EU-weit soll die Einführung einer sogenannten ID-Wallet vorangetrieben werden, mit der sich Menschen digital ausweisen können und die dafür deren Identitätsdaten speichert. Auch juristische Personen sollen die Möglichkeit bekommen, diese ID-Wallets zu nutzen. Für den Gesetzesvorschlag der EU-Kommission gibt es jedoch keineswegs nur Lob – im Gegenteil.
In der Europäischen Union trat 2014 die Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt in Kraft, die nun reformiert werden soll. Diese überarbeitete eIDAS-Verordnung soll allen EU-Bürgern die Möglichkeit zu einer digitalen Identität schmackhaft machen, die den Namen „European Digital Identity Wallet“ bekommen wird. Die ID-Wallet soll jeweils in der Hoheit der einzelnen EU-Mitgliedstaaten bereitgestellt werden, aber eine überall kompatible EU-weite Lösung sein.
Der Entwurf der EU-Kommission zur eIDAS-Neuregelung vom Juni 2021 (eIDAS: electronic IDentification, Authentication and trust Services) hat in der Wirtschaft überwiegend positives Feedback bekommen, er trifft jedoch auf breite Kritik und Nachbesserungswünsche von Bürgerrechtsorganisationen, Datenschützern und Experten für IT-Sicherheit. Die Kritik ist nicht ganz neu, schon im Juli 2021 (pdf) hatte der Europäische Datenschutzbeauftragte Schwachpunkte der geplanten Reformierung aufgezeigt, die aus Sicht des Datenschutzes bestehen. Eine öffentliche Konsultation hatte im Sommer zu Stellungnahmen aufgefordert.
Es existieren in Europa teilweise schon jahrelang Lösungen für nationale elektronische Identitäten, aber mit Dänemark, Deutschland, Schweden und Ungarn haben noch vier Staaten inkompatible Eigenkreationen. Die nun zur Überarbeitung vorgesehene Verordnung hat eine europaweit nutzbare ID-Wallet zum Ziel.
Von der Leyen verspricht eine sichere europäische elektronische Identität
Die Präsidentin der Europäischen Kommission, Ursula von der Leyen, hatte höchstselbst in ihrer Rede zur Lage der Union 2020 für die einheitliche ID-Wallet geworben. Sie beschrieb, dass niemand in der Praxis wissen können, was mit den eigenen Daten passiere und wie aber der geplante neue digitale EU-Identitätsspeicher die Kontrolle zurückbrächte:
Jedes Mal, wenn eine Website uns aufgefordert, eine neue digitale Identität zu erstellen oder uns bequem über eine große Plattform anzumelden, haben wir in Wirklichkeit keine Ahnung, was mit unseren Daten geschieht. Aus diesem Grund wird die Kommission demnächst eine sichere europäische digitale Identität vorschlagen. Eine, der wir vertrauen und die Bürgerinnen und Bürger überall in Europa nutzen können, um alles zu tun, vom Steuern zahlen bis hin zum Fahrrad mieten. Eine Technologie, bei der wir selbst kontrollieren können, welche Daten ausgetauscht und wie sie verwendet werden.
Ganz so rosig wie in von der Leyens schwärmenden Worten wird die Umsetzung der ID-Wallet-Idee derzeit nicht bewertet, jedenfalls nicht aus Sicht von Datenschützern und IT-Sicherheitsfachleuten. Eine öffentliche Anhörung zu eIDAS beim Parlamentsausschuss für Industrie, Forschung und Energie brachte am Donnerstag Experten für eine Diskussion zusammen. Wojciech Wiewiórowski, der Europäische Datenschutzbeauftragte, erneuerte dort gleich zu Beginn seine Kritik, warnte vor Gefahren und forderte Nachbesserungen.
Ein weiterer der angehörten Kritiker der geplanten Verordnungsreform war Thomas Lohninger, Geschäftsführer des Vereins epicenter.works aus Österreich und Vizepräsident von European Digital Rights. Eine Konsequenz der neuen digitalen Brieftasche könne ein für die Privatsphäre von Menschen gefährliches Szenario sein, vor dem Lohninger auch in seiner Stellungnahme (pdf) warnt: Gezielte Werbung könnte mit der staatlich garantierten Identität gekoppelt werden. Die Werbewirtschaft wüsste dann quasi mit staatlichem Stempel, mit wem sie es namentlich zu tun hat und wem konkret sie Werbung unterjubelt.
Lohninger betonte, es fehle an „Schutzmaßnahmen gegen Missbrauch bei Tracking, Profiling und gezielter Werbung“. Hier müsse man dringend nachbessern. Es bestehe keine besondere Eile bei der Gesetzgebung, insofern plädiere er dafür, diesen Mangel zu beseitigen. Er rate auch zu einer Art Negativ-Liste, in der verständlich festgehalten werden solle, wofür die Daten der ID-Wallet keinesfalls verwendet werden dürfen. Auf jeden Fall müsse verhindert werden, dass mit der ID-Wallet am Ende nur die Tracking- und Werbewirtschaft und insbesondere auch die großen außereuropäischen Tech-Konzerne gestärkt werden.
