"Digitale Brieftasche"EU-Kommission plant europaweite eID

Ein elektronischer Identitätsnachweis, der auf dem ganzen Kontinent gilt – das möchte die EU-Kommission durch eine neue Verordnung schaffen. Technische Details lässt sie vorerst offen.

Fingerabdruck
Gemeinfrei-ähnlich freigegeben durch unsplash.com George Prentzas

Die Europäische Kommission hat heute ihren Vorschlag für einen europaweiten digitalen Identitätsnachweis vorgelegt. Eine EU-weit nutzbare eID soll eine Identifikation bei Behörden und Unternehmen erlauben. In der „digitalen Brieftasche“ könnten auch Ausweise wie der Führerschein, Studienabschlüsse oder Zahlungsdaten hinterlegt werden, sagt die EU-Kommission. Nutzer:innen sollen jedoch volle Kontrolle darüber haben, welche Daten aus der eID mit Firmen oder Behörden geteilt werden.

Erstmals angekündigt hatte Kommissionschefin Ursula von der Leyen das Projekt eines EU-weiten Identitätsnachweisen bei einer Rede im September 2020. Es gehe um die Schaffung eines vertrauenswürdigen Systems, mit dem Menschen in Europa viele alltägliche Dinge erledigen könnten, etwa Steuern zahlen oder ein Fahrrad mieten. In ihrem Digitalen Kompass hat die EU-Kommission das Ziel ausgerufen, dass 80 Prozent der EU-Bevölkerung bis 2030 eine eID nutzen soll.

Bisheriger Flickenteppich soll ersetzt werden

Bereits bislang gab es einen europäischen Rechtsrahmen für elektronische Identitäten, die eIDAS-Verordnung. Sie setzt einen gemeinsamen Standard für elektronische Identifizierung, allerdings haben nur 19 von 27 EU-Staaten Systeme auf dieser Basis eingeführt, die nicht alle miteinander kompatibel sind. In Deutschland gibt es etwa den digitalen Personalausweis, dieser funktioniert aber nur hierzulande. Die neue EU-Verordnung soll den Flickenteppich nationaler eIDs durch eine europaweite Lösung ersetzen.

Jedes Land soll verpflichtet werden, einen EU-weit kompatiblen digitalen Identitätsnachweis zu schaffen. Entwickelt werden könne das System dabei sowohl direkt vom Staat als auch von privaten Anbietern, die dafür die Zustimmung eines EU-Landes haben. Eine solche quasi-offizielle, aber von Privaten entwickelte elektronische Identität sorgte zuletzt in der Schweiz für erhebliche Kritik und wurde daraufhin in einem Referendum gekippt.

Wie der EU-weite Standard für die eID technisch aussehen soll, lässt die EU-Kommission vorerst offen. Bis September 2022 möchte sie gemeinsam mit den Mitgliedsstaaten die Architektur des EU-weiten Systems, Standards und Umsetzungsempfehlungen erarbeiten. Für das Log-in in die eID sollen auch biometrische Merkmale genutzt werden, etwa Fingerabdrücke und Retina-Scans.

Um Risiken für die Sicherheit und Privatsphäre der Nutzer:innen zu schmälern, müsse die europaweite eID gewisse Mindeststandards erfüllen, sagt Jan Penfrat, Senior Policy Advisor bei European Digital Rights (EDRi). Dazu zähle etwa, dass die Nutzung vollkommen freiwillig bleiben müsse und das System die Prinzipien der Datenminimierung und des Privacy by Design und by Default respektieren müsse. Auch müsse in dem System freie, quelloffene Software zum Einsatz kommen, um vertrauenswürdig zu sein.

12 Ergänzungen

  1. Klingt stark nach ID2020.

    Die komplette EU-Bevölkerung biometrisch erfassen, damit Mann und Frau sich grenzübergreifend ein Fahrrad mieten kann? Steckt vielleicht doch etwas mehr dahinter?

  2. Zu Anfang wird es – natürlich – freiwillig sein. Wie versprochen.
    Wenn dann genug Konzerne darauf angesprungen sind, sie können ja schließlich auch Daten abgreifen, wird es mehr und mehr zur Pflicht werden, da keine anderen Logins mehr akzeptiert werden.

    Es ist wirklich erstaunlich, wie langsam aber sicher – Stein für Stein – die Grundlagen für eine vollkommene und alles durchdringende Überwachung geschaffen werden.

    Trotzdem frage ich mich warum?
    Wovor haben die Politiker eine solche Angst, das sie alles und jeden überwachen wollen?
    Dabei kann es kaum nur um den üblichen Machterhalt gehen.

    1. Das derzeitige Tempo würde ich als besorgniserregend hoch bezeichnen.
      Entspricht eher einem Aufrollen, als dem Stapeln von Steinchen.

      Nun war und ist man digital hinter dem Nötigen her, und offenbar ist viel vorbereitet worden. Warum ausgerechnit diese Dinge in dieser Form… nun ja.

      Vermutung: Man peitscht „es“ in der Krise durch, und wird dann den doppelten Hinterpforz reiten, und diese Gesetze als gute Sachen in der Krise hinstellen: „wir haben doch z.B. etwas [real: für Google und Microsoft und Amazon und Facebook und IBM und Apple] gegen die großen Plattformen getan, für den Schutz der Bürger.“

      1. Die Lockerungen werden jetzt sicherlich auch sehr gut – noch vor der Wahl – sein oder nicht sein. Maskenpflicht aufheben soll also nicht „inviting disaster“ bedeuten, sondern Kompetenz und Wählbarkeit signalisieren.

        Gibt es draußen also KEINE Maskenpflicht nie nicht, statt des Gebotes „bereit zu sein“ und z.B. bei oder in Nähe von Ansammlungen Masken zu tragen? Im entscheidenden Moment gibt es wieder wissenschaftlich keine Belege, weil es so bzw. mit realistischen Parametern noch nicht untersucht wurde.

    2. Individueller Machterhalt für Politiker*innen im klassischen Sinne ist vermutlich nur eine sekundäre Motivation. Vielmehr dürften an Projekten wie der eID auch die Vorstellung einer Transformation der Wirtschaft und neue Formen der (natürlich marktkonformen) Steuerung ganzer Gesellschaften geknüpft sein. Ein feinmaschiges Netz aus Überwachung bedeutet auch maximale Datenerhebung, Verwertung usw.. Zugänge zum öffentlichen Raum, zu Wissen und Informationen, zu Berufen, Ressourcen, Mobilität und Artikeln können für das Individuum und ganze gesellschaftliche Gruppen dann von zentraler Stelle geregelt und an Bedingungen geknüpft werden.

      Und selbst wenn es von Anfang an „Freiwillig“ ist, werden Konzerne und Betriebe, einfach die maximal mögliche Datenabgabe einfordern. Wer dann beispielsweise in ein Hotel einchecken möchte, muss alles mögliche und nicht nur die essenziellen Daten abgeben und der Verwertung zu Marketingzwecken und predictive behavioral analysis zustimmen. Das wird dann über die Privatautonomie gerechtfertigt. Wer das nicht möchte, kann ja „freiwillig“ kein Hotel mehr besuchen.

      1. Ja, und genau dort liegt der Fehler. Fast alle Leute akzeptieren das so und buchen dann trotzdem dieses Hotel. Richtig wäre, auf diese Leistung (Hotel oder was-auch-immer) zu verzichten, sich über diese Datensammelei zu beschweren und bei der Konkurrenz zu kaufen. Denn in den allerseltensten Fällen werden ja alle Anbieter in gleicher Geschwindigkeit zu Datenkraken. Aber es ist immer dasselbe: Wir haben es in der Hand, sind aber zu bequem, meckern zwar, machen aber mit.
        Und jetzt sagt mir bitte nicht, das wäre doch praxisfern. Ich mache das seit vielen Jahren so.

  3. „Technische Details“

    Zu faul zum Lesen: Sind die entscheidenden Aspekte mal wieder technische Details?

    Z.B.
    – Eine permanente ID mit Datensatz für alle wo ihr zu gezwungen werdet, oder so blöd seid, mitzumachen?
    – Pseudonymisierung pro Dienst / Click / sonstwas?
    – Anonymsierung (bis auf die Historie, die der anfragende Dienst hat)?
    – Maßnahmen gegen Phishing?
    – Total sicher mit dem Smartphone?
    – Quelloffen, as in Linux?

    Was wird drinnen sein?

  4. Im Prinzip ist die Idee einer eID, die Frage ist die eID aus Sicht der Bürger sicher, d. h. sie muss es Bürgern ermöglichen im Digitalen Raum sicher und souverän zu handeln.
    Gute Ansätze für sichere IT gibt es bei der seL4 Foundation (https://sel4.systems/Foundation/home.pml), die auf einer formalen Beweisen der Korrektheit der Implementierung beruhen.

    Wichtig ist, dass man aus dem Recht auf „Informationelle Selbstbestimmung“ (https://de.wikipedia.org/wiki/Informationelle_Selbstbestimmung) das Recht ableiten kann, dass die Daten über eine Person, deren unveräußerliches Eigentum sind, aber das ist noch nicht explizit in Gesetzen niedergeschrieben und ist ein allgemeines Menschenrecht.

Ergänzung an Kevin Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.