Die EU-Kommission will einen einheitlichen digitalen Identitätsnachweis einführen – inklusive lebenslanger Personenkennziffer, auf die auch Unternehmen zugreifen dürfen. Obwohl das EU-Parlament mehr Datenschutz in seinem Kompromissvorschlag durchsetzen will, gibt es weiterhin Kritik an den Plänen.
Die Europäische Union will einen einheitlichen digitalen Identitätsnachweis einführen. Das sogenannte „European Digital Identity Wallet“ (ID-Wallet) soll es EU-Bürger:innen und -Einwohner:innen ermöglichen, sich in allen Mitgliedstaaten online wie offline auszuweisen.
Der nächste Schritt dorthin erfolgt am 9. Februar. Dann stimmt der federführende Ausschuss für Industrie, Forschung und Energie (ITRE) des EU-Parlaments über einen Kompromissvorschlag der entsprechenden Verordnung eIDAS 2.0 ab, in den auch Empfehlungen des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE) eingeflossen sind. Der Vorschlag verändert auch einige jener Punkte, die Bürgerrechtler:innen und Datenschützer:innen seit längerem kritisieren.
So sieht der aktuelle Kompromisstext nun explizit einen Schutz vor Diskriminierung vor. Bürger:innen soll es demnach freigestellt sein, ob sie die ID-Wallet bei öffentlichen und privaten Dienste-Anbietern nutzen. Sie erfahren demnach keine Nachteile, wenn sie kein Smartphone besitzen oder andere Möglichkeiten der Identifizierung verwenden möchten. Außerdem soll der Quellcode des ID-Wallets offen einsehbar, also Open Source sein.
Personenkennziffer: Die Einschränkung der „Super-Cookies“
Wer das ID-Wallet einsetzen möchte, kann es sowohl zur Identifizierung als auch zur Authentifizierung verwenden. Im ersten Fall teilt die Nutzer:in durch die Weitergabe persönlicher Daten mit, wer sie ist; im zweiten Fall bestätigt sie nurmehr, dass sie jene Person ist, die sie vorgibt zu sein.
Hinsichtlich der Identifizierung kritisieren Datenschützer:innen insbesondere, dass die Kommission anstrebt, eine eindeutige, dauerhafte Personenkennziffer (Unique identifier) einzuführen. Diese ist allerdings auch im Kompromissvorschlag des EU-Parlaments vorgesehen. Ihr Einsatz soll dort aber strikt auf grenzüberschreitende Verwaltungsdienste beschränkt sein.
Thomas Lohninger von der österreichischen Bürgerrechtsorganisation epicenter.works begrüßt diese Einschränkung durch den EU-Parlamentsausschuss gegenüber netzpolitik.org: „Diese ‚Super-Cookies‘ drohen, alle Menschen in Europa eindeutig zu identifizieren und könnten nach den Plänen der Kommission auch für Tracking und Profiling missbraucht werden. Im Kompromisstext von ITRE gibt es nun keinen Zwang mehr, einen solchen Identifier einzuführen. Eine eindeutige Identifizierung von Benutzer:innen des Wallet muss von Staaten nur noch für den grenzüberschreitenden Einsatz gegenüber öffentlichen Einrichtungen sichergestellt werden.“
Konkret soll die Personenkennziffer demnach nur noch dann abgefragt werden, wenn beispielsweise eine deutsche Staatsbürgerin in Belgien mit der dortigen Verwaltung kommuniziert und die Angabe der Nummer rechtlich gefordert wird. Allerdings ist damit zu rechnen, dass die Kommission im weiteren Gesetzgebungsverfahren an ihren Plänen festhält, dass auch Privatunternehmen die Personenkennziffer abrufen dürfen sollen. Zudem birgt die bloße Einführung einer Personenkennziffer die Gefahr, dass deren Nutzung – im Sinne einer schleichenden Zweckentfremdung (Function Creep) – später ausgeweitet werden könnte.
Datensparsame Authentifizierung soll technisch möglich sein
Geht es nach dem ITRE-Vorschlag, sollen sich Nutzer:innen im Alltag nicht mit der Personenkennziffer, sondern vorwiegend mit ihren personenbezogenen Daten identifizieren. Der Kompromisstext enthält eine „Minimum List of Attributes“, zu der unter anderem die Anschrift, das Geburtsdatum und der Familienstand einer Person gehören, aber auch Bildungsnachweise und Unternehmensdaten („Company Data“).
