„Blankoscheck zur Überwachung“: Datenschützer üben massive Kritik an eIDAS-Novelle der EU

Ein Einfallstor zur umfassenden Überwachung unter dem Banner einer Erleichterung des Geschäftsverkehrs droht die geplante Novelle zur eIDAS-Verordnung der EU zu werden. Diese will der Rat noch im Dezember beschließen, im Februar soll das Parlament abstimmen. Brüssel möchte in weiterer Folge bis 2026 die einheitliche digitale europäische Identität auf der Grundlage eines E-Wallets umgesetzt sehen.

EU-Kommission lobt sich selbst für eIDAS-Novelle

Bereits im Dezember des Vorjahres hatte der Rat einer Reform der Verordnung über „Electronic IDentification, Authentication and Trust Services“ zugestimmt. Damit entstand eine Verpflichtung für alle Mitgliedstaaten, eine Software namens „European Digital Identity Wallet“ (ID-Wallet) anzubieten.

Nun soll es an die konkrete Umsetzung dieses Vorhabens gehen. Auf X lobte Digitalkommissar Thierry Breton die Einigung von EU-Parlament, Ministerrat und Kommission als Grundlage für eine „lebenslange, sichere E-Identität“. Dies sei ein „Riesenschritt“ und eine „Weltpremiere“.

We did it! #Deal🤝 With the European Digital Identity wallet, all 🇪🇺 citizens will be able to have a secured e-identity for their lifetime. The wallet has the highest level of both security & privacy. Giant step & a world premiere ! 👏 to my teams and both colegislators.#eID pic.twitter.com/LLylTyqKdq — Thierry Breton (@ThierryBreton) November 8, 2023

Noch vor wenigen Wochen hatten Forscher, Datenschützer und NGOs vor einer erheblichen Gefahr für die Privatsphäre der Bürger gewarnt. Sie hatten in mehreren Bereichen des Entwurfs Anlässe zur Nachbesserung gesehen. In den meisten Fällen scheinen diese jedoch ungehört verhallt zu sein.

Zusammenführung getrennt erfasster Daten wäre immer noch möglich

Wie der „Standard“ berichtet, haben sich die Datenschützer zwar in manchen Bereichen durchgesetzt. So war in der Erstfassung von 2021 eine eindeutige und dauerhafte Personenkennziffer angedacht. Diese wäre jedem Nutzer ähnlich wie die deutsche Steueridentifikationsnummer individuell zugeordnet worden und hätte ein umfassendes Tracking erlaubt.

Auch gibt es nun ein explizites Diskriminierungsverbot. Es dürfen niemandem Nachteile entstehen, wenn er sich gegen die digitale Brieftasche entscheidet. Dennoch werden sämtliche Transaktionsdaten der ID-Wallet zentral erfasst. Dies geschieht in einer Weise, die von der eigentlichen ID getrennt ist.

Die Nutzer des Wallets sollen sich im Alltag mit ihren personenbezogenen Daten, einem Pseudonym oder einem sogenannten „Zero Knowledge Proof“ identifizieren können. Letztgenannte Option ermöglicht Nutzern eine Bestätigung ihrer Identität, ohne Informationen über sich preiszugeben.

Allerdings wäre eine Zusammenführung mit dem erforderlichen Know-how zumindest theoretisch möglich. Zudem können die pseudonymen Lösungen durch nationales Recht oder EU-Recht eingeschränkt werden. Und die „Zero Knowledge“-Option einzuführen, ist für die Mitgliedstaaten nicht verpflichtend.

QWACS-Zertifikate gelten als veraltet – und potenziell gefährlich für Privatsphäre

Grundsätzlich sollen Nutzer des Wallets selbst bestimmen können, welchen sogenannten „vertrauenswürdigen Parteien“ gegenüber sie ihre Identität bestätigen wollen. Diese wiederum müssen sich in den jeweiligen EU-Mitgliedstaaten registrieren lassen.

Sie sollen auch darlegen, welche Daten sie zu welchem Zweck von den Nutzern anfordern. Diese sollen die entsprechenden Vorgänge über ein sogenanntes Datenschutzcockpit abfragen können. Erforderlichenfalls sollen sie darüber auch Beschwerden einreichen können. Unter den „vertrauenswürdigen Parteien“ werden sich auch Regierungsorganisationen befinden.

Ein weiterer Kritikpunkt an der bevorstehenden eIDAS-Novelle sind die sogenannten Qualified Website Authentication Certificates (QWACs). Die EU will alle Anbieter gängiger Browser dazu zwingen, staatliche Root-Zertifikate zu akzeptieren.

QWACs gelten nicht nur als veraltet und unsicher – wer solche Zertifikate einbringen kann, könnte sich theoretisch auch über „Man in the Middle“-Attacken Zugang zum gesamten Datenverkehr verschaffen.

Anbieter könnten eIDAS-Browser und „Rest der Welt“-Browser zur Auswahl stellen

Einige Länder sollen diese Möglichkeit mindestens einmal aktiv ausgetestet haben – darunter waren unter anderem China, Kasachstan oder die Russische Föderation. Kritiker gehen nun davon aus, dass Browser künftig in der EU zwei Modelle anbieten werden – eines, das auf die eIDAS-Novelle zugeschnitten ist, und eines für den Rest der Welt.

Dieses wird voraussichtlich auch sicherer sein. Allerdings dürfte sich die Masse der Nutzer, die sich kaum mit Hintergründen dieser Art befasst, für die EU-konforme Fassung entscheiden. Bereits jetzt akzeptieren beispielsweise die meisten Internetnutzer unhinterfragt Cookies, nach denen aufgrund europäischer Datenschutzbestimmungen gefragt werden – einfach, um das lästige Insert auf den Websites wegzubekommen.

---