­­eIDAS 2.0Beim europäischen ID-Wallet droht die Überidentifikation

Die EU-Kommission will einen einheitlichen digitalen Identitätsnachweis einführen – inklusive lebenslanger Personenkennziffer, auf die auch Unternehmen zugreifen dürfen. Obwohl das EU-Parlament mehr Datenschutz in seinem Kompromissvorschlag durchsetzen will, gibt es weiterhin Kritik an den Plänen.

Ein blauer Fingerabdruck auf weißem Grund mit gelben Sternen
Die EU-Kommission will eine lebenslange Personenkennziffer für alle EU-Bürger:innen einführen – DiffussionBee (huge fingerprint in colors blue with lots of yellow stars in the background)

Die Europäische Union will einen einheitlichen digitalen Identitätsnachweis einführen. Das sogenannte „European Digital Identity Wallet“ (ID-Wallet) soll es EU-Bürger:innen und -Einwohner:innen ermöglichen, sich in allen Mitgliedstaaten online wie offline auszuweisen.

Der nächste Schritt dorthin erfolgt am 9. Februar. Dann stimmt der federführende Ausschuss für Industrie, Forschung und Energie (ITRE) des EU-Parlaments über einen Kompromissvorschlag der entsprechenden Verordnung eIDAS 2.0 ab, in den auch Empfehlungen des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE) eingeflossen sind. Der Vorschlag verändert auch einige jener Punkte, die Bürgerrechtler:innen und Datenschützer:innen seit längerem kritisieren.

So sieht der aktuelle Kompromisstext nun explizit einen Schutz vor Diskriminierung vor. Bürger:innen soll es demnach freigestellt sein, ob sie die ID-Wallet bei öffentlichen und privaten Dienste-Anbietern nutzen. Sie erfahren demnach keine Nachteile, wenn sie kein Smartphone besitzen oder andere Möglichkeiten der Identifizierung verwenden möchten. Außerdem soll der Quellcode des ID-Wallets offen einsehbar, also Open Source sein.

Personenkennziffer: Die Einschränkung der „Super-Cookies“

Wer das ID-Wallet einsetzen möchte, kann es sowohl zur Identifizierung als auch zur Authentifizierung verwenden. Im ersten Fall teilt die Nutzer:in durch die Weitergabe persönlicher Daten mit, wer sie ist; im zweiten Fall bestätigt sie nurmehr, dass sie jene Person ist, die sie vorgibt zu sein.

Hinsichtlich der Identifizierung kritisieren Datenschützer:innen insbesondere, dass die Kommission anstrebt, eine eindeutige, dauerhafte Personenkennziffer (Unique identifier) einzuführen. Diese ist allerdings auch im Kompromissvorschlag des EU-Parlaments vorgesehen. Ihr Einsatz soll dort aber strikt auf grenzüberschreitende Verwaltungsdienste beschränkt sein.

Thomas Lohninger von der österreichischen Bürgerrechtsorganisation epicenter.works begrüßt diese Einschränkung durch den EU-Parlamentsausschuss gegenüber netzpolitik.org: „Diese ‚Super-Cookies‘ drohen, alle Menschen in Europa eindeutig zu identifizieren und könnten nach den Plänen der Kommission auch für Tracking und Profiling missbraucht werden. Im Kompromisstext von ITRE gibt es nun keinen Zwang mehr, einen solchen Identifier einzuführen. Eine eindeutige Identifizierung von Benutzer:innen des Wallet muss von Staaten nur noch für den grenzüberschreitenden Einsatz gegenüber öffentlichen Einrichtungen sichergestellt werden.“

Konkret soll die Personenkennziffer demnach nur noch dann abgefragt werden, wenn beispielsweise eine deutsche Staatsbürgerin in Belgien mit der dortigen Verwaltung kommuniziert und die Angabe der Nummer rechtlich gefordert wird. Allerdings ist damit zu rechnen, dass die Kommission im weiteren Gesetzgebungsverfahren an ihren Plänen festhält, dass auch Privatunternehmen die Personenkennziffer abrufen dürfen sollen. Zudem birgt die bloße Einführung einer Personenkennziffer die Gefahr, dass deren Nutzung – im Sinne einer schleichenden Zweckentfremdung (Function Creep) – später ausgeweitet werden könnte.

Datensparsame Authentifizierung soll technisch möglich sein

Geht es nach dem ITRE-Vorschlag, sollen sich Nutzer:innen im Alltag nicht mit der Personenkennziffer, sondern vorwiegend mit ihren personenbezogenen Daten identifizieren. Der Kompromisstext enthält eine „Minimum List of Attributes“, zu der unter anderem die Anschrift, das Geburtsdatum und der Familienstand einer Person gehören, aber auch Bildungsnachweise und Unternehmensdaten („Company Data“).

Darüber hinaus sollen sich Nutzer:innen mit Hilfe des ID-Wallet authentifizieren können, ohne personenbezogene Daten preiszugeben. Laut Kompromissvorschlag sollen sie Pseudonyme für all jene Anwendungsfälle verwenden können, in denen eine Identifizierung mit dem Realnamen nicht gesetzlich vorgeschrieben ist. Die Pseudonyme werden verschlüsselt auf den Endgeräten hinterlegt. Zu beachten ist dabei, dass sich der Einsatz von Pseudonymen zum Beispiel von Ermittlungsbehörden zurückverfolgen lässt und daher keine Anonymität bietet.

Um sich ohne den Austausch jedweder personenbezogenen oder pseudonymisierten Daten authentifizieren zu können, soll das ID-Wallet auch den sogenannten Zero Knowledge Proof (zu Deutsch: Null-Wissen-Beweis) ermöglichen. Damit können die Nutzer:innen ihre Identität bestätigen, ohne persönliche Informationen über sich preiszugeben. Mit dieser Methode sind die personenbezogenen Daten am besten geschützt, da diese auf dem Gerät verbleiben und nicht weitergereicht werden.

Zu wenig Schranken gegen Überidentifikation

Dass der vorliegende Kompromissvorschlag unterschiedliche Möglichkeiten vorsieht, mit denen sich Nutzer:innen identifizieren bzw. authentifizieren können, ist aus datenschutzrechtlicher Sicht sinnvoll. Mindestens ebenso wichtig ist aber auch, wie die jeweiligen Anwendungsfälle und die „relying parties“ – also die sogenannten vertrauenswürdigen Parteien, gegenüber denen Nutzer:innen ihre Identität bestätigen – definiert und eingegrenzt werden.

Aus Sicht von Datenschützern dürfe die Einführung des ID-Wallets zum einen nicht dazu führen, dass die Ausweispflicht online wie offline zunimmt. Zum anderen müsse klar geregelt sein, wer welche Daten abfragen darf.

Hier sieht auch Thomas Lohninger noch die größten Risiken für den Datenschutz: „Derzeit wäre es für jede Firma oder staatliche Stelle möglich, alle möglichen Datenfelder von allen Benutzer:innen abzufragen. Die Verantwortung liegt auf den Schultern jeder und jedes Einzelnen, welche Informationen man mit wem teilt und sich über ausufernde Informationsanfragen im Nachhinein zu beschweren.“

Auch der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski sieht da noch Regulierungsbedarf. Auf der gestrigen Cybersecurity Standardisation Conference äußerte er die Befürchtung, dass man im Internet künftig an jeder Ecke das ID-Wallet zücken müsse. Zudem beobachtet Wiewiórowski im laufenden Verfahren eine wachsende Kluft: Auf der einen Seite stünden die Gesetzgeber und auf der anderen Seite jene, die über die technischen Standards und deren Implementierung entscheiden. Den technischen Standards komme indes eine mindestens ebenso entscheidende Rolle zu wie den rechtlichen Vorgaben, die derzeit im EU-Parlament verhandelt würden. Gerade in technischer Hinsicht seien aber noch viele Fragen ungeklärt.

Wichtige Sicherheitsschranke entfernt

Bislang sieht der Kompromissvorschlag vor, dass die „relying parties“ ihre Anwendungsfälle vorab anmelden müssen. Im Anschluss dürfen sie Nutzer:innen über das ID-Wallet nach persönlichen Informationen fragen. Die Liste der angemeldeten verlässlichen Parteien soll öffentlich einsehbar sein. Eine Vorab-Registrierung, die mit einer behördlichen Bestätigung einhergeht, soll nur bei sensiblen Daten erforderlich sein, etwa im Gesundheitsbereich.

Aus Sicht von Datenschützer:innen stellt der Kompromissvorschlag in dieser Hinsicht ein Rückschritt dar. Frühere Verhandlungsversionen hatten noch vorgesehen, dass sich Unternehmen nicht nur vorab anmelden, sondern auch registrieren müssen, wenn sie Daten über das ID-Wallet abfragen wollen. Erst nach einer Freischaltung hätten sie dann ausschließlich jene Daten abrufen können, für die sie zuvor eine Genehmigung erhalten haben. „Leider hat massives Industrielobbying dazu geführt, dass diese wichtige Sicherheitsschranke entfernt wurde“, bedauert Thomas Lohninger.

Obendrein sieht der Kompromissvorschlag bislang keinerlei technische Vorkehrungen vor, die verhindern, dass „relying parties“ mehr Informationen abfragen können als es gemäß ihrer Anmeldung vorgesehen ist. Geschieht dies, können sich Nutzer:innen zwar beschweren – laut Entwurf können sie sich jedoch nur an die zuständige Behörde des jeweiligen Mitgliedstaates wenden, in der etwa das gerügte Unternehmen seinen Sitz hat.

Die Unterschiede zwischen den verschiedenen EU-Ländern sind allerdings groß, wenn es um die Durchsetzung europäischer Datenschutzregeln geht. So ist zum Beispiel Irland dafür berüchtigt, beim Datenschutz regelmäßig ein Auge zuzudrücken. Um eine ungleiche Rechtsdurchsetzung innerhalb der EU zu verhindern, müsste diese daher nicht nur gestärkt werden, sondern bestenfalls auch auf europäischer Ebene erfolgen.

Nicht zuletzt sieht der Entwurf weiterhin vor, dass Browseranbieter sogenannte Qualified Website Authentication Certificates (QWACs) nutzen sollen. Diese Zertifikate gelten jedoch als veraltet, untauglich und relativ unsicher. Aus Sicht von IT-Expert:innen setze die EU-Kommission die Bürger:innen damit unnötigerweise Risiken aus. Laut Kompromissvorschlag sollen Browser-Anbieter nun immerhin die Möglichkeit erhalten, Zertifikate zu entfernen, wenn diese nachweislich eine Gefahr für die Sicherheit oder den Datenschutz darstellen.

Beschließt der ITRE-Ausschuss den Kompromisstext, wird dieser voraussichtlich im März als Beschlussvorlage im Plenum des Europa-Parlaments dienen. In den anschließenden Trilogverhandlungen stimmen EU-Kommission, Parlament und Ministerrat das Gesetzeswerk dann final ab, bevor es Rat und Parlament dann beschließen. Damit ist voraussichtlich frühestens im zweiten Halbjahr zu rechnen. Im Laufe der darauffolgenden 18 Monate müssen die einzelnen Mitgliedstaaten ihren Bürger:innen dann ein ID-Wallet anbieten.

Offener Brief mit fünf Kernforderungen

Bevor es aber soweit ist, hoffen 39 Nichtregierungsorganisationen, Akademiker:innen und unabhängige Expert:innen den Gesetzgebungsprozess noch in ihrem Sinne beeinflussen zu können. Sie haben sich am 1. Februar in einem offenen Brief an die Mitglieder des EU-Parlaments gewandt. Zu den Unterzeichner:innen zählen unter anderem Epicenter.works, European Digital Rights, La Quadrature du Net, der Chaos Computer Club und Digitalcourage.

Die Unterzeichner:innen rufen die EU-Abgeordneten dazu auf, „ein integratives, sicheres und geschütztes digitales ID-System“ zu schaffen. Aus ihrer Sicht sind dafür verschiedene Punkte entscheidend, die der Kompromissentwurf bislang nur in Teilen erfüllt. Laut Brief müsse sich das ID-Wallet durch Prinzipien des privacy by design und privacy by default auszeichnen – also durch Datenschutz qua technische Ausgestaltung und datenschutzfreundliche Voreinstellungen.

Die Unterzeichner:innen verweisen dabei auf das digitale COVID-Zertifikat der EU. Dieses habe gezeigt, dass ein Dienst die Rechte von Nutzer:innen schützen und zugleich effektiv sein könne.

eIDAS 2.0: Unklare Auswirkungen auf nationale Systeme

Den Plänen für das ID-Wallet liegt ein Verordnungsentwurf der EU-Kommission zugrunde, den die Kommission im Juni 2021 vorgelegt hatte. eIDAS 2.0 soll eine Regulierung aus dem Jahr 2014 reformieren: die Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt. Das Kürzel eIDAS steht für „Electronic IDentification, Authentication and Trust Services“. Im Dezember hatte der Rat der Europäischen Union bereits seine zustimmende Position zu dem Vorhaben abgegeben.

Unklar ist derzeit auch noch, welche Auswirkungen eIDAs 2.0 auf bestehende und geplante Systeme der Nationalstaaten hat. Hierzulande gibt es bereits die sichere und datenschutzfreundliche Ausweis-eID; verschiedene Bundesministerien und die Bundesdruckerei arbeiten darüber hinaus an einer gerätebasierten Smart eID und an Smartphone Wallets.

15 Ergänzungen

  1. Natürlich wird diese Personenkennziffer absehbar bei allen online Aktivitäten erfasst werden.

    China? Kann die EU besser.

  2. Ah, da ist er ja, der tolle „Kompromiss“. Die EU handelt also strategisch klug.

    Erst mal werden Use-Cases, Infrastrukturen und Akzeptanzen geschaffen und analoge Optionen werden schlicht und ergreifend verdrängt. Dann wird, wegen eines im Grunde völlig beliebigen Anlasses die legale Grundlage zur totalen digitalen Überwachung kommen. Versprechungen das nicht zu tun waren schon bei der Steuernummer nichts wert. Die von Ministerien und EU-Institutionen veröffentlichten Planspiele und Machbarkeitsstudien zu total vernetzten, überwachungskapitalistischen, postdemokratischen Gesellschaften und dazugehörigen schaffen noch weniger vertrauen. Und die EU-Kommission strebt nach eigener Aussage nichts geringeres an, als dass bis 2030 mindestens 80% aller EU-Bürger:innen die digitale Identität nutzen werden.

    Möge das Nudging beginnen!

  3. Über 800 EUR für ein elendes Zertifikat. Hanebüchen! Der Preis wäre schon ein großes Hindernis, um die Technologie zu übernehmen. Dagegen erscheint der Wegfall des behördlichen Stempels bei der Anmeldung höchst förderlich für die Verbreitung. In der Pandemie konnten viele Fake-Impfzertifikate ausgestellt werden. Dort war die behördliche Kontrolle der Zertifikatsaussteller ziemlich nutzlos. Warum sollte es hier bei der Anmeldung zum Programm anders sein? Der Ansporn zur gewissenhaften Prüfung dürfte noch niedriger sein, da es viel mehr Interessenten geben dürfte. Der Wegfall der Schranke ist eine gute Sache. Wenn dann noch der Eintrittspreis gesenkt würde, umso besser.

    1. Naja, bei personenbezogenen Daten wäre es doch fast ein halber Deal:
      – Kosten! Besser noch Mietmodell, aber nur bei gegebener stattfindender Überprüfung der Anfragenden Stellen.
      – Überprüfung der Anfragenden via Registries und Firmenregistern. Emails, IP-ranges, etc. pp. Wer da nicht drinnen ist, ist draußen.
      – Alle anderen Anfragen: strikt anonym gegenüber Anbieter. Wobei es dann keinen Sinn ergäbe Namen anzugeben, wenn dann anonym meine Existenz und Volljährigkeit geprüft werden „soll“.

      Also insgesamt ein Reigen an Sachen, vielleicht auch eine Chipkarte (uh und das Lesegerät? Oder bestimmt der Händler was ich mache, und ich tippe da noch auf deren Gerät meine Allesvernichtungspin ein?) Kann man jetzt schon sagen: „Viel Schönes dabei!“

      1. Zwar traut sich keiner, Internetstandards zu setzen, dennoch könnte man erzwingen, dass Personennamen, bzw. Nicks allgemein auf Plattformen als „Pseudonym“ oder „Anonym“ zu kennzeichnen sind, wenn sie nicht hinreichend verifiziert sind. Was auch immer dann verifizieren heißt. In dem Kontext ist es schon denkbar, dass irgendein Name angenommen wird, und trotzdem Existenz einer Staatszugehörigkeit und des Alters als nachgewiesen ausgewiesen werden. Natürlich muss es dann einen Weg geben z.B. Pseudonyme anzugreifen, was dann allerdings Namensverifikation (ohne Alter!) benötigt, und dann den Halter des Nicks zwingt, sich entweder auch als die Person zu identifizieren, oder den Nick zu ändern. Als leichtgewichtige (quasi anonyme, also gesetzlich verordnete) Prozesse, wäre das mal interessant. So wäre Twitter Nicks per Gesetz immer Pseudonym, aber der dazu angezeigte Name (sofern so gesetzt) prinzipiell leichtgewichtig korrigierbar.

        (Achtung: Schnellschuss, das sind natürlich alles so Umwälzansätze, allerdings geht es ohne Umwälzung nicht, wenn man bedenkt, wie das Ganze so wild dahergewachsen ist.)

  4. Dauerhafte extern sichtbare und in Schnittstellen ansprechbare ID… kling wirklich wie eine sehr schlechte Idee.

    Minimum wäre pseudonyme IDs, die pro Kontext generiert werden. Aber es gehört auch eine Invalidierungssystematik dazu. Wer oder was darf was wie lange überhaupt was nachfragen?

    Der Privatwirtschaft beim Tracking zu helfen wäre ein Anachronismus. Das nur on Top of the Schlechte Ideen an sich.

    1. Nee, die Anfragenden bleiben natürlich anonym, nicht der Bürger!

      Spass beiseite, auch wenn dieser Tage Spass nicht mehr dabei ist: Händler müssen kontextuell authorisiert sein, und nicht allgemein. Anfragen müssen gegenüber Nutzern transparent sein, Authorisierung durch Nutzer, Authorisierung zurückziehbar, etc. pp.

      Sonst nimmt eben der Wahnsinn weiter seinen Lauf…

  5. Postdemocracy:

    „Und die EU-Kommission strebt nach eigener Aussage nichts geringeres an, als dass bis 2030 mindestens 80% aller EU-Bürger:innen die digitale Identität nutzen werden.“

    Ich mach´s kurz:

    Unter den von Dir treffend erklärten Bedingungen/Absichten kann die EU auf Akzeptanz und Nutzung bei mir lange warten, und wenn ich 500 Jahre alt werde.

    1. So ab 2030 wird es klimaseitig in nicht mehr schön zu lügendem Ausmaß ungemütlich. Da muss man dann vorbereitet und handlungsfähig sein, sonst wird das nichts mit dem „better to rule in hell than to serve in heaven“ 8)

    2. Die wird nicht warten.

      Du kannst natürlich irgendwo im Wald unentdeckt leben und irgendwann frei an einer trivialen Verletzung abtreten. Ist aber auch nicht so einfach, wie es klingt.

      Spätestens 2050 wird man Strukturen zu rigider Planung und Organisation eines einigermaßen geregelten Lebens unter permanenten Krisenbedingungen brauchen. Die Leute werden glücklich jeden wählen, der das anbieten kann.

      1. Das ist eine sehr pessimistische Weltsicht einerseits und eine gewagte Hypothese andererseits. Um krisenfeste Strukturen zu schaffen, bedarf es weder eines Smartfones noch einer digitalen Identität. Der einzige Zweck letzterer dient der Kontrolle des einzelnen Bürgers und allenfalls noch der Bequemlichkeit und Personaleinsparung. Stimmte deine Hypothese, wäre ein Leben mit Krisenbewältigung bisher nicht möglich gewesen.

        Die einzigen, aus meiner Sicht wirksamen Mittel gegen die von dir vorausgesagten weltweiten Krisen sind:

        weltweite Demokratie und entsprechende Wahrung der Grundrechte, Humanismus statt Religion bzw. Beschränkung dieser auf den rein individuellen Bereich, daraus folgende Säkularisierung, gegenseitige Anerkennung kultureller Identitäten und Lebensweisen, international verbriefte Akzeptanz der Natur als unserer Lebensgrundlage, daraus erwachsende neue Ernährungsformen und Bereitstellung dieser für alle Bevölkerungsschichten, Beschränken des Extremkapitalismus und entsprechender Machtfülle, und ein Wert, der zwar in Vergessenheit geraten ist, aber sehr effektiv ist: Bescheidenheit!

        Das ist zwar noch lange nicht alles und (vor allem bei den derzeitigen Entwicklungen) sicher idealistisch formuliert, aber eine sinnvolle Richtschnur.

        1. Krisen sind in globalen und historischen Massstaeben praktisch immer zu bewaeltigen, es ist halt die Frage, mit welchen Schaeden und was danach uebrig ist.

          Prinzipien sind notwendig, man kann sie aber weder essen noch bieten sie ein Dach ueber dem Kopf oder gar sowas komplexes wie derzeit hier normale medizinische Versorgung. Oder sowas vermeintlich triviales wie die zuverlaessige Versorgung mit Wasser und Strom und zuverlaessige Entsorgung von Abwasser und Muell in einem dichtbesiedelten Gebiet. Oder sowas grundlegendes wie oeffentlich Ordnung und Sicherheit und eine arbeitsfaehige Verwaltung.

          Und fuer eine auch nur einigermassen gerechte oder auch nur stabile Verteilung knapper Resourcen in Krisensituationen braucht man Verwaltung, Infrastruktur, Ordnung und Datengrundlagen.

        2. Nunja, Sie können heute aus freier Entscheidung auf Lesen und Schreiben verzichten. Sie werden feststellen, dass das Leben dadurch sehr aufwendig wird, gerade wenn Sie auf irgendwelche Strukturen angewiesen sind.

          Und Sie werden feststellen, dass die Bereitschaft der anderen, Sie in dieser Ihrer freien Entscheidung zu unterstützen und dafür den eigenen Aufwand signifikant zu erhöhen, sehr begrenzt ist.

          In 20y ist die Nutzung eines mobilen Computers das gleiche. In einigen Gesellschaften, übrigens auch der sogenannten dritten Welt, ist es das schon heute.

          Get real.

        3. Das klingt alles gut und die meisten Menschen hier werden dem zustimmen.

          Aber: wie sollte das Realitaet werden, und zwar in den naechsten 20 Jahren?

          Nur mal zum Beispiel Afrika und Indien. Das sind mit die am schnellsten wachsenden und am haertesten von der Klimakrise betroffenen Weltregionen. Mehr als eine Groessenordnung mehr Menschen als Europa, und viele haben gelinde krassere Erfahrungen und Vorstellungen im Bereich Religion oder Kultur als sich die meisten Europaeer vorstellen koennen. Dortige Wahlkaempfe und Wahlergebnisse mal verfolgt? Das ist ganz ohne Wertung, schliesslich ist hier die ego-religioese fdp in der Regierung gelandet, aber was glauben Sie, was nach einer solchen Wahl jetzt oder in 10 Jahren vom derzeitigen EU-Europa uebrig bliebe?

          Eine Utopie zu haben ist notwendig aber nicht hinreichend. Nur eine Utopie zu haben ist fatal.

          1. „Nur eine Utopie zu haben ist fatal.“

            Nein, es ist notwendig ;). Stellen Sie sich vor, Sie hätten die einzig mögliche und einzig richtige Utopie. Das mag fatal sein, wenn niemand dem folgt, schon richtig, aber die Bedeutung des Satzes ist abzuwägen: wollen wir die Utopie an sich abwerten, oder die Tatsache, dass wir international, bzw. als „archäologische Zivilisation, die wir derzeit darstellen“, auf ein langfristiges Ziel mit konkreter Relevanz für den heutigen Tag angewiesen sind?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.