Hinter den Türchen des Adventskalenders, die dieser Tage vielerorts geöffnet werden, verstecken sich süße Überraschungen. In den Entwürfen für Durchführungsrechtsakte, die die EU-Kommission derzeit nach und nach zur sogenannten „European Digital Identity Wallet“ vorlegt, verbirgt sich hingegen so manches faule Ei.
Ende November veröffentlichte die EU-Kommission fünf neue Entwürfe zur öffentlichen Konsultation. Bis zum 2. Januar können Interessierte dazu noch ihr Feedback abgeben. Es ist die zweite Charge an Entwürfen, die die technischen und organisatorischen Anforderungen für die geplante „European Digital Identity Wallet“ (EUDI-Wallet) benennen. Und erneut gibt es deutliche Kritik aus der Zivilgesellschaft, wonach die Kommission die Vorgaben der zugrunde liegenden EU-Verordnung unterlaufe.
Die EUDI-Wallet ist derzeit das größte digitalpolitische Projekt der Europäischen Union. Ihr liegt die eIDAS-Reform zugrunde, die im Mai dieses Jahres in Kraft trat. Bevor die Wallet aber wie geplant im Herbst 2026 starten kann, braucht es noch sogenannte Durchführungsrechtsakte. Insgesamt 40 dieser detaillierten Vorschriften für eine einheitliche Durchführung der eIDAS-Reform sind vorgesehen.
Drama um die ersten fünf Akte
Die ersten fünf Entwürfe für Durchführungsrechtsakte hatte die Kommission im August vorgelegt. Bereits diese hatten für erhebliche Kritik aus der Zivilgesellschaft gesorgt, weil sie nicht den rechtlichen Vorgaben der reformierten eIDAS-Verordnung entsprochen hätten.
Im Fokus standen Probleme bei der Nutzung von Pseudonymen und einer drohenden Überidentifizierung. Letzteres bedeutet, dass etwa Unternehmen mehr private Daten als erforderlich aus den Wallets abfragen können. Und auch die Bundesregierung hatte sich in einem Brief an den damaligen EU-Binnenmarktkommissar Thierry Breton besorgt gezeigt „über die notwendige Gründlichkeit und Qualität der technischen Spezifikationen und der Durchführungsbestimmungen“.
Die Unstimmigkeiten konnte die Kommission offenbar noch gerade rechtzeitig beilegen, um ihren Zeitplan zur Umsetzung der eIDAS-Reform beizubehalten. Am 28. November erließ sie die ersten fünf Durchführungsrechtsakte, sie sind inzwischen im Amtsblatt der EU veröffentlicht. Damit tickt nun die Uhr: Denn genau zwei Jahre nach der Veröffentlichung müssen die EU-Mitgliedsstaaten ihren Bürger:innen eine EUDI-Wallet anbieten.
Wiederholt sich das Spielchen?
Doch kaum dass die Kommission vor wenigen Tagen die nächsten fünf Entwürfe veröffentlicht hat, hagelt es gleich wieder Kritik. Die Kommission wiederhole ihre Spielchen, das sie bei den ersten Entwürfen aufgeführt hat, so die Kritik aus der Zivilgesellschaft.
So kritisiert epicenter.works den Entwurf, der die Anforderungen für den Zugriff auf die digitalen Brieftaschen durch sogenannte relying parties formuliert. Aus Sicht der Bürgerrechtsorganisation droht die Kommission hier „einen zentralen Pfeiler der Schutzmaßnahmen des eIDAS-Ökosystems“ einzureißen. Konkret geht es um den Vorschlag der Kommission, die Ausgabe sogenannter Registrierungszertifikate für sogenannte relying parties (deutsch: „vertrauenswürdige Parteien“) optional zu machen.
„Die EU-Kommission macht notwendige Vorgaben, die Nutzer:innen schützen sollen, plötzlich optional. Das ist klar gegen das Gesetz“, sagt Thomas Lohninger von epicenter.works gegenüber netzpolitik.org. „Das ist erneut ein übler Taschenspielertrick der Kommission.“
Die „vertrauenswürdigen Parteien“ können Unternehmen oder öffentliche Einrichtungen sein. Gemäß eIDAS-Verordnung müssen sie sich vorab in ihren jeweiligen EU-Mitgliedstaaten registrieren und darlegen, welche Daten sie zu welchem Zweck von den Nutzer:innen anfordern werden. Das soll sicherstellen, dass sie auch grenzüberschreitend nur jene Informationen aus den Wallets abfragen, die sie laut Gesetz erhalten dürfen. Und die Zertifikate sollen dies technisch sicherstellen. Sie dienen quasi als Datenausweis, mit dem sich die relying parties gegenüber den Wallets legitimieren.
Weiße Flecken und ihre Folgen
Würden die Kommissionsentwürfe unverändert verabschiedet werden, könnten sich Unternehmen künftig in den EU-Staaten niederlassen, die eine solche verpflichtende Zertifikatsvergabe nicht vorsehen.
Welche Auswirkungen solche weißen Flecken auf der europäischen Landkarte haben, zeigt seit Jahren exemplarisch die Sonderrolle Irlands: Zahlreiche Tech-Konzerne haben die grüne Insel als ihren europäischen Sitz auserkoren – wegen der niedrigen Steuern und weil die irische Datenschutzbehörde die Datenschutzgrundverordnung überaus nachsichtig auslegt.
Das Fehlen eines Registrierungszertifikats sei für Unternehmen wie ein Joker, mit dem sie von den Nutzer:innen viel mehr Attribute abfragen können, mahnt epicenter.works, „auch solche, die über ihre Registrierung hinausgehen – und die Nutzer können nicht einmal davor gewarnt werden.“
Thomas Lohninger befürchtet weitreichende Folgen: „Mit dem Kommissionsentwurf drohen Nutzer:innen überbordende Datenanfragen aus anderen Staaten. Facebook Irland könnte dann beliebige Informationen abfragen und die deutsche Wallet kann nicht mal eine Warnung ausgeben. Das könnte das Vertrauen in die EUDI-Wallet und grenzüberschreitende Datenanfragen nachhaltig schädigen.“
Ein öffentliches Register für die Transparenz
Ausgestellte Registrierungszertifikate sollen zudem keine Information darüber enthalten, welche Daten genau Behörden und Unternehmen aus der Wallet abrufen dürfen. Damit die digitale Brieftasche aber prüfen kann, ob die von ihr angeforderten Informationen mit dem Registrierungszertifikat der relying parties übereinstimmen, müssen diese Informationen im Zertifikat enthalten sein, schreibt epicenter.works.
Darüber hinaus brauche es aus Sicht der Organisation ein öffentlich einsehbares Register aller relying parties. Nur so lasse sich die Transparenz über die zugelassen Behörden und Unternehmen herstellen und eine unabhängige Kontrolle gewährleisten.
Obwohl die eIDAS-Verordnung vorsieht, dass sämtliche Informationen über den Registrierungsprozess online verfügbar sein sollten (Artikel 5b(5)), lege der Kommissionsentwurf nur fest, dass diese Daten nur in Teilen in ein öffentliches Register einfließen. Auch sehe er nicht vor, dass Dritte auf einen Klick beispielsweise sämtliche Informationen zu den relying parties eines bestimmten EU-Landes abfragen können, was für deutlich mehr Transparenz sorgen würde.
Safety first – auch aus Sicht der Kommission
Wie wichtig solche Vorkehrungen für mehr Sicherheit und Transparenz sind, legt die Kommission in einem anderen Entwurf für einen Durchführungsrechtsakt selbst dar.
So sollen Mitgliedsstaaten bei Sicherheitsproblemen, etwa bei kompromittierten Wallets, die betroffenen Wallet-Systeme innerhalb von 24 Stunden deaktivieren. Betroffene Nutzer:innen müssen dann innerhalb der gleichen Frist davon in Kenntnis gesetzt werden.
Ziel dieser Maßnahmen sei es, „die Nutzer:innen zu schützen und das Vertrauen in das eIDAS-Ökosystem aufrechtzuerhalten“.
Einem nicht kleinen Teil der Zivilgesellschaft, nämlich jenen, die steigenden Lebenshaltungskosten nicht mehr hinterher arbeiten können, sind Digitalprojekte herzlich egal, denn diese Menschen haben existentielle Probleme. Der Geldbeutel wird dadurch nicht voller, dass er digital daher kommt. Luxusprobleme dieser Art gehen an den Bedürfnissen breiter Kreise der Gesellschaft vorbei, und füllen die Taschen jener, die schon prall gefüllt sind.
Das ist halt extrem kurzsichtig, denn gerade dieser Teil der Bevölkerung kann sich der Digitalisierung zur Profit- und Kontrollmaximierung nicht entziehen.
Genauso ist es zu beobachten. Solange sich die etablierten Parteien sich weigern anzuerkennen das die vielen unterbezahlten Menschen sich auskömmliche Bezahlung wünschen, und sie SPDCDUFDPnichts tun außer der reichen Klasse immer mehr Reichtum in die Taschen laden wird die AfD und andere ferngesteuerte Populisten guten Zulauf haben. Und es ist doch offensichtlich das die Ostdeutschen MITMENSCHEN dafür sehr empfänglich sind.
Korrektur: Du wolltest „Neonazis“ schreiben, aber die Autokorrektur hat „MITMENSCHEN“ draus gemacht.
Gern geschehen.
Sowohl anhand der Tatsache, dass die Kommission offenbar partout nicht gewillt zu sein scheint, die EUDI-Wallet für Bürger sicher und datenschutzfreundlich zu gestalten als auch anhand der Tatsache, dass inzwischen ja gefühlt egal wo alle Zeichen nur noch auf grundrechtswidriger Überwachung usw stehen, bin ich fast sicher, dass das was am Ende da rauskommt, nicht das sein wird was es eigentlich sein sollte.
Es erklärt aber auch, warum die EU das so unbedingt will
Dann kann man nur hoffen, dass
a) in dem Fall dann die Verbraucher- und Datenschützer wirklich auch Warnungen aussprechen und notfalls vor Gericht ziehen
b) die Bürger dann nicht so naiv sind das zu nutzen, nur weil’s eventuell bequemer ist.
Könnte unter diesen Umständen dann ein weiterer digitaler Flop in der EU werden.
Gab ja schon genug davon, mir noch am besten in Erinnerung: Die Fediverse-Projekte EU-Voice und EU-Video.
Also bei Punkt b bin ich nicht sehr optimistisch.
Guck dir einfach mal an, wie unkritisch hier in Deutschland die ePA aufgenommen wird. Ich schätze größtenteils durch Unkenntnis. Quasi alle (Abrechnungs-)Daten der KK zusammen mit den Daten der Ärzte sollen für Forscher und KI (Google, Meta, OpenAI) pseudonymisiert auswertbar sein. Wie lang wird das wohl pseudonym sein? Leute, wie z.B. Apotheker, haben auf diese Daten Zugriff, die eigentlich bei der Arzt-Patient-Verbindung gar nicht vorkommen (sollen).
Die Dimension an Unsicherheiten für den Datenschutz der Bürger ist bei einem europäischen Projekt dieser Art ungleich größer. Und deutlich weiter aus dem Blickfeld der meisten Bürger. Stand heute würde ich sagen, dass praktisch alle Bürger „naiv“ die Wallet nutzen wollen/werden.
Ja, wohl wahr