Digitale BrieftascheBürgerrechtsorganisation warnt vor „alarmierenden Mängeln“

Die digitale Brieftasche der EU soll bald kommen. Doch mit Blick auf Datenschutz und Privatsphäre fehlen ihr wichtige Schutzmaßnahmen, schreibt epicenter.works in einer Analyse. Die EU-Mitgliedsstaaten müssten die aufgezeigten Probleme rasch lösen, um nicht das Vertrauen der Bürger:innen zu verspielen.

Eine Reihe von ledernen Brieftaschen, die zum Verkauf angeboten werden
Ob Portemonnaies tatsächlich zu Ladenhütern werden? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Julius Drost

Die Wahrscheinlichkeit wächst, dass die EUDI-Wallet vor dem Europäischen Gerichtshof verhandelt wird. Eben davor hatten vor gut einem Monat mehrere dutzend Nichtregierungsorganisationen und IT-Sicherheitsexpert:innen gewarnt. In einem offenen Brief hatten sie „die verantwortlichen EU-Politiker:innen“ aufgefordert, „die technischen Anforderungen für die europäische EUDI-Wallet zu überdenken“. Andernfalls behalte man sich vor, „jeden Durchführungsrechtsakt, der gegen die zugrundeliegende eIDAS-Verordnung verstößt, vor dem Europäischen Gerichtshof anzufechten“.

Die EUDI-Wallet ist aktuell das größte digitalpolitische Projekt der Europäischen Union. Ihr liegt die eIDAS-Reform zugrunde, die im Mai dieses Jahres in Kraft trat. Demnach müssen alle EU-Mitgliedstaaten ihren Bürger:innen bis zum Herbst 2026 eine sogenannte „European Digital Identity Wallet“ anbieten, mit der sie sich dann online und offline ausweisen können.

Nur wenige Tage nach dem offenen Brief hat die EU-Kommission fünf Durchführungsverordnungen für die eIDAS-Wallet vorgelegt. Sie benennen auf Grundlage der rechtlichen Verordnung technische und organisatorische Anforderungen, die Anbieter und Betreiber von EUDI-Wallets einhalten müssen. Gestern veröffentlichte die Kommission überraschend vier weitere Durchführungsverordnungen, allerdings noch ohne den Rechtstext.

Einer Analyse von epicenter.works zufolge hat die Kommission in den ersten fünf Verordnungsentwürfen zwar einige der Kritikpunkte aus der Zivilgesellschaft aufgegriffen. Dennoch weisen die technischen Vorgaben weiterhin „alarmierende Mängel“ auf, so epicenter.works. Unter anderem würden zentrale Datenschutzgarantien der zugrundeliegenden eIDAS-Verordnung nicht umgesetzt.

Freie Wahl beim Pseudonym

Die Kritik des offenen Briefes entzündete sich an drei zentralen Punkten: Erstens an der Aushöhlung von Pseudonymen, zweitens an der unsicheren Verschlüsselung und drittens an unzureichenden Datenschutzanforderungen. Diese Probleme bestehen laut epicenter.works im Wesentlichen fort.

Zwar begrüßt die Nichtregierungsorganisation, dass die aktuellen Vorgaben nicht länger vorsehen, dass Strafverfolgungsbehörden Pseudonyme rückwirkend auf ihre rechtlichen Identität zurückführen können. Diese Bestimmungen hatten aus Sicht der Organisation „in krassem Widerspruch zu den gesetzlichen Vorgaben“ gestanden.

Allerdings müsse aus Datenschutzgründen auch sichergestellt sein, dass Nutzer:innen ihre Pseudonyme selbst auswählen dürfen. Nur so werde das in der eIDAS-Verordnung vorgesehene Recht auf Pseudonymität wirksam, schreibt epicenter.works. Zugleich sollten die technischen Vorgaben grenzüberschreitend und EU-weit festlegen, dass vertrauenswürdige Parteien keine persönlichen Daten der Nutzer:innen abfragen können, wenn sie dazu kein Recht haben.

