Europäische ID-WalletKeineswegs nur Lob

In der Europäischen Union soll den Bürgern eine Art digitaler Brieftasche angeboten werden. Experten befürchten verheerende Konsequenzen, wenn das Vorhaben wie geplant umgesetzt würde. Das Vertrauen der Europäer in eine ID-Wallet müsse durch technische Maßnahmen für mehr Datenschutz gestärkt werden, sonst droht sie ein Ladenhüter zu werden.

zwei Brieftaschen, eine analog, eine digital
Brieftaschen gibt es heute sowohl digital als auch analog. CC-BY 2.0 Miki Yoshihito

EU-weit soll die Einführung einer sogenannten ID-Wallet vorangetrieben werden, mit der sich Menschen digital ausweisen können und die dafür deren Identitätsdaten speichert. Auch juristische Personen sollen die Möglichkeit bekommen, diese ID-Wallets zu nutzen. Für den Gesetzesvorschlag der EU-Kommission gibt es jedoch keineswegs nur Lob – im Gegenteil.

In der Europäischen Union trat 2014 die Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt in Kraft, die nun reformiert werden soll. Diese überarbeitete eIDAS-Verordnung soll allen EU-Bürgern die Möglichkeit zu einer digitalen Identität schmackhaft machen, die den Namen „European Digital Identity Wallet“ bekommen wird. Die ID-Wallet soll jeweils in der Hoheit der einzelnen EU-Mitgliedstaaten bereitgestellt werden, aber eine überall kompatible EU-weite Lösung sein.

Der Entwurf der EU-Kommission zur eIDAS-Neuregelung vom Juni 2021 (eIDAS: electronic IDentification, Authentication and trust Services) hat in der Wirtschaft überwiegend positives Feedback bekommen, er trifft jedoch auf breite Kritik und Nachbesserungswünsche von Bürgerrechtsorganisationen, Datenschützern und Experten für IT-Sicherheit. Die Kritik ist nicht ganz neu, schon im Juli 2021 (pdf) hatte der Europäische Datenschutzbeauftragte Schwachpunkte der geplanten Reformierung aufgezeigt, die aus Sicht des Datenschutzes bestehen. Eine öffentliche Konsultation hatte im Sommer zu Stellungnahmen aufgefordert.

Es existieren in Europa teilweise schon jahrelang Lösungen für nationale elektronische Identitäten, aber mit Dänemark, Deutschland, Schweden und Ungarn haben noch vier Staaten inkompatible Eigenkreationen. Die nun zur Überarbeitung vorgesehene Verordnung hat eine europaweit nutzbare ID-Wallet zum Ziel.

Von der Leyen verspricht eine sichere europäische elektronische Identität

Die Präsidentin der Europäischen Kommission, Ursula von der Leyen, hatte höchstselbst in ihrer Rede zur Lage der Union 2020 für die einheitliche ID-Wallet geworben. Sie beschrieb, dass niemand in der Praxis wissen können, was mit den eigenen Daten passiere und wie aber der geplante neue digitale EU-Identitätsspeicher die Kontrolle zurückbrächte:

Von der Leyen vor dem EU-Parlament
Von der Leyen vor dem EU-Parlament. - CC-BY 2.0 European Parliament

Jedes Mal, wenn eine Website uns aufgefordert, eine neue digitale Identität zu erstellen oder uns bequem über eine große Plattform anzumelden, haben wir in Wirklichkeit keine Ahnung, was mit unseren Daten geschieht. Aus diesem Grund wird die Kommission demnächst eine sichere europäische digitale Identität vorschlagen. Eine, der wir vertrauen und die Bürgerinnen und Bürger überall in Europa nutzen können, um alles zu tun, vom Steuern zahlen bis hin zum Fahrrad mieten. Eine Technologie, bei der wir selbst kontrollieren können, welche Daten ausgetauscht und wie sie verwendet werden.

Ganz so rosig wie in von der Leyens schwärmenden Worten wird die Umsetzung der ID-Wallet-Idee derzeit nicht bewertet, jedenfalls nicht aus Sicht von Datenschützern und IT-Sicherheitsfachleuten. Eine öffentliche Anhörung zu eIDAS beim Parlamentsausschuss für Industrie, Forschung und Energie brachte am Donnerstag Experten für eine Diskussion zusammen. Wojciech Wiewiórowski, der Europäische Datenschutzbeauftragte, erneuerte dort gleich zu Beginn seine Kritik, warnte vor Gefahren und forderte Nachbesserungen.

