Künftig sollen sich alle EU-Bürger:innen mit einer digitalen Brieftasche ausweisen können. Die sogenannte „European Digital Identity Wallet“ (ID-Wallet) soll on- wie offline bei Verwaltungsgängen und Bankgeschäften, aber auch bei Arztbesuchen, Alterskontrollen oder beim Internetshopping zum Einsatz kommen.
Derzeit verhandeln der EU-Ministerrat, das EU-Parlament und die Kommission die eIDAS-2.0-Verordnung im Trilog, der letzten Phase der europäischen Gesetzgebung. Sie soll der ID-Wallet den Weg ebnen. Bereits am kommenden Mittwoch wollen die drei EU-Institutionen einen gemeinsamen Kompromissentwurf beschließen.
Knapp eine Woche vor dem Treffen haben mehr als 400 IT-Sicherheitsexpert:innen und Forschende sowie rund 30 Organisationen der Zivilgesellschaft in einem offenen Brief die sich abzeichnende Einigung kritisiert. Zu den NGOs zählen unter anderem der Chaos Computer Club, die Electronic Frontier Foundation, European Digital Rights (EDRi) und La Quadrature du Net.
Die Unterzeichnenden befürchten, dass die Verordnung es staatlichen Behörden ermöglicht, die Kommunikation im Netz umfassend zu überwachen. Auf Kritik stoßen insbesondere Artikel 45 und Artikel 6 der geplanten eIDAS-Reform.
Artikel 45: Gefahr für die vertrauliche und sichere Kommunikation im Internet
Artikel 45 schreibt den Anbietern von Webbrowsern vor, Zertifikate zu akzeptieren, die einzelne EU-Mitgliedstaaten bereitstellen. Die Unterzeichnenden des offenen Briefes mahnen, dass dies schwerwiegende Folgen für die Privatsphäre und die Sicherheit aller europäischen Bürger:innen und das Internet insgesamt haben wird.
Die Zertifikate sollen sicherstellen, dass sich Webseiten eindeutig und sicher gegenüber Browsern identifizieren. Erst danach erfolgt die verschlüsselte Kommunikation zwischen den einzelnen Nutzer:innen und der Webseite.
Staatliche Behörden könnten selbst erstellte Zertifikate dazu missbrauchen, um beliebige Webseiten zu kompromittieren. Auf diese Weise könnten sie nicht nur die Internetkommunikation ihrer jeweiligen Staatsbürger:innen, sondern die aller EU-Bürger:innen ausspähen.
Der offene Brief fordert die Trilog-Partner daher dazu auf, „klarzustellen, dass Artikel 45 nicht in Vertrauensentscheidungen über kryptografische Schlüssel und Zertifikate eingreift, die zur Sicherung des Internetverkehrs verwendet werden.“
Auch Mozilla kritisiert in einer eigenen Stellungnahme, dass der Trilog-Kompromiss bislang „keine unabhängige Kontrolle […] über die von den Mitgliedstaaten […] genehmigten Schlüssel und deren Verwendung“ vorsieht. Dies sei besorgniserregend, da das Prinzip der Rechtsstaatlichkeit in den EU-Mitgliedstaaten unterschiedlich angewandt werde und es „dokumentierte Fälle von Zwang durch die Geheimpolizei zu politischen Zwecken“ gebe.
Die Kritik an den Zertifikaten ist nicht neu. Bereits der ursprüngliche Entwurf der Kommission sah vor, dass Browseranbieter sogenannte Qualified Website Authentication Certificates (QWACs) nutzen sollen. Diese Zertifikate gelten als veraltet, untauglich und relativ unsicher. Ein Kompromissvorschlag des EU-Parlaments sah daher vor, dass Browser-Anbieter Zertifikate entfernen können, wenn diese nachweislich eine Gefahr für die Sicherheit oder den Datenschutz darstellen. Die sich abzeichnende Trilog-Vereinbarung geht hinter diesen Kompromissvorschlag zurück.
Artikel 6: Fehlende verpflichtende Schutzmaßnahmen
Ein weiterer zentraler Kritikpunkt des offenen Briefes ist die geplante Verknüpfung von Personendaten. Auch wenn die EU-Kommission betont, mit der eIDAS-2.0-Verordnung den Datenschutz stärken zu wollen, zeichne sich derzeit das Gegenteil ab, so die Unterzeichnenden.
Konkret sieht der aktuell diskutierte Verordnungsentwurf vor, dass sogenannte vertrauende Parteien (relying parties) Daten aus der ID-Wallet verknüpfen oder nachverfolgen können. Zu den vertrauenden Parteien zählen auch Regierungen. Sie könnten damit Erkenntnisse über das konkrete Nutzungsverhalten gewinnen, selbst wenn die Inhaber:innen der digitalen Brieftaschen dem nicht zugestimmt haben.
Der offene Brief begrüßt zwar die im Gesetzentwurf enthaltenen Bestimmungen, die einen strengen Schutz vor Tracking und Profiling vorsehen. Allerdings sei dieser Schutz derzeit nicht verpflichtend, sondern nur optional vorgesehen. Entsprechende Vorkehrungen sollten jedoch zwingend erforderlich sein, da die ID-Wallet sensible Identitäts-, Finanz- und Gesundheitsdaten enthalten werde – und das millionenfach.
Die Unterzeichnenden fordern die Trilog-Partner dazu auf, zur Parlamentsposition zurückzukehren, die einen strengen Schutz vorschreibt. „Ohne eine garantierte Nichtverknüpfung und Nachverfolgbarkeit von Personendaten“, heißt es in dem offenen Brief, „wird die Privatsphäre von EU-Bürger:innen massiv eingeschränkt.“
die EU-Chatkontrolle ist der Baumstamm.
die Verordnungen und Gesetze wie in diesem Artikel sind die Zweige des Baunstammes. alles Menschenverachtende und Freiheitberaubende wird nur gesplittet, geteilt, wie in einer Art App-Update veröffentlicht und geplant. im Endeffekt bekommen wir dann die Chatkontrolle in vielen kleinen anderen Gesetzen unter die Nase gerieben. die Freiheit ist dahin. egal, wieviele Artikel die Wahrheit veröffentlichen. und egal, wieviele Kommentare NICHTveröffentlicht werden. der Bummerang läẞt grüßen.
Tatächlich würde ich es mit einer Kletterpflanze vergleichen, die den Stamm der Freiheit im Würgegriff hat. Die Urheberrechtsreform war schon ein Keil im Stamm, es rankt sich aber schon in der Gegend herum.
Überwachen um jeden Preis und ohne geringste Rücksicht auf Verluste
Es sind fuer die Handelnden eben keine Verluste, und die Kosten tragen mit den Steuerzahlern auch andere.
Lassen wir den gedanken an uns heran, dass unsere persönliche digitale Infrastruktur (Kommunikationsmittel, Datenspeicher, Dienstleister, etc.) künftig durchaus außerhalb der EU liegen kann. Das Wissen dass ein Anbieter aus Europa kommt, wird schon sehr bald eher ein Malus als ein Bonus sein. Fragt sich, wohin ausweichen? ich schätze, dass es keine eine Lösung mehr geben wird, weil der Pfad des Vertrauens verlassen werden muss, und sich eine Mehrzahl von Anwednungen, Anbietern und Lösungen quer über die Welt abzeichnet. Die EU wird daraufhin wahrscheinlich einen größeren Angriff auf das recht der VPN-Verschlüsselung machen, vgl. China.
Einerseits vielleicht sowas, andererseits wiederum die Frage, wie man denn was für Menschen im Internet anbieten soll, und für welche?
Man liefert ja Menschen nur noch an Apparate aus. Die „Tüchtigen unter jenen“ werden die Menschen naturgemäß wahlweise für Mündig oder für selbst Schuld erklären. Aber wie war das mit den Nischen, wo man nicht alles macht, was man kann? Nur noch als Forschungsprojekte (Aufwand), oder halt irgendwie so mit Nutzer aufmerksam machen, und hoffen dass Mündigkeit besteht?
Im Moment will man „strafbares Verhalten“, bzw. die juristische Wahrscheinlichkeit davon, mit ausgedehnten Grauzonen, aber bei Verdächtigen („irgendwie verhalten“) will man im Zweifel verhalten schon mal so alles. Danach noch die Frage nach der Kompetenz, und den damit verbundenen disruptiven Potentialen.
Europas Besonderheiten also, Moment, Privatsphäre und Schutz gestrichen, nivelliert sich im internationalen Vergleich sowieso, also… ah so: teuerer UND schlechter, insgesamt weder Standortvorteile noch Alleinstellungsmerkmale, außer dass wir nicht Nordkorea sind. Dazu womöglich demnächst noch „physische Gewalt an Außengrenzen“ – eine Frage der Zeit, bis das auch für Ausreisende gilt. Also woanders was für andere anbieten?