Schon bald sollen alle EU-Bürger:innen über eine digitale Brieftasche verfügen, mit der sie sich on- wie offline ausweisen können. Ein Konsultationsprozess des Bundesinnenministeriums zeigt nun, welche Interessen die Wirtschaft dabei verfolgt. Und wie diese im Widerspruch zu Datenschutz und Privatsphäre stehen.
Allmählich zeichnen sich die Konturen der „European Digital Identity Wallet“ (ID-Wallet) ab, und zwar auf europäischer wie auf nationaler Ebene. Die digitale Brieftasche sollen EU-Bürger:innen künftig bei Verwaltungsgängen und Bankgeschäften, aber auch bei Arztbesuchen, Alterskontrollen oder beim Internet-Shopping einsetzen können. Die entsprechende eIDAS-2.0-Verordnung befindet sich auf der Zielgeraden, letzte Woche konnten sich EU-Rat und Parlament politisch einigen.
In der letzten Verhandlungsrunde kamen das EU-Parlament und der Rat offenbar laut Medienberichten überein, dass es keine dauerhafte Personenkennziffer für die ID-Wallet geben soll. Die Kennziffer hatten Datenschützer:innen zuvor als „Seriennummer für Menschen“ kritisiert. Sie würde es Unternehmen ermöglichen, das Nutzungsverhalten Einzelner online wie offline „mit ungekannter Genauigkeit“ zu erfassen.
Nur wenige Stunden später endete am Freitag eine erste Frist in einem Konsultationsprozess, den das Bundesinnenministerium (BMI) parallel zum Trilog vor knapp einem Monat gestartet hatte. Zwar wird die eIDAS-2.0-Verordnung den groben Rahmen für die sogenannten EUdi-Brieftaschen vorgeben, viele Details bleiben jedoch den EU-Ländern überlassen. Sie können geplante oder bestehende Lösungen anpassen und zertifizieren lassen – oder jemanden beauftragen, diese Aufgabe für den Staat zu erledigen. Dem „transparenten und partizipativ gestalteten Architektur- und Entwicklungsprozess“ liegt ein 18-seitiges Diskussionspapier des Ministeriums zugrunde.
Rund 50 Positionierungen gingen bis zur Frist am vergangenen Freitag ein. Die allermeisten kommen aus der Wirtschaft, ein kleiner Teil aus der Wissenschaft und der Zivilgesellschaft. Die Eingaben veranschaulichen die mitunter entgegengesetzten Interessen beider Seiten.
Wirtschaft wünscht sich „multifunktionales Wallet“
Auf Seite der Wirtschaft haben sich große Konzerne wie die Deutsche Post, Telekom und Google zu Wort gemeldet. Aber auch etliche kleinere und mittelständische Unternehmen bringen ihre Wünsche ein. Zu diesen zählen unter anderem die Governikus GmbH, die für den Bund die „AusweisApp2“ entwickelt, und die Amadeus Data Processing GmbH, die Vertriebssoftware für die Tourismusbranche herstellt.
Die aktuelle Version des Verordnungsentwurfs auf EU-Ebene schließt nicht aus, dass neben dem öffentlichen Sektor auch die Unternehmen die ID-Wallet nutzen dürfen, überlasst die Entscheidung darüber allerdings den einzelnen Mitgliedstaaten.
In dieser Frage zeigen sich alle Unternehmen einig: Sie wünschen sich bei der ID-Wallet eine enge Zusammenarbeit zwischen Staat und Wirtschaft. Etliche der Unternehmen haben sich in den vergangenen Jahren bereits beim „Innovationswettbewerb ‚Schaufenster Digitale Identitäten‘“ eingebracht, in dem das Bundeswirtschaftsministerium seit drei Jahren digitale Identifikationssysteme fördert und erprobt.
Unisono fordern die Unternehmen eine stärkere Berücksichtigung ihrer Interessen. Wahlweise geht es dabei darum, „Mehrwertdienste durch den Private Sector“ (Governikus) zu schaffen oder eine „hohe Marktakzeptanz durch Abbildung einer Vielzahl von Use Cases“ (Telekom) zu erzielen.
Der Einsatz der ID-Wallet dürfe sich demnach nicht auf hoheitlich bereitgestellte Personenidentifikationsdaten (PID) beschränken. Im Gegenteil: Nur wenn die digitale Brieftasche „multifunktional“ sei und Unternehmen „differenziert“ auf niedrigerem Vertrauensniveau – also mit weniger Datenschutzeinschränkungen – auf deren Inhalte zugreifen dürften, könne dies die „Innovations- und Angebotsvielfalt […] fördern“ (bankenverband).
Was das konkret bedeutet, veranschaulicht exemplarisch das Positionspapier der Amadeus Data Processing GmbH. Sie will „das Reiseerlebnis für alle und überall besser“ machen – „[v]on der Inspiration bis zur Buchung, vom Boarding bis zum Fliegen, an den Flughäfen, am Zielort und in Hotels“.
„Primär marktgetrieben“
Geht es nach den Unternehmen, sollen sie aber nicht nur Zugriff auf die in der ID-Wallet hinterlegten Daten erhalten, sondern auch eigene Wallets anbieten dürfen.
In diesem Sinne sprechen sich viele der Unternehmen für die in dem BMI-Diskussionspapier genannte dritte Option aus, die neben einer rein staatlichen sowie einer vorwiegend privatwirtschaftlichen Ausgestaltung auch eine „Kombination aus staatlich und privatwirtschaftlich angebotenen EUdi-Brieftaschen“ vorsieht. Demnach stellt der Staat eine Basisinfrastruktur bereit und zertifiziert die Wallets der Privatwirtschaft.
Der Bankenverband plädiert dahingehend für eine „primär marktgetriebene“ Bereitstellung und Ausgestaltung der ID-Wallet. „Ein solcher Ansatz befördert Innovationen und sichert eine hohe Breitenwirkung und Akzeptanz des Ökosystems“, sagt auch die United Internet AG.
Auch der Werbekonzern Google bringt sich mit seiner „Fachkenntnis“ in Stellung: „Google Wallet könnte eine solche Alternative darstellen, ist praxiserprobt und basiert fundamental auf den Prinzipien des Datenschutzes, der Datensicherheit und der Nutzerfreundlichkeit.“
Das Grundrecht auf Pseudonymität schützen
Die Zivilgesellschaft nimmt im Vergleich zur Wirtschaft eine geradezu entgegengesetzte Perspektive ein.
So fordert epicenter.works in seiner Stellungnahme, dass nicht die Nutzungsbedingungen der Unternehmen vorgeben dürften, wann sich Nutzer:innen diesen gegenüber zu identifizieren haben. Die Bedingungen dafür müssten vielmehr gesetzlich geregelt sein, andernfalls drohe eine Überidentifikation im Netz. Dies würde das Recht auf Pseudonymität aushöhlen, wie neben epicenter.works auch die Digitale Gesellschaft betont.
Die Sicherheitsexpertin Lilith Wittmann mahnt an, dass die Konzerne seit Jahren daran arbeiteten, „digitale Identitäten mit staatlichen Identitäten zusammenzuführen und diese unter anderem zum Werbetracking zu benutzen.“ Sie lehnt daher digitale Identitätssysteme, „die usecase-offen sind, grundsätzlich ab“.
Besonders die „scheinbar angestrebte Kombination aus staatlichen Identitäten und sozialen Medien“ sieht Wittmann kritisch, „weil sie die Pseudonymität im Internet faktisch beenden würde“. Auch epicenter.works sieht darin „ein Geschenk für Google und Facebook“.
Der elektronische Personalausweis als „Vertrauensschlüssel“
Wittmann sieht in den Wallet-Apps obendrein „ein exzellentes Angriffsziel für böswillige Akteure sowie Unternehmen, die gerne Datenreichtum erlangen wollen“. Die Daten seien auch deshalb so begehrt, weil sie „durch den Staat oder eine staatliche Stelle signiert wurden“ und damit „immer garantiert echt sind“. Aus Sicht der Sicherheitsexpertin ist es nur eine Frage der Zeit, bis „es hier zu einem Datenabfluss kommt“.
Auch epicenter.works kritisiert, dass „Funktionen zur Wahrung der Privatsphäre […] nicht Vorrang vor ungewünschten Funktionen der Brieftasche“ erhielten. Betrügerische oder missbräuchliche Szenarien seien zudem nicht klar definiert. Dennoch sehe die EU-Verordnung bislang keine Rechtsmittel vor, damit nationale Behörden gegen betrügerische Akteure vorgehen und diese aus dem eIDAS-Ökosystem ausschließen könnten.
Der gemeinnützige Verein buergerservice.org betont vor diesem Hintergrund die Vorteile der universellen Identifizierung durch den sogenannten elektronischen Personalausweis (ePerso). Der ePerso sei ein „‚Vertrauensschlüssel‘ für die analoge und digitale Welt“. Allerdings sei nicht hinreichend bekannt, wie gut dieser funktioniere. Der Verein fordert daher mehr „Wissensvermittlung zum Online-Ausweisen“.
Meta-Kritik am Konsultationsprozess
Schließlich kritisieren die zivilgesellschaftlichen Vertreter:innen den Konsultationsprozess als solchen. Zwar spreche das BMI gezielt die Zivilgesellschaft an, schreibt Lilith Wittmann. Allerdings verfügten insbesondere vulnerable Gruppen in der Regel weder über ausreichend Ressourcen noch über genug Expertise, um sich ähnlich stark wie finanzstarke Unternehmen und Lobbyverbände in den Prozess einbringen zu können.
Die Digitale Gesellschaft bestätigt dies und kündigt bereits an, noch nicht absehen zu können, „in welchem Maße wir uns tatsächlich in den konkreten Konsultationsprozess einbringen können, der nicht nur einen ambitionierten Zeitplan vorsieht, sondern im Wesentlichen während der Berliner Sommerferien stattfindet.“
Wie wichtig indes die Anstöße der Zivilgesellschaft sind, zeigt die Eingabe von Statefree, einer der wenigen nicht-digitalpolitischen Organisationen, die staatenlose Menschen vertritt. Die NGO begrüßt die Möglichkeit, dass es Wallets ermöglichen, „eine rechtliche Identität für alle im Hoheitsgebiet eines Staates lebenden Personen zu schaffen.“ Allerdings sei derzeit noch offen, wie „Menschen unabhängig von ihrer Staatenlosigkeit […] Zugang zu einer digitalen Identität“ erhalten können. Für vulnerable Gruppen sei dabei insbesondere die Frage der Datensicherheit relevant.
BAMF trauert Blockchain nach
Wie groß jedoch auch hier die Begehrlichkeiten nicht nur der Wirtschaft, sondern auch der staatlichen Behörden sind, veranschaulicht das Bundesamt für Migration und Flüchtlinge (BAMF). Nicht nur bedauert es das BAMF als einziger Teilnehmer des Konsultationsprozesses ausdrücklich, dass im BMI-Diskussionspapier „die Nutzung der Distributed Ledger Technologie (DLT) zunächst einmal vollkommen ausgeschlossen ist.“ Die Behörde wünscht sich darüber hinaus, dass die ID-Wallet künftig – über „ausgewählte hoheitliche Use-Cases“ hinaus – auch biometrische Daten bereitstellt.
Zumindest bei Letzterem macht ihnen das Blockchain Competence Center Mittweida hoffentlich einen Strich durch die Rechnung: „Wir betonen, dass auch aus unserer Sicht als Blockchain Competence Center der Einsatz von DLT-Technologien in ID-System nicht! (sic!) notwendig und nicht! (sic!) erstrebenswert ist.“
Wallet-Konzept soll im November stehen
Die Vorschläge werden nun in drei aufeinanderfolgenden Workshops diskutiert. Sie sollen bis Ende August unter anderem Fragen der Daten- und der IT-Sicherheit, der Bürgerrechte sowie „wirtschaftsnahe Aspekte […] und Anwendungsfalle“ behandeln.
Bis zum 30. November soll dann das Konzept „für eine prototypische EUdi-Brieftasche“ stehen und öffentlich vorgestellt werden. Anschließend wird dieses Konzept dann „in konkreten Anwendungsfällen“ getestet.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires