eIDAS 2.0Europäische ID-Wallet für das digitale Panoptikum

Die EU-Kommission will einen einheitlichen Identitätsnachweis für das digitale Zeitalter einführen. Das Vorhaben nimmt am Dienstag voraussichtlich die nächste Hürde im europäischen Gesetzgebungsprozess – und stößt weiterhin auf massive Kritik.

Geht es nach der EU-Kommission geben wir künftig noch häufiger unsere Identität im Netz preis – Gemeinfrei-ähnlich freigegeben durch unsplash.com Vadim Bogulov

Der Rat der Europäischen Union wird am Dienstag voraussichtlich einer Reform der eIDAS-Verordnung zustimmen. Der neue Rechtsakt soll alle EU-Mitgliedstaaten dazu verpflichten, eine Software namens „European Digital Identity Wallet“ (ID-Wallet) anzubieten. Sie soll eine einheitliche Online- und Offline-Identifizierung von Bürger:innen und Einwohner:innen innerhalb der Union ermöglichen – ungeachtet anhaltender Sicherheitsbedenken aus der Zivilgesellschaft.

Der Entscheidung des Rats liegt ein Entwurf zu eIDAS 2.0 zugrunde, den die EU-Kommission im Juni 2021 vorlegte. Er soll die Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt aus dem Jahr 2014 reformieren. Das Kürzel eIDAS steht für „Electronic IDentification, Authentication and Trust Services“.

Digitale Identitäten für Konzerne und Behörden

Mit der Reform will die EU den nationalen Flickenteppich digitaler IDs auflösen und einer europaweiten digitalen Identität zum Durchbruch verhelfen. Bislang haben nur 19 der insgesamt 27 EU-Staaten Systeme auf Basis von eIPAS eingeführt, die obendrein zueinander meist inkompatibel sind. So gibt es hierzulande etwa den digitalen Personalausweis, der aber nur innerhalb Deutschlands funktioniert. Und der damalige Bundesverkehrsminister Andreas Scheuer scheiterte 2021 krachend bei dem Versuch, eine ID-Wallet für den digitalen Führerschein einzuführen.

Die größte Änderung gegenüber der schon bestehenden eIDAS-Verordnung besteht darin, dass eIDAS 2.0 die Wallet-App auch für private Unternehmen öffnen soll. Sie könnten damit etwa die Identität ihrer Kund:innen und Nutzer:innen überprüfen. Sowohl Plattformen wie Facebook, Amazon und Google als auch Behörden und Banken sollen dazu verpflichtet werden, die europäische ID-Wallet zu unterstützen.

Für das Projekt macht sich nicht zuletzt die Präsidentin der Europäischen Kommission, Ursula von der Leyen, stark. Sie forderte im Jahr 2020 in ihrer Rede zur Lage der Union die Einführung einer europäischen digitalen Identität, „der wir vertrauen und die Bürgerinnen und Bürger überall in Europa nutzen können, um alles zu tun, vom Steuern zahlen bis hin zum Fahrrad mieten. Eine Technologie, bei der wir selbst kontrollieren können, welche Daten ausgetauscht und wie sie verwendet werden.“

Die Kommission strebt an, dass bis zum Jahr 2030 rund 80 Prozent der Bürger:innen das System nutzen. Bis dahin soll jedes EU-Land die Geldbörse für digitale Identitäten als App für Smartphones bereitstellen.

Massive Bedenken von Datenschützer:innen

Die Wirtschaft begrüßt die geplante Neuregelung bislang überwiegend. Bei Bürgerrechtsorganisationen, Datenschützer:innen und IT-Expert:innen trifft sie jedoch auf massive Bedenken.

Deren Kritik wurde im vergangenen Februar laut. Thomas Lohninger, Geschäftsführer von epicenter.works und Vizepräsident von European Digital Rights, bemängelte damals im Rahmen einer öffentlichen Anhörung, dass die neue Verordnung keine Schutzmaßnahmen „gegen Missbrauch bei Tracking, Profiling und gezielter Werbung“ vorsehe. Werde etwa die gezielt auf die Nutzer:innen zugeschnittene Werbung an deren jeweilige digitale Identität gekoppelt, könne die Werbewirtschaft so ohne Weiteres ermitteln, wem sie welche Werbung anzeigt und wie effektiv diese ist.

