EU ebnet den Weg für europaweit einheitliche elektronische Identität

Der Rat der Europäischen Union hat am Dienstag, 6. Dezember, einer Reform der eIDAS-Verordnung („Electronic IDentification, Authentication and Trust Services“) zugestimmt.

Der neue Rechtsakt verpflichtet alle EU-Mitgliedstaaten, eine Software namens „European Digital Identity Wallet“ (ID-Wallet) anzubieten.

Das schreibt die Nachrichten-Plattform „netzwerk.org“. Die Software solle eine einheitliche Online- und Offline-Identifizierung von Menschen innerhalb der Union ermöglichen. Sicherheitsbedenken würden dabei nicht berücksichtigt.

Systeme bisher meist inkompatibel

Ziel der EU ist die Einführung einer europaweiten digitalen Identität. Ein zentraler Punkt ist dabei die einheitliche Gestaltung. Bisher haben nur 19 der 27 EU-Staaten Systeme auf der Basis von eIDAS eingeführt, die zueinander meist nicht kompatibel sind, so „netzwerk.org“ weiter.

So gibt es in Deutschland zwar den digitalen Personalausweis, doch der funktioniert auch nur innerhalb des Landes. Und der Versuch des früheren Bundesverkehrsministers Andreas Scheuer (CDU), eine ID-Wallet für den digitalen Führerschein einzuführen, scheiterte 2021 an Sicherheitslücken.

Von der Leyen: Technologie, der wir vertrauen

Die wichtigste Veränderung gegenüber der bereits bestehenden eIDAS-Verordnung besteht darin, dass eIDAS 2.0 die Wallet-App auch für private Unternehmen öffnen soll. Diese könnten damit künftig dann die Identität ihrer Kunden überprüfen.

Behörden, Banken sowie Plattformen wie Google, Amazon oder Facebook will die EU zur Unterstützung der europäischen ID-Wallet verpflichten.

Für diese Pläne machte sich Ursula von der Leyen, Präsidentin der Europäischen Kommission, stark. Die CDU-Politikerin forderte in ihrer 2020 gehaltenen Rede zur Lage der Europäischen Union die Einführung einer digitalen Identität.

Es solle eine Technologie sein, „der wir vertrauen und die Bürgerinnen und Bürger überall in Europa nutzen können, um alles zu tun, vom Steuern zahlen bis zum Fahrrad mieten. Eine Technologie, bei der wir selbst kontrollieren können, welche Daten ausgetauscht und wie sie verwendet werden.“

80 Prozent Nutzer bis 2030

Nach den Vorstellungen der Kommission sollen etwa 80 Prozent der Bürger das System bis zum Jahr 2030 nutzen. Bis dahin soll jedes EU-Land die Geldbörse für digitale Identitäten als App für Smartphones bereitstellen.

Die Wirtschaft steht den Plänen laut „netzwerk.org“ überwiegend positiv gegenüber. Massive Kritik äußern hingegen Datenschützer, IT-Experten und Bürgerrechtsorganisationen. So bemängelte Thomas Lohninger, Geschäftsführer von epicenter.works und Vizepräsident von European Digital Rights, bei einer öffentlichen Anhörung im Februar 2021, dass die neue Verordnung keine Schutzmaßnahmen „gegen Missbrauch bei Tracking, Profiling und gezielter Werbung“ vorsehe.

Ein Aspekt sei die gezielt auf Nutzer zugeschnittene Werbung, die an die jeweilige digitale Identität gekoppelt ist. So könne die Werbewirtschaft problemlos ermitteln, wem sie welche Werbung anzeigt und wie effektiv diese ist.

Gespeicherte Daten wieder löschen

Auch die in der Wallet zusammengetragenen Daten geben Anlass zum Kritikpunkt. Neben Verwaltungsgängen und der Erledigung von Bankgeschäften sollen noch viele weitere Nutzungsmöglichkeiten vorgesehen sein. Dazu zählen etwa Arztbesuche, Ticketkäufe, Hotelbuchungen oder Alterskontrollen.

Der Datenschutzexperte Lukasz Olejnik forderte daher, nicht benötigte Daten nur über einen begrenzten Zeitraum zu speichern und sie dann wieder zu löschen. Rechtliche sowie technische Details seien ebenfalls noch zu klären, kritisierte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski. Daher lasse sich derzeit nicht prüfen, ob und inwieweit das Vorhaben DSGVO-Standards verletze.

Heftige Kritik gab es außerdem für den Artikel 45 der neuen Verordnung. Er zwingt Browseranbieter dazu, sogenannte Qualified Website Authentication Certificates (QWACs) zu akzeptieren. Diese Zertifikate sind laut IT-Experten jedoch veraltet, untauglich und unsicher.

Missbrauch möglich

Die EU-Kommission habe die Probleme aus Sicht von epicenter.works bislang nicht behoben. So hätten sich die Mitgliedstaaten gar „geweigert, den notwendigen Schutz für die Privatsphäre einzubeziehen, um dieses System sicher für alle Nutzer zu machen“, kritisiert die Organisation auf ihrer Internetseite.

eIDAS drohe, eine „panoptische Sicht auf alle Lebensbereiche“ und kriminellen Missbrauch zu fördern. Die Reform schaffe so „ein gefährliches und unkontrolliertes Umfeld für die sensiblen Gesundheits-, Finanz- und Identitätsdaten aller Europäer“.

---