Schwacher Schutz vor Tracking

Darüber hinaus weist epicenter.works darauf hin, dass die Durchführungsverordnungen der gesetzlichen Grundlage widersprächen. So sähen die technischen Anforderungen vor, dass Anbieter von EUDI-Wallets fortwährend prüfen können, ob eine digitale Brieftasche noch gültig ist. Damit aber wäre es möglich, Nutzer:innen dauerhaft zu tracken, warnt epicenter.works.

Eigentlich schreibt die eIDAS-Verordnung das Prinzip der Unlinkability vor. Es besagt, dass verschiedene Identifizierungsvorgänge nicht miteinander verknüpft werden dürfen. Konkret bedeutet das: Kauft eine Person etwa wiederholt Alkohol im selben Geschäft und weist dabei ihr Alter mittels Wallet nach, darf der Verkäufer die verschiedenen Vorgänge nicht dazu nutzen, um das Kaufverhalten dieser Person über einen längeren Zeitraum hinweg nachzuvollziehen.

Sensible Daten könnten an die Öffentlichkeit gelangen

Die Verordnung sieht an mehreren Stellen weitere Schutzmaßnahmen vor, die Unobservability (zu Deutsch: Unbeobachtbarkeit) gewährleisten soll. Das bedeutet unter anderem, dass Wallet-Anbieter die in den Wallets gespeicherten Daten weder einsehen noch sammeln dürfen. Nur die Nutzer:innen sollen der Wallet entnehmen können, welche Transaktionen sie getätigt haben.

„In den Durchführungsverordnungen werden diese Anforderungen weder erwähnt noch werden Wege aufgezeigt, wie sie bei der technischen Umsetzung eingehalten werden können“, schreibt epicenter.works. Damit verhindern die Verordnungen in technischer Hinsicht nicht, dass Nutzungsverhalten verfolgt, verknüpft oder zusammengeführt wird. so die Organisation.

Aus einem ähnlichen Grund kritisiert epicenter.works, dass die Durchführungsverordnungen ein öffentliches Verzeichnis vorsehen, in dem die Daten hinterlegt werden, die von Anbietern persönlicher Identifizierungsdaten widerrufen wurden. Es bedürfe nicht viel Phantasie, so epicenter.works, sich vorzustellen, dass damit sensible Informationen an die Öffentlichkeit gelangen könnten.

„Die EU-Kommission schlägt eine Wallet komplett ohne Datenschutz vor“, sagt Thomas Lohninger, Geschäftsführer bei epicenter.works, gegenüber netzpolitik.org. „Damit gäbe es kein Recht auf Pseudonymität und keinen Schutz vor Überidentifizierung. Das vollständige Nutzungsverhalten wäre für alle Staaten zentral einsehbar, obwohl die Wallet vom Arztbesuch bis zum öffentlichen Verkehr eingesetzt werden wird.“

Uneinheitlicher Datenschutz über Grenzen hinweg

Obendrein habe sich die Kommission offenbar dafür entschieden, eine zentrale Säule des Nutzer:innenschutzes schlichtweg zu ignorieren, schreibt epicenter.works. So fehle in den Durchführungsverordnungen eine wirksame grenzüberschreitende Regulierung von Anwendungsfällen. Damit aber drohten mehr Daten als erforderlich ausgetauscht zu werden, was zulasten der Privatsphäre der Nutzer:innen gehe, so die Organisation.

Sie kritisiert außerdem, dass die Durchführungsverordnungen keine grenzüberschreitende Beschwerde- und Löschmöglichkeiten für die Nutzer:innen vorsieht. Deren konkrete Umsetzung obliege damit den Mitgliedstaaten, was einen einheitlichen Datenschutz innerhalb der EU unterlaufe. Und weil die Verordnung nicht dazu verpflichte, dass Nutzer:innen eine E-Mail-Adresse angeben müssen, könnte dies am Ende zu der „peinlichen Situation“ führen könnte, dass Nutzer:innen und Datenschutzbehörden bei Beschwerden auf dem Postweg miteinander kommunizieren.

Mitgliedstaaten sollen Notbremse ziehen

„Es scheint fast so, als ob die Durchführungsbestimmungen den ursprünglichen Vorschlag der Europäischen Kommission vom Juni 2021 widerspiegeln“, schreibt epicenter.works. „Außer Acht gelassen werden hingegen die vom Europäischen Parlament und vom Rat hinzugefügten Schutzmaßnahmen.“

Da aber der Erfolg der EUDI-Wallets in hohem Maße vom Vertrauen der Bürger:innen abhänge, sollten die Mitgliedstaaten nun die Notbremse ziehen und die aufgezeigten Probleme lösen, sagt Thomas Lohninger. „Andernfalls müssten Daten- und Verbraucherschützer:innen nicht nur vor dieser Wallet warnen, sondern wir sollten dagegen auch vor Gericht ziehen.“

6 Ergänzungen

  1. Dieses Fallbeispiel zeigt einmal wieder die zutiefst bedenklichen Machtverhältnisse des antidemokratischen EU-Systems auf.

    Und generell bleiben „digitale Identitäten“ ganz miese Ideen, die und deren zugrundeliegenden Infrastrukturen und Systeme mit aller Konsequenz bekämpft werden sollten, um eine auf alle Bereiche überschwappende Kontroll- und Überwachungsdystopie zu verhindern.

    1. > antidemokratisches EU-System

      Das sind Phrasen als Teil einer strategischen Kommunikation, um die EU als Institution zu diskreditieren. Das ist keine pure Kritik mehr.

      1. Die EU diskreditiert sich durch ihr Vorgehend und durch ihre strukturellen Defizite bei ausbleibenden Korrekturen ganz von selbst und Qualifiziert sich bedauerlicherweise zunehmend als antidemokratisch. Diese Verhältnisse nicht klar und deutlich zu bennen sondern sich lieber in Wohlwollen und Apologetik zu ergehen, könnte man aber natürlich als Diskreditierung von Ansprüchen in demokratischen Zuständen zu leben werten. Ist das deine Absicht oder gar Teil einer strategischen Kommunikation, die sich gegen Demokratie richtet?

      2. Ach so und was ist überhaupt „pure Kritik“? Natürlich sollte Kritik kein reiner Selbstzweck oder irgendeinen abstrakten Anspruch haben, sondern idealerweise schon was an bestehenden schlechten Umständen zum besseren Verändern können. Nun bin ich mir der Ironie bewusst, dass Online-Kommentarschreiben auch nicht viel ändern dürfte, wenn überhaupt, aber es besteht die naive Hoffnung, dass das Leute zum Nachdenken bringt. Dass es damit nicht getan ist, ist aber auch klar.

    2. > die zutiefst bedenklichen Machtverhältnisse des antidemokratischen EU-Systems

      Könnte es sein, dass du zwar das Label „Post-Democracy“ von Colin Crouch benutzt, ohne aber verstanden zu haben, wie er den Begriff verstanden haben will?

      Frage an C. Crouch: „What do you mean by the term ‚post-democracy‘?“

      Angewandt auf die Europäische Union kommt man dann nicht zu dem Ergebnis, es handle sich um ein „antidemokratisches System“, sondern um ein System, das zwar demokratisch funktioniert, aber eben nicht unabhängig von wirtschaftlichen Akteuren und politischen Eliten, die nicht direkt zum „System“ gehören.

      Kritische Weiterbildung in Sachen Wirtschaftssysteme liefert Crouch in diesem Vortrag über Keynesianismus und Neoliberalismus:
      „DAS BEFREMDLICHE ÜBERLEBEN DES NEOLIBERALISMUS“
      https://www.youtube.com/watch?v=kugNhqIGmwc

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.