eIDAS-ReformEU-Parlament stimmt für digitale Brieftasche

Knapp drei Jahre lang wurde um das größte digitalpolitische Projekt der Europäischen Union gerungen. Heute hat das EU-Parlament der eIDAS-Reform grünes Licht erteilt. Bürgerrechtsorganisationen warnen weiterhin vor Missbrauchspotential und fordern klare Normen bei der technischen Umsetzung.

Menschen gehen vor untergehender Sonne über einen Zebrastreifen
Geht es nach der EU-Kommission, sollen bis 2030 die allermeisten EU-Bürger:innen eine digitale Brieftasche haben. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Jacek Dylag

Das Europäische Parlament hat heute mit großer Mehrheit die eIDAS-Reform verabschiedet. Bis zum Herbst 2026 müssen nun alle EU-Mitgliedstaaten ihren Bürger:innen eine sogenannte „European Digital Identity Wallet“ (ID-Wallet) anbieten, mit der sie sich dann on- wie offline und in fast allen Lebensbereichen ausweisen können.

In der Plenardebatte warb die zuständige Berichterstatterin des Parlaments, Romana Jerković, um Zustimmung bei den Abgeordneten. Die ID-Wallet stelle eine praktische wie datenschutzfreundliche Alternative zu den Identifizierungsangeboten der Tech-Konzerne dar. Sie werde daher die Sicherheit im Internet erhöhen, so die Sozialdemokratin.

Auch Thierry Breton, EU-Kommissar für Binnenmarkt, warb für die Reform. Sie sei geradezu eine „Revolution“, die einen digitalen europäischen Binnenmarkt erst möglich mache, so Breton. Die Kommission hatte den entsprechenden Verordnungsentwurf im Juni 2021 vorgelegt. Demzufolge sollen 80 Prozent der EU-Bürger:innen bis zum Jahr 2030 über eine digitale Identität verfügen.

ID-Wallet ist freiwillig

Um das Gesetz war in den vergangenen Jahren hart gerungen worden. Die nun verabschiedete Reform sieht vor, dass die Wallet-Nutzung freiwillig und kostenfrei ist. Bürger:innen, die sich gegen die digitale Brieftasche entscheiden, sollen keine Nachteile haben.

Wer die Wallet nutzt, soll transparent darüber bestimmen können, welche Daten an sogenannte „relying parties“ weitergeben werden. Diese „vertrauenswürdigen Parteien“ können Unternehmen oder öffentliche Einrichtungen sein. Sie müssen sich vorab in den jeweiligen EU-Mitgliedstaaten registrieren und darlegen, welche Daten sie zu welchem Zweck von den Nutzer:innen anfordern werden.

Außerdem dürfen verschiedene Identifikationsvorgänge nicht miteinander verknüpft werden. Konkret heißt das: Kauft eine Person beispielsweise in dem gleichen Geschäft wiederholt Alkohol und belegt dabei mit der ID-Wallet ihr Alter, dann kann das Unternehmen diese Vorgänge nicht auswerten, um etwa das Kaufverhalten zu tracken.

Digitale Brieftasche mit Ausspähgarantie

Eingeschränkte Pseudonymität

Die von der Kommission vorgeschlagene dauerhafte Personenkennziffer für alle EU-Bürger:innen hat es nicht ins Gesetz geschafft. Eindeutige Identifizierungsnummern sollen künftig nur zum Einsatz kommen, wenn EU-Bürger:innen grenzüberschreitend Verwaltungsdienste in Anspruch nehmen. Das EU-Parlament hatte für datenschutzfreundlichere Alternativen geworben, sich aber in den Trilog-Verhandlungen nicht durchgesetzt.

Im Alltag sollen sich Wallet-Nutzer:innen entweder ihre personenbezogenen Daten, ein Pseudonym oder einen sogenannten Zero Knowledge Proof (zu Deutsch: Null-Wissen-Beweis) nutzen können. Das hängt vom Anwendungsfall ab: Wenn eine namentliche Identifikation nötig ist, werden sie ihre persönlichen Daten nutzen. Um zu bestätigen, dass sie volljährig sind, reicht ein Zero Knowledge Proof aus. Dabei würde die Wallet lediglich bestätigen, dass das Alter einer Person über 18 Jahre liegt – ohne weitere persönliche Informationen zu offenbaren.

Allerdings kann das Recht auf Pseudonymität laut Verordnung durch nationales oder EU-Recht eingeschränkt werden. Und der Zero Knowledge Proof findet sich als Forderung nur in den erläuternden Erwägungsgründen der Verordnung und stellt für die EU-Mitgliedstaaten somit keine Verpflichtung dar.

