Die EU-Kommission will einen einheitlichen Identitätsnachweis für das digitale Zeitalter einführen. Das Vorhaben nimmt am Dienstag voraussichtlich die nächste Hürde im europäischen Gesetzgebungsprozess – und stößt weiterhin auf massive Kritik.

Der Rat der Europäischen Union wird am Dienstag voraussichtlich einer Reform der eIDAS-Verordnung zustimmen. Der neue Rechtsakt soll alle EU-Mitgliedstaaten dazu verpflichten, eine Software namens „European Digital Identity Wallet“ (ID-Wallet) anzubieten. Sie soll eine einheitliche Online- und Offline-Identifizierung von Bürger:innen und Einwohner:innen innerhalb der Union ermöglichen – ungeachtet anhaltender Sicherheitsbedenken aus der Zivilgesellschaft.

Der Entscheidung des Rats liegt ein Entwurf zu eIDAS 2.0 zugrunde, den die EU-Kommission im Juni 2021 vorlegte. Er soll die Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt aus dem Jahr 2014 reformieren. Das Kürzel eIDAS steht für „Electronic IDentification, Authentication and Trust Services“.

Digitale Identitäten für Konzerne und Behörden

Mit der Reform will die EU den nationalen Flickenteppich digitaler IDs auflösen und einer europaweiten digitalen Identität zum Durchbruch verhelfen. Bislang haben nur 19 der insgesamt 27 EU-Staaten Systeme auf Basis von eIPAS eingeführt, die obendrein zueinander meist inkompatibel sind. So gibt es hierzulande etwa den digitalen Personalausweis, der aber nur innerhalb Deutschlands funktioniert. Und der damalige Bundesverkehrsminister Andreas Scheuer scheiterte 2021 krachend bei dem Versuch, eine ID-Wallet für den digitalen Führerschein einzuführen.

Die größte Änderung gegenüber der schon bestehenden eIDAS-Verordnung besteht darin, dass eIDAS 2.0 die Wallet-App auch für private Unternehmen öffnen soll. Sie könnten damit etwa die Identität ihrer Kund:innen und Nutzer:innen überprüfen. Sowohl Plattformen wie Facebook, Amazon und Google als auch Behörden und Banken sollen dazu verpflichtet werden, die europäische ID-Wallet zu unterstützen.

Für das Projekt macht sich nicht zuletzt die Präsidentin der Europäischen Kommission, Ursula von der Leyen, stark. Sie forderte im Jahr 2020 in ihrer Rede zur Lage der Union die Einführung einer europäischen digitalen Identität, „der wir vertrauen und die Bürgerinnen und Bürger überall in Europa nutzen können, um alles zu tun, vom Steuern zahlen bis hin zum Fahrrad mieten. Eine Technologie, bei der wir selbst kontrollieren können, welche Daten ausgetauscht und wie sie verwendet werden.“

Die Kommission strebt an, dass bis zum Jahr 2030 rund 80 Prozent der Bürger:innen das System nutzen. Bis dahin soll jedes EU-Land die Geldbörse für digitale Identitäten als App für Smartphones bereitstellen.

Massive Bedenken von Datenschützer:innen

Die Wirtschaft begrüßt die geplante Neuregelung bislang überwiegend. Bei Bürgerrechtsorganisationen, Datenschützer:innen und IT-Expert:innen trifft sie jedoch auf massive Bedenken.

Deren Kritik wurde im vergangenen Februar laut. Thomas Lohninger, Geschäftsführer von epicenter.works und Vizepräsident von European Digital Rights, bemängelte damals im Rahmen einer öffentlichen Anhörung, dass die neue Verordnung keine Schutzmaßnahmen „gegen Missbrauch bei Tracking, Profiling und gezielter Werbung“ vorsehe. Werde etwa die gezielt auf die Nutzer:innen zugeschnittene Werbung an deren jeweilige digitale Identität gekoppelt, könne die Werbewirtschaft so ohne Weiteres ermitteln, wem sie welche Werbung anzeigt und wie effektiv diese ist.

Ein weiterer Kritikpunkt bezieht sich auf die in der Wallet gesammelten Daten. Denn die App soll nicht nur bei virtuellen Verwaltungsgängen und Bankgeschäften eingesetzt werden, sondern offenbar auch bei Arztbesuchen und Alterskontrollen, beim Kauf von Konzerttickets, bei Hotelbuchungen sowie beim Tracking von versendeten Produkten. Der Datenschutzexperte Lukasz Olejnik forderte daher ebenfalls im Februar, in der ID-Wallet nicht länger benötigte Daten nur für einen strikt begrenzten Zeitraum zu speichern und anschließend zu löschen.

Und der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski bemängelte, dass noch etliche rechtliche und technische Details ungeklärt seien. Daher lasse sich aus seiner Sicht derzeit nicht prüfen, ob und inwieweit das Vorhaben DSGVO-Standards verletze.

Die Probleme hat die EU-Kommission aus Sicht von epicenter.works bis heute nicht behoben: Die Mitgliedsstaaten hätten „sich geweigert, den notwendigen Schutz für die Privatsphäre einzuziehen, um dieses System sicher für alle Nutzer:innen zu machen“, kritisiert die Organisation auf ihrer Website. eIDAS drohe, eine „panoptische Sicht auf alle Lebensbereiche“ und kriminellen Missbrauch zu befördern. Im Ergebnis schaffe die Reform so „ein gefährliches und unkontrolliertes Umfeld für die sensiblen Gesundheits-, Finanz- und Identitätsdaten aller Europäer:innen.“

QWACS: Unsichere Sicherheitszertifikate würden zur Pflicht

Besonders scharfe Kritik erntet der geplante Artikel 45 der neuen Verordnung. Er würde Browseranbieter dazu zwingen, sogenannte Qualified Website Authentication Certificates (QWACs) zu akzeptieren. Diese Zertifikate gelten aus Sicht von IT-Expert:innen allerdings als veraltet, untauglich und als relativ unsicher.

Hinzu kommt, dass die EU-Kommission plant, QWACs von Zertifizierungsstellen ausgeben zu lassen, die sich nicht an die von den Browseranbietern festgelegten Sicherheitsstandards halten müssen.

In der Regel werden Verschlüsselungszertifikate von Certificate Authorities (CAs) verwaltet. Die CAs gewährleisten – vergleichbar mit Notaren – die Transportsicherheit von Daten im Internet. Besuchen Nutzer:innen etwa eine über HTTPS-abgesicherte Website, vertraut ihr Browser darauf, dass sie tatsächlich mit der von ihnen angeforderten Website kommunizieren. Dieses Vertrauen wird letztlich durch die Zertifizierungsstelle hergestellt.

Der Kommissionsvorschlag sieht vor, eine intransparente staatliche Zertifikatsinfrastruktur zu errichten. Die Browseranbieter wären dann künftig dazu verpflichtet, den jeweiligen, von den nationalen Regierungen benannten Anbietern zu vertrauen – sogenannte Trust Service Provider –, ohne dass diese die dafür erforderlichen Sicherheitsgarantien erbringen müssten. Standardzertifikate für Webseiten wären damit weniger sicher, kritisiert unter anderem Mozilla. Im Ergebnis gefährdeten die Pläne der EU die Privatsphäre von Nutzer:innen und forciere obendrein die Verbreitung von Malware.

Wenn der Rat der Europäischen Union dem Kommissionsvorschlag am Dienstag zustimmen sollte, läge die Entscheidung beim EU-Parlament. Dessen Abstimmung wird spätestens für Januar erwartet. Noch also besteht geringe Hoffnung, dass eIDAS 2.0 in der aktuellen Form aufgehalten werden kann. Oder in den Worten von Mozilla: „There’s still time to fix it.“