Es ist eine heftige Klatsche für die EU-Kommission: In letzter Minute musste sie heute eine entscheidende Abstimmung im eIDAS-Komitee vertagen. Das Gremium sollte über fünf Entwürfe abstimmen, die die Kommission ihr vorgelegt hatte. Weil sich aber abzeichnete, dass sie dafür keine Mehrheit erhalten würde, nahm die Kommission den Tagesordnungspunkt wieder von der Agenda.
Die Entwürfe für sogenannte Durchführungsrechtsakte benennen die technischen und organisatorischen Anforderungen, die Anbieter und Betreiber der geplanten „European Digital Identity Wallet“ (EUDI-Brieftasche) einhalten müssen. Diese sollen EU-Bürger:innen bald nutzen können, um sich digital auszuweisen.
Die Entwürfe betreffen unter anderem die Kernfunktionen der digitalen Brieftasche, ihre technische Zertifizierung und die zu verwendenden Protokolle. Das eIDAS-Komitee setzt sich aus je einer Vertreter:in jedes EU-Mitgliedstaats zusammen. Den Vorsitz führt eine Beamt:in der Kommission.
Mit der heutigen Vertagung gerät der ohnehin ambitionierte Zeitplan der Kommission bedrohlich ins Wanken. Er sieht vor, dass die EU-Mitgliedsstaaten ihren Bürger:innen bis zum Herbst 2026 eine EUDI-Wallet anbieten müssen.
Breite Kritik im Vorfeld
Bereits lange vor dem heutigen Komiteetreffen war Kritik laut geworden, wonach die Durchführungsrechtsakte der Kommission nicht den rechtlichen Vorgaben der reformierten eIDAS-Verordnung entsprechen. Die Verordnung ist im Mai dieses Jahres in Kraft getreten.
So mahnen Vertreter:innen der Zivilgesellschaft seit Monaten, dass die technischen Vorgaben „alarmierende Mängel“ aufwiesen. Thomas Lohninger von der österreichischen Bürgerrechtsorganisation epicenter.works wertet die Vertagung der heutigen Entscheidung als „herben Rückschlag“ für die Kommission, die versucht hat, „wichtige Datenschutzgarantien vorzuenthalten und den vom EU-Gesetzgeber verankerten Schutz zu verwässern.“
Die Bundesregierung hatte sich ebenfalls unzufrieden gezeigt. Ende August schickten Bundes-CIO Markus Richter und Stefan Schnorr, Staatssekretär im Bundesdigitalministerium, einen Brief an den damaligen EU-Binnenmarktkommissar Thierry Breton. Darin äußerten sie sich besorgt „über die notwendige Gründlichkeit und Qualität der technischen Spezifikationen und der Durchführungsbestimmungen“, wie der Branchendienst Mlex vor gut einer Woche berichtete.
Die Kommission müsse Sorgfalt vor Schnelligkeit walten lassen, mahnten Richter und Schnorr. „Der Erfolg der reformierten Verordnung hängt in hohem Maße davon ab, dass das erforderliche Qualitätsniveau erreicht wird und die Durchführungsrechtsakte frühzeitig zur Verfügung stehen.“
Gemeinsam mit Regierungsvertreter:innen aus Frankreich, Spanien und den Niederlanden schickte die Bundesregierung alternative Entwürfe für die Durchführungsrechtsakte an die Kommission. Die legten einen stärkeren Fokus auf Sicherheit, Privatsphäre und Interoperabilität sowie auf verbindliche Normen und Zertifizierungssysteme.
Probleme bei Pseudonymen und Überidentifizierung
Daraufhin überarbeitete die Kommission ihre Entwürfe. Und um Zeit zu gewinnen, verschob sie das für den 17. Oktober anberaumte Treffen des eIDAS-Komitees auf den heutigen 22. Oktober. Doch offenbar reichten diese Bemühungen nicht aus, um die Zweifel aufseiten der Regierungen ausräumen.
Thomas Lohninger von epicenter.works erkennt zwar Verbesserungen bei der sogenannten Unbeobachtbarkeit an. Das Prinzip besagt, dass Betreiber der Wallet keine Informationen zum konkreten Nutzungsverhalten und einzelnen Transaktionen erlangen dürfen.
Allerdings bestehen weiterhin gravierende Probleme bei der Nutzung von Pseudonymen, so Lohninger gegenüber netzpolitik.org. Um ihre Identität zu bestätigen, müssen sich Nutzer:innen nicht immer ihren realen Namen weitergeben, wenn sie sich mit der ID-Wallet gegenüber Dritten ausweisen. Stattdessen können sie dann ein Pseudonym verwenden.
Aus Datenschutzgründen sollten Nutzer:innen überall dort selbst gewählte Pseudonyme anstatt der staatlichen Identität verwenden können, wo es keine rechtliche Verpflichtung zur Identifikation gibt. Nur dann werde das in der eIDAS-Verordnung vorgesehene Recht auf Pseudonymität auch wirksam, sagt Lohninger.
Außerdem habe die Kommission das Problem der drohenden Überidentifizierung nicht gebannt. So hätten es die Vorlagen der Kommission zugelassen, dass Anbieter sozialer Plattformen mehr Daten als erforderlich abfragen können. Das widerspricht der reformierten eIDAS-Verordnung und schränkt die Privatsphäre der Nutzer:innen zusätzlich ein, so Lohninger. Vor einer Wallet, die vor allem den Interessen von Unternehmen zugutekomme, warnen Datenschützer:innen schon seit langem.
Die EU-Kommission muss nun nachbessern
Das Bundesdigitalministerium teilte netzpolitik.org auf Anfrage mit, die Regierung habe sich in den Verhandlungen über die eIDAS-Verordnung „stets für ein hohes Datenschutz- und Cybersicherheitsniveau und harmonisierte Bestimmungen eingesetzt“. Diese Anforderungen sollten auch die Durchführungsrechtsakte erfüllen, so ein Sprecher des Ministeriums.
epicenter.works fordert die Kommission auf, die zusätzliche Zeit nun dazu zu nutzen, um den Rechtstext zu verbessern. „Sorgfalt muss wichtiger sein als Schnelligkeit“, schreibt die Bürgerrechtsorganisation auf ihrer Webseite. Die designierte EU-Digitalkommissarin Henna Virkkunen soll nun die europäische digitale Brieftasche so gestalten, dass sie das Vertrauen der Nutzer:innen auch verdient, schreibt epicenter.works.
Eine Sprecherin der Kommission erklärte gegenüber netzpolitik.org, die Kommission halte an ihrem Ziel fest, die Durchführungsrechtsakte bis zur im Gesetz vorgesehenen Frist am 21. November 2024 zu verabschieden. Dabei sei es der Kommission wichtig, „zwischen den Mitgliedstaaten eine breite, umfassende Einigung über die Durchführungsrechtsakte zu erzielen“, so die Sprecherin.
Auch diese Deadline ist überaus ambitioniert. Bislang fanden zwei Sitzungen statt, bei denen bisher nur 5 der insgesamt 40 Durchführungsrechtsakte auf der Agenda standen.
Update, 24.10.2024, 14 Uhr: Wir haben den Text um die Antwort des Bundesdigitalministeriums ergänzt.
0 Ergänzungen