Hinzu kommt, dass auch große Tech-Konzerne künftig angehalten sind, eine Anmeldung per ID-Wallet optional anzubieten. Den Nutzer:innen steht es frei, diese zu nutzen. Aus datenschutzrechtlicher Sicht wäre es sinnvoll gewesen, die Nutzung strikt auf jene Fälle zu beschränken, in denen eine Identifizierung rechtlich verpflichtend ist. Das ist etwa bei der Eröffnung eines Bankkontos der Fall.

Nutzen Unternehmen die Identifizierung aber fortan auch für beliebige andere Dienste, droht eine Überidentifikation. Damit erhalten die Unternehmen die Möglichkeit, noch genauere Profile ihrer Nutzer:innen anzulegen.

Zertifikate: Kommission lenkt ein

Nur wenige Tage vor der heutigen Abstimmung war noch Bewegung in einen heftigen Streit gekommen. Darin ging es um die Frage, ob die eIDAS-Reform Browseranbieter dazu verpflichten soll, bestimmte qualifizierte Zertifikate (QWACs) zu akzeptieren.

Konkret kritisierten IT-Expert:innen und NGOs, dass Artikel 45 des Verordnungsentwurfs die vertrauliche und sichere Kommunikation im Internet bedrohe. Staatliche Behörden könnten die Zertifikate dazu missbrauchen, um Webseiten zu kompromittieren, und damit die Internetkommunikation potentiell aller EU-Bürger:innen ausspähen.

Dieser Streit ist nun vorerst beigelegt. Die Verordnung sieht in einem neu hinzugefügten Artikel 45a vor, dass Browseranbieter Vorsichtsmaßnahmen ergreifen dürfen, wenn sie „begründete Bedenken im Zusammenhang mit Sicherheitsverletzungen oder dem Verlust der Integrität“ von Zertifikaten haben.

Mit seiner Entscheidung hat das Parlament heute außerdem eine förmliche Erklärung der Kommission als Anhang zu dem Gesetz angenommen. Darin bestätigt die Kommission, dass die Browseranbieter selbst entscheiden dürfen, welche Sicherheitsmaßnahmen sie in ihre Browser implementieren. Auch in der Plenardebatte betonte Thierry Breton, dass die Anbieter „ihre eigenen Verfahren und Kriterien anwenden können, um die Sicherheit der Online-Kommunikation zu bewahren.“

Mozilla begrüßte die Klarstellung als entscheidenden Schritt, um die Sicherheit der EU-Bürger:innen im Internet zu gewährleisten. „Durch die Erklärung der Kommission konnten viele unserer Bedenken hinsichtlich der unterschiedlichen Auslegungen von Artikel 45 ausgeräumt werden“, sagte Mozillas Leiter der EU-Politik, Tasos Stampelos. Allerdings müssten sich diese Grundsätze auch in den technischen Regulierungen widerspiegeln, mit denen die neue Verordnung umgesetzt wird. Auch Alexis Hancock von der Electronic Frontier Foundation wertet die Klarstellung als „positiven Kompromiss“.

Die Axt an der Wurzel des Online-Vertrauens

„Dystopisches Missbrauchspotential“

Doch es gibt auch kritische Stimmen. Thomas Lohninger von epicenter.works begrüßt zwar, dass die eIDAS-Reform wichtige Schutzmaßnahmen vorsieht und niemand zur Verwendung der digitalen Brieftasche gezwungen werden darf. Allerdings drohe weiterhin „ein komplett neues, dystopisches Missbrauchspotential“, so Lohninger gegenüber netzpolitik.org. „Wenn die Pläne der EU aufgehen und alle Lebensbereiche von Arztbesuch, Google-Login bis zum ÖPNV damit vernetzt werden, ist ein Panopticon zum Greifen nahe.“ Die Reform senke die Kosten, um einen Menschen zu identifizieren, quasi auf null. Zugleich gelangten staatlich beglaubigte, kryptographisch signierte personenbezogene Daten in den Umlauf.

„Diese Verordnung ist ein Blankoscheck zur Online-Überwachung der Bürger“, kritisiert auch Patrick Breyer. Er ist EU-Abgeordneter der Piratenpartei und hat gemeinsam mit seiner Fraktion gegen die eIDAS-Reform gestimmt. „Mark Zuckerberg sollte kein Recht haben, unseren Ausweis zu sehen“, so Breyer. „Wenn wir unser digitales Leben anstelle von Facebook und Google der Regierung anvertrauen, kommen wir vom Regen in die Traufe.“ Die EU habe die Chance verpasst, „einen vertrauenswürdigen Rahmen zur Modernisierung und Digitalisierung unserer Gesellschaft zu schaffen.“

Dem Gesetz muss abschließend noch der Rat der Europäischen Union zustimmen, was aber als Formsache gilt. Bis zum Sommer muss dann die EU-Kommission noch Leitlinien für die technische Ausgestaltung des eID-Systems vorlegen. Breyer kündigte an, diese Umsetzung genau beobachten zu wollen. Und auch Thomas Lohninger blickt gespannt auf die kommenden Monate. Welche Schutzmaßnahmen aus seiner Sicht umzusetzen sind, hat seine NGO in einem heute veröffentlichten Bericht detailliert darlegt.

Innenministerium arbeitet bereits an eigener Wallet

Spätestens im August 2026 müssen alle EU-Mitgliedsstaaten ihre staatlichen eID-Systeme an die europäischen Vorgaben angepasst haben. Das Bundesinnenministerium (BMI) hat dazu bereits im vergangenen Sommer einen Konsultationsprozess gestartet. Gemeinsam mit Vertreter:innen von Verbänden, aus der Wissenschaft und der Verwaltung sowie von Unternehmen und der Zivilgesellschaft will das BMI ein Konzept für „ein deutsches eIDAS-2.0-konformes Gesamtsystem“ erarbeiten.

Ein erstes Architekturkonzept „für eine prototypische EUdi-Brieftasche“ veröffentlichte das Ministerium im vergangenen November. In den kommenden Monaten plant das BMI weitere Workshops, in denen es unter anderem um Datenschutz und Datensparsamkeit gehen wird, bevor dann der fertige Vorschlag vorgestellt und getestet werden soll.

Markus Reichel, Bundestagsabgeordneter der CDU, geht dieser Prozess nicht schnell genug. „Die novellierte eIDAS-Verordnung macht endlich den Weg frei für sichere digitale Identitäten in Europa“, so Reichel gegenüber netzpolitik.org. Allerdings sei immer noch nicht klar, wie dieses Ökosystem aufgebaut und betrieben werden soll. Gerade Unternehmen bräuchten Planungs- und Investitionssicherheit. „Hier muss die Bundesregierung endlich zu Potte kommen.“

11 Ergänzungen

  1. Der faktische Zwang zur Nutzung der EU-CA und der implementierten Methode entsteht allein schon durch die Verwendung der CA in allen staatlichen Digitalen Services, der Kranken- und Rentenkassen, Versicherungen, usw.
    Da kann als Ergänzung in der Richtline stehen was will.
    Kommission und Rat ist zugute zu halten, dass sie wahrscheinlich keinen faschistoiden Überwachungsstaat implementieren wollten. Das ist eben der Kapitalismus, der diese Auswölbungen immer und immer wieder hervorbringt.

  2. Alleine wenn man schon die Vorhaben zur Alterskontrolle oder die eIDAS Reform sieht, entsteht in einem das Gefühl der völligen Hilflosigkeit. Man fühlt sich vollends beobachtet und buchstäblich nackt ausgezogen, rundum überwacht und mit gierigen Augen angestarrt und permanent verfolgt. Jetzt übertrage man das Gefühl mal auf die Analoge Welt. Ich empfinde das als eine Form der „Digitalen Vergewaltigung“, wenn ich gegen meinen Willen intimste Details aus meinem Leben unter Druck herausgeben soll, nur um dann am digitalen Leben teilnehmen zu können. Und das entsprechende Daten zur Altersverifikation volatil sind und nirgends irgendwie gespeichert werden glaube ich im Leben nicht.

    1. Hi, als Ergänzung: Ja, selbst pseudonyme Daten ohne Klarnamenbezug sind potenziell eine Gefahr. Je mehr Daten um Umlauf sind, desto einfacher wird auch für Außenstehende ohne Wissen über Deine ID die Deanonymisierung. Grund ist ein immer dichter werdender Teppich aus einzelnen Fastern, die zusammen einen Sinn ergeben. Je mehr Fasern, desto tiefer der Sinn. Zum Klarnamen oder der Adresse ist der Schritt dann immer kleiner.

      1. Man wird auf eine neue Art wieder zu einem Produkt, nur dass diesmal der Staat und die EU ihre Hände mit im Spiel haben, neben den US-Internetkonzernen…

  3. Eine Gesellschaft, die so etwas durch und durch absurdes wie eine „digitale Identität“ hervorbringt und politisch akzeptiert, obwohl sie in den letzten Jahrzehnten in unzähligen Beispielen erlebt hat, wie übergriffig digitale Technologien und Überwachungsgesetze politisch genutzt und erweitert werden, bekennt sich damit offen zu einem autoritären, freiheits- und demokratiefernen Selbstverständnis.

    Von jetzt an ist es nicht mehr die Frage ob, sondern nur noch wann genau die direkten und indirekten Nutzungszwänge im Netz und die Ausweitungen auf das vormals analoge Leben kommen und welche Ausbeutungs- und Herrschaftspraktiken damit noch verbunden werden. Von der indirekten Klarnamenpflicht über das Anlegen akurater Bewegungs-, Verhaltens- und Sozialkontakprofile bis zum Verhaltensscoring jedes einzelnen ist nun alles möglich und so einfach wie noch nie. Glückwunsch!

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.