Schon bald sollen alle EU-Bürger:innen über eine digitale Brieftasche verfügen, mit der sie sich online wie offline ausweisen können. Das größte digitalpolitische Projekt der Europäischen Union befindet sich derzeit in der Umsetzung.
Doch nun warnen knapp 30 Nichtregierungsorganisationen und gut ein Dutzend IT-Sicherheitsfachleute in einem offenen Brief eindringlich davor, dass die EU dabei einen gefährlichen Irrweg einschlägt.
Unterzeichnet haben den Brief unter anderem epicenter.works, Access Now, European Digital Rights (EDRi), Digitalcourage und die European Sex Workers‘ Rights Alliance.
Sie fordern „die verantwortlichen EU-Politiker:innen auf, einen Schritt zurückzutreten und die technischen Anforderungen für die europäische eID zu überdenken – ein großes System, das die sensibelsten Bildungs-, Gesundheits- und Finanzdaten der EU-Bürger:innen speichern und verarbeiten soll“.
Die Kritik entzündet sich vor allem an drei Punkten: erstens an der Aushöhlung von Pseudonymen, zweitens an der unsicheren Verschlüsselung und drittens an unzureichenden Datenschutzanforderungen.
Drei zentrale Kritikpunkte
Die eIDAS-Reform sieht vor, dass Nutzer:innen der digitalen Brieftasche immer dann ein Pseudonym verwenden können, wenn sie nicht dazu verpflichtet sind, ihre legale Identität preiszugeben.
Der Umsetzungsentwurf sieht jedoch vor, dass Strafverfolgungsbehörden diese Pseudonyme rückwirkend auf ihre rechtliche Identität zurückführen können. Diese „Hintertür“ widerspreche eindeutig den rechtlichen Vorgaben, kritisieren die Unterzeichnenden.
Zudem sollen für die digitale Brieftasche Verschlüsselungsverfahren eingesetzt werden, die nicht den Anforderungen der eIDAS-Reform entsprechend. Diese seien veraltet und entsprächen nicht dem Stand der Technik, heißt es in dem offenen Brief. Er greift damit die Kritik der Kryptografen von Mitte Juni auf. Nach Ansicht der Fachleute lässt sich dieses Problem nur beheben, wenn grundlegend andere kryptografische Lösungen zum Einsatz kommen.
Schließlich weisen die Unterzeichnenden darauf hin, dass die aktuellen Datenschutzanforderungen wesentliche Vorgaben der Verordnung „völlig ignorieren“. Dazu gehören die Unverknüpfbarkeit, die Unbeobachtbarkeit und der sogenannte Zero Knowledge Proof (zu Deutsch: Null-Wissen-Beweis).
Unbeobachtbarkeit bedeutet, dass Wallet-Anbieter die in den Wallets gespeicherten Daten weder einsehen noch sammeln dürfen. Nur die Nutzer:innen sollen der Wallet entnehmen können, welche Transaktionen sie getätigt haben. Das Prinzip der Unverknüpfbarkeit besagt, dass verschiedene Identifizierungsvorgänge nicht zusammengeführt werden dürfen – zum Beispiel, um so das Kaufverhalten über verschiedene Einkäufe hinweg nicht nachvollziehen zu können.
Mit Hilfe des Zero Knowledge Proofs können Nutzer:innen Angaben zu ihrer Identität bestätigen, ohne persönliche Informationen über sich preiszugeben. Beispielsweise könnten sie gegenüber einem Anbieter nachweisen, dass sie volljährig sind, ohne zusätzlich ihr Geburtsdatum preiszugeben.
Warnung vor rechtlichen Schritten
Angesichts dieser Probleme fordert der offene Brief, dass die EU sich mehr Zeit für die Umsetzung nimmt. „Um die Bürger:innen zu schützen und die notwendigen Schutzmaßnahmen sorgfältig umzusetzen, bedarf es realistischer Fristen“, mahnen die Unterzeichnenden.
Sollte die EU die gesetzlich vorgeschriebenen Datenschutzgarantien der eIDAS-Verordnung nicht umsetzen, würde die digitale Brieftasche die EU-Bürger:innen nur unzureichend vor Tracking, staatlicher Überwachung, Überidentifizierung sowie Betrug und Identitätsdiebstahl schützen. In diesem Fall, so die Unterzeichnenden, müsse die Öffentlichkeit vor der digitalen Brieftasche der EU gewarnt werden.