Ein weiterer Kritikpunkt bezieht sich auf die in der Wallet gesammelten Daten. Denn die App soll nicht nur bei virtuellen Verwaltungsgängen und Bankgeschäften eingesetzt werden, sondern offenbar auch bei Arztbesuchen und Alterskontrollen, beim Kauf von Konzerttickets, bei Hotelbuchungen sowie beim Tracking von versendeten Produkten. Der Datenschutzexperte Lukasz Olejnik forderte daher ebenfalls im Februar, in der ID-Wallet nicht länger benötigte Daten nur für einen strikt begrenzten Zeitraum zu speichern und anschließend zu löschen.

Und der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski bemängelte, dass noch etliche rechtliche und technische Details ungeklärt seien. Daher lasse sich aus seiner Sicht derzeit nicht prüfen, ob und inwieweit das Vorhaben DSGVO-Standards verletze.

Die Probleme hat die EU-Kommission aus Sicht von epicenter.works bis heute nicht behoben: Die Mitgliedsstaaten hätten „sich geweigert, den notwendigen Schutz für die Privatsphäre einzuziehen, um dieses System sicher für alle Nutzer:innen zu machen“, kritisiert die Organisation auf ihrer Website. eIDAS drohe, eine „panoptische Sicht auf alle Lebensbereiche“ und kriminellen Missbrauch zu befördern. Im Ergebnis schaffe die Reform so „ein gefährliches und unkontrolliertes Umfeld für die sensiblen Gesundheits-, Finanz- und Identitätsdaten aller Europäer:innen.“

QWACS: Unsichere Sicherheitszertifikate würden zur Pflicht

Besonders scharfe Kritik erntet der geplante Artikel 45 der neuen Verordnung. Er würde Browseranbieter dazu zwingen, sogenannte Qualified Website Authentication Certificates (QWACs) zu akzeptieren. Diese Zertifikate gelten aus Sicht von IT-Expert:innen allerdings als veraltet, untauglich und als relativ unsicher.

Hinzu kommt, dass die EU-Kommission plant, QWACs von Zertifizierungsstellen ausgeben zu lassen, die sich nicht an die von den Browseranbietern festgelegten Sicherheitsstandards halten müssen.

In der Regel werden Verschlüsselungszertifikate von Certificate Authorities (CAs) verwaltet. Die CAs gewährleisten – vergleichbar mit Notaren – die Transportsicherheit von Daten im Internet. Besuchen Nutzer:innen etwa eine über HTTPS-abgesicherte Website, vertraut ihr Browser darauf, dass sie tatsächlich mit der von ihnen angeforderten Website kommunizieren. Dieses Vertrauen wird letztlich durch die Zertifizierungsstelle hergestellt.

Der Kommissionsvorschlag sieht vor, eine intransparente staatliche Zertifikatsinfrastruktur zu errichten. Die Browseranbieter wären dann künftig dazu verpflichtet, den jeweiligen, von den nationalen Regierungen benannten Anbietern zu vertrauen – sogenannte Trust Service Provider –, ohne dass diese die dafür erforderlichen Sicherheitsgarantien erbringen müssten. Standardzertifikate für Webseiten wären damit weniger sicher, kritisiert unter anderem Mozilla. Im Ergebnis gefährdeten die Pläne der EU die Privatsphäre von Nutzer:innen und forciere obendrein die Verbreitung von Malware.

Wenn der Rat der Europäischen Union dem Kommissionsvorschlag am Dienstag zustimmen sollte, läge die Entscheidung beim EU-Parlament. Dessen Abstimmung wird spätestens für Januar erwartet. Noch also besteht geringe Hoffnung, dass eIDAS 2.0 in der aktuellen Form aufgehalten werden kann. Oder in den Worten von Mozilla: „There’s still time to fix it.“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

17 Ergänzungen

  1. Wie kann ein Browseranbieter eines Open Source Browsers gezwungen werden QWACs zu akzeptieren?

    Wenn ich selber einen Open Source Browser entwickeln wuerde der keine QWACs aktzeptiert was waere dann?

    1. Das Ziel ist natürlich die Kriminalisierung von allem unkontrollierten. Walled Garden mit App Store für alle und alles, als Nebeneffekt umfassendes DRM.

      Hat Deutschland bei den „Hackertools“ ja vorgemacht.

    2. Bei internationalen Projekten, kann man das hoffentlich einfach abstellen.

      Tödlich wird das erst bei Messengern, selbst wenn man es abstellen kann. Dann kannst du nämlich ohne das Quakfikat über Messenger nicht mehr mit deinen Freunden sprechen. Also genau wie jetzt, z.B. weil ihr sonst nur über Email kommuniziert, oder weil die WhatsAck und du Popcorn haben.

  2. Leider kann ich beim Lesen solcher Artikel nicht mehr von Unwissen oder Ahnungslosigkeit ausgehen. Es liest sich immer nur so als ob man auf allen Ebenen Überwachung per default einbauen will.
    Es ist nur noch traurig.

  3. Das verwundert mich doch überhaupt nicht. Durch das Zwangs implementieren von unsicheren Zertifikaten würden ja auch Man in the Middle angriffe möglich. Was es der EU natürlich auch erleichtern würde die Massenüberwachung von Inhaltsdaten zu erleichtern. Also wenn dafür dann knackbare Staatszertifikate zum Einsatz kommen….

    Ich denke da steht wohl nicht nur Inkompetenz dahinter sondern wohl auch eine gute Portion Absicht. Man sollte nicht vergessen, die EU ist und bleibt einem offenen Internet für alle gegenüber feindlich eingestellt !

    1. Bei Man in the Middle muss ich direkt an eTLS (Enterprise TLS) von ETSI (Europäisches Institut für Telekommunikationsnormen) denken. Da wurde so etwas ja schon mal probiert. BigBrotherAward gab es dafuer auch.

    2. Und offenen Ohren mit Direktbefüllung aus Lobbyzirkeln (die vor Ort, mit den Essen und den Parties, nicht irgendwelche). Das vielleicht im Schnitt oder im regierungsnahen Schnitt. Nein, nie nicht alle!

  4. Das vdL-Zitat im Artikel bekommt einen recht unheimlichen Unterton, sobald man feststellt, dass sie von einem „wir“ spricht, zu dem sie „die Bürgerinnen und Bürger“ anscheinend nicht dazuzählt (sonst hätte man sie ja nicht nochmal extra direkt nach dem „wir“ erwähnen müssen).
    Jeder kann das Zitat nochmal lesen und wird feststellen, dass es unheimlich ist, wenn man sich selbst nicht vom „wir“ erfasst fühlt ;-)

    vdL-Zitat:
    [Sie forderte im Jahr 2020 in ihrer Rede zur Lage der Union die Einführung einer europäischen digitalen Identität] „der wir vertrauen und die Bürgerinnen und Bürger überall in Europa nutzen können, um alles zu tun, vom Steuern zahlen bis hin zum Fahrrad mieten. Eine Technologie, bei der wir selbst kontrollieren können, welche Daten ausgetauscht und wie sie verwendet werden.“

  5. Fast schon amüsant, wenn Leute noch davon ausgehen, dass es sich bei solchen Unternehmungen um Unwissenheit der EU-Kommission handelt oder das zumindest für eine realistische Option gehalten wird.

    Natürlich ist es keine Unwissenheit und das sind auch keine völlig naiven Boomer, die nicht wissen, was sie da tun, weil ihnen das noch kein technikaffiner Enkel erklärt hat.

    Die EU-Kommission hat Berater*innen, die ihnen die Problematiken sehr genau erklären können und das ganz sicher auch getan haben. Das Problem ist ausschließlich, dass die EU-Kommission in der Totalüberwachung und der digitalen Kontrollgesellschaft keine Probleme sieht – sondern Chancen auf Profite. Zumindest solange sie die Zügel weitgehend in der Hand hat.

    Was euphemistisch als „Digitale Transformation“ bezeichnet wird, ist nichts anderes als ein gnadenloser Überwachungskapitalismus mit ganz viel autoritärem Kern. Und die „digitale Identität“ ist das Kernstück schlechthin dieser „Transformation“. Das weiß die EU-Kommission und das will sie auch.

    Profilerstellung, Tracking, Verhaltensbeeinflussung, Inhaltskontrollen, Informationskontrolle, Verhaltenssteuerung auf individueller Ebene und Gesellschaftsebene im digitalen und vormals analogen Raum, Datenkapitalismus, „Urheberrechts“-Überwachung, Gig-Economy, Leih- und Abomodelle für Lebens-Basics und Zugänge, Scoring aller Art, Zugriffe auf das Un- und Unterbewusste etc. werden dadurch auf ganz neuen, weitaus invasiveren Ebenen ermöglicht- Mit all den machtpolitischen und finanziellen Profiten für Staaten und Konzerne.

    Selbst wenn dem Vorhaben noch Grenzen gesetzt wären oder noch werden: Ist die Infrastruktur einmal grundlegend da, wird sie mit 100%iger Garantie beständig erweitert werden. Da sollten keinerlei falsche Hoffnungen bestehen.

    Ist die Gewöhnung an permanente Überwachung und digitales Ausweisen per E-ID und ist die Praxis der Profilerstellungen durch Konzerne und Staaten darüber einmal grundlegend ausgereift, wird auch alles andere möglich und akzeptabel werden. Was spricht denn dann zum Beispiel noch gegen die allumfassende Vorratsdatenspeicherung, wenn die „digitale Identität“ im Prinzip schon etwas ähnliches, wenn nicht weitergehendes ist. Was spricht dann noch gegen die allgegenwärtige biometrische Überwachung in allen Bereichen des Lebens, wenn diese doch nur die Potentiale der digitalen ID weiter ausschöpfen würden?

    1. Im Prinzip nein, jedenfalls nicht kurzfristig.

      Man wird die Hersteller und Haendler von Geraeten in Haftung fuer die Einhaltung der Vorschriften nehmen, und die werden die Installation solcher tools deswegen verhindern. Den Betrieb oder Besitzt unvorschriftsmaessiger Geraete kann man dann mittelfristig unter Strafe stellen.

      Im demokratischen Westen wird Freiheit nicht verboten, da wird sie nur unmoeglich gemacht ;-)

    2. Verbote haben einen autoritären Beigeschmack, weshalb die Strategie sein dürfte, die Service Provider, welche die Infrastruktur stellen, zu einer engen „Zusammenarbeit“ gegen Cyberangriffe, Hass, Hetze, Geldwäsche, Terrorfinanzierung, etc. zu verpflichten (vgl, Desinformationskampagne und Social Media Platformen) – unter Androhung von empfindlichen Geldstrafen versteht sich.

      Das Bereitstellen bestimmter („hochrisko“) Dienste wie TOR fällt so unter „Verstoß gegen unsere Community Regeln“ bzw. AGB.
      Die Durchsetzung dürfte dank einer verpflichteten Identfikation leicht fallen. Schon jetzt ist es in der EU legal unmöglich relevante Serverkapazitäten anonym anzumieten (Zahlungs- oder Kommunikationsweg rückverfolgbar; Paypal, CC mit 2FA, etc.). Und Cloudprovider sperren Kunden auf Lebenszeit bereits seit geraumer Zeit wegen eher lapidaren Dingen wie Crypto-Mining (rechtlich also möglich).

    3. Am Ende wird durch die Chatkontrolle eh alles verboten was sicher verschlüsselt kommunizieren kann. Somit natürlich auch diverse freie Software…. Durch Eidas könnte es dann sein das man dann auch nur noch mit Pass und Klarnamenspflicht kommunizieren kann….

      1. „man dann auch nur noch mit Pass und Klarnamenspflicht kommunizieren kann“

        Mit Signaturen könnte man das schon machen, so dass andere gar nicht mehr ohne eIDAS mit einem kommunizieren können, wenn die „offizielle“ bzw. „zertifizierte“ Messenger benutzen. Dann muss man schon sehr schmuddelige Messenger installieren, bzw. mit kleinerem bis keinem „Publikum“ auf dem eigenen Chatserver (was ja ok sein kann, aber eben vielleicht auch dem Kalkül der Entmachtung entspricht).

        Die günstige Variante wäre dann noch, gegenüber anderen anonymisiert zu sein (bzw. nur solange man wählt pseudonymisiert. Leider gewinnt zu oft die „Wirtschaftsförderung“, also das Ausliefern der Menschen an ALLE Akteure.

  6. Bis vor einigen Jahren hat sich die Politik bei solchen „Neuerungen“ an den USA orientiert. Seit einiger Zeit scheint man bei den Maßnahmen zur inneren Sicherheit auch von China zu lernen.
    Bei behutsamer Umsetzung werden die meisten Menschen die neuen Möglichkeiten der Identitätskontrolle und -bewertung akzeptieren und gutheißen. Event-Veranstalter oder Vermieter von Wohnraum könnten zum Beispiel Menschen mit mangelhaften Sozialverhalten ausschließen (wer möchte schon solche Nachbarn?). Im Handel ist Scoring hinsichtlich der Zahlungsmoral längst akzeptiert.
    Die weiteren Folgen eines solchen Systems der „Identitätsbewertung“ offenbaren sich für viele Menschen wahrscheinlich erst dann, wenn sie aufgrund unbedachten Verhaltens oder auch öffentlicher Meinungsäußerung Nachteile hinnehmen müssen. Angepasstes Verhalten würde gefördert.

  7. > „Mit der Reform will die EU den nationalen Flickenteppich digitaler IDs auflösen und einer europaweiten digitalen Identität zum Durchbruch verhelfen. Bislang haben nur 19 der insgesamt 27 EU-Staaten Systeme auf Basis von eIPAS eingeführt, die obendrein zueinander meist inkompatibel sind.“

    Den „Flickenteppich“ kann man auch positiv betrachten: Black Hats haben es mit 19 verschiedenen Systemen zu tun, weil es keinen Single Point of Failure gibt.

    > „Für das Projekt macht sich nicht zuletzt die Präsidentin der Europäischen Kommission, Ursula von der Leyen, stark. Sie forderte im Jahr 2020 in ihrer Rede zur Lage der Union die Einführung einer europäischen digitalen Identität, „der wir vertrauen und die Bürger überall in Europa nutzen können, um alles zu tun, vom Steuern zahlen bis hin zum Fahrrad mieten. Eine Technologie, bei der wir selbst kontrollieren können, welche Daten ausgetauscht und wie sie verwendet werden.“

    Nein, danke. Das wäre mir zu gefährlich.

    > „Die Kommission strebt an, dass bis zum Jahr 2030 rund 80 Prozent der Bürger das System nutzen. Bis dahin soll jedes EU-Land die Geldbörse für digitale Identitäten als App für Smartphones bereitstellen.“

    Egal, ob 2030 oder 2080. Ich will trotzdem kein Smartphone besitzen (müssen).

    > „Ein weiterer Kritikpunkt bezieht sich auf die in der Wallet gesammelten Daten. Denn die App soll nicht nur bei virtuellen Verwaltungsgängen und Bankgeschäften eingesetzt werden, sondern offenbar auch bei Arztbesuchen und Alterskontrollen, beim Kauf von Konzerttickets, bei Hotelbuchungen sowie beim Tracking von versendeten Produkten. Der Datenschutzexperte Lukasz Olejnik forderte daher ebenfalls im Februar, in der ID-Wallet nicht länger benötigte Daten nur für einen strikt begrenzten Zeitraum zu speichern und anschließend zu löschen.“

    Am sichersten ist es wenn man diesen rückständigen, totalitären Quatsch gar nicht erst einführt.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.