Informationssammlung beim ID-Wallet-Herausgeber
Ein anderer potentiell gefährlicher Datenmissbrauch droht wegen der Daten, die bei der Nutzung des Identitätsspeichers beim Wallet-Herausgeber anfallen. Die Vorschläge der EU-Kommission schreiben zwar fest, dass der Nutzer über seine European Digital Identity Wallet die volle Kontrolle behalten soll. Über die Nutzung der Wallet soll der Herausgeber keine Informationen sammeln, die nicht notwendig für die Wallet-Dienstleistungen sind. Datenschutzexperte und Informatiker Lukasz Olejnik rät jedoch wegen dieser sensiblen Nutzungsdaten in seiner Stellungnahme, die Rechte der Nutzer weiter zu stärken und zusätzlich vorzuschreiben, dass nicht mehr benötigte, aber bereits gesammelte Daten über die Wallet-Nutzung gelöscht werden sollen. Mehr als zwei Jahre sollten sie keinesfalls festgehalten werden, so Olejnik, wünschenswert wäre eine viel kürzere Frist von nur einem Monat.
Lohninger kritisiert, dass nicht schon von vornherein ein technischer Ansatz vorgeschrieben werde, um die Nutzungsdaten beim Wallet-Herausgeber zu minimieren. Er optiert für eine technische Infrastruktur, die eine Informationssammlung beim Herausgeber weitgehend unterbinde. Die entsprechende Passage müsse schon deswegen geändert werden, weil das Vertrauen der potentiellen Nutzer in die ID-Wallet durch technische Maßnahmen zum Datenschutz viel deutlicher gestärkt werden müsse. Denn ohne Vertrauen seitens der Nutzer drohe das ganze Vorhaben zu scheitern.
Damit die ID-Wallet breite Akzeptanz findet, muss es neben dem Vertrauensvorschuss auch möglichst viele Angebote geben, die von Menschen genutzt werden könnten. Sonst endet der Vorschlag vielleicht wie die deutsche eID im Personalausweis, die – selbst nachdem sie per Gesetz zwingend aktiviert ist – noch immer kaum Nutzer findet. Der Entwurf der Verordnung sieht daher eine Verpflichtung zur Akzeptanz der ID-Wallet bei Staat und Wirtschaft vor, versucht also durch eine vielfältig Angebotsseite die Nutzung anzuregen. Die sehr großen Plattformbetreiber sollen daher mitmachen müssen, aber auch eine ganze Reihe anderer Wirtschaftsbranchen, etwa Transport, Energie, Banken, Gesundheit, Post, Telekommunikation und weitere sollen verpflichtet werden.
Die IT-Sicherheit bei Smartphones
Ein in der Anhörung vielfach vorgebrachter Kritikpunkt ist das Fehlen vieler rechtlicher und technischer Details für das Design und die Nutzungsmöglichkeiten der Wallet: Das mache eine Risikoanalyse und eine sinnvolle Datenschutz-Folgenabschätzung im Sinne der Datenschutzgrundverordnung fast unmöglich, so Lohninger. Das betonte auch der Europäische Datenschutzbeauftragte Wiewiórowski, der anmerkte, eine Prüfung, ob alle Standards der DSGVO eingehalten werden, sei aktuell nicht möglich.
Schwierig sei zudem, dass die IT-Sicherheit der ID-Wallet als App von der IT-Sicherheit von Smartphones abhänge, sagte Lohninger. Das stelle viele Menschen vor Probleme, etwa wenn sie nicht die finanziellen Mittel hätten, um neuere Smartphones mit regelmäßigen Updates zu nutzen. Schon deswegen müsse in die Vorschläge zur ID-Wallet eine Anti-Diskriminierungsklausel hinein, damit nicht Menschen mit weniger Geld nach der Einführung der Digital-Brieftasche auch noch Aufpreise zahlen müssen, wenn sie diese digitale Identität nicht nutzen können. In seinem Heimatland Österreich sei das bereits zu beobachten.
Millionen Browser-Nutzer gefährdet
Besonders in der Kritik von Seiten vieler IT-Experten steht auch der geplante Artikel 45 der Verordnung. Darin geht es um Zertifikate in Browsern. Solche Zertifikate werden von Certificate Authorities (CAs) verwaltet. Sie haben eine Funktion wie ein Notar, der beglaubigt, dass Zertifikate echt sind. Der Kommissionsvorschlag würde eine staatliche Zertifikatsinfrastruktur über solche CAs in Browsern verpflichtend vorschreiben. Lukasz Olejnik hält das Vorhaben in seiner Stellungnahme für hochgefährlich und schlägt vor, den Artikel 45 wegen seiner potentiellen Auswirkungen auf die IT-Sicherheit und auf Grundrechte komplett zu streichen oder aber mindestens statt einer Verpflichtung eine Opt-In-Lösung aufzunehmen.
Die Electronic Frontier Foundation fand in einer im Dezember veröffentlichten Stellungnahme deutliche Worte, was die Folgen angeht, würde der Vorschlag so in Kraft treten: „Die Sicherheit von HTTPS im Browser könnte um vieles schlimmer werden.“ Millionen Browser-Nutzer wären außerdem betroffen. Auch Lohninger kritisiert, dass der Vorschlag für die IT-Sicherheit von Browsern gefährlich wäre und verheerende Konsequenzen („devastating consequences“) drohen würden. Er appellierte bei der Anhörung an die EU-Parlamentarier: „Please don’t break the web!“
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires