Smartphone WalletsDie Ausweispflicht im Netz muss streng begrenzt werden

Smartphone Wallets, in denen wir all unsere persönlichen Dokumente speichern und mit anderen teilen, sind ein großes Sicherheitsrisiko für diese wichtigen Daten. Dazu kommt: Wenn einer bequemen Online-Ausweisfunktion nicht klare rechtliche Grenzen gesetzt werden, droht mit der inflationären Nutzung der Verlust der Anonymität im Internet. Ein Kommentar.

Mann hält Geldbeutel in der Hand, der leuchtet
Smart Wallets haben nichts mit Geldbeuteln zu tun, sondern sind letztlich Dokumente auf dem Smartphone. (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Georgi Dyulgerov

Beim Amt eine Wohnung ummelden oder bei der Bank ein Konto eröffnen – das sollte bestenfalls ohne weitere Umwege online möglich sein. Dafür aber ist eine elektronische Identifizierung erforderlich. Die entsprechenden Funktionen bietet der elektronische Personalausweis mit der eID bereits seit mehr als zehn Jahren. Dass diese bis heute aber kaum genutzt werden, ist peinlich für das federführende Bundesinnenministerium (BMI).

Das BMI hat es weder vermocht, die an sich sinnvolle und einsatzfähige Technologie des Personalausweises bekannt zu machen, noch hat es entsprechende Anwendungsfälle geschaffen, wo diese Technologie nutzer:innenfreundlich eingesetzt werden kann. Daran trägt auch die privatisierte Bundesdruckerei mit ihrem Quasi-Monopol eine Mitschuld. Sie hat es mittels überhöhter Preise für die Zertifikate geradezu verhindert, dass es ein Ökosystem aus Apps und Web-Anwendungen gibt.

Was derzeit auf EU-Ebene mit der eIDAS-Verordnung und den Plänen der EU-Kommission für ein Smartphone-Wallet auf uns zukommt, ist indes weit mehr als ein politisches Versäumnis, sondern birgt vielmehr enorme Gefahren für unser aller Grundrechte. Denn Pläne der EU gehen weit über eine einfache Identifizierung mittels Chip im Personalausweis hinaus: Wird die eIDAS-Verordnung verabschiedet, dann werden Identitätsdaten künftig auf dem Smartphone gespeichert sowie – sofern restriktive Regelungen dem keine Schranken setzen – inflationär und massenhaft an Unternehmen weitergereicht werden.

Begehrlichkeiten des Überwachungskapitalismus

Es zählt zu den hoheitlichen Aufgabe eines Staates, dass er dafür sorgt, dass Menschen sich sicher ausweisen können. Bei den geplanten Wallet-Verfahren soll allerdings die Wirtschaft stark eingebunden werden. Und sie hat ein großes Interesse an einem Wallet-Verfahren, das ihren ökonomischen Interessen entgegenkommt. Identitätsverfahren werden damit aber nicht an den Interessen der Bürger:innen, sondern am Markt ausgerichtet. Das funktionierende, aber kommerziell weit weniger ausbeutbare eID-Verfahren droht damit endgültig aufs Abstellgleis zu geraten.

Mit den Smartphone-Wallets erhielten nicht nur unzählige Unternehmen Zugriff auf unsere persönlichen Daten, die dann über Sicherheitslücken abfließen könnten. Die Wallets können obendrein Begehrlichkeiten für eine geradezu maßlose Nutzung unserer Daten führen. Schon jetzt will jeder beliebige Anbieter im Netz unsere geschlechtliche Identität, unsere Telefonnummer und unser Geburtsdatum erfahren. Es bedarf nicht allzu viel Phantasie, um sich auszumalen, welche Möglichkeiten, die Smartphone Wallets den Unternehmen bieten.

Immer auf dem Laufenden bleiben!

Abonniere jetzt unseren Netzpolitischen Wochenrückblick als Newsletter

Jetzt abonnieren

Keine inflationären Ausweiskontrollen

Unsere persönlichen Daten werden die Unternehmen dann über das gesetzliche Mindestmaß hinaus abfragen – und zwar überall dort, wo sie es können. Denn mit Hilfe unserer verifizierten Identität können sie endlich systematisch reale Namen und Daten im Werbezirkus des Überwachungskapitalismus einsetzen. Eine Entgrenzung der Identifizierung könnte dann dazu führen, dass am Ende auch die hinterletzte Beauty-App-Bude unseren Klarnamen, unseren Geburtsort und unsere Augenfarbe kennt. Und diese Daten ließen sich dann zu Werbezwecken verwursten und an Dritte weiterverkaufen – oder aber siehe gelangen durch technische Unfähigkeit anderweitig in Umlauf. Kurzum: Das Missbrauchspotential ist schier grenzenlos.

Das alles befördert obendrein die bestehende Tendenz auf politischer Ebene, noch mehr Überwachung einzuführen. Das entsprechende Stichwort lautet „Function Creep“: Existiert eine Überwachungstechnik, dann werden Sicherheitspolitiker:innen jedweder Couleur, denen die Anonymität im Internet schon immer ein Dorn im Auge war, fordern, dass fast überall im Netz eine virtuelle Ausweiskontrolle eingerichtet wird. Sie werden auf eine Identifizierungspflicht in Messengern, auf Plattformen und in Foren pochen – und damit die Anonymität im Netz weiter untergraben. Ähnliche Auswirkungen drohen mit einer umfassenden Altersverifikation im Internet, wie sie bislang bei der Chatkontrolle geplant ist. Wer aber künftig nicht ständig seinen Ausweis vorzeigen will oder kann, der droht zunehmend aus dem digitalen Raum ausgeschlossen zu werden.

Endlich auf die Ausweis-eID konzentrieren

Um das Projekt eID endlich auf die Spur zu bekommen, muss die Bundesregierung sich auf die Ausweis-eID konzentrieren. Sie muss sie mit einer Erklärungskampagne ordentlich bewerben und davor sinnvolle Anwendungsfälle schaffen, damit die Menschen sie auch nutzen können. Wenn mir als Bürger die Sache einen Vorteil bringt, mir Ämtergänge erspart, dann bin auch bereit mitzumachen. Es ist nicht so schwer.

Zusätzlich braucht es eindeutige und klare Begrenzungen bei eIDAS, der eID, der Smart eID und bei den Smartphone Wallets. So darf es erstens bei allen geplanten Verfahren keine Personenkennziffer wie bei der Steuer-ID geben. Sie würde es ermöglichen, dass wir über alle Anwendungsszenarien hinweg eindeutig identifizierbar sind. Zweitens muss die elektronische Identifizierung gesetzlich auf ein Minimum an Anwendungsfällen begrenzt werden. Sie darf – ähnlich wie im Analogen – nur dort zum Zuge kommen, wo eine Identifizierung zwingend erforderlich ist, also zuvorderst bei Verwaltungsleistungen oder bei der Inanspruchnahme notarieller Leistungen. Und drittens müssen die Verfahren grundsätzlich so gestaltet sein, dass Bürger:innen sich zwar mit einer eID ausweisen können, ihre Daten aber, wie beim Vorzeigen eines analogen Passes, nicht automatisch in die Hände von Unternehmen oder anderer Dritter gelangen.

Wenn wir keine klaren rechtlichen Grenzen einziehen und diese konsequent durchsetzen, wäre die Anonymität im Internet in kürzester Zeit am Ende.

No Tracking. No Paywall. No Bullshit.

Unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze jetzt unsere Arbeit mit einer Spende.

Jetzt spenden

6 Ergänzungen

  1. Ich stimme zu, aber an welcher Stelle kann das begrenzt werden? Welcher Gesetzgeber wäre zuständig?

    Letztendlich bietet jede Webseite (im WWW) einen unabhängigen Dienst an und kann die Bedingungen für IDs selbstständig definieren.

    Wäre das ein Zusatz zum DSA?

  2. Ein [kritisches] ID-Wallet nicht in Hardware…
    das klingt erst mal bescheuert. Natürlich kann das über kurzzeitige Authorisierung verfgügen und keinerlei Daten speichern, sowie nur zusammen mit dem physisch vorhandenen Personalausweis funktionieren, der dann die Oberhand über das Timing und die Daten hat. Also eine art Dackelticket, aber so konvenient, dass man nicht jedes mal die Pin eingeben muss, was ja auch exponierend sein kann. Das wäre mal so eine Funktion.

    Ansonsten… Kacke in Software wird nicht mehr wie Kacke.

  3. Es spielt doch keine Rolle, ob es begrenzt wird oder nicht. Ist einmal der Zugriff auf die Daten möglich, wird das mit irgend einem vorgschobenem Grund scham- und restlos ausgenutzt. Das sind Fakten, die wir immer wieder aufs Neue sehen!

  4. Wenn die EU schlau ist, führt sie erst mal einen begrenzten Ansatz ein, damit sich die naiven Kritiker*innen damit abfinden und sich über irgendwelche Kompromisse freuen können. Später dann kann das Verfahren immer noch ausgeweitet werden. Und das wird er auch – sei es aus Gründen der digitalen Wirtschaftsförderungen oder aus Begehrlichkeiten der Law and Order Politik. Die passenden Anlässe können immer herbeikonstruiert werden, wie wir seit 2001 und jetzt auch bei der Chatkontrolle sehen.

    Folglich gehört das ganze Verfahren von „Ausweise/Identifizierung im Internet“ vollumfänglich und ohne jedwede Kompromisse oder vermeintlich bessere Alternativen radikal abgelehnt.

    Regierungen und der EU ist beim Grundrechtschutz in keinster Weise zu vertrauen, wie die Erfahrungen immer und immer wieder gezeigt haben. Entweder die Opposition ist 100%ig oder man toleriert einen Fuß in der Tür, damit die Tür eher früher als später ganz aufgebrochen wird.

    1. Naja, oder man geht mit der Zeit :p. So wie der Digitalbilderzeichner, der sich demnächst einen anderen Job suchen kann, weil in den USA keiner Lust hat, krasse Übergänge gesetzlich zu begleiten, um dann festzustellen, dass der Job ein Jahr später auch an „KI“ geht. Andererseits… who cares wann die KI nicht mehr kann, und was dann passiert. Ich fürchte das Totalschnorchelszenario, in dem so matrixmäßig alle Geräte angezapft werden, um die unverzichtbaren KIs trainieren zu können, denen aus unerfindlichen Gründen die Trainingsdaten abhanden gekommen waren. Wäre mal ein Szenario für „The Orville“.

      Äh, back on topic, also „mit der Zeit gehen“ heißt bei der EU:
      – Die Regierung kann jetzt alles.
      – Die Nachbarregierung kann ziemlich viel.
      – Die EU kann auch irgendwas.
      – Es wird ein gewisser Schutz gegenüber Unternehmen implementiert. (Das ist der positive Teil an dem Szenario.)

      Ich glaube, dass selbst in diesem „worst case of a kind“, auch geopolitische Aspekte reinspielen werden, so dass vielleicht auch durchaus etwas Schutz vor Unternehmen real implementiert werden muss. Geht man von einer Dummheitstheorie haus, ist das allerdings alles mitnichten sicher, und man würde es sich besser programmatisch sparen.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.