Während in Europa die Verhandlungen zur digitalen Identität fast fertig sind, macht das Innenministerium einen Konsultationsprozess zum Thema. Eine Kleine Anfrage aus dem Bundestag veranschaulicht ein Wirrwarr aus Konzepten, Projekten, Zuständigkeiten und Interessen.
Das Thema „Digitale Identitäten“ – sehr vereinfacht gesagt also das Ausweisen im Internet – ist in Deutschland weiterhin ein schwer zu durchschauender Dschungel aus Konzepten, Projekten, Anwendungen, Playern und Verantwortlichen. Sie alle bearbeiten das Thema mit unterschiedlichen Interessen. Die Antworten der Bundesregierung auf eine aktuelle Kleine Anfrage der CDU/CSU zeigen dies einmal mehr.
Neben dem Ministerium für Digitales und Verkehr (BMDV) sowie dem Innenministerium (BMI) sind unter anderem das Wirtschaftsministerium, das Arbeitsministerium und das Gesundheitsministerium mit der digitalen Identität befasst. Die Zielvorstellungen der beteiligten Ministerien sind teilweise unterschiedlich: Während Volker Wissings federführendes BMDV einen eher Unternehmens- und wirtschaftsorientierten Ansatz bei der digitalen Identität fährt, steht das BMI für einen eher hoheitlichen Weg, der auf die Nutzung der bestehenden Infrastruktur setzt.
Neben den Ministerien in Deutschland kommt dann noch die europäische Ebene hinzu. Dort verhandeln derzeit EU-Parlament, EU-Rat und EU-Kommission im Trilog die eIDAS-2.0-Verordnung. Sie wird europaweit einen Rechtsrahmen für digitale Identitätsnachweise bilden. Für Deutschland verhandelt dort das Verkehrsministerium (BMDV).
Gleichzeitige Prozesse
Die Verhandlungen sind weit vorangeschritten, sie stehen wegen privatwirtschaftlicher Verquickungen sowie Bedrohungen für die Privatsphäre und die Anonymität im Internet in der Kritik. Beobachtern zufolge könnten die Verhandlungen schon im Oktober abgeschlossen sein, mit wichtigen Entscheidungen in den kommenden Tagen. Steht dieser rechtliche Rahmen, bleibt wenig Spielraum bei der nationalen Umsetzung.
Gleichzeitig läuft in Deutschland ein vom Innenministerium angestoßener Konsultationsprozess, dessen Dokumente online stehen und der die Ausgestaltung digitaler Identitäten in Deutschland voranbringen soll. Eine mit dem Prozess vertraute Person kritisiert gegenüber netzpolitik.org, dass diese Konsultation entweder zu früh oder zu spät angesetzt worden sei. Zu früh, weil man noch gar nicht weiß, was in Brüssel an rechtlichen Voraussetzungen kommen wird. Oder zu spät, weil die die Ergebnisse aus der Konsultation gar nicht mehr in die Verhandlungen in Brüssel einfließen können.
Dem Bundestagsabgeordneten Dr. Markus Reichel, der für die Unionsparteien das Thema bearbeitet, fehlt eine Gesamtstrategie in Deutschland. „Das sehen wir nicht nur an der geringen Nutzung des ePersonalausweises oder auch exemplarisch bei der Einführung der Smart-eID, sondern auch bei dem Kompetenzwirrwarr zwischen den einzelnen Ministerien“, so Reichel gegenüber netzpolitik.org. Ein klares Ziel, wo die Bundesregierung bei dem Thema hinwolle, sei nicht erkennbar.
eID, Smart eID, Bund ID, Alles ID
Derzeit treibt die Bundesregierung unterschiedliche Projekte voran: Unter ihnen die normale Ausweis-eID, die Smart eID und die Bund ID. Letztere ist streng genommen keine digitale Identität, sondern ein zentrales Benutzerkonto für Verwaltungsdienstleistungen. Die Bundesregierung hatte zuletzt die Nutzer:innen-Zahlen durch eine Bund-ID-Pflicht bei einer Einmalzahlung für Studierende nach oben getrieben.
Ein Wachstum gibt es auch bei der Nutzung der eID mit dem Ausweis. „Der Online-Ausweis wurde von Januar 2020 bis einschließlich Juni 2023 mindestens rund 19,73 Mio. mal verwendet. In den vergangenen zwölf Monaten mindestens rund 10,8 Mio. mal, d. h. im Durchschnitt rund 29.581 mal pro Tag“, schreibt die Bundesregierung. Wieviele Mehrfachnutzungen hier enthalten sind, ist nicht bekannt. Im Umlauf sind 55 Millionen Ausweise, die als Online-Ausweis benutzt werden können.
Laut der Kleinen Anfrage gibt es nun auch ein neues Start-Datum für die Smart eID – also den Ausweis, der alleine auf dem Handy und ohne die Plastikkarte funktioniert. Dieses Projekt will die Bundesregierung nun im vierten Quartal dieses Jahres starten. Die Smart eID war schon für 2021 angekündigt und immer wieder verschoben worden. Gegenüber dem Tagesspiegel hatte der Bundes-CIO Markus Richter zuletzt die Smart eID als „Komfortfunktion“ bezeichnet. In diesen Komfort sind bereits 90 Millionen Euro geflossen, Tendenz steigend. Nutzen können werden diese Technologie wohl nur die Besitzer:innen von modernen Samsung-Handys, weil nur diese derzeit die nötige Hardware haben.
Am Ende muss es kompatibel sein
Gegenüber netzpolitik.org hatte die Bundesregierung noch im Januar gesagt, dass das bestehende deutsche eID-System – also die chipkartenbasierte Online-Ausweisfunktion – die „Grundlage der digitalen Kernidentität“ bilden werde. Sicherheitforscher:innen und Datenschützer sehen die klassische Ausweis-eID, bei der man in der Kombination von Smartphone und dem physischen Ausweis seine Identität digital vorzeigen kann, als die sicherste Variante an. Im Gegensatz zur Ausweis-eID hat man bei der rein handybasierten Smart eID keine sicherheitsfördernde 2-Faktor-Authentifizierung, bei der ein physischer Ausweis nötig ist, den man ans Handy hält, wenn man sich identifizieren will.
Aber egal wie die ID-Projekte heißen: Sie müssen am Ende dem EU Digital Identity Wallet (EUdi-Wallet) kompatibel sein, das durch die eIDAS-2.0-Verordnung kommen wird. Das setzt sich auch die Bundesregierung als Ziel: Durch technische Spezifikationen würde die Interoperabilität der diversen EUdi-Wallets auf EU-Ebene gewährleistet, heißt es in ihren Antworten.
Unterschiedliche Interessen, wenig gemeinsame Ziele
Im Konsultationsprozess des BMI sitzen neben einigen wenigen Vertreter:innen aus der Zivilgesellschaft Player wie Banken, die einfach nur endlich rechtssichere Identitäten wollen. Daneben aber auch Unternehmen, die mit der Unzulänglichkeit des Staates bei digitalen Identitäten bislang gute Geschäfte gemacht haben – und nun ihr Geschäftsmodell irgendwie in die Zukunft retten wollen.
So unterschiedlich wie die Teilnehmenden sind auch die Interessenlagen: Während Datenschützer eine datensparsame Variante der elektronischen Identität bevorzugen, bei der nur wenige Daten in wenigen Anwendungsfällen über das System bestätigt werden, wollen Teile der Industrie die Identität zum Geschäftsmodell machen – und Identitätsabfragen in alle möglichen Prozesse einbauen. Neben der Kommunikation mit der Verwaltung gibt es aber eigentlich kaum Prozesse, in denen Identitätsabfragen rechtlich zwingend notwendig sind – mal von Bankkonten, Carsharing, Handyverträgen und ähnlichen Anwendungsfällen abgesehen.
Überidentifikation als Problem
Hier zeichnet sich ein weiteres Problem ab: Ein digitales europäisches Wallet, das vom Personalausweis über den Tauchschein bis zum Gesundheitszeugnis alle möglichen Dokumente enthält und diese einfach nutzbar bereitstellt, könnte zu einem Nutzer:innen-Verhalten führen, das am Ende die von der Wirtschaft vorangetriebene Überidentifikation beflügelt. Das heißt: Man identifiziert sich viel öfter als rechtlich nötig – weil es so einfach geht.
Die Bundesregierung betont in ihren Antworten auf die Kleine Anfrage, dass die bislang etablierten Verfahren der eID Tracking und Profilbildung von Individuen verhindern würden, weil das eID-System auf einer dezentralen Logik aufbaut und Identifizierungs- und Authentifizierungsvorgänge nicht zentral zusammenlaufen. „Dieses Zielbild gilt auch für die Weiterentwicklung des eID-Systems hin zur eIDAS-Kompatibilität“, heißt es von der Bundesregierung. Mit dem Nutzerkonto „Bund ID“ konterkariert sie aber schon heute das dezentrale Prinzip, indem das Konto sowohl Anmeldung wie auch Kommunikation mit Verwaltungen auf einem Konto zusammenführt.
Auf die Frage, ob sie die Anwendungsfälle für digitale Identifizierung eindeutig begrenzen möchte, verweist sie auf die noch nicht abgeschlossene eIDAS-Verhandlungen in Brüssel und auf eine eventuelle später Regulierung. Gleichzeitig spricht sich die Bundesregierung dafür aus, den „Bürgerinnen und Bürgern eine sichere digitale Identität auch für eine Nutzung in der Privatwirtschaft zur Verfügung zu stellen“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires