Die EU-Kommission bleibt am Ball – und ihr gelingt ein Hattrick. Bereits zum dritten Mal innerhalb weniger Wochen hagelt es für ihre Vorschläge zur Ausgestaltung der europäischen digitalen Brieftasche Kritik.
Konkret geht es um die technischen Vorgaben für die „European Digital Identity Wallet“ (EUDI-Wallet). Mit ihr sollen sich Bürger:innen und Organisationen künftig on- und offline ausweisen können. In der digitalen Brieftasche lassen sich Identitätsdaten und amtliche Dokumente speichern und verwalten. Um derart sensible Daten von Millionen Menschen zu schützen, sind wirksame Schutzvorkehrungen essenziell.
Bevor die Wallet wie geplant im Herbst 2026 starten kann, wird die EU-Kommission insgesamt 40 Durchführungsrechtsakte für eine einheitliche Umsetzung der eIDAS-Reform erlassen. Die zweite Charge dieser Rechtsakte verhandelt am 6. Februar das eIDAS-Komitee, dem Vertreter:innen aller EU-Staaten angehören. Für dieses Treffen hat die Kommission aus Sicht von epicenter.works ein besonders fieses Foulspiel begangen.
Nutzungsverhalten „mit ungekannter Genauigkeit“ erfassen
Die österreichische Nichtregierungsorganisation wirft der Kommission vor, ein Schlupfloch in eine gesetzlich fixierte Übereinkunft zu reißen. Am 22. Januar habe sie den Verhandlungsführer:innen des eIDAS-Komitees den Entwurf eines Durchführungsrechtsakts zugesandt, der es Privatunternehmen unter bestimmten Voraussetzungen ermöglichen würde, bei grenzüberschreitenden Aktivitäten die Personenkennziffer abzufragen. Das geht für epicenter.works zu weit.
Mit ihrem Versuch, die Personenkennziffer auch für Unternehmen nutzbar zu machen, weite die Kommission die strikten rechtlichen Vorgaben der eIDAS-Verordnung im Nachhinein aus und überschreite damit eine „rote Linie“, so epicenter.works in ihrer Analyse.
Um den „Grenzüberschreitenden Identitätsabgleich“ aus Artikel 11a schwelte bereits während der Trilog-Verhandlungen vor rund zwei Jahren ein heftiger Streit. Die Kommission wollte eine eindeutige, dauerhafte Personenkennziffer einführen, die nicht nur Behörden, sondern auch Privatunternehmen für den Identitätsabgleich mit der Wallet nutzen können. Mit Hilfe eines solchen „Super-Cookies“, warnten hingegen Datenschützer:innen, könnten Unternehmen das Nutzungsverhalten Einzelner „mit ungekannter Genauigkeit“ erfassen.
Nach zähen Verhandlungen beschränkte das EU-Parlament den Einsatz der Personenkennziffer auf grenzüberschreitende Verwaltungsdienste. Laut der reformierten eIDAS-Verordnung soll die Personenkennziffer nur dann aus der EUDI-Wallet abgefragt werden, wenn etwa eine deutsche Staatsbürgerin in Belgien mit der dortigen Verwaltung kommuniziert und die Angabe der Nummer rechtlich gefordert wird. Privatunternehmen dürfen die Kennziffer hingegen unter keinen Umständen abfragen.
Identitätsdaten für Unternehmen
Die Organisation epicenter.works kritisiert darüber hinaus zwei weitere Aspekte: Erstens habe die Kommission die monierten Änderungen an den Entwürfen erst vorgenommen, nachdem die öffentliche Konsultation durch Bürger:innen und Unternehmen abgeschlossen war.
Und zweitens komme die Kommission mit ihrem intransparenten Vorgehen ausgerechnet einer Aufforderung von Visa nach. Im Rahmen des Konsultationsprozesses hatte das Kreditkartenunternehmen die Kommission explizit dazu aufgefordert, die grenzüberschreitende Personenkennziffer auch für Privatunternehmen verfügbar zu machen.
Epicenter.works fordert die Kommission auf, die im Nachhinein hinzugefügten Bestimmungen zu entfernen. Nur so könne „das Vertrauen in das eIDAS-Ökosystem und in den demokratischen Prozess“ gewahrt werden.
Wir haben das Bundesinnenministerium gebeten, das Vorgehen der EU-Kommission zu bewerten. Leider hat es uns nicht geantwortet.
Aller Versuche sind drei
Es ist nicht das erste Mal, dass Vertreter:innen der Zivilgesellschaft die Kommission dafür kritisieren, Schlupflöcher in die EUDI-Wallet zu reißen, die Unternehmen den Datenabgriff erleichtern.
Die ersten fünf Entwürfe für Durchführungsrechtsakte hatte die Kommission im vergangenen August vorgelegt. Aus Sicht der Zivilgesellschaft hätten sie es den Unternehmen ermöglicht, mehr private Daten als erforderlich aus den Wallets abzufragen.
Und auch mit der zweiten Charge an Durchführungsrechtsakten hätte die Kommission überbordende Datenanfragen von Unternehmen ermöglicht, ohne dass sich die Nutzenden der Brieftasche wirksam dagegen hätten wehren könnten – und damit einen „zentralen Schutzpfeiler des eIDAS-Ökosystems“ eingerissen – so die Warnung von epicenter.works vor wenigen Wochen.
Mindestens dreißig Durchführungsrechtsakte muss die Kommission in den kommenden Monaten noch vorlegen. Es bleibt zu hoffen, dass sie nicht jedes Mal versucht, weitere Schlupflöcher in die digitale Brieftasche zu reißen.
Ich verstehe ja nicht, warum das irgendwen wundert oder noch entstetzt. Der Zweck einer „digitalen Identität“ ist nun mal die Massenüberwachung zur Erhebung und Kommerzialisierung von Daten sowie zum Steuern der Gesellschaft nach profitorientierten Kriterien. Der oder zumindest ein Zweck der EU-Kommission ist – so zeigt es das bisherige Handeln vergangener Kommissionen und dieser – die Interessen von Konzernen und Machtpolitik abseits demokratischer und transparenter Prinzipien und Praktiken durchzusetzen. Bereits dass die Kommission die Möglichkeit dazu hat, dies so oft zu versuchen, zeigt zudem dass es ein strukturelles Problem der postdemokratischen EU ist, das nicht durch Wahlen behoben werden kann.