Das Thema „Digitale Identitäten“ – sehr vereinfacht gesagt also das Ausweisen im Internet – ist in Deutschland weiterhin ein schwer zu durchschauender Dschungel aus Konzepten, Projekten, Anwendungen, Playern und Verantwortlichen. Sie alle bearbeiten das Thema mit unterschiedlichen Interessen. Die Antworten der Bundesregierung auf eine aktuelle Kleine Anfrage der CDU/CSU zeigen dies einmal mehr.
Neben dem Ministerium für Digitales und Verkehr (BMDV) sowie dem Innenministerium (BMI) sind unter anderem das Wirtschaftsministerium, das Arbeitsministerium und das Gesundheitsministerium mit der digitalen Identität befasst. Die Zielvorstellungen der beteiligten Ministerien sind teilweise unterschiedlich: Während Volker Wissings federführendes BMDV einen eher Unternehmens- und wirtschaftsorientierten Ansatz bei der digitalen Identität fährt, steht das BMI für einen eher hoheitlichen Weg, der auf die Nutzung der bestehenden Infrastruktur setzt.
Neben den Ministerien in Deutschland kommt dann noch die europäische Ebene hinzu. Dort verhandeln derzeit EU-Parlament, EU-Rat und EU-Kommission im Trilog die eIDAS-2.0-Verordnung. Sie wird europaweit einen Rechtsrahmen für digitale Identitätsnachweise bilden. Für Deutschland verhandelt dort das Verkehrsministerium (BMDV).
Gleichzeitige Prozesse
Die Verhandlungen sind weit vorangeschritten, sie stehen wegen privatwirtschaftlicher Verquickungen sowie Bedrohungen für die Privatsphäre und die Anonymität im Internet in der Kritik. Beobachtern zufolge könnten die Verhandlungen schon im Oktober abgeschlossen sein, mit wichtigen Entscheidungen in den kommenden Tagen. Steht dieser rechtliche Rahmen, bleibt wenig Spielraum bei der nationalen Umsetzung.
Gleichzeitig läuft in Deutschland ein vom Innenministerium angestoßener Konsultationsprozess, dessen Dokumente online stehen und der die Ausgestaltung digitaler Identitäten in Deutschland voranbringen soll. Eine mit dem Prozess vertraute Person kritisiert gegenüber netzpolitik.org, dass diese Konsultation entweder zu früh oder zu spät angesetzt worden sei. Zu früh, weil man noch gar nicht weiß, was in Brüssel an rechtlichen Voraussetzungen kommen wird. Oder zu spät, weil die die Ergebnisse aus der Konsultation gar nicht mehr in die Verhandlungen in Brüssel einfließen können.
Dem Bundestagsabgeordneten Dr. Markus Reichel, der für die Unionsparteien das Thema bearbeitet, fehlt eine Gesamtstrategie in Deutschland. „Das sehen wir nicht nur an der geringen Nutzung des ePersonalausweises oder auch exemplarisch bei der Einführung der Smart-eID, sondern auch bei dem Kompetenzwirrwarr zwischen den einzelnen Ministerien“, so Reichel gegenüber netzpolitik.org. Ein klares Ziel, wo die Bundesregierung bei dem Thema hinwolle, sei nicht erkennbar.
eID, Smart eID, Bund ID, Alles ID
Derzeit treibt die Bundesregierung unterschiedliche Projekte voran: Unter ihnen die normale Ausweis-eID, die Smart eID und die Bund ID. Letztere ist streng genommen keine digitale Identität, sondern ein zentrales Benutzerkonto für Verwaltungsdienstleistungen. Die Bundesregierung hatte zuletzt die Nutzer:innen-Zahlen durch eine Bund-ID-Pflicht bei einer Einmalzahlung für Studierende nach oben getrieben.
Ein Wachstum gibt es auch bei der Nutzung der eID mit dem Ausweis. „Der Online-Ausweis wurde von Januar 2020 bis einschließlich Juni 2023 mindestens rund 19,73 Mio. mal verwendet. In den vergangenen zwölf Monaten mindestens rund 10,8 Mio. mal, d. h. im Durchschnitt rund 29.581 mal pro Tag“, schreibt die Bundesregierung. Wieviele Mehrfachnutzungen hier enthalten sind, ist nicht bekannt. Im Umlauf sind 55 Millionen Ausweise, die als Online-Ausweis benutzt werden können.
Laut der Kleinen Anfrage gibt es nun auch ein neues Start-Datum für die Smart eID – also den Ausweis, der alleine auf dem Handy und ohne die Plastikkarte funktioniert. Dieses Projekt will die Bundesregierung nun im vierten Quartal dieses Jahres starten. Die Smart eID war schon für 2021 angekündigt und immer wieder verschoben worden. Gegenüber dem Tagesspiegel hatte der Bundes-CIO Markus Richter zuletzt die Smart eID als „Komfortfunktion“ bezeichnet. In diesen Komfort sind bereits 90 Millionen Euro geflossen, Tendenz steigend. Nutzen können werden diese Technologie wohl nur die Besitzer:innen von modernen Samsung-Handys, weil nur diese derzeit die nötige Hardware haben.
Am Ende muss es kompatibel sein
Gegenüber netzpolitik.org hatte die Bundesregierung noch im Januar gesagt, dass das bestehende deutsche eID-System – also die chipkartenbasierte Online-Ausweisfunktion – die „Grundlage der digitalen Kernidentität“ bilden werde. Sicherheitforscher:innen und Datenschützer sehen die klassische Ausweis-eID, bei der man in der Kombination von Smartphone und dem physischen Ausweis seine Identität digital vorzeigen kann, als die sicherste Variante an. Im Gegensatz zur Ausweis-eID hat man bei der rein handybasierten Smart eID keine sicherheitsfördernde 2-Faktor-Authentifizierung, bei der ein physischer Ausweis nötig ist, den man ans Handy hält, wenn man sich identifizieren will.
Aber egal wie die ID-Projekte heißen: Sie müssen am Ende dem EU Digital Identity Wallet (EUdi-Wallet) kompatibel sein, das durch die eIDAS-2.0-Verordnung kommen wird. Das setzt sich auch die Bundesregierung als Ziel: Durch technische Spezifikationen würde die Interoperabilität der diversen EUdi-Wallets auf EU-Ebene gewährleistet, heißt es in ihren Antworten.
Unterschiedliche Interessen, wenig gemeinsame Ziele
Im Konsultationsprozess des BMI sitzen neben einigen wenigen Vertreter:innen aus der Zivilgesellschaft Player wie Banken, die einfach nur endlich rechtssichere Identitäten wollen. Daneben aber auch Unternehmen, die mit der Unzulänglichkeit des Staates bei digitalen Identitäten bislang gute Geschäfte gemacht haben – und nun ihr Geschäftsmodell irgendwie in die Zukunft retten wollen.
So unterschiedlich wie die Teilnehmenden sind auch die Interessenlagen: Während Datenschützer eine datensparsame Variante der elektronischen Identität bevorzugen, bei der nur wenige Daten in wenigen Anwendungsfällen über das System bestätigt werden, wollen Teile der Industrie die Identität zum Geschäftsmodell machen – und Identitätsabfragen in alle möglichen Prozesse einbauen. Neben der Kommunikation mit der Verwaltung gibt es aber eigentlich kaum Prozesse, in denen Identitätsabfragen rechtlich zwingend notwendig sind – mal von Bankkonten, Carsharing, Handyverträgen und ähnlichen Anwendungsfällen abgesehen.
Überidentifikation als Problem
Hier zeichnet sich ein weiteres Problem ab: Ein digitales europäisches Wallet, das vom Personalausweis über den Tauchschein bis zum Gesundheitszeugnis alle möglichen Dokumente enthält und diese einfach nutzbar bereitstellt, könnte zu einem Nutzer:innen-Verhalten führen, das am Ende die von der Wirtschaft vorangetriebene Überidentifikation beflügelt. Das heißt: Man identifiziert sich viel öfter als rechtlich nötig – weil es so einfach geht.
Die Bundesregierung betont in ihren Antworten auf die Kleine Anfrage, dass die bislang etablierten Verfahren der eID Tracking und Profilbildung von Individuen verhindern würden, weil das eID-System auf einer dezentralen Logik aufbaut und Identifizierungs- und Authentifizierungsvorgänge nicht zentral zusammenlaufen. „Dieses Zielbild gilt auch für die Weiterentwicklung des eID-Systems hin zur eIDAS-Kompatibilität“, heißt es von der Bundesregierung. Mit dem Nutzerkonto „Bund ID“ konterkariert sie aber schon heute das dezentrale Prinzip, indem das Konto sowohl Anmeldung wie auch Kommunikation mit Verwaltungen auf einem Konto zusammenführt.
Auf die Frage, ob sie die Anwendungsfälle für digitale Identifizierung eindeutig begrenzen möchte, verweist sie auf die noch nicht abgeschlossene eIDAS-Verhandlungen in Brüssel und auf eine eventuelle später Regulierung. Gleichzeitig spricht sich die Bundesregierung dafür aus, den „Bürgerinnen und Bürgern eine sichere digitale Identität auch für eine Nutzung in der Privatwirtschaft zur Verfügung zu stellen“.
Die Überidentifizierung – das „smarte“, komfortable, nahezu unbemerkte allgegenwärtige Ausweisen analog und im Netz ist doch exakt das Hauptinteresse hinter einer „digitalen Identität“. Genau darum geht es doch, bis damit dann so etwas wie eine alles erfassende Scoring-Gesellschaft durchsetzbar ist.
Die Frage für die Befürwortenden von „digitalen Identitäten“ ist demnach eigentlich nur, wie sanft oder hart die Einführung ausgestaltet werden soll, um Akzeptanzen zu schaffen. Mit der Einführung der Steuernummer aus der dann jetzt die PKZ und damit ein Kernstück der „digitalen Identität“ und Socring-Gesellschaft wird, hat der Staat damals einen „sanften“ Weg eingeschlagen und hat Opposition mit bewusster Streuung von Desinformation beschwichtigt.
Wenn nun weitere „privatsphäre schonendere Verfahren“ versprochen werden, so müssen sie ebenfalls nur als Beschwichtigung verstanden werden und es sollte allen klar sein, dass diese allerhöchstens bis zur nächsten populistischen Innenministeriumskampagne oder einer zur „Chance“ gemachten Krise halten werden.
Deshalb ist ausschließlich eine Fundamentalopposition zur „Digitalen Identität“ aus einer datenschutz-, demokratie- und privatsphärebewussten Perspektive überzeugend. Alles andere sind bestenfalls faule Kompromisse.
Digitale Identität? Wozu? Die paar Mal, wo ich meinen BPA brauche um mich zu legitimieren, kann ich gut die Plastikkarte nutzen. Wie oft meldet denn ein Normalbürger ein Auto an oder zieht in eine neue Wohnung? Bestimmt nicht mehrmals im Monat! Die elketronische, digitale Identität taugt hauptsächlich zur Überwachung, wie der Vorredner bereits ausgeführt hat. Ich brauche sie nicht!
Solange die Regierung nicht ins Gesetz schreibt, dass allen Möchtegern-Profiteuren, die sich an Digitalprojekten bereichern wollen, beide Hände abgehackt werden, ist nichts davon glaubwürdig.
Zitat: „… zu einem Nutzer:innen-Verhalten führen, das am Ende die von der Wirtschaft vorangetriebene Überidentifikation beflügelt. Das heißt: Man identifiziert sich viel öfter als rechtlich nötig – weil es so einfach geht.“
Hinzu kommt, dass der Effekt „klassische Konditionierung“ greift. Durch ständige Wiederholung einer Handlung tritt eine Gewöhnung ein, ohne kritische Reflektion des eigenen Tuns. Je bequemer der Vorgang ist, um so schneller lernen Benutzer ohne zögern zu reagieren.
Sind wir gespannt ob und wie sich andere Länder der EU das vorschreiben lassen. Dänemark hat z.B. seit Jahren eine gut funktionierende digitale ID, mit der wirklich alles abgewickelt werden kann von Behörden über Banken über Steuer usw. Ich kann mir nicht vorstellen, dass man nur weil die EU andere Vorstellungen hat, von denen man nicht mal weis ob sie in der Praxis auch funktionieren, ein funktionierendes System abschafft.
Ich glaube die EU muss mal lernen, dass ihre Einmischung in nationale Dinge auch Grenzen hat.
Frage mich ob Smart eID bzw. Eudi Wallet frei Software wird. Ohne das frei diese beide Dinge in freie Software implementiert werden kann diesen Dingen nicht vertraut werden.
Beide werden mit öffentlichen Geldern implementiert, beide könnten wenn frei von anderen Benutzt werden.
Am besten wäre es wenn beide copyleft behaftet werden so das der Code beiden in der öffentlichen Hand bleibt.
Das die aktuelle Smart eID Samsung Smartphones erfordert ist ein schlechtes Zeichen. Ich denke es geht nicht darum das andere Geräte nicht die „nötige“ Hardware haben, sondern das andere Samsung Knox nicht haben.
Bei der Ausschreibung von Telefonen für die Bundeswehr hatte auch Samsung mit einem „lokalen“ Redistributor gewonnen. Lokal in Anführungszeichen weil die Ausschreibung Lokale in Beschreibung des Angebots erfordert wurden aber Samsung ist wohl kaum lokal.
Schade dass Sie die Probleme in Indien nicht erwähnen. Indien ist Vorreiter im Sektor digitale ID.
„Anfang Oktober machte die IT-Sicherheitsfirma Resecurity bekannt, das Hacker nach eigenen Angaben die biometrischen Identitätsdaten von über 800 Millionen Indern aus der staatlichen Datenbank Aadhaar gestohlen haben und relativ günstig zum Kauf anbieten. Nachforschungen von Sicherheitsexperten zeigen, dass die Behauptung zumindest im Kern stimmt, wenn auch die Anzahl der Betroffenen nicht zu verifizieren ist. Resecurity erwarb 400.000 Datensätze und verifizierte deren Authentizität. Die Betroffenen waren von der unbekannten Organisation, deren Daten gestohlen wurden, nicht von dem Diebstahl informiert worden und wussten von nichts. Die Daten sollen neben der Aadhaar-Nummer den Namen und den Namen des Vaters, die Adresse, Passnummer, Alter und Geschlecht beinhalten.
Nach Angaben von Rescurity können etwaige Käufer mit diesen Daten Online-Bankkonten der Betroffenen plündern und Steuerrückerstattungsbetrug zu deren Lasten begehen.
Der Vorfall zeigt die riesigen Probleme für den Schutz der Bürgerrechte, die mit einer solchen Datenbank verbunden sind, deren Daten für alle nur denkbaren Identifikationszwecke verwendet werden. Die Versicherungen, das System sei sicher, haben sich nicht zum ersten Mal als grob falsch herausgestellt. Das Sicherheitsniveau wird von der Plattform mit Zugang zu den Daten bestimmt, die das wenigste Know How hat und den schlampigsten Umgang mit den Daten pflegt. In diesem Fall ist das Einfallstor für den Datendiebstahl unbekannt. In anderen, ebenfalls sehr großen Fällen in diesem Jahr soll das Einfallstor die Datenbank von Covid-Tests des Indian Council of Medical Research (ICMR) gewesen sein, die mit den Aadhaar-Nummern der Getesteten verbunden ist, sowie eine Datenbank zur Identifizierung von Prepaid-Telefonkunden.“ (Zitat Norbert Häring).