Ein weiterer der angehörten Kritiker der geplanten Verordnungsreform war Thomas Lohninger, Geschäftsführer des Vereins epicenter.works aus Österreich und Vizepräsident von European Digital Rights. Eine Konsequenz der neuen digitalen Brieftasche könne ein für die Privatsphäre von Menschen gefährliches Szenario sein, vor dem Lohninger auch in seiner Stellungnahme (pdf) warnt: Gezielte Werbung könnte mit der staatlich garantierten Identität gekoppelt werden. Die Werbewirtschaft wüsste dann quasi mit staatlichem Stempel, mit wem sie es namentlich zu tun hat und wem konkret sie Werbung unterjubelt.

Thomas Lohninger, Vizepräsident von EDRi.

Lohninger betonte, es fehle an „Schutzmaßnahmen gegen Missbrauch bei Tracking, Profiling und gezielter Werbung“. Hier müsse man dringend nachbessern. Es bestehe keine besondere Eile bei der Gesetzgebung, insofern plädiere er dafür, diesen Mangel zu beseitigen. Er rate auch zu einer Art Negativ-Liste, in der verständlich festgehalten werden solle, wofür die Daten der ID-Wallet keinesfalls verwendet werden dürfen. Auf jeden Fall müsse verhindert werden, dass mit der ID-Wallet am Ende nur die Tracking- und Werbewirtschaft und insbesondere auch die großen außereuropäischen Tech-Konzerne gestärkt werden.

Informationssammlung beim ID-Wallet-Herausgeber

Ein anderer potentiell gefährlicher Datenmissbrauch droht wegen der Daten, die bei der Nutzung des Identitätsspeichers beim Wallet-Herausgeber anfallen. Die Vorschläge der EU-Kommission schreiben zwar fest, dass der Nutzer über seine European Digital Identity Wallet die volle Kontrolle behalten soll. Über die Nutzung der Wallet soll der Herausgeber keine Informationen sammeln, die nicht notwendig für die Wallet-Dienstleistungen sind. Datenschutzexperte und Informatiker Lukasz Olejnik rät jedoch wegen dieser sensiblen Nutzungsdaten in seiner Stellungnahme, die Rechte der Nutzer weiter zu stärken und zusätzlich vorzuschreiben, dass nicht mehr benötigte, aber bereits gesammelte Daten über die Wallet-Nutzung gelöscht werden sollen. Mehr als zwei Jahre sollten sie keinesfalls festgehalten werden, so Olejnik, wünschenswert wäre eine viel kürzere Frist von nur einem Monat.

Lohninger kritisiert, dass nicht schon von vornherein ein technischer Ansatz vorgeschrieben werde, um die Nutzungsdaten beim Wallet-Herausgeber zu minimieren. Er optiert für eine technische Infrastruktur, die eine Informationssammlung beim Herausgeber weitgehend unterbinde. Die entsprechende Passage müsse schon deswegen geändert werden, weil das Vertrauen der potentiellen Nutzer in die ID-Wallet durch technische Maßnahmen zum Datenschutz viel deutlicher gestärkt werden müsse. Denn ohne Vertrauen seitens der Nutzer drohe das ganze Vorhaben zu scheitern.

Damit die ID-Wallet breite Akzeptanz findet, muss es neben dem Vertrauensvorschuss auch möglichst viele Angebote geben, die von Menschen genutzt werden könnten. Sonst endet der Vorschlag vielleicht wie die deutsche eID im Personalausweis, die – selbst nachdem sie per Gesetz zwingend aktiviert ist – noch immer kaum Nutzer findet. Der Entwurf der Verordnung sieht daher eine Verpflichtung zur Akzeptanz der ID-Wallet bei Staat und Wirtschaft vor, versucht also durch eine vielfältige Angebotsseite die Nutzung anzuregen. Die sehr großen Plattformbetreiber sollen daher mitmachen müssen, aber auch eine ganze Reihe anderer Wirtschaftsbranchen, etwa Transport, Energie, Banken, Gesundheit, Post, Telekommunikation und weitere sollen verpflichtet werden.

Die IT-Sicherheit bei Smartphones

Ein in der Anhörung vielfach vorgebrachter Kritikpunkt ist das Fehlen vieler rechtlicher und technischer Details für das Design und die Nutzungsmöglichkeiten der Wallet: Das mache eine Risikoanalyse und eine sinnvolle Datenschutz-Folgenabschätzung im Sinne der Datenschutzgrundverordnung fast unmöglich, so Lohninger. Das betonte auch der Europäische Datenschutzbeauftragte Wiewiórowski, der anmerkte, eine Prüfung, ob alle Standards der DSGVO eingehalten werden, sei aktuell nicht möglich.

Schwierig sei zudem, dass die IT-Sicherheit der ID-Wallet als App von der IT-Sicherheit von Smartphones abhänge, sagte Lohninger. Das stelle viele Menschen vor Probleme, etwa wenn sie nicht die finanziellen Mittel hätten, um neuere Smartphones mit regelmäßigen Updates zu nutzen. Schon deswegen müsse in die Vorschläge zur ID-Wallet eine Anti-Diskriminierungsklausel hinein, damit nicht Menschen mit weniger Geld nach der Einführung der Digital-Brieftasche auch noch Aufpreise zahlen müssen, wenn sie diese digitale Identität nicht nutzen können. In seinem Heimatland Österreich sei das bereits zu beobachten.

Millionen Browser-Nutzer gefährdet

Besonders in der Kritik von Seiten vieler IT-Experten steht auch der geplante Artikel 45 der Verordnung. Darin geht es um Zertifikate in Browsern. Solche Zertifikate werden von Certificate Authorities (CAs) verwaltet. Sie haben eine Funktion wie ein Notar, der beglaubigt, dass Zertifikate echt sind. Der Kommissionsvorschlag würde eine staatliche Zertifikatsinfrastruktur über solche CAs in Browsern verpflichtend vorschreiben. Lukasz Olejnik hält das Vorhaben in seiner Stellungnahme für hochgefährlich und schlägt vor, den Artikel 45 wegen seiner potentiellen Auswirkungen auf die IT-Sicherheit und auf Grundrechte komplett zu streichen oder aber mindestens statt einer Verpflichtung eine Opt-In-Lösung aufzunehmen.

Die Electronic Frontier Foundation fand in einer im Dezember veröffentlichten Stellungnahme deutliche Worte, was die Folgen angeht, würde der Vorschlag so in Kraft treten: „Die Sicherheit von HTTPS im Browser könnte um vieles schlimmer werden.“ Millionen Browser-Nutzer wären außerdem betroffen. Auch Lohninger kritisiert, dass der Vorschlag für die IT-Sicherheit von Browsern gefährlich wäre und verheerende Konsequenzen („devastating consequences“) drohen würden. Er appellierte bei der Anhörung an die EU-Parlamentarier: „Please don’t break the web!“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

21 Ergänzungen

  1. (Hier nochmal in neuer Version mit korrigierten Verschreibern; den ersten Kommentar bitte löschen)

    1. Es ist schon ziemlich creepy, wenn eine Dame, die vor paar Jahren als „Zensursula“ durch die Medien geisterte, jetzt für ein solches, vollkommen zu Recht als nicht-datenschutzfreundlich bezeichnetes Vorhaben wirbt.

    2. Wenn schon der Bundestag es nicht schafft, sich gegen Hacking zu sichern, wie soll es da ein ID-Wallet schaffen, das jeder nutzen soll??

    3. Da müsste die EU und Co. eine 180 Grad-Wende in Sachen IT-Sicherheit, Werbungs- und Cookie-Nutzung usw. schaffen. Aber das klappt nicht.

    4. Ergo: ID-Wallet? Für mich nicht.

  2. „Der Kommissionsvorschlag würde eine staatliche Zertifikatsinfrastruktur über solche CAs in Browsern verpflichtend vorschreiben.“

    Das erinnert an Staaten wie Kasachstan, wo aller Internetverkehr geblockt wird, wenn nicht das staatliche root-Zertifikat genutzt wird – und damit die gesamte Verschlüsselung von staatlicher Seite ausgehebelt werden kann.

    1. Das erinnert nicht zufaellig daran, das ist das offen erklaerte Ziel der EU-Kommission und der Mitgliedsregierungen.

      1. Ich zweifle nicht daran, dass dieses Ziel von einem gewissen Teil der Politiker tatsächlich verfolgt (und von einem weiteren Teil hingenommen) wird – „offen erklärt“ wurde es meines Wissens nach aber noch nie wirklich. Vor den Kameras verspricht man eher, dass Deutschland „Verschlüsselungs-Standort Nr. 1“ sein soll.

        1. Anders als mit grundlegender Unterwanderung der Infrastruktur ist weder der proklamierte „Jugendschutz“ noch der proklamierte „Kampf gegen KiPo“ noch die geforderten Abhoerschnittstellen zu implementieren. Und natuerlich muss man der Klientel Leistungsschutz und Meinungshoheit liefern.

    2. Da der private Key üblicherweise beim Besitzer bleibt und die CA lediglich den Publik Key zertifiziert wird die Verschlüsselung keineswegs ausgehebelt. Insgesamt ist das eine Frage des Prozesses, nicht der Technik.

  3. Ich habe kein Smartphone – weil: Ich will nichts mit Google oder Apple zu tun haben.

    Ich will auch kein „ID-Wallet“.
    Werde ich trotzdem „digitalisiert“?
    Wo kann ich mich dagegen wehren?

    1. Es gibt auch Linux-Smartphones mit Sailfish OS und PostmarketOS. Teilweise sogar mit Killswitches. ;)
      Aber ja, ich kann es verstehen, wenn man diese winzigen, fummeligen und langsamen Wanzen nicht benutzen möchte.

      1. Das PinePhone Pro gibt es mit einem PDA-mäßigen Rückteil, als Alternative zum einfachen Plastik, dann mit Extra Akku und „Tastatur“, naja…

        Shiftphone MU soll auch ein vollwertiger linuxfähiger Computer werden.

        Wilde Prognose: Wenn das nicht von einem globalen Regime gekillt wird, wird sich das vermutlich durchsetzen. Kastrierte I/And/BOOBS-Geräte sind doch für die Tonne. Spezialsoftware von allerlei Herstellern, keine plattformübergreifenden Universalformate für Apps, kein nichts von irgendwas, was allgemein nutzbar ist – einfach ein Rückschritt vom IBM-PC.

  4. Das wäre endlich mal ein Anwendungsfall für die bei Kommission und Parlament beliebten „x % vom weltweiten Jahresumsatz“ als Strafe bei Missbrauch. Explizit auch für Behörden.

    Denn ohne extrem schmerzhafte Sanktionen bei Missbrauch ist schon klar, wie die Entwicklung weiter geht: Facebook, Microsoft und Google werden in Rekordgeschwindigkeit eine Ausweispflicht einführen, „wegen der Sicherheit“, und sämtliche nationalen und internationalen „Sicherheitsbehörden“ werden das unterstützen. Wegen, eh, der Kinder. Und Terrorismus natürlich. Und Hatespeech.

    Kreditkarten werden übrigens schon seit den siebziger Jahren von Geheimdiensten und Regierungen als offline-Cookies verwendet: Weil man – in Ländern, wo Plastikgeld weit verbreitet ist – praktisch in Echtzeit mitverfolgen kann, wo sie jemand aufhält, und was er dort tut.

    Handynummern sind wohl die nächste Evolutionsstufe.

    Mit der digitalen ID besteht die reale Gefahr, dass man nach Corona neue Ausreden finden wird für 2G+++ – wo jeder ständig einen persönlichen QR-Code einscannen lassen und durch Ausweis verifizieren muss. Und so sich über eine EU-Version der Sozialscores beliebig Menschenrechte abschalten lassen. Wegen der Terroristen. Oder der Kinder.

    Wer ernsthaft eine digitale ID einführen will, muss deshalb anfangen mit der Implementierung drastischer Sanktionen für Missbrauch.

    1. Missbrauchssanktionen stoeren staatliche Akteure nicht, denn die koennen „Missbrauch“ beliebig definieren.

      Missbrauchssanktionen stoeren daher auch Akteure nicht, die sich ausreichend Einfluss auf staatliche Akteure kaufen koennen.

      Sprich: vergiss es. Wenn es fuer die Buerger schaedliches Potential hat, wird dieses ausgeschoepft werden. ID-Wallet hat sehr viel davon.

      1. Bewusstsein für die Kosten könnte helfen.
        – Bei Mächtigen.
        – In der Wirtschaft.
        – In der Bevölkerung.
        – Amsel Drossel, Fink und Star.
        – „Paul“ et. al.

        Welchen Weg es nimmt… mal sehen. Die Komplexität der Berechnungen oder auch nur der vorläufigen Estimationen ist so hoch, dass vielleicht nur zum Erfolg führen kann:
        – „Überlegene“ Technologie. (Wer sie hat wird vielleicht abwarten oder hinterm Berg halten. Stichwort „Relativität der Überlegenheit“.)
        – Wilde aber ziemlich korrekte Abstraktion hoch intelligenter Natur, wie sie bei Modellierungen selten zum Einsatz kommt. (Unwahrscheinlich im Regierungsauftrag dieser Tage.)
        – Massiv paralleler Einsatz von biologischer Rechenkapazität auf Basis von Gemeinsamkeit, Freiwilligkeit und so weiter. (Das Gras sprechen hören, den Stein, das Kalb, das Lamm, was auch immer.)

  5. „auch noch Aufpreise zahlen müssen, wenn sie diese digitale Identität nicht nutzen können. In seinem Heimatland Österreich sei das bereits zu beobachten. “

    Was genau ist damit gemeint? Die Handysignatur?

    1. N`abend

      hier im Aktuellen Netto Prospket:

      Waschmittel im Angebot, 6.99€
      mit Netto App dann runter auf 5.99€

      Logik ? ist ja schon im „Angebot“
      mit App dann…
      also wer das ohne App kauft, subventioniert die App People mit ?
      Ist aber das einzigste was ich mit diesem „Angebot im Angebot“ entdecken konnte.

      so fängt`s an ^.^

      lg
      DonPi

  6. Aah ja, ein Angebot. Und natürlich freiwillig, sonst werden wir ja noch sowas wie eine digitale Diktatur in Europa. Und das darf ja nicht…, es kann sogar gar nicht sein!

    Also es ist natürlich diese typische Art von Freiwilligkeit. Die, in der man zwar de facto sehr deutlich genudged wird die digitale Überwachung aller Lebensbereiche auch mit diesen tollen Wallets und IDs zu akzeptieren, weil analoge Alternativen entweder komplett wegfallen („der Markt regelt“) oder maximal umständlich, zeitraubend und teurer werden, aber gesetzlich vorgeschrieben ist das natürlich nicht. Nein nein! Es ist selbstverständlich absolut ein-wand-frei und über alle Zweifel erhaben de-mo-kratisch!

  7. Ich kommuniziere seit vielen Jahren – als Bürger – mit „öffentlichen“ Stellen (Politiker, Verwaltungen, Organisationen etc.).
    Bei Mails verweise ich immer auf die Möglichkeit der e-Mail-Verschlüsselung nach PGP hin. Fast immer hänge ich meinen Schlüssel an die Mail.

    Nur sehr selten bekomme ich verschlüsselte Mails zurück.
    Einige Male bekam ich gar Beschwerden zurück:
    Ich solle doch bitte nicht mehr auf PGP hinweisen. Das wäre lästig. Man würde sonst meine Mails ignorieren..

    Hmm – Bei solchem Verhalten: Wie soll ich da Vertrauen in eine Politik und in eine Verwaltung haben?

    Ach Ja:
    Offizielle „Dienst-„Mails bekam ich auch schon von Google-Mail-Adressen.
    Natürlich unverschlüsselt.
    Und das, obwohl ich selbst zuvor an die Dienst-e-Mailadressen schrieb.

    1. Hmm, Dienst-Emails von Google-Adressen…. wenn das eine Kommune oder Behörde ist, finde ich das schon ganz schön alarmierend (bei den anderen nur frappierend inkompetent).
      Da würde ich ja erwägen, die entsprechende Behördenleitung einzuschalten. Oder bei kommunalen Einrichtungen auf der nächsten Gemeinde/Stadtratssitzung in der öffentlichen Bürgerfragestunde nachhaken, wann sich die Kommune denn mal eigene Emailadressen leisten kann.
      Oder verwaltungsgericht.[stadtname]@gmail.com einrichten und eine „Abmahnung“ zustellen. Irgendwann muss mensch die freundliche Rückmeldung zugunsten einer pädagogischen Bloßstellung zurückstellen, zumindest bei staatlichen Akteuren fliegt denen der laxe Umgang doch sonst spätestens bei juristischen Überprüfungen um die Ohren…
      Oder bin ich da zu naiv?

      1. Ich formuliere es mal so:
        „Peinlich“ wäre es für den (Google-Mail-)Absender dann, wenn eben dieser eine Mailkopie an einen oder mehrere BfD senden würde.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.