Außerdem behalten sich die Organisationen vor, „jeden Durchführungsrechtsakt, der gegen die zugrundeliegende eIDAS-Verordnung verstößt, vor dem Europäischen Gerichtshof anzufechten“.
eIDAS-Reform: Digitale Brieftasche für alle EU-Bürger:innen
Die eIDAS-Reform trat im Mai dieses Jahres in Kraft. Sie baut auf einer Regulierung aus dem Jahr 2014 auf; die Abkürzung eIDAS steht für „Electronic IDentification, Authentication and Trust Services“.
Die neue Verordnung sieht vor, dass alle EU-Mitgliedstaaten ihren Bürger:innen bis zum Herbst 2026 eine sogenannte „European Digital Identity Wallet“ (EUDI-Wallet) anbieten müssen.
Die Wallet soll laut EU-Verordnung freiwillig, kostenlos und vor allem sicher sein. Außerdem sollen die Nutzer:innen transparent darüber bestimmen können, welche Daten sie an wen weitergeben.
„Die Kritik entzündet sich vor allem an drei Punkten: erstens an der Aushöhlung von Pseudonymen, zweitens an der unsicheren Verschlüsselung und drittens an unzureichenden Datenschutzanforderungen.“
Das grosse Problem: das sind aus Sicht der handelnden Politiker keine Nachteile, eher im Gegenteil.
Die EU ist nicht auf einem Irrweg, denn das ist kein Irrtum. Die EU ist auf dem falschen Weg, und da kann sie nur sie Wählermehrheit von weg zwingen. Und wirklich zwingen.
„Die Wallet soll laut EU-Verordnung freiwillig, kostenlos und vor allem sicher sein. “
Nun, „sicher“ scheint sie by Design schon mal eindeutig nicht gemacht zu werden sondern es werden gerade andere Tatsachen geschaffen. Aber „sicher“ kann sie im Grunde auch gar nicht sein, da bereits die Idee von Digitalen Identitäten nichts mit Sicherheit sondern mit allgegenwärtiger Kontrolle zu tun hat und – Zuboffs Gesetzen folgend- diese Technologie, wo sie jetzt einmal in der Welt ist, zwangsläufig auf maximale Überwachung hinauslaufen wird (das wird zwar gerne als Sicherheit verkauft ist aber das Gegenteil).
Das mit „freiwillig“ wird dann vermutlich auch fallen. Dann aber natürlich nicht ganz direkt – selbst die autoritäre EU weiß, dass man hier geduldig sein muss . Sondern erst mal durch das kontinuierliche Verdrängen von Alternativen. Vielleicht beschleunigt durch das eine oder andere Notständlein. So wie man eben mit Bürgerrechten und Freiheiten salamischeibchenweise erfolgreich und mit breitem Konsens oder Desinteresse abräumt, in der EU.
Und „kostenlos“ wird vermutlich nur die Bereitstellung der Wallet sein. So wie man eben auch Staatstrojaner kostenlos aufs Gerät bekommt. Ansonsten zahlt man bei Nutzung der Wallet immer mit den eigenen Daten, die für den Profit Dritter erhoben und verwertet werden. Und wenn sich das Teil, wie absehbar, auch super zum Verhaltensscoring und Nudging eignet, dann auch irgendwann mit der eigenen Bewegungs- und Handelsfreiheit. Natürlich alles zum Wohl der Werte und so.
Man mag glauben wollen, dass ein derart komplexes System das sehr sensible Daten schützen und selektiv verfügbar machen soll, in sehr breiter Anwendung, betrieben durch viele Anbieter, hintertrieben durch sehr viele Interessenträger, technisch ausreichend abgesichert werden kann. Mir fehlt da aber jeder historische Beweis, dass das in ähnlich, entfernt vergleichbaren Nutzungsszenarien jemals gelungen ist.
Das System verspricht (und benötigt) absolute Zuverlässigkeit über eine unbestimmbare Zeitstrecke. Das wird nicht einzuhalten sein.
Wenn die Idee sich durchsetzt, lohnt sich der Diebstahl oder Raub von Mobiltelefonen, oder die Einbehaltung auf Flugplätzen, auf Demonstrationen, bei Grenzkontrollen dann aber mal richtig. Nur als Letztes ließe sich da über Erpressung sicher einiges holen und das EU-weit.
Was für eine Idee, die eigene Existenz von einem derart vulnerablen Medium abhängig zu machen.