Darüber hinaus sollen sich Nutzer:innen mit Hilfe des ID-Wallet authentifizieren können, ohne personenbezogene Daten preiszugeben. Laut Kompromissvorschlag sollen sie Pseudonyme für all jene Anwendungsfälle verwenden können, in denen eine Identifizierung mit dem Realnamen nicht gesetzlich vorgeschrieben ist. Die Pseudonyme werden verschlüsselt auf den Endgeräten hinterlegt. Zu beachten ist dabei, dass sich der Einsatz von Pseudonymen zum Beispiel von Ermittlungsbehörden zurückverfolgen lässt und daher keine Anonymität bietet.
Um sich ohne den Austausch jedweder personenbezogenen oder pseudonymisierten Daten authentifizieren zu können, soll das ID-Wallet auch den sogenannten Zero Knowledge Proof (zu Deutsch: Null-Wissen-Beweis) ermöglichen. Damit können die Nutzer:innen ihre Identität bestätigen, ohne persönliche Informationen über sich preiszugeben. Mit dieser Methode sind die personenbezogenen Daten am besten geschützt, da diese auf dem Gerät verbleiben und nicht weitergereicht werden.
Zu wenig Schranken gegen Überidentifikation
Dass der vorliegende Kompromissvorschlag unterschiedliche Möglichkeiten vorsieht, mit denen sich Nutzer:innen identifizieren bzw. authentifizieren können, ist aus datenschutzrechtlicher Sicht sinnvoll. Mindestens ebenso wichtig ist aber auch, wie die jeweiligen Anwendungsfälle und die „relying parties“ – also die sogenannten vertrauenswürdigen Parteien, gegenüber denen Nutzer:innen ihre Identität bestätigen – definiert und eingegrenzt werden.
Aus Sicht von Datenschützern dürfe die Einführung des ID-Wallets zum einen nicht dazu führen, dass die Ausweispflicht online wie offline zunimmt. Zum anderen müsse klar geregelt sein, wer welche Daten abfragen darf.
Hier sieht auch Thomas Lohninger noch die größten Risiken für den Datenschutz: „Derzeit wäre es für jede Firma oder staatliche Stelle möglich, alle möglichen Datenfelder von allen Benutzer:innen abzufragen. Die Verantwortung liegt auf den Schultern jeder und jedes Einzelnen, welche Informationen man mit wem teilt und sich über ausufernde Informationsanfragen im Nachhinein zu beschweren.“
Auch der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski sieht da noch Regulierungsbedarf. Auf der gestrigen Cybersecurity Standardisation Conference äußerte er die Befürchtung, dass man im Internet künftig an jeder Ecke das ID-Wallet zücken müsse. Zudem beobachtet Wiewiórowski im laufenden Verfahren eine wachsende Kluft: Auf der einen Seite stünden die Gesetzgeber und auf der anderen Seite jene, die über die technischen Standards und deren Implementierung entscheiden. Den technischen Standards komme indes eine mindestens ebenso entscheidende Rolle zu wie den rechtlichen Vorgaben, die derzeit im EU-Parlament verhandelt würden. Gerade in technischer Hinsicht seien aber noch viele Fragen ungeklärt.
Wichtige Sicherheitsschranke entfernt
Bislang sieht der Kompromissvorschlag vor, dass die „relying parties“ ihre Anwendungsfälle vorab anmelden müssen. Im Anschluss dürfen sie Nutzer:innen über das ID-Wallet nach persönlichen Informationen fragen. Die Liste der angemeldeten verlässlichen Parteien soll öffentlich einsehbar sein. Eine Vorab-Registrierung, die mit einer behördlichen Bestätigung einhergeht, soll nur bei sensiblen Daten erforderlich sein, etwa im Gesundheitsbereich.
Aus Sicht von Datenschützer:innen stellt der Kompromissvorschlag in dieser Hinsicht ein Rückschritt dar. Frühere Verhandlungsversionen hatten noch vorgesehen, dass sich Unternehmen nicht nur vorab anmelden, sondern auch registrieren müssen, wenn sie Daten über das ID-Wallet abfragen wollen. Erst nach einer Freischaltung hätten sie dann ausschließlich jene Daten abrufen können, für die sie zuvor eine Genehmigung erhalten haben. „Leider hat massives Industrielobbying dazu geführt, dass diese wichtige Sicherheitsschranke entfernt wurde“, bedauert Thomas Lohninger.
Obendrein sieht der Kompromissvorschlag bislang keinerlei technische Vorkehrungen vor, die verhindern, dass „relying parties“ mehr Informationen abfragen können als es gemäß ihrer Anmeldung vorgesehen ist. Geschieht dies, können sich Nutzer:innen zwar beschweren – laut Entwurf können sie sich jedoch nur an die zuständige Behörde des jeweiligen Mitgliedstaates wenden, in der etwa das gerügte Unternehmen seinen Sitz hat.
Die Unterschiede zwischen den verschiedenen EU-Ländern sind allerdings groß, wenn es um die Durchsetzung europäischer Datenschutzregeln geht. So ist zum Beispiel Irland dafür berüchtigt, beim Datenschutz regelmäßig ein Auge zuzudrücken. Um eine ungleiche Rechtsdurchsetzung innerhalb der EU zu verhindern, müsste diese daher nicht nur gestärkt werden, sondern bestenfalls auch auf europäischer Ebene erfolgen.
Nicht zuletzt sieht der Entwurf weiterhin vor, dass Browseranbieter sogenannte Qualified Website Authentication Certificates (QWACs) nutzen sollen. Diese Zertifikate gelten jedoch als veraltet, untauglich und relativ unsicher. Aus Sicht von IT-Expert:innen setze die EU-Kommission die Bürger:innen damit unnötigerweise Risiken aus. Laut Kompromissvorschlag sollen Browser-Anbieter nun immerhin die Möglichkeit erhalten, Zertifikate zu entfernen, wenn diese nachweislich eine Gefahr für die Sicherheit oder den Datenschutz darstellen.
Beschließt der ITRE-Ausschuss den Kompromisstext, wird dieser voraussichtlich im März als Beschlussvorlage im Plenum des Europa-Parlaments dienen. In den anschließenden Trilogverhandlungen stimmen EU-Kommission, Parlament und Ministerrat das Gesetzeswerk dann final ab, bevor es Rat und Parlament dann beschließen. Damit ist voraussichtlich frühestens im zweiten Halbjahr zu rechnen. Im Laufe der darauffolgenden 18 Monate müssen die einzelnen Mitgliedstaaten ihren Bürger:innen dann ein ID-Wallet anbieten.
Offener Brief mit fünf Kernforderungen
Bevor es aber soweit ist, hoffen 39 Nichtregierungsorganisationen, Akademiker:innen und unabhängige Expert:innen den Gesetzgebungsprozess noch in ihrem Sinne beeinflussen zu können. Sie haben sich am 1. Februar in einem offenen Brief an die Mitglieder des EU-Parlaments gewandt. Zu den Unterzeichner:innen zählen unter anderem Epicenter.works, European Digital Rights, La Quadrature du Net, der Chaos Computer Club und Digitalcourage.
Die Unterzeichner:innen rufen die EU-Abgeordneten dazu auf, „ein integratives, sicheres und geschütztes digitales ID-System“ zu schaffen. Aus ihrer Sicht sind dafür verschiedene Punkte entscheidend, die der Kompromissentwurf bislang nur in Teilen erfüllt. Laut Brief müsse sich das ID-Wallet durch Prinzipien des privacy by design und privacy by default auszeichnen – also durch Datenschutz qua technische Ausgestaltung und datenschutzfreundliche Voreinstellungen.
Die Unterzeichner:innen verweisen dabei auf das digitale COVID-Zertifikat der EU. Dieses habe gezeigt, dass ein Dienst die Rechte von Nutzer:innen schützen und zugleich effektiv sein könne.
eIDAS 2.0: Unklare Auswirkungen auf nationale Systeme
Den Plänen für das ID-Wallet liegt ein Verordnungsentwurf der EU-Kommission zugrunde, den die Kommission im Juni 2021 vorgelegt hatte. eIDAS 2.0 soll eine Regulierung aus dem Jahr 2014 reformieren: die Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt. Das Kürzel eIDAS steht für „Electronic IDentification, Authentication and Trust Services“. Im Dezember hatte der Rat der Europäischen Union bereits seine zustimmende Position zu dem Vorhaben abgegeben.
Unklar ist derzeit auch noch, welche Auswirkungen eIDAs 2.0 auf bestehende und geplante Systeme der Nationalstaaten hat. Hierzulande gibt es bereits die sichere und datenschutzfreundliche Ausweis-eID; verschiedene Bundesministerien und die Bundesdruckerei arbeiten darüber hinaus an einer gerätebasierten Smart eID und an Smartphone Wallets.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires