Bürgerrechtsorganisationen, Wissenschaftler:innen und Forschungseinrichtungen kritisieren die geplante ID-Wallet, die derzeit auf EU-Ebene diskutiert wird. Sie fordern den Rat der Europäischen Union, das EU-Parlament und die Kommission zu grundlegenden Korrekturen bei Datenschutz und Privatsphäre auf.
Die EU plant, die sogenannte „European Digital Identity Wallet“ (ID-Wallet) einzuführen. Die digitale Brieftasche sollen EU-Bürger:innen künftig bei Verwaltungsgängen und Bankgeschäften, aber auch bei Arztbesuchen, Alterskontrollen oder beim Internet-Shopping einsetzen können. Den Weg dahin wird die eIDAS-2.0-Verordnung ebnen, die derzeit im Trilog der EU verhandelt wird.
In einem heute veröffentlichten offenen Brief kritisieren 22 Nichtregierungsorganisationen, Wissenschaftler:innen und Forschungseinrichtungen, dass die geplante Verordnung erhebliche Lücken aufweise. Sie richten den Blick vor allem auf den Datenschutz und die Privatsphäre sowie auf mögliche Betrugsszenarien. Zu den Unterzeichnenden gehören epicenter.works, European Digital Rights, Privacy International und viele andere.
„Geschenk für Google und Facebook“
Dem Brief zufolge stellt die geplante digitale Brieftasche ein „beispielloses Risiko“ für die Privatsphäre der EU-Bürger:innen dar.
So sei etwa vorgesehen, dass Banken und Versicherungen ähnliche Know-Your-Customer-Anforderungen erfüllen müssten wie die „überwachungsgetriebenen Geschäftsmodelle“ der Tech-Konzerne. Anhand solcher Anforderungen müssen Unternehmen die Identität Ihrer Kund:innen überprüfen, bevor sie mit ihnen Geschäfte eingehen.
Aus Sicht der Unterzeichnenden drohe eIDAS 2.0 damit zu einem „Geschenk für Google und Facebook“ zu werden. Mit Hilfe der digitalen Brieftasche könnten die Konzerne die Privatsphäre der EU-Bürger:innen noch weiter aushöhlen.
Gegen eine dauerhafte Personenkennziffer
Der Brief warnt zudem davor, eine eindeutige und dauerhafte Kennung für die EU-Bürger:innen einzuführen. Eine solche „Seriennummer für Menschen“ würde es Unternehmen ermöglichen, das Nutzungsverhalten Einzelner online wie offline „mit ungekannter Genauigkeit“ zu erfassen. Eindeutige Personenkennziffern sind in Deutschland verfassungsrechtlich umstritten, wie die Debatte um die Steuer-ID und die Registermodernisierung zeigt.
Die Kommission sieht in ihrem Entwurf vor, eine eindeutige, dauerhafte Personenkennziffer (Unique identifier) einzuführen. Der Kompromissvorschlag des EU-Parlaments tut dies ebenfalls, will deren Einsatz allerdings auf grenzüberschreitende Verwaltungsdienste beschränken.
Demnach soll die Personenkennziffer nur dann abgefragt werden, wenn beispielsweise eine deutsche Staatsbürgerin in Belgien mit der dortigen Verwaltung kommuniziert und die Angabe der Nummer rechtlich erforderlich ist. Allerdings birgt aus Sicht von Datenschützer:innen bereits die Einführung einer Personenkennziffer die Gefahr, dass deren Nutzung – im Sinne einer schleichenden Zweckentfremdung (Function Creep) – später ausgeweitet werden könnte. Zur einheitlichen Personenkennziffer gibt es technische Alternativen.
Um der Gefahr einer drohenden Überidentifizierung zu begegnen, spricht sich der offene Brief – wie auch der Kompromissvorschlag des EU-Parlaments – für datensparsame Authentifizierungsmöglichkeiten aus. Neben personenbezogenen Daten sollten auch pseudonymisierte Daten und Zero-Knowledge-Proofs (zu Deutsch: Null-Wissen-Beweis) zum Einsatz kommen. Diese könnten Nutzer:innen verwenden, sofern eine namentliche Identifizierung nicht gesetzlich vorgeschrieben ist.
Der Gefahr des Betrugs begegnen
Schließlich weisen die Unterzeichnenden darauf hin, dass die ID-Wallet neue Möglichkeiten des Betrugs und des Missbrauchs biete. Die Gefahr sei auch deshalb groß, weil die digitale Brieftasche sensible Identitäts-, Finanz- und Gesundheitsdaten von Millionen Menschen enthalten soll. Damit böte sie ein überaus interessantes Ziel für Kriminelle.
Dennoch seien bislang keine Rechtsmittel vorgesehen, die es nationalen Behörden ermöglichen würde, gegen betrügerische Akteure vorzugehen und diese aus dem eIDAS-Ökosystem auszuschließen.
Der Brief schließt mit dem Hinweis, dass die European Digital Identity Wallet nur mit entsprechenden Sicherheitsvorkehrungen das Vertrauen der EU-Bürger:innen gewinnen und zu einer „sehr leistungsfähigen Plattform für digitale Interaktionen“ werden könne. Dafür aber müsse sie die Grundrechte respektieren und die Privatsphäre aller schützen.
eIDAS 2.0: Digitale Brieftasche für alle EU-Bürger:innen
eIDAS 2.0 soll eine Regulierung aus dem Jahr 2014 reformieren. Das Kürzel eIDAS steht für „Electronic IDentification, Authentication and Trust Services“. Im Dezember hatte der Rat der Europäischen Union seine zustimmende Position zu dem Vorhaben abgegeben; im Frühjahr folgte das EU-Parlament. Den entsprechenden Verordnungsentwurf hatte die EU-Kommission im Juni 2021 vorgelegt.
Die Verordnung befindet sich derzeit in den Trilogverhandlungen. Voraussichtlich in der zweiten Jahreshälfte werden Rat und Parlament sie beschließen. Der Trilog wird unter anderem darüber entscheiden, ob die ID-Wallet mit einer der Einführung einer eindeutigen Personenkennung einhergeht, welche Rolle Pseudonymen bei elektronischen Transaktionen zukommt und ob der Code unter einer Open-Source-Lizenz veröffentlicht wird.
Vor zwei Wochen hat das Bundesinnenministerium einen Konsultationsprozess zur ID-Wallet gestartet.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires