eIDAS-KonsultationWirtschaft will an die Wallets

Schon bald sollen alle EU-Bürger:innen über eine digitale Brieftasche verfügen, mit der sie sich on- wie offline ausweisen können. Ein Konsultationsprozess des Bundesinnenministeriums zeigt nun, welche Interessen die Wirtschaft dabei verfolgt. Und wie diese im Widerspruch zu Datenschutz und Privatsphäre stehen.

Eine Shopping-Mall gefüllt mit Kund:innen und Datenströmen
Unternehmen wollen nicht nur das Geld, sondern auch die Daten ihrer Kund:innen – Midjourney („A shopping mall filled with customers with massive streams of data above their heads“)

Allmählich zeichnen sich die Konturen der „European Digital Identity Wallet“ (ID-Wallet) ab, und zwar auf europäischer wie auf nationaler Ebene. Die digitale Brieftasche sollen EU-Bürger:innen künftig bei Verwaltungsgängen und Bankgeschäften, aber auch bei Arztbesuchen, Alterskontrollen oder beim Internet-Shopping einsetzen können. Die entsprechende eIDAS-2.0-Verordnung befindet sich auf der Zielgeraden, letzte Woche konnten sich EU-Rat und Parlament politisch einigen.

In der letzten Verhandlungsrunde kamen das EU-Parlament und der Rat offenbar laut Medienberichten überein, dass es keine dauerhafte Personenkennziffer für die ID-Wallet geben soll. Die Kennziffer hatten Datenschützer:innen zuvor als „Seriennummer für Menschen“ kritisiert. Sie würde es Unternehmen ermöglichen, das Nutzungsverhalten Einzelner online wie offline „mit ungekannter Genauigkeit“ zu erfassen.

Nur wenige Stunden später endete am Freitag eine erste Frist in einem Konsultationsprozess, den das Bundesinnenministerium (BMI) parallel zum Trilog vor knapp einem Monat gestartet hatte. Zwar wird die eIDAS-2.0-Verordnung den groben Rahmen für die sogenannten EUdi-Brieftaschen vorgeben, viele Details bleiben jedoch den EU-Ländern überlassen. Sie können geplante oder bestehende Lösungen anpassen und zertifizieren lassen – oder jemanden beauftragen, diese Aufgabe für den Staat zu erledigen. Dem „transparenten und partizipativ gestalteten Architektur- und Entwicklungsprozess“ liegt ein 18-seitiges Diskussionspapier des Ministeriums zugrunde.

Rund 50 Positionierungen gingen bis zur Frist am vergangenen Freitag ein. Die allermeisten kommen aus der Wirtschaft, ein kleiner Teil aus der Wissenschaft und der Zivilgesellschaft. Die Eingaben veranschaulichen die mitunter entgegengesetzten Interessen beider Seiten.

Wirtschaft wünscht sich „multifunktionales Wallet“

Auf Seite der Wirtschaft haben sich große Konzerne wie die Deutsche Post, Telekom und Google zu Wort gemeldet. Aber auch etliche kleinere und mittelständische Unternehmen bringen ihre Wünsche ein. Zu diesen zählen unter anderem die Governikus GmbH, die für den Bund die „AusweisApp2“ entwickelt, und die Amadeus Data Processing GmbH, die Vertriebssoftware für die Tourismusbranche herstellt.

Die aktuelle Version des Verordnungsentwurfs auf EU-Ebene schließt nicht aus, dass neben dem öffentlichen Sektor auch die Unternehmen die ID-Wallet nutzen dürfen, überlasst die Entscheidung darüber allerdings den einzelnen Mitgliedstaaten.

In dieser Frage zeigen sich alle Unternehmen einig: Sie wünschen sich bei der ID-Wallet eine enge Zusammenarbeit zwischen Staat und Wirtschaft. Etliche der Unternehmen haben sich in den vergangenen Jahren bereits beim „Innovationswettbewerb ‚Schaufenster Digitale Identitäten‘“ eingebracht, in dem das Bundeswirtschaftsministerium seit drei Jahren digitale Identifikationssysteme fördert und erprobt.

Unisono fordern die Unternehmen eine stärkere Berücksichtigung ihrer Interessen. Wahlweise geht es dabei darum, „Mehrwertdienste durch den Private Sector“ (Governikus) zu schaffen oder eine „hohe Marktakzeptanz durch Abbildung einer Vielzahl von Use Cases“ (Telekom) zu erzielen.

Der Einsatz der ID-Wallet dürfe sich demnach nicht auf hoheitlich bereitgestellte Personenidentifikationsdaten (PID) beschränken. Im Gegenteil: Nur wenn die digitale Brieftasche „multifunktional“ sei und Unternehmen „differenziert“ auf niedrigerem Vertrauensniveau – also mit weniger Datenschutzeinschränkungen – auf deren Inhalte zugreifen dürften, könne dies die „Innovations- und Angebotsvielfalt […] fördern“ (bankenverband).

Was das konkret bedeutet, veranschaulicht exemplarisch das Positionspapier der Amadeus Data Processing GmbH. Sie will „das Reiseerlebnis für alle und überall besser“ machen – „[v]on der Inspiration bis zur Buchung, vom Boarding bis zum Fliegen, an den Flughäfen, am Zielort und in Hotels“.

„Primär marktgetrieben“

Geht es nach den Unternehmen, sollen sie aber nicht nur Zugriff auf die in der ID-Wallet hinterlegten Daten erhalten, sondern auch eigene Wallets anbieten dürfen.

In diesem Sinne sprechen sich viele der Unternehmen für die in dem BMI-Diskussionspapier genannte dritte Option aus, die neben einer rein staatlichen sowie einer vorwiegend privatwirtschaftlichen Ausgestaltung auch eine „Kombination aus staatlich und privatwirtschaftlich angebotenen EUdi-Brieftaschen“ vorsieht. Demnach stellt der Staat eine Basisinfrastruktur bereit und zertifiziert die Wallets der Privatwirtschaft.

Der Bankenverband plädiert dahingehend für eine „primär marktgetriebene“ Bereitstellung und Ausgestaltung der ID-Wallet. „Ein solcher Ansatz befördert Innovationen und sichert eine hohe Breitenwirkung und Akzeptanz des Ökosystems“, sagt auch die United Internet AG.

Auch der Werbekonzern Google bringt sich mit seiner „Fachkenntnis“ in Stellung: „Google Wallet könnte eine solche Alternative darstellen, ist praxiserprobt und basiert fundamental auf den Prinzipien des Datenschutzes, der Datensicherheit und der Nutzerfreundlichkeit.“

Das Grundrecht auf Pseudonymität schützen

Die Zivilgesellschaft nimmt im Vergleich zur Wirtschaft eine geradezu entgegengesetzte Perspektive ein.

So fordert epicenter.works in seiner Stellungnahme, dass nicht die Nutzungsbedingungen der Unternehmen vorgeben dürften, wann sich Nutzer:innen diesen gegenüber zu identifizieren haben. Die Bedingungen dafür müssten vielmehr gesetzlich geregelt sein, andernfalls drohe eine Überidentifikation im Netz. Dies würde das Recht auf Pseudonymität aushöhlen, wie neben epicenter.works auch die Digitale Gesellschaft betont.

Die Sicherheitsexpertin Lilith Wittmann mahnt an, dass die Konzerne seit Jahren daran arbeiteten, „digitale Identitäten mit staatlichen Identitäten zusammenzuführen und diese unter anderem zum Werbetracking zu benutzen.“ Sie lehnt daher digitale Identitätssysteme, „die usecase-offen sind, grundsätzlich ab“.

Besonders die „scheinbar angestrebte Kombination aus staatlichen Identitäten und sozialen Medien“ sieht Wittmann kritisch, „weil sie die Pseudonymität im Internet faktisch beenden würde“. Auch epicenter.works sieht darin „ein Geschenk für Google und Facebook“.

Der elektronische Personalausweis als „Vertrauensschlüssel“

Wittmann sieht in den Wallet-Apps obendrein „ein exzellentes Angriffsziel für böswillige Akteure sowie Unternehmen, die gerne Datenreichtum erlangen wollen“. Die Daten seien auch deshalb so begehrt, weil sie „durch den Staat oder eine staatliche Stelle signiert wurden“ und damit „immer garantiert echt sind“. Aus Sicht der Sicherheitsexpertin ist es nur eine Frage der Zeit, bis „es hier zu einem Datenabfluss kommt“.

Auch epicenter.works kritisiert, dass „Funktionen zur Wahrung der Privatsphäre […] nicht Vorrang vor ungewünschten Funktionen der Brieftasche“ erhielten. Betrügerische oder missbräuchliche Szenarien seien zudem nicht klar definiert. Dennoch sehe die EU-Verordnung bislang keine Rechtsmittel vor, damit nationale Behörden gegen betrügerische Akteure vorgehen und diese aus dem eIDAS-Ökosystem ausschließen könnten.

Der gemeinnützige Verein buergerservice.org betont vor diesem Hintergrund die Vorteile der universellen Identifizierung durch den sogenannten elektronischen Personalausweis (ePerso). Der ePerso sei ein „‚Vertrauensschlüssel‘ für die analoge und digitale Welt“. Allerdings sei nicht hinreichend bekannt, wie gut dieser funktioniere. Der Verein fordert daher mehr „Wissensvermittlung zum Online-Ausweisen“.

Meta-Kritik am Konsultationsprozess

Schließlich kritisieren die zivilgesellschaftlichen Vertreter:innen den Konsultationsprozess als solchen. Zwar spreche das BMI gezielt die Zivilgesellschaft an, schreibt Lilith Wittmann. Allerdings verfügten insbesondere vulnerable Gruppen in der Regel weder über ausreichend Ressourcen noch über genug Expertise, um sich ähnlich stark wie finanzstarke Unternehmen und Lobbyverbände in den Prozess einbringen zu können.

Die Digitale Gesellschaft bestätigt dies und kündigt bereits an, noch nicht absehen zu können, „in welchem Maße wir uns tatsächlich in den konkreten Konsultationsprozess einbringen können, der nicht nur einen ambitionierten Zeitplan vorsieht, sondern im Wesentlichen während der Berliner Sommerferien stattfindet.“

Wie wichtig indes die Anstöße der Zivilgesellschaft sind, zeigt die Eingabe von Statefree, einer der wenigen nicht-digitalpolitischen Organisationen, die staatenlose Menschen vertritt. Die NGO begrüßt die Möglichkeit, dass es Wallets ermöglichen, „eine rechtliche Identität für alle im Hoheitsgebiet eines Staates lebenden Personen zu schaffen.“ Allerdings sei derzeit noch offen, wie „Menschen unabhängig von ihrer Staatenlosigkeit […] Zugang zu einer digitalen Identität“ erhalten können. Für vulnerable Gruppen sei dabei die Frage der Datensicherheit besonders relevant.

BAMF trauert Blockchain nach

Wie groß jedoch auch hier die Begehrlichkeiten nicht nur der Wirtschaft, sondern auch der staatlichen Behörden sind, veranschaulicht das Bundesamt für Migration und Flüchtlinge (BAMF). Nicht nur bedauert es das BAMF als einziger Teilnehmer des Konsultationsprozesses ausdrücklich, dass im BMI-Diskussionspapier „die Nutzung der Distributed Ledger Technologie (DLT) zunächst einmal vollkommen ausgeschlossen ist.“ Die Behörde wünscht sich darüber hinaus, dass die ID-Wallet künftig – über „ausgewählte hoheitliche Use-Cases“ hinaus – auch biometrische Daten bereitstellt.

Zumindest bei Letzterem macht ihnen das Blockchain Competence Center Mittweida hoffentlich einen Strich durch die Rechnung: „Wir betonen, dass auch aus unserer Sicht als Blockchain Competence Center der Einsatz von DLT-Technologien in ID-System nicht! (sic!) notwendig und nicht! (sic!) erstrebenswert ist.“

Wallet-Konzept soll im November stehen

Die Vorschläge werden nun in drei aufeinanderfolgenden Workshops diskutiert. Sie sollen bis Ende August unter anderem Fragen der Daten- und der IT-Sicherheit, der Bürgerrechte sowie „wirtschaftsnahe Aspekte […] und Anwendungsfalle“ behandeln.

Bis zum 30. November soll dann das Konzept „für eine prototypische EUdi-Brieftasche“ stehen und öffentlich vorgestellt werden. Anschließend wird dieses Konzept dann „in konkreten Anwendungsfällen“ getestet.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

24 Ergänzungen

  1. Wallet! wallet
    manche Strecke,
    daß, zum Zwecke,
    Daten fließen
    und mit reichem, vollem Schwalle
    zu dem Bade sich ergieße.

    Und nun komm, du alter Besen!
    Nimm die schlechten Lumpenhüllen;
    bist schon lange Knecht gewesen:
    nun erfülle meinen Willen!
    Auf zwei Beinen stehe,
    oben sei ein Kopf,
    eile nun und gehe
    mit deiner ID!

    (frei nach Goethe, der Zauberlehrling)

  2. > Für vulnerable Gruppen sei dabei insbesondere die Frage der Datensicherheit relevant.

    Uhm!? Nur für vulnerable Gruppen? Braucht es für den Rest keine Datensicherheit?

    1. Naja, wir müssen da klarstellen:
      Anonymität nach Gesetz kann auch Identifikation bedeuten (i.d.R. mit anderen Daten zusammen). Insofern nicht auf allgemeine bauschige Versprechungen der Politik reinfallen, egal wer gerade „der Politik“ ist.

    2. Das ist nicht korrekt.

      Prinzipiell ist Pseudonymitaet nicht zwingend reversibel, gibt genug unbekannte pseudonyme Autoren in der Geschichte. Da aber alle Daten einer Person genau einem Pseudonym zugeordnet werden, steigt die Wahrscheinlichkeit bei zunehmenden Daten und einer endlichen Zahl von Personen sowohl durch Korrelation als auch durch Fehler oder Zufall.

      1. Bei Daten mit Internet sind sowohl pseudonym als auch anonym oftmals zuordnebar. Gerade weil das Gesetz keine „göttliche Sicht“ einnimmt, sondern einfach irgendwas als hinreichend ansetzt.

  3. Kluge Überwachungsfreunde, egal ob staatlicherseits oder von Unternehmen sollten wissen, dass sowas wie „digitale Identitäten“ erst mal mit ein paar halbgaren Versprechungen von Pseudonymität Datenschutz und ein paar oberflächlichen Einschränkungen eingeführt werden sollten. Dann werden sie nämlich leichter akzeptiert und so manche kritische Stimme verstummt, weil es doch „immerhin einen Kompromiss“ gegeben hat.

    Und dann heißt es einfach geduldig sein, bis die analogen, datenschutzfreundlichen Alternativen verdrängt werden, indem es immer schwieriger, umständlicher, zeitfressender wird, sie zu umgehen. Schließlich treten dann auch immer mehr Gewohneheitseffekte für omnipräsente Kontrollen ein. Irgendwann kann man dann wohlfeil behaupten: „Die Leute wollten es eben so!“

    Dann kommt der Moment, ab dem endlich „nachgeschärft“ werden kann und das volle Kontroll- und Ausbeutungspotenzial dieser Technologien entfaltet werden kann. Das ist schließlich auch der einzige Sinn hinter „digitalen Identitäten“ und die einzige Antriebskraft hinter der Digitalisierung als Projekte von Staat und Wirtschaft.

    1. Da bin ich ehrlich froh, dass es Eines gibt, dass kein Politiker besitzt: Geduld. In zukünftigen Erfolgen – vielleicht, mal sehen, bleibt abzuwarten – sonnt es sich nicht.

      Gier frisst hier Hirn und wird so, zumindest etwas, zu unser aller Schutz.

      1. Leider total falsch.

        Die haben unendlich Geduld und Resourcen, denn sie werden dafuer bezahlt. Siehe zB Vorratsdatenspeicherung, Polizeiaufruestung, etc, pp. Die koennen es jahrzehntelang immer weiter versuchen.

        Deswegen haben Buerger sich frueher mal organisiert, in Parteien, Gewerkschaften, Vereinen: um ebenfalls Strukturen zu schaffen und die eigenen Interessen einzubringen. Der grosse Gewinnzug der wenigen Reichen war, die Masse der Buerger davon zu ueberzeugen, das Individualismus und Konsum das wichtigste sind. Leider haben die „Progressiven Linken“ da massiv beigetragen, aber die sind idR ja auch selber eher privilegiert. Und natuerlich der Seitenwechsel der SPD.

  4. „Spy on my, Daddy“.

    Vater Staat darf alles, denn er will doch nur das Beste von uns.
    In der heutigen gefährlichen Welt brauchen wir einen kräftigen Staat der nicht nur unsere Kommunikation überwacht sondern auch die Finanzen. Nur mit einer allg. Überwachung aller Bürger ist die maximale Sicherheit und Wohlstandserhaltung möglich.

    DANKE!

    /s

  5. Wie kann ich mich gegen eine „Digitale identität“ – über die ich selbst keinerlei Kontrolle habe – wehren?
    Das will ich nämlich nicht!

    1. Alleine? Als Eremit leben und dann auch sterben.

      Ansonsten nur organisiert. Aber nachdem die SPD die Seiten gewechselt hat, die Gruenen lieber moralisch Recht als real Macht haben, und der groesste Feind eines Linken immer der abweichende Linke ist, gibt es da zZt nicht wirklich was.

      Die naechste Bundesregierung wird CDU-gefuehrt sein, denn sonst reicht es nicht gegen die AfD.

      1. …und die SPD freut sich schon darauf, in einer Regierung unter einem CDU-Kanzler endlich die nervigen Gruenen wieder los zu sein.

  6. …“Sie sollen bis Ende August unter anderem Fragen der Daten- und der IT-Sicherheit, der Bürgerrechte sowie „wirtschaftsnahe Aspekte […] und Anwendungsfalle“ behandeln.“ …
    Man sollte hierbei aber nicht glauben, das es denen wirklich um die Rechte der Bürger geht, vielmehr wie man sie umgeht.

  7. So lange das „Marktgetrieben“ oder in Enger Zusammenarbeit mit der Wirtschaft entwickelt wird kann man das Ganze Vorhaben meines Erachtens auch gleich komplett in die Tonne treten. Denn es wird dann passieren was immer Passiert (Schweine! An die Datentröge.) und die Vor-kommentatoren haben es ja auch so einiges skizziert.

    Die Gewählten Damen, Herren (u.a.) Politiker sollten lieber mal wieder den „Arsch in die Hose stopfen“ und sich darauf zurück besinnen was ihre Kernaufgabe ist. Sie sind die gewählten Lobbyisten der Bevölkerung insgesamt!!! Da darf ein Konzern oder eine Gruppierung nicht mehr Stimmgewalt haben als ein einzelner Bürger.

    Es kann doch wirklich niemanden mehr Überraschen das bei so einer Sache (Sichere Identifizierung Digital, Online und Offline) sofort wirklich JEDE Firma „Hurra“ schreit und Ansprüche anmeldet die ihr nie zugestanden hätten. Um ihre Datentöpfe zu füllen.

    Was kommt in Folge? Gesichtserkennung per Ausweis im Bahnhofs-Klo? Bezahlung leicht gemacht. Ist ja schließlich (auch) eine „Geldbörse“. ;-)

    Angeblich hat man Früher den Nachttopf vor die Tür gestellt. Aber Daten stinken ja auch nicht! :)

  8. Schon heute haben Menschen Nachteile wenn sie Datenvermeidung betreiben. Wer nie einen Konsumentenkredit aufgenommen hat, immer bar oder mit Vorkasse einkauft, bekommt auch keine Positiveinträge bei den Auskunfteien (Schufa und weitere).

    Das wirkt sich nicht nur negativ bei der Suche nach einer Wohnung aus. Auch bei anderen notwendigen Dienstleistungen sind fehlende Positiveinträge unvorteilhaft. Der Handwerksbetrieb zieht Aufträge von anderen Kunden vor, Mobilfunk gibt es nur „Prepaid“ und Versorgungsunternehmen benötigen eine Kaution.

    Wer auf Kredit konsumiert und diese Kredite auch „bedient“ ist dagegen immer willkommen. Wer bei Kundenbindungssystemen fleißig Punkte sammelt und Daten „teilt“ bekommt manches günstiger als die „Datenvermeider“. Datenvermeidung hat seinen Preis und der Algorithmus bestimmt schon heute unsere Lebensqualität.

    Diese Datensammlungen sind die Grundlage für ein Bürgerpunktesystem nach chinesischem Vorbild, jedoch ohne staatliche Kontrolle. Hoffentlich wird die „European Digital Identity Wallet“ auch als Chance gesehen diesen Datenmarkt zu regulieren.

  9. Öhm, privatwirtschaftlich getriebenes ID-Walet?

    Also nicht Dienstleister, sondern Weg, Ziel, und Zoll?
    Magisch…

    1. Eher Motiv, Gelegenheit+Tatwerkzeug=Alles im Eimer! :-(

      Ich weiß das es negativ klingt. Aber ich sehe keinen Anlass es Positiver darstellen zu können.

      1. Einen Eimer könnte man einfach auskippen. Ich fürchte wir haben ein größeres Problem.

        Oder kann man den Eimer auskippen? Es muss ja nicht immer der angeklebte Hoden des Grundgesetzes sein, der hier das Handeln bestimmt…

  10. >> Unternehmen wollen nicht nur das Geld, sondern auch die Daten ihrer Kund:innen

    Ab sofort gibt’s Daten nur noch gegen Bezahlung!

  11. „Das Grundrecht auf Pseudonymität schützen“

    Was?

    Es gibt kein Grundrecht auf Pseudnymität. Es gibt ein Grundrecht auf ANONYMITÄT.

    Art. 1 GG
    Art. 2 Abs. 1 GG in Verb. mit Art 1 Abs. ! GG (Recht auf informationelle Selbstbestimmung)
    Art. 8 EMRK

    JEDE staatliche Handlung, die unsere Identität oder Informationen über uns aufedeckt oder erzwingt ist demnach illegal, kedes Gesetz, dass das fordert gemäß Art. 1 GG und Art. 2 Abs. 1 GG in Verb. mit Art 1 Abs. ! GG (Recht auf informationelle Selbstbestimmung) nichtig.

    DAS ist die Rechtslage und die interessiert Politiker natürlich einen Scheiß! Denn Recht wird ja nur GEGEN UNS angewendet. Die angbelich schützenden, in Wahrheit aber wirkungslosen, Teile dienen nur unserer Ruhigstellung.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.