliste
  • Eigener Nachrichtenstrom aus bevorzugten Quellen
  • Eigene Events in den Veranstaltungskalender stellen
M D M D F S S
 
 
 
 
 
 
1
 
2
 
3
 
4
 
5
 
6
 
7
 
8
 
9
 
10
 
11
 
12
 
13
 
14
 
15
 
16
 
17
 
18
 
19
 
20
 
21
 
22
 
23
 
24
 
25
 
26
 
27
 
28
 
29
 